Seis millones de multa a CaixaBank por el tratamiento ilícito de los datos de sus clientes
La Agencia de Protección de Datos impone la sanción más alta tras la denuncia de un cliente que tuvo que compartir su información con las empresas del grupo
La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas a CaixaBank de cuatro y dos millones por una infracción muy grave y otra leve por el tratamiento ilícito de los datos de sus clientes. La Agencia ha desestimado una tercera sanción relacionada con el tratamiento automatizado de los perfiles de los clientes. Fuentes de CaixaBank aseguraron que no están de acuerdo con la sanción y que la recurrirán a las instancias que consideren oportunas.
Hace unas semanas la Agencia hizo pública la sanción al BBVA de cinco millone...
La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas a CaixaBank de cuatro y dos millones por una infracción muy grave y otra leve por el tratamiento ilícito de los datos de sus clientes. La Agencia ha desestimado una tercera sanción relacionada con el tratamiento automatizado de los perfiles de los clientes. Fuentes de CaixaBank aseguraron que no están de acuerdo con la sanción y que la recurrirán a las instancias que consideren oportunas.
Hace unas semanas la Agencia hizo pública la sanción al BBVA de cinco millones por enviar comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar que datos ceden ―o no― al banco.
El informe de la sanción, al que ha tenido acceso EL PAÍS, es un prolijo documento de 177 folios en el que se incluyen los numerosos recursos interpuestos por CaixaBank a lo largo de este largo proceso. Todo se inició el 24 de enero de 2018, hace tres años, cuando un cliente envió un escrito a la Agencia denunciando a la entidad “por imponerle la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo”.
Otra denuncia de Facua
El cliente añadió que para cancelar dicha cesión era necesario “dirigir un escrito a cada una de las empresas”, lo que calificó de “desproporcionado considerando que la cesión se acepta en un solo acto”.
La Agencia realizó numerosas comprobaciones, según consta en el informe, y constató la gran cantidad de datos que se obtienen de los clientes. Entre ellos están los identificativos, fiscales y de contacto, datos socioeconómicos y de actividad laboral, datos sobre experiencia, situación financiera y objetivos de inversión, así como la recogida de autorizaciones para la utilización de los datos con finalidades comerciales.
Antes de concluir el informe, el 29 de marzo de 2019, “tuvo entrada en esta Agencia un escrito de la asociación Facua-Consumidores en Acción, en el que formula reclamación contra CaixaBank en relación con el Contrato marco que suscriben los clientes de esta entidad, mediante el que se recogen sus datos personales”.
En concreto, Facua denuncia que se trata de un contrato de adhesión, “cuyo contenido no puede negociarse por el consumidor, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquel podría no tener relación”.
Imposibilidad de no recibir comunicaciones
“Se detecta”, dice la Agencia, “que aunque se haya seleccionado no recibir comunicaciones comerciales de forma genérica, al poder marcar uno de los medios, se acepta la recepción de comunicados por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente”.
Por este motivo, Protección de Datos considera que se vulneraron los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD). El primero hace referencia a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el 14 a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”.
La Agencia considera que la entidad dirigida por Gonzalo Gortázar utiliza “una terminología imprecisa para definir la política de privacidad, así como insuficiente información sobre la categoría de datos personales que se someterán a tratamiento”. Cree que ha habido “incumplimiento de la obligación de informar sobre la finalidad del tratamiento”, así como insuficiente información “sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar”.
Sin consentimiento válido
Pero la infracción muy grave ha sido la del artículo 6 del RGPD, que hace referencia a las condiciones que debe tener la información para que su tratamiento sea lícito. La Agencia asegura que “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido”, ya que debe haber “manifestación de voluntad específica, inequívoca e informada”.
También considera que hubo “deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales” a los que se le obligó a una “cesión ilícita de datos personales a empresas del Grupo CaixaBank”.
En el documento se recogen las numerosas alegaciones de CaixaBank, pero son desestimadas en su mayoría. También se dice que la entidad, “en enero de 2021, mejora la información y usabilidad, aportando ejemplos y haciendo que el proceso de autorizaciones se mantenga siempre en poder del cliente”. La Agencia no considera que eso le exime de responsabilidad, ya que “simplemente se han previsto en la entidad nuevos tratamientos que requieren consentimiento”.
El banco también dice que realizará un comunicado masivo a clientes informando de los cambios para dar a conocer todas las modificaciones anteriores, informando sobre la nueva Política de Privacidad.
Alegaciones sin pruebas
La Agencia considera que CaixaBank, “en sus alegaciones a la apertura del procedimiento, se limita calificar los argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que comprenden o no los clientes, añadiendo que se han realizado trabajos externos para verificar que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los cuales no aporta”. A juicio de la Agencia, la falta de claridad de aquellas fórmulas o expresiones es evidente y objetiva.
El importe de las sanciones va en relación con la gravedad de la infracción, así como al elevado volumen de datos afectados, ya que “las infracciones afectan a todos los tratamientos que realiza el banco”. También por el gran número de interesados: todos los clientes personas físicas de la entidad, 15,7 millones. Por eso, aunque una de las infracciones es leve la multa es de dos millones. Para la grave son cuatro millones.