Pocos días después de que el BBVA fuese sancionado por la Agencia Española de Protección de Datos con 5 millones de euros por incumplimiento de la ley de protección de datos, Caixabank ha sido multada con 6 millones de euros por vulnerar la misma legislación.
El organismo público encargado de velar por el cumplimiento de las normas de protección de datos ha impuesto esta multa récord a la entidad bancaria por, explica la resolución del procedimiento sancionador, vulnerar los artículos 6, 13 y 14 del Reglamento General de Protección de Datos de la Unión Europea.
Se forzó la cesión de datos personales
La sanción de la agencia española se divide en una multa de 2 millones de euros por una infracción leve de los artículos 13 y 14 del GDPR y una de los restantes 4 millones por una infracción muy grave del artículo 6 del citado reglamento comunitario.
En este último caso, la AEPD asegura que Caixabank incumple los requisitos establecidos para la prestación de un consentimiento válido, no justifica suficientemente la base jurídica del tratamiento de datos personales, señala deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y, además, existe una cesión ilícita de datos personales a empresas del Grupo CaixaBank.
Respecto a la infracción de los artículos 13 y 14, el organismo fundamenta las imputaciones en base a motivos como que la información ofrecida en diferentes documentos y canales no es uniforme, el empleo de una terminología imprecisa para definir la política de privacidad, la falta de información sobre la categoría de datos personales que se someterán a tratamiento o el incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima. Además, exponen, "la información facilitada sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es uniforme".
La investigación que ha desembocado en este proceso y sus respectivas sanciones se inició en 2018 tras la denuncia de un particular en relación con las nuevas condiciones sobre protección de datos personales y, por ejemplo, la necesidad de enviar un escrito a cada una de las empresas del grupo de Caixabank para cancelar la cesión de datos. FACUA, además, también denunció la existencia del llamado contrato marco.
Desde la entidad bancaria aseguran que recurrirán y presentarán recurso por la vía judicial para intentar anular la sanción impuesta por la AEPD, según han señalado a Xataka las fuentes consultadas. Defienden que su actuación fue adecuada y conforme a la legislación española.
Ver 2 comentarios