La AEPD sanciona a CaixaBank por vulneración de la Ley de Protección de Datos

La AEPD sanciona a CaixaBank por vulneración de la Ley de Protección de Datos

La Agencia Española de Protección de Datos ha impuesto dos sanciones por importe total de seis millones de euros a CaixaBank por el tratamiento ilícito de lo datos de sus clientes

La Agencia Española de Protección de Datos, en adelante AEPD ha sancionado a CaixaBank tras ser denunciado por un cliente que tuvo que compartir su información con las empresas del grupo, siendo la aceptación de esta opción impuesta por la entidad sancionada. La AEPD ha impuesto dos multas a la entidad financiera de cuatro y dos millones por una infracción muy grave y otra leve, por el tratamiento ilícito de los datos de sus clientes. Las citadas sanciones no son firmes y son susceptibles de recurso. El denunciante señaló que para proceder a la cancelación de la cesión había que dirigir un escrito a cada una de las empresas del grupo. La Agencia señala en su informe que CaixaBank obtiene una gran cantidad de datos que se obtienen de los clientes, tales como: los identificativos, fiscales y de contacto, datos socioeconómicos y de actividad laboral, datos sobre experiencia, situación financiera y objetivos de inversión, así como la recogida de autorizaciones para la utilización de los datos con finalidades comerciales. Debemos señalar que antes de emitir el informe, el 29 de marzo de 2019, Facua presentó escrito en el que formulaba reclamación contra CaixaBank en relación con el Contrato marco que suscriben los clientes de esta entidad, mediante el que se recogen sus datos personales, señalando que son contratos de adhesión cuyo contenido no puede negociarse por el consumidor, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquel podría no tener relación

Por su parte, la AEPD ha detectado que aunque los clientes hayan seleccionado la opción de no recibir comunicaciones comerciales de forma genérica, al poder marcar, simultáneamente, uno de los medios de comunicación exclusivamente, automáticamente se acepta la recepción de comunicados por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente, lo que supone una vulneración de los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD). El primero hace referencia a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el 14 a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”. Señala el informe lo siguiente: “ (…) CaixaBank utiliza una terminología imprecisa para definir la política de privacidad, así como insuficiente información sobre la categoría de datos personales que se someterán a tratamiento (…) por lo que se procede al incumplimiento de la obligación de informar sobre la finalidad del tratamiento, así como sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar”[1].

En relación con la infracción muy grave relativa a la infracción del art. 6 RGPD que hace referencia a las condiciones que debe tener la información para que su tratamiento sea lícito, el Informe apunta que: “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido, puesto que la manifestación de voluntad ha de ser específica, inequívoca e informada”. Por otra parte, ha considerado que ha habido  “deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales a los que se le obligó a una cesión ilícita de datos personales a empresas del Grupo CaixaBank”.

Sacristán&Rivas Abogados recomienda a todos lo afectados, ponerse en contacto con profesionales cualificados en la materia, para la realización de un estudio de su caso concreto y una análisis de sus posibilidades de defensa si así interesa, estando este Despacho a su disposición a tales efectos.

Sacristán&Rivas Abogados

 

[1] Seis millones de multa a CaixaBank por el tratamiento ilícito de los datos de sus clientes | Economía | EL PAÍS (elpais.com)