CaixaBank, sancionada amb sis milions pel tractament de les dades dels clients

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat dues sancions a CaixaBank que sumen sis milions d’euros per una infracció molt greu i una de lleu de la llei de protecció de dades. En concret, l’Agència estima que CaixaBank va trencar l’article sis del reglament general de protecció de dades (RGPD), i li imposa una sanció de quatre milions per una infracció molt greu, i els articles 13 i 14 del RGPD, amb una sanció lleu de dos milions d’euros.

L’organisme justifica l’elevada quantia de les sancions pel nombre d’interessats, que són els 15,7 milions de clients amb què compta CaixaBank.

En una resolució de 177 pàgines en la qual es recullen els recursos impostos per l’entitat, l’AEPD estima que hi ha hagut un «incompliment de l’obligació d’informar sobre la finalitat del tractament» a l’utilitzar una terminologia imprecisa per definir la política de privacitat dels seus clients per part del banc.

Fonts de CaixaBank consultades han assegurat que l’entitat recorrerà la sanció i han remarcat que la seva actuació és «adequada i d'acord amb les exigències de la legislació espanyola».

Denúncia del 2018

La primera denúncia contra CaixaBank va ser realitzada al gener del 2018 per un client de l’entitat que va assegurar que se l’obligava a acceptar la cessió de les seves dades personals a totes les empreses del grup en les condicions en matèria de protecció de dades i que, a més, havia de dirigir-se a cada societat en particular per cancel·lar la cessió, una cosa que considerava «desproporcionada».

En el transcurs de la investigació, l’AEPD va poder constatar que l’entitat bancària obtenia dades identificatives, d’activitat laboral, sobre la situació financera o fiscals i de contacte, entre moltes d’altres, segons consta en l’esmentada resolució.

Notícies relacionades

Multa de 251 milions a la propietària de Facebook per una filtració de dades

La Fed abaixa els tipus un 0,25% i anuncia per al 2025 només dues reduccions

L’Agència, que desestima les al·legacions de CaixaBank, determina en el seu escrit que el banc ha incomplert «els requisits establerts per a la prestació d’un consentiment vàlid», que exigeix que el client manifesti una voluntat específica, inequívoca i informada. A més, apunta que l’entitat bancària va obligar els seus clients a una «cessió il·lícita» de les dades personals a altres empreses del mateix grup, cosa que posa de manifest les deficiències en el procés d’obtenció del consentiment dels usuaris.

El gener d’aquest any, CaixaBank va millorar el procés i va permetre que el client sempre tingui el poder de les autoritzacions, recull l’escrit, tot i que això no resta responsabilitat a l’empresa, segons l’AEPD. El març del 2019, l’Agència va rebre una nova denúncia, aquesta vegada realitzada per l’associació FACUA-Consumidors en Acció, en la qual s’advertia de què el contracte marc que firmaven els clients amb CaixaBank i en el qual es recollien les dades personals «no pot negociar-se» i imposava el consentiment del tractament d’aquestes dades i la cessió a terceres empreses amb les quals l’usuari podria no tenir relació.