La Agencia Española de Protección de Datos (AEPD) no se anda con tonterías y ha impuesto dos sanciones a CaixaBank por un total de seis millones de euros a causa de infracción muy grave (4 millones) y una de leve (2 millones) de la ley de protección de datos.
El organismo justifica la elevada cuantía de las sanciones debido al gran número de afectados, en total 15,7 millones de clientes con los que cuenta CaixaBank.
La AEPD estima que ha habido un “incumplimiento de la obligación de informar sobre la finalidad del tratamiento” al usar una terminología imprecisa para definir la política de privacidad de sus clientes por parte del banco.
Todo parte de una denuncia realizada en enero de 2018 por un cliente que aseguró que se le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo en las condiciones en materia de protección de datos y que, además, debía dirigirse a cada sociedad en particular para cancelar la cesión, algo que consideraba “desproporcionado”.
La AEPD pudo constatar que la entidad bancaria obtenía datos identificativos, de actividad laboral, sobre la situación financiera o fiscales y de contacto, entre muchas otros, según consta en la citada resolución.
La Agencia determina que el banco ha incumplido “los requisitos establecidos para la prestación de un consentimiento válido”, que exige que el cliente manifieste una voluntad específica, inequívoca e informada, además señala que obligó a sus clientes a una “cesión ilícita” de los datos personales a otras empresas del mismo grupo, lo que pone de manifiesto las deficiencias en el proceso de obtención del consentimiento de los usuarios.
Respecto a la infracción leve parte de una denuncia realizada en marzo de 2019 por FACUA, en la que se advertía de que el Contrato Marco que firmaban los clientes con CaixaBank y en el que se recogían los datos personales “no puede negociarse” e imponía el consentimiento del tratamiento de estos datos y la cesión a terceras empresas con las que el usuario podría no tener relación.
Según la AEPD, CaixaBank usaba una terminología imprecisa y no ofrecía la suficiente información a los clientes, por lo que ha habido un “incumplimiento de la obligación de informar sobre la finalidad del tratamiento”.