Multan a CaixaBank por la protección de datos
La infracción afectó a los más de 15 millones de clientes de la entidad
La Agencia Española de Protección de Datos (AEPD) ha impuesto dos sanciones a CaixaBank que suman seis millones de euros por una infracción muy grave y una leve de la ley de protección de datos. En concreto, la Agencia estima que CaixaBank quebrantó el artículo seis del reglamento general de protección de datos (RGPD) por lo que le impone una sanción de cuatro millones por una infracción muy grave, y los artículos 13 y 14 del RGPD, con una sanción leve de dos millones de euros. El organismo justifica la elevada cuantía por el número de interesados, que son los 15,7 millones de clientes con los que cuenta CaixaBank.
En una resolución de 177 páginas en la que se recogen los recursos impuestos por la entidad, la AEPD estima que ha habido un «incumplimiento de la obligación de informar sobre la finalidad del tratamiento» al usar una terminología imprecisa para definir la política de privacidad de sus clientes por parte del banco.
Fuentes de CaixaBank consultadas han asegurado que la entidad recurrirá la sanción y han subrayado que su actuación es «adecuada y conforme a las exigencias de la legislación española», expone.
DENUNCIA DEL 2018 La primera denuncia contra CaixaBank fue realizada en enero del 2018 por un cliente de la entidad que aseguró que se le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo en las condiciones en materia de protección de datos y que, además, debía dirigirse a cada sociedad en particular para cancelar la cesión, algo que consideraba «desproporcionado», señala.
En el transcurso de la investigación, la AEPD pudo constatar que la entidad bancaria obtenía datos identificativos, de actividad laboral, sobre la situación financiera o fiscales y de contacto, entre muchas otros, según consta en la citada resolución.
La Agencia, que desestima las alegaciones de CaixaBank, determina en su escrito que el banco ha incumplido «los requisitos establecidos para la prestación de un consentimiento válido», que exige que el cliente manifieste una voluntad específica, inequívoca e informada. Además, apunta que la entidad obligó a sus clientes a una «cesión ilícita» de los datos personales a otras empresas, lo que pone de manifiesto las deficiencias en el proceso de obtención del consentimiento de los usuarios.H