CaixaBank, multada con 6 millones por el tratamiento ilícito de los datos de sus clientes

CaixaBank. / Twitter
CaixaBank. / Twitter

La Agencia Española de Protección de Datos impone la sanción más alta tras la denuncia de un cliente que tuvo que compartir su información con las empresas del grupo.

CaixaBank, multada con 6 millones por el tratamiento ilícito de los datos de sus clientes

La Agencia Española de Protección de Datos, tras la resolución de los tribunales contra el BBVA, ratificando las sanciones impuestas por un montante de cinco millones de euros por vulnerar los derechos de los usuarios en materia de protección de datos, ha sancionado a la entidad bancaria CaixaBank por un total de seis millones por los mismos incumplimientos al tratar los datos de sus clientes. El fundamento de las sanciones es similar: la diferencia es la calificación de los mismos como muy graves y la actitud de la entidad bancaria al infringir de forma reiterada.

Los hechos se remontan a 2018 por una denuncia individual de un cliente de la entidad, quien se veía obligado a aceptar la cesión de sus datos a todas las entidades pertenecientes al grupo y para ejercer sus derechos tenía que dirigirse de manera individual a cada una de ellas en particular. El denunciante expresaba que aquello era “desproporcionado” y la agencia en la investigación abierta comprueba que la entidad tenía catalogados los datos del cliente, laborales, financieros y de contacto entre otros. Determina, pues, que el banco ha incumplido “los requisitos establecidos para la prestación de un consentimiento válido”. Este concepto, el del consentimiento válido, expreso e informado es uno de los pilares del Reglamento de Protección de Datos del mismo modo que la autorización de la cesión de datos a terceros, la cual en el caso de CaixaBank no se permitía ya que la cesión era obligatoria, por lo cual ilícita.

Finalmente, la entidad bancaria mejoró el proceso y permitió que el cliente autorizase las cesiones de datos a otras empresas del grupo. Sin que ello, en declaraciones de la Agencia Española de Protección de Datos reste responsabilidad a la empresa.

En marzo de 2019, la asociación e consumidores Facua-Consumidores en Acción presentó una denuncia colectiva en la misma agencia en la que se advertía de que el contrato marco que firmaban los clientes con CaixaBank y en el cual se recogían los datos personales del usuario, era innegociable e imponía el consentimiento en el tratamiento y cesión a terceras empresas. Una vez analizado el contrato marco, la agencia detectó que aunque en un apartado del contrato se pedía el consentimiento para comunicaciones comerciales, en la letra pequeña del contrato estaba fijada una aceptación expresa vulnerando uno de los derechos fundamentales de los que gozan los usuarios y consumidores. Usando una terminología imprecisa el banco no ofrecía suficiente información a sus clientes por lo que según las autoridades ha existido un “incumplimiento de la obligación de informar sobre la finalidad del tratamiento”.

La resolución adelantada por el diario El País, además de las correspondientes multas por un importe total de seis millones de euros, emplaza a CaixaBank  en un plazo de seis meses a “adecuar”  la información que ofrece a sus clientes sobre el consentimiento y la recogida de datos así como el tratamiento de los mismos.  La entidad bancaria ha infringido los artículos 13 y 14 del reglamento en lo que se refiere a la información proporcionada a sus clientes tanto cuando la información es cedida directamente por el interesado o cuando esta es cedida por un tercero como por ejemplo un tutor legal que cede datos de un menor.

Para la estimación de la sanción la agencia ha tenido en cuenta que el banco adoptó una conducta negligente habiendo sido previamente apercibido, mantuvo de forma continuada en el tiempo , utilizando un elevado volumen de datos para sus operaciones. El volumen de datos de clientes que CaixaBank manejó a 26 de diciembre de 2019 incluía a 15,7 millones de personas. Por el incumplimiento de estos dos artículos la agencia impone una sanción de dos millones de euros. Los otros cuatro millones de euros corresponden a la vulneración del artículo 6 del reglamento.

Finalmente la resolución considera acreditado que existe un perjuicio para los clientes de CaixaBank por un alto grado de intromisión en la privacidad de los mismos y porque toda esa información fue comunicada a terceros con un beneficio para el banco. Por su parte CaixaBank clama contra la desproporción sin precedentes de la sanción impuesta y valora acudir ante los tribunales. @mundiario

Comentarios