Multa récord (6 millones de euros) de la Agencia de Protección de Datos a Caixabank
Con un importe de 6 millones de euros la AEPD ha impuesto a la entidad bancaria catalana la mayor sanción hasta la fecha por infracción de la legislación de protección de datos.
Hace justo un mes la AEPD imponía la multa más alta hasta entonces. Una sanción de 5 millones de euros al banco BBVA, como ya te contamos en su día aquí en SILICON. Ahora ese “récord” se ha visto superado por la multa impuesta a otra entidad bancaria, Caixabank.
La razón es la infracción del Reglamento General de Protección de Datos (RGPD), la legislación comunitaria en materia de protección de datos. En concreto se habrían infringido los artículos 6, 13 y 14. Se trata de una infracción leve de los dos últimos, por lo que correspondería una multa de 2 millones de euros, a lo que se suman 4 millones de euros por una infracción muy grave del artículo 6 del RGPD.
Incumplimiento muy grave en la prestación del consentimiento
La infracción del artº 6 RGPD se refiere al incumplimiento de los requisitos establecidos para la prestación del consentimiento válido. Caixabank no habría justificado de manera suficiente la base jurídica para el tratamiento de datos. A esto se sumaría una cesión ilícita de estos datos personales a otras empresas pertenecientes al grupo de sociedades y empresas de Caixabank.
El procedimiento sancionador se inició en 2018 cuando un cliente se dirigió a la AEPD denunciando que Caixabank le obligase a aceptar nuevas condiciones en materia de protección de datos que incluían la cesión de sus datos personales a toda las empresas que forman parte del conglomerado de Caixabank. En caso de no querer que se llevase a cabo esa cesión Caixabank obligaba al cliente a dirigir una carta a cada una de las empresas del grupo.
La resolución de la AEPD establece que se trata de un procedimiento desproporcionado, habida cuenta de que la aceptación de la cesión se realiza en un único acto, independientemente de que los destinatarios de esa cesión sean múltiples. Se trataría de un supuesto de “incumplimiento de los requisito para la prestación válida de un consentimiento informado”, dándose además deficiencias en los procedimientos para recabar el consentimiento de clientes que se veían obligados a “ceder de forma ilícita sus datos personales a las empresas del grupo Caixabank”.