Multa récord a CaixaBank por saltarse la ley de protección de datos: 6 millones de euros
La Agencia Española de Protección de Datos asegura que la entidad vulneró tres de los artículos de la actual normativa, incluyendo una infracción calificada como muy grave
Multa histórica de la Agencia Española de Protección de Datos a La Caixa. La entidad bancaria española tendrá que hacer frente a un pago de hasta 6 millones de euros por haber vulnerado 3 artículos de la actual normativa de privacidad, más conocida por las siglas del reglamento europeo, la GDPR. La agencia impone una multa de 2 millones por la infracción, considerada leve, de los artículos 13 y 14, mientras que los otros 4 llegan por saltarse el artículo 6, una vulneración calificada como muy grave por el reglamento.
Según publica la AEPD, la resolución llega tras una investigación iniciada en 2018 por una denuncia de un particular y una posterior de 2019 llevada a cabo por la asociación de consumidores FACUA contra el llamado 'Contrato Marco' de privacidad que deben suscribir todos los clientes de este banco. En el documento de la sentencia de la agencia, que consta de 177 páginas, se detalla cómo la entidad bancaria, tanto en este contrato como en otros apartados, infringió los artículos y no ha corregido lo exigido por la institución.
Por su parte, desde CaixaBank explican a este periódico que la entidad "defiende que su actuación en materia de protección de datos personales es adecuada y conforme a las exigencias de la legislación española". Además, anuncian que recurrirán la sanción impuesta por la Agencia Española de Protección de Datos.
Entre los fallos que menciona la agencia, en lo referente a los dos primeros puntos asegura que hay agujeros como que la información ofrecida en los distintos documentos y canales no es uniforme. Añade que se emplea una terminología imprecisa para definir la política de privacidad, hay insuficiente información sobre la categoría de datos personales que se someterán a tratamiento o se incumple la obligación de informar sobre la finalidad del tratamiento.
En cuanto al punto 6, la AEPD asegura que La Caixa da una insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo, incumple los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada. Además habla de deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y de una cesión ilícita de datos personales a empresas del Grupo CaixaBank.
Además de la multa, la AEPD obliga a la entidad a que "en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales".
Fachada de la sede de la Agencia Española de Protección de Datos en Madrid. (EFE)
La agencia también hace especial hincapié en que Caixabank no ha tenido una actitud cooperante y que las correcciones efectuadas por la compañía no constituyen una verdadera regularización de la situación irregular comprobada en el presente procedimiento sancionador. "Por tanto, se desestima la solicitud de considerar tales actuaciones como una circunstancia atenuante".
Esta nueva multa récord de Protección de Datos llega apenas unos días después de que se informase otra gran resolución de la misma institución contra el BBVA. Otro caso que se ha saldado con una multa millonaria, en este caso de hasta 5 millones de euros.