La Autoridad de Protección de Datos de España (AEPD) ha infligido a CaixaBank sanciones por 6 millones de euros para tratamientos ilícitos de datos personales de los propios clientes.
El pasado diciembre una otra institución financiera, el Banco Bilbao Vizcaya Argentaria (BBVA) ha recibido una sanción de 5 millones de euros siempre desde la Autoridad de Protección de Datos de España, para el envío de comunicaciones comerciales sin el consentimiento expresado y la imposibilidad de los clientes de poder elegir cuáles datos ofrecer al banco.
La suma de las sanciones es de 11 millones de euros en pocas semanas.
En el caso de la CaixaBank todo empezó hace tres años, cuando un cliente envió una carta al AEPD denunciando que el banco “le impusó la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en el específico sobre la transferencia de datos personales a todas las sociedades del grupo”, subrayando que para anular estas trasferencias era necesario escribir una carta a cada las sociedades, de manera todo desproporcionada, desde el momento que la aceptación de las condiciones empezaba como acto único.
La FACUA (Facua-Consumidores en Acción) una asociación de los consumidores que ha seguido la historia, acusó el banco de poner a los propios clientes un contrato de adhesión que no podría ser negociado desde el cliente, el cual estaba obligado a prestar el consentimiento al tratamiento de datos personales y al trasferimento de las sociedades terceras con las cuales habría podido no tener alguna relación.
La Autoridad de Protección de Datos de España ha revelado que CaixaBank ha violado de manera objetiva las prescripciones sobre la transparencia solicitada desde el Reglamento UE 2016/679 (el GDPR es aplicable en todos los países de la Unión Europea) sobre la política de tratamiento de datos personales, en cuanto ha sido utilizada “una terminología imprecisa para definir la política de privacidad, así como las informaciones sobre las categorías de datos personales objeto de tratamiento han sido insuficientes”.
Pero, según la AEPD, la violación más grave ha sido la del consentimiento, porque para que el tratamiento de datos personales sea licito, tendría que ser una expresión de volundad especifica, inequivocabile y informada por parte del interesado.
Además, la Autoridad Española ha contestado “carencias en los procesos de gestión del obtenimiento del consentimiento de los clientes para el tratamiento de los propios datos personales” que han sido obligados a “transferir ilícitamente los datos personales a las sociedades del grupo CaixaBank”.
En el largo procedimiento de 177 páginas, la Autoridad Española ha precisado que la suma de las sanciones conjuntas a la CaixaBank está correlada a la gravedad de las infracciones, al alto volumen de datos personales, y al alto número de interesados, además de 15 millones de clientes. El banco ha preanunciado la intención de evaluar el recurso.
FUENTE: FEDERPRIVACY