La Agencia Española de Protección de Datos (AEPD) ha impuesto dos sanciones a CaixaBank que suman seis millones de euros por una infracción muy grave y una de leve de la ley de protección de datos. En concreto, la Agencia estima que CaixaBank quebrantó el artículo seis del reglamento general de protección de datos (RGPD) por lo que le impone una sanción de cuatro millones por una infracción muy grave, y los artículos 13 y 14 del RGPD, con una sanción leve de dos millones de euros.
El organismo justifica la elevada cuantía de las sanciones por el número de interesados, que son los 15,7 millones de clientes con los que cuenta CaixaBank.
En una resolución de 177 páginas en la que se recogen los recursos impuestos por la entidad, la AEPD estima que ha habido un "incumplimiento de la obligación de informar sobre la finalidad del tratamiento" al usar una terminología imprecisa para definir la política de privacidad de sus clientes por parte del banco.
Fuentes de CaixaBank consultadas han asegurado que la entidad recurrirá la sanción y han subrayado que su actuación es "adecuada y conforme a las exigencias de la legislación española".
Denuncia del 2018
La primera denuncia contra CaixaBank fue realizada en enero del 2018 por un cliente de la entidad que aseguró que se le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo en las condiciones en materia de protección de datos y que, además, debía dirigirse a cada sociedad en particular para cancelar la cesión, algo que consideraba "desproporcionado".
En el transcurso de la investigación, la AEPD pudo constatar que la entidad bancaria obtenía datos identificativos, de actividad laboral, sobre la situación financiera o fiscales y de contacto, entre muchas otros, según consta en la citada resolución.
La Agencia, que desestima las alegaciones de CaixaBank, determina en su escrito que el banco ha incumplido "los requisitos establecidos para la prestación de un consentimiento válido", que exige que el cliente manifieste una voluntad específica, inequívoca e informada. Además, apunta que la entidad bancaria obligó a sus clientes a una "cesión ilícita" de los datos personales a otras empresas del mismo grupo, lo que pone de manifiesto las deficiencias en el proceso de obtención del consentimiento de los usuarios.
En enero de este año, CaixaBank mejoró el proceso y permitió que el cliente siempre tenga el poder de las autorizaciones, recoge el escrito, aunque esto no resta responsabilidad a la empresa, según la AEPD. En marzo del 2019, la Agencia recibió una nueva denuncia, esta vez realizada por la asociación FACUA-Consumidores en Acción, en la que se advertía de que el contrato marco que firmaban los clientes con CaixaBank y en el que se recogían los datos personales "no puede negociarse" e imponía el consentimiento del tratamiento de estos datos y la cesión a terceras empresas con las que el usuario podría no tener relación.
