Caixabank, multada con 6 millones de euros por la Agencia de Protección de Datos por vulnerar tres artículos del RGPD

Pocos días después de que el BBVA fuese sancionado por la Agencia Española de Protección de Datos con 5 millones de euros por incumplimiento de la ley de protección de datos, Caixabank ha sido multada con 6 millones de euros por vulnerar la misma legislación.

El organismo público encargado de velar por el cumplimiento de las normas de protección de datos ha impuesto esta multa récord a la entidad bancaria por, explica la resolución del procedimiento sancionador, vulnerar los artículos 6, 13 y 14 del Reglamento General de Protección de Datos de la Unión Europea.

CaixaBank habría vulnerado los artículos 6, 13 y 14 del Reglamento General de Protección de Datos de la Unión Europea
Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

Se forzó la cesión de datos personales

La sanción de la agencia española se divide en una multa de 2 millones de euros por una infracción leve de los artículos 13 y 14 del GDPR y una de los restantes 4 millones por una infracción muy grave del artículo 6 del citado reglamento comunitario.

En este último caso, la AEPD asegura que Caixabank incumple los requisitos establecidos para la prestación de un consentimiento válido, no justifica suficientemente la base jurídica del tratamiento de datos personales, señala deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y, además, existe una cesión ilícita de datos personales a empresas del Grupo CaixaBank.

Entre otros motivos para las sanciones, la agencia española señala la cesión ilícita de datos personales a empresas del grupo al que pertenece CaixaBank

Respecto a la infracción de los artículos 13 y 14, el organismo fundamenta las imputaciones en base a motivos como que la información ofrecida en diferentes documentos y canales no es uniforme, el empleo de una terminología imprecisa para definir la política de privacidad, la falta de información sobre la categoría de datos personales que se someterán a tratamiento o el incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima. Además, exponen, "la información facilitada sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es uniforme".

La investigación que ha desembocado en este proceso y sus respectivas sanciones se inició en 2018 tras la denuncia de un particular en relación con las nuevas condiciones sobre protección de datos personales y, por ejemplo, la necesidad de enviar un escrito a cada una de las empresas del grupo de Caixabank para cancelar la cesión de datos. FACUA, además, también denunció la existencia del llamado contrato marco.

Desde la entidad bancaria aseguran que recurrirán y presentarán recurso por la vía judicial para intentar anular la sanción impuesta por la AEPD, según han señalado a Xataka las fuentes consultadas. Defienden que su actuación fue adecuada y conforme a la legislación española.

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta