La piedra con la que siempre tropiezan los bancos (y por la que CaixaBank ya ha pagado 7 millones)
  1. Jurídico
La privacidad se atraganta

La piedra con la que siempre tropiezan los bancos (y por la que CaixaBank ya ha pagado 7 millones)

El Reglamento General de Protección de Datos es la horma en el zapato de las entidades financieras, que acumulan sanciones millonarias por infringir el mismo artículo

Foto: Logo de CaixaBank. (Reuters)
Logo de CaixaBank. (Reuters)
EC EXCLUSIVO Artículo solo para suscriptores

Los bancos tienen una horma en el zapato de la que no se consiguen deshacer. Se trata del Reglamento General de Protección de Datos (RGPD) y, en concreto, del artículo 6. Este precepto les ha generado un puñado de multas millonarias en los últimos años. La más reciente fue dictada hace unos días contra CaixaBank y asciende a los tres millones de euros. Esta sanción se suma a la recibida este mismo enero, cuando la organización tuvo que pagar otros cuatro millones por incumplir la misma obligación. Pero la de Goirigolzarri no ha sido la única entidad financiera al que la ley de protección de datos ha obligado a vaciar el bolsillo. Esta normativa se les atraganta de tal manera a los bancos que en 2020 fueron el sector que aglutinó las multas más elevadas. Y todo apunta a que 2021 será igual.

* Si no ves correctamente el módulo de suscripción, haz clic aquí

Pero ¿qué establece el artículo 6? Este apartado recoge el principio de licitud de los datos, que exige a los responsables del tratamiento a hacer una gestión legítima, leal y transparente de la información personal que recaban de terceros. Esto implica contar con el consentimiento expreso del interesado e informarle previamente del motivo para el que se recogen sus datos y de la finalidad (o finalidades). Es decir, que para que se considere válida la autorización del titular es imprescindible dar una explicación detallada de qué uso se va a hacer de la información.

Esta definición, no obstante, no deja de ser muy abierta, por lo que, en la práctica, las infracciones se materializan en diferentes conductas. De todas ellas, no obstante, subyace una única razón principal: el no haber cumplido con el principio de licitud.

Foto: Foto: EFE.

Compartir información con terceros

En la última sanción, la AEPD condenó a CaixaBank Payments & Consumer, la filial de pagos y de crédito al consumo de la organización, por el perfilado que hacía de sus clientes. Según recoge la resolución, la sanción vino motivada por la denuncia que interpuso en 2018 un particular, antiguo cliente, después de saber que el banco había solicitado información sobre él a un fichero de solvencia. El hombre interpuso una denuncia que, no obstante, fue archivada porque la entidad admitió que había sido un error "humano y puntual". Sin embargo, poco después, sus datos fueron incluidos por equivocación en una campaña de créditos preconcedidos. El afectado volvió acudir ante la Agencia y añadió que la entidad le había ofrecido un servicio basado en la información del fichero.

El banco alegó que contaba con el consentimiento de los afectados, pero la Agencia considera que es una autorización ilícita, ya que en ningún momento se informó de que la información recabada iba a ser compartida con otras filiales, como así acabó ocurriendo. Una conducta que, para el organismo, constituye una infracción muy grave del reglamento, lo que justifica la elevada cuantía de la multa (tres millones de euros).

Foto: La directora de la Agencia Española de Protección de Datos, Mar España. (EFE)

Un motivo similar fue el que desencadenó la sanción de enero de este año. En una resolución de 177 páginas, la AEPD afea varias conductas al banco catalán. En primer lugar, indica que existe cesión ilícita de datos personales entre empresas del Grupo CaixaBank de la que, además, no se informa a los usuarios. Una omisión que, a su entender, genera "deficiencias" en el consentimiento de los clientes porque no existe "una voluntad específica, inequívoca e informada" de la finalidad por la que se recaban los datos.

Por otro lado, la Agencia considera la terminología que utiliza el banco en sus políticas de privacidad es muy imprecisa, lo que provoca que el cliente no tenga una información explícita e invalida la autorización. Por todo esto, la AEPD fija una multa de seis millones de euros, de los que cuatro corresponden al incumplimiento del artículo 6 del RGPD. Los otros dos millones corresponden a una infracción considerada como leve de los preceptos 13 y 14.

Cinco millones a BBVA

El artículo 6 del RGPD no solo se le atraganta a Caixabank. En diciembre de 2020, BBVA fue sancionado con cinco millones de euros por diferentes incumplimientos graves en materia de privacidad, entre las que se incluía la falta de un consentimiento válido de los clientes al recabar sus datos. El expediente surgió a raíz de cinco reclamaciones de particulares que recibieron llamadas telefónicas y envío de SMS publicitarios del banco. No obstante, ellos habían ejercido su derecho de oposición a la cesión de su información personal con fines promocionales.

Foto: El CEO de BBVA, Carlos Torres. (Reuters)

En la resolución, el organismo concluyó que el BBVA "no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados". Del mismo modo, le recriminó que utilizara un lenguaje impreciso y formulaciones vagas, lo que va en contra del principio de transparencia e impide a los interesados "conocer el sentido y significado real de las indicaciones facilitadas y el alcance real de los consentimientos que puedan prestarse".

Los bancos tienen una horma en el zapato de la que no se consiguen deshacer. Se trata del Reglamento General de Protección de Datos (RGPD) y, en concreto, del artículo 6. Este precepto les ha generado un puñado de multas millonarias en los últimos años. La más reciente fue dictada hace unos días contra CaixaBank y asciende a los tres millones de euros. Esta sanción se suma a la recibida este mismo enero, cuando la organización tuvo que pagar otros cuatro millones por incumplir la misma obligación. Pero la de Goirigolzarri no ha sido la única entidad financiera al que la ley de protección de datos ha obligado a vaciar el bolsillo. Esta normativa se les atraganta de tal manera a los bancos que en 2020 fueron el sector que aglutinó las multas más elevadas. Y todo apunta a que 2021 será igual.

Ley de protección de datos Créditos
El redactor recomienda