L’Autorité espagnole de protection des données (AEPD) a infligé une amende totale de 6.000.000 EUR à CAIXABANK, S.A., pour traitement illégal des données personnelles des clients (4.000.000 EUR) et pour ne pas avoir fourni suffisamment d’informations concernant le traitement des données personnelles (2.000.000 EUR).
L’AEPD a estimé que le document conçu pour se conformer à l’information ne contenait pas suffisamment d’informations concernant les catégories de données personnelles concernées, ni d’informations sur les finalités du traitement auquel les données personnelles sont destinées ainsi que sur la base juridique du traitement, notamment en ce qui concerne les activités de traitement fondées sur l’intérêt légitime de l’entreprise. En conséquence, l’AEPD a conclu que CAIXABANK avait violé les articles 13 et 14 du GDPR. Conformément à l’article 83, paragraphe 5, point b), du GDPR, une amende de 2 000 000 EUR a été infligée. Pour décider du montant de l’amende administrative, l’AEPD a pris en compte, comme facteurs aggravants, entre autres, la nature, la gravité et la durée de l’infraction ; le caractère négligent de l’infraction ; le lien entre l’activité de l’entreprise et le traitement des données à caractère personnel ; et le fait que l’entreprise est une grande entreprise et son chiffre d’affaires.
D’autre part, l’AEPD a constaté que la CAIXABANK n’a prévu aucun mécanisme pour recueillir le consentement de la personne concernée ; que le consentement de la personne concernée ne réunissait pas tous les éléments d’un consentement valable, et que les activités de traitement fondées sur l’intérêt légitime de l’entreprise n’étaient pas suffisamment justifiées ; en particulier la relation entre l’activité de l’entreprise et le traitement des données à caractère personnel. L’AEPD a conclu que cela constituait une violation de l’article 6 du GDPR, et selon l’article 83 (5) a du GDPR, une amende administrative de 4.000.000 EUR a été imposée. Pour décider du montant de l’amende, l’AEPD a pris en compte, comme facteurs aggravants, entre autres, la nature, la gravité et la durée de l’infraction ; le caractère négligent de l’infraction ; le degré de responsabilité du responsable du traitement compte tenu des mesures techniques et organisationnelles mises en œuvre conformément aux articles 25 et 32 du GDPR ; les avantages tirés de l’infraction ; les catégories de données à caractère personnel concernées par l’infraction ; le lien entre l’activité de l’entreprise et le traitement des données à caractère personnel ; et le fait que l’entreprise est une grande entreprise et son chiffre d’affaires.
En plus de l’amende administrative, la plus élevée jamais imposée par la DPA espagnole, l’AEPD a ordonné à CAIXABANK de mettre ses opérations de traitement en conformité avec les articles 6, 13 et 14 de le GDPR dans les six prochains mois.
ps-00477-2019SOURCE: EUROPEAN DATA PROTECTION BOARD