La AEPD multa con 6 millones a Caixabank por violación de protección de datos
- La Agencia Española de Protección de Datos ha confirmado que la entidad bancaria viene quebrantando tres artículos del Reglamento General de Protección de Datos tras una denuncia de FACUA y un cliente.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Caixabank con dos multas de 4 y 2 millones de euros por el Reglamento General de Protección de Datos (RGPD). La resolución ha tenido su origen en una denuncia de un cliente del banco en 2018 y otra interpuesta por FACUA-Consumidores en Acción en 2019.
Hasta la fecha, las tres multas más altas impuestas por organismos a empresas denunciadas por FACUA son los 6,23 millones que aplicó la Junta de Andalucía a Movistar en 2016 por la subida de sus tarifas Fusión después de haber anunciado que mantendría los mismos precios «para siempre», la resuelta ahora por la AEPD a Caixabank y los 3,15 millones impuestos por el Gobierno andaluz a Unicaja por sus cláusulas suelo.
El organismo ha impuesto a la entidad una multa de 4 millones por «una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave» y otra de 2 millones por «una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve«.
Asimismo, ha requerido a Caixabank «que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales«.
En la resolución, de 177 páginas y en la que se analizan, entre otras cuestiones, diferentes versiones del Contrato Marco de Caixabank que debían firmar los clientes de la entidad, la AEPD impone estas sanciones al constatar que «ha quedado acreditado el incumplimiento del principio de trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del mismo Reglamento«.
La Agencia también señala que comenzó el procedimiento tras acordar el inicio de inspecciones previas y la incorporación de toda la documentación que había recibido sobre el asunto: la denuncia de un particular -realizada en enero de 2018-, la propia documentación de dichas actuaciones previas y la denuncia de FACUA, que se interpuso en marzo de 2019 aludiendo a la vulneración del artículo 6 del RGPD.
La resolución de la AEPD recoge que Caixabank puede interponer un recurso de reposición ante la directora de la Agencia Española de Protección de Datos o presentar directamente un recurso contencioso-administrativo ante la sala de lo contencioso-administrativo de la Audiencia Nacional.
Ilicitud del tratamiento
FACUA presentó una denuncia contra Caixabank ante la Agencia en marzo de 2019, en la que indicaba que el Contrato Marco incluía una serie de condiciones que podían vulnerar la normativa de protección de datos.
En concreto, la asociación consideraba que el texto de la entidad imponía a los consumidores el consentimiento al tratamiento de sus datos personales y la cesión de sus datos a terceras empresas con las que podrían no tener relación. Así, FACUA indicaba que, dado que este contrato era de adhesión -esto es, el usuario sólo puede adherirse a él pero no tiene capacidad de modificarlo-, esta imposición unilateral conllevaba la vulneración del tratamiento de los datos personales de los clientes del banco.
En este sentido, la asociación recogía en la denuncia que Caixabank vulneraba el artículo 6 del RGPD, que recoge las condiciones que se deben cumplir para considerar lícito el tratamiento de los datos personales de los usuarios.