L’AEPD imposa una multa de 6M d’Euros a CaixaBank SA per infringir el RGPD

Fa unes setmanes publicàvem una entrada en el nostre blog sobre la sanció de 5 milions d’euros imposada per l’Agència Espanyola de Protecció de Dades (AEPD) a l’entitat BBVA per infringir el RGPD. Destacàvem que es tractava de la sanció de major quantia que fins al moment havia imposat l’AEPD. Aquesta setmana us portem una nova sanció que supera aquest rècord de 5M d’euros, i és que la recent resolució sancionadora de l’AEPD multa amb 6M d’Euros a l’entitat CaixaBank SA per infringir el RGPD. 

Origen de la sanció

1a reclamació:

Durant el mes de gener de 2018 va tenir entrada en l’AEPD una reclamació contra l’entitat CaixbBank SA formulada per un client de l’entitat. El reclamant denunciava que les noves condicions en matèria de protecció de dades de la citada entitat obligaven a autoritzar, en bloc, la cessió de les seves dades personals a la totalitat d’empreses del grup CaixaBank. I, a més, que el mecanisme establert per l’entitat per a cancel·lar aquesta cessió requeria enviar un escrit a cadascuna de les empreses del grup.

Després de rebre aquesta reclamació l’AEPD va iniciar les denominades actuacions prèvies de recerca amb la finalitat d’esclarir els fets denunciats i determinar si concorrien circumstàncies que justifiquessin la iniciació d’un procediment sancionador. Durant aquestes actuacions prèvies els serveis d’inspecció de l’AEPD van efectuar fins a dos requeriments a l’entitat CaixaBank SA. No obstant això, el mes de febrer de 2019 es va declarar la caducitat d’aquestes actuacions prèvies per haver-se transcorregut el termini màxim de 12 mesos, des de la data de recepció de la reclamació, sense que s’hagués dictat i notificat l’acord d’inici de procediment sancionador.

Cal destacar que la caducitat no produeix per si sola la prescripció de l’acció, de manera que res impedeix a l’administració (AEPD) iniciar un nou procediment de recerca sempre que no hagi prescrit l’acció.

2a reclamació

Al març de 2019, l’entitat FACUA va presentar una reclamació davant l’AEPD contra l’entitat CaixaBank SA denunciant que el “Contracte Marc” que subscriuen els clients d’aquesta entitat -mitjançant el qual es recullen les seves dades personals, se’ls ofereix informació en matèria de protecció de dades personals i es recapten consentiments per als tractaments de dades que s’especifiquen-, no pot negociar-se per l’interessat, i que la seva condició de contracte d’adhesió imposa a l’interessat l’autorització del tractament i cessió de les seves dades personals per part de l’entitat i de tercers.

A la del mes de maig de 2019, l’AEPD va admetre a tràmit la reclamació de FACUA, acordant l’inici  d’actuacions prèvies de recerca i la incorporació a aquestes de tota la documentació corresponent a les anteriors actuacions prèvies (les derivades de la reclamació del 2018  afectades per caducitat).

L’objecte d’aquestes noves actuacions prèvies de recerca es va determinar en l’anàlisi de:

• La informació oferta amb caràcter general per CaixaBank SA en matèria de protecció de dades personals, a través de tots els canals emprats per l’entitat.

• Els diferents tractaments de dades personals que duu a terme l’entitat conforme a la informació oferta, en relació amb clients o persona que mantinguin qualsevol altra relació amb aquesta, i en el marc de la nova normativa aplicable des del 25/05/2018, inclòs l’anàlisi dels mecanismes emprats per a recaptar la prestació del consentiment dels interessats;

• El compliment per part de la citada entitat de la resta de principis relatius al tractament establerts en l’article 5 del RGPD.

Durant el desenvolupament d’aquestes segones actuacions prèvies de recerca es va cursar un requeriment d’informació a CaixaBank SA i es va realitzar visita d’inspecció tant presencial, en les instal·lacions de l’entitat, com a telemàtica, mitjançant l’accés a la web de l’entitat.

Inici del procediment sancionador

Finalitzades les actuacions prèvies, al gener del 2020, la Directora de l’Agència Espanyola de Protecció de Dades va acordar iniciar un procediment sancionador contra l’entitat CaixaBank SA per:

• La presumpta infracció dels articles 13 i 14 del RGPD, tipificada en l’article 83.5.b) del citat Reglament, determinant que la sanció que pogués correspondre per aquesta infracció ascendiria a 2M d’euros, sense perjudici del que resulti de la instrucció.

• La presumpta infracció de l’article 6 del RGPD, tipificada en l’article 83.5.a) del citat Reglament, determinant que la sanció que pogués correspondre per aquesta infracció ascendiria a 4M d’euros, sense perjudici del que resulti de la instrucció.

• La presumpta infracció de l’article 22 del RGPD, tipificada en l’article 83.5.b) del RGPD, determinant que la sanció que pogués correspondre per aquesta infracció ascendiria a 500.000 euros, sense perjudici del que resulti de la instrucció. 

Resolució del procediment sancionador

La resolució sancionadora de l’AEPD multa amb 6M d’euros a CaixaBank SA per infringir el RGPD. Per a major concreció, la resolució sancionadora imposa a l’entitat una primera multa de 4M d’euros per infringir els articles 13 i 14 del RGPD i una segona multa de 2M d’euros per infringir l’article 6 del RGPD. 

A més d’imposar aquestes dues multes per import total de 6M d’euros, l’AEPD també requereix a l’entitat perquè en el termini de 6 mesos adeqüi la seva política de privacitat a la normativa de protecció de dades vigent.  Convé remarcar que la resolució sancionadora també declara la inexistència d’una infracció del que s’estableix en l’article 22 del RGPD (article dedicat a les decisions individuals automatitzades, inclosa l’elaboració de perfils). I, és que segons l’AEPD: 

“la instrucció del procediment no ha permès constatar que CAIXABANK dugui a terme tractaments de dades com els regulats en aquest article 22 del RGPD, és a dir, que adopti decisions basada únicament en el tractament automatitzat i que produeixin efectes jurídics en l’interessat o l’afectin significativament de manera similar”.

Fallada de la resolució:

“PRIMER: IMPOSAR a l’entitat CAIXABANK, S.A., amb NIF A08663619, per una infracció dels articles 13 i 14 del RGPD, tipificada en l’article 83.5.b) i qualificada com a lleu a l’efecte de prescripció en l’article 74.a) de la LOPDGDD, una multa per import de 2.000.000 euros (dos milions d’euros).

SEGON: IMPOSAR a l’entitat CAIXABANK, S.A, per una infracció de l’article 6 del RGPD, tipificada en l’article 83.5.a) i qualificada com molt greu a l’efecte de prescripció en l’article 72.1.b) de la LOPDGDD, una multa per import de 4.000.000 euros (quatre milions d’euros).

TERCER: DECLARAR la inexistència d’infracció en relació amb la imputació a l’entitat CAIXABANK, S.A. d’una possible vulneració del que s’estableix en l’article 22 del RGPD.

QUART: REQUERIR a l’entitat CAIXABANK, S.A., perquè, en el termini de sis mesos, adeqüi a la normativa de protecció de dades personals les operacions de tractament de dades personals que realitza, la informació oferta als seus clients i el procediment mitjançant el qual els mateixos han de prestar el seu consentiment per a la recollida i tractament de les seves dades personals, amb l’abast expressat en el Fonament de Dret XI. En el termini indicat, CAIXABANK, S.A. haurà de justificar davant aquesta Agència Espanyola de Protecció de Dades l’atenció del present requeriment.”

Si vols consultar el text íntegre de la resolució: PS-00477-2019

Motiu de la sanció

Com a resultat del procediment sancionador l’AEPD ha imposat dues multes, la suma de les quals ascendeix a 6M d’euros, a l’entitat CaixaBank SA per infringir el RGPD.

1a multa – Infracció dels articles 13 i 14 del RGPD (2M d’euros de multa):

• La informació oferta en els diferents documents i canals no és uniforme.

• Ús d’una terminologia imprecisa per a definir la política de privacitat.

• Insuficient informació sobre la categoria de dades personals que se sotmetran a tractament.

• Incompliment de l’obligació d’informar sobre la finalitat del tractament i base jurídica que el legitima, especialment en relació amb els tractaments de dades personals basades en l’interès legítim.

• Insuficient informació sobre el tipus de perfils que es realitzaran, els usos específics a què es destinaran.

• La informació facilitada sobre l’exercici de drets, possibilitat de reclamar davant l’Agència Espanyola de Protecció de Dades, existència d’un Delegat de Protecció de Dades i les seves dades de contacte, així com la relativa als terminis de conservació de dades no és uniforme.

2a multa –  Infracció de l’article 6 del RGPD (4M d’euros de multa):

• Insuficient justificació de la base jurídica del tractament de dades personals, especialment en relació amb els basats en l’interès legítim.

• Incompliment dels requisits establerts per a la prestació d’un consentiment vàlid, com a manifestació de voluntat específica, inequívoca i informada.

• Deficiències en els processos habilitats per a recaptar el consentiment dels clients per al tractament de les seves dades personals.

• Cessió il·lícita de dades personals a empreses del Grup CaixaBank.

Com es poden evitar aquest tipus de multes?

Per a evitar aquest tipus de sancions resulta imprescindible que:

• S’informi els usuaris/clients de manera clara i comprensible sobre l’abast, la finalitat i la base de legitimació per al tractament de les seves dades personals i sobre els seus drets com a persona interessada. A manera de resum, és imprescindible informar l’usuari/client sobre: quines dades es recopilaran, per a quines finalitats, durant quant temps, si aquestes se cediran a tercers, si es produeixen transferències internacionals de dades i quins són els drets de l’interessat i els mecanismes o forma per a exercir-los.

• Permetre que els usuaris/clients acceptin o deneguin lliurement i de manera senzilla el tractament de les seves dades personals per a la totalitat o part de les finalitats perseguides per l’empresa. Per exemple, s’ha de permetre que l’usuari accepti fàcilment el tractament de les seves dades personals, però que alhora denegui o no autoritzi que aquestes dades s’utilitzin per a finalitats comercials.

• Tenir clares quines són les condicions i requisits establerts en l’article 6 del RGPD perquè el tractament de dades personals es consideri lícit. És a dir, si el tractament de dades es basa en el consentiment de l’interessat, si és necessari per a l’execució d’un contracte en el qual l’interessat és part o si és necessari per al compliment d’una obligació legal, entre altres.

Per  saber més sobre com has de sol·licitar el consentiment dels teus usuaris per al tractament de les seves dades personals, et recomanem que llegeixis la nostra entrada sobre Com haig de configurar les cookies del meu web per evitar ser sancionat? en la qual expliquem com ha de sol·licitar-se el consentiment perquè l’interessat pugui prestar-lo de manera lliure i informada i com exposar la informació per capes.

No oblidis seguir-nos en LinkedIn, Facebook o Twitter. per a estar sempre al dia sobre les últimes notícies relacionades amb la protecció de dades personals.

Si necessites assessorament en matèria de protecció de dades, des de Qualgest podem ajudar-te. Contacta amb nosaltres i t’oferirem una solució a mesura perquè compleixis amb totes les obligacions exigides en la normativa de protecció de dades.

Entrades relacionades:

• Sanció de 5 milions d’euros a l’entitat BBVA per infringir el RGPD

• Poden sancionar-te per tenir una web no segura?

• Com haig de configurar les cookies del meu web per evitar ser sancionat?

• El Tribunal Suprem confirma la sanció de 40.000 euros imposada per l’AEPD a Mutua Madrileña