La AEPD impone una multa de 6M de euros a CaixaBank por infringir el RGPD

Hace unas semanas dedicamos una entrada en nuestro blog a la sanción de 5 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) a la entidad BBVA por infringir el RGPD. En dicha entrada destacábamos que se trataba de la sanción de mayor cuantía que hasta el momento había impuesto la AEPD. Esta semana os traemos una nueva sanción que supera dicho récord de 5M de euros, y es que la reciente resolución sancionadora de la AEPD multa con 6M de Euros a la entidad CaixaBank SA por infringir el RGPD. 

Origen de la sanción

1ª reclamación

Durante el mes de enero de 2018 tuvo entrada en la AEPD una reclamación contra la entidad CaixbBank SA formulada por uno de los clientes de la entidad. El reclamante denunciaba que las nuevas condiciones en materia de protección de datos de la citada entidad obligaban a autorizar en bloque la cesión de sus datos personales a la totalidad de empresas del grupo CaixaBank. Y que el mecanismo establecido por la entidad para cancelar dicha cesión requería enviar un escrito a cada una de las empresas del grupo.

Tras recibir esta reclamación la AEPD inició las denominadas actuaciones previas de investigación con la finalidad de esclarecer los hechos denunciados y determinar si concurrían circunstancias que justificasen la iniciación de un procedimiento sancionador. Durante estas actuaciones previas los servicios de inspección de la AEPD efectuaron hasta dos requerimientos a la entidad CaixaBank SA. No obstante, en el mes de febrero de 2019 se declaró la caducidad de estas actuaciones previas por haberse transcurrido el plazo máximo de 12 meses desde la fecha de recepción de la reclamación, sin que se hubiera dictado y notificado el acuerdo de inicio de procedimiento sancionador.

Al respecto, debemos destacar que la caducidad no produce por si sola la prescripción de la acción, de modo que nada impide a la administración (AEPD) iniciar un nuevo procedimiento de investigación tras la caducidad del anterior siempre y cuando no haya prescrito la acción.

2ª reclamación

En marzo de 2019, la entidad FACUA presentó una reclamación ante la AEPD contra la entidad CaixaBank SA denunciando que el “Contrato Marco” que suscriben los clientes de esta entidad -mediante el que se recogen sus datos personales, se les ofrece información en materia de protección de datos personales y se recaban consentimientos para los tratamientos de datos que se especifican-, no puede negociarse por el interesado, de modo que su condición de contrato de adhesión impone al interesado la autorización del tratamiento y cesión de sus datos personales, incluso por parte de terceros.

A finales de mayo de 2019, la AEPD admitió a tramite la reclamación de FACUA y acordó iniciar actuaciones previas de investigación y la incorporación a estas de toda la documentación correspondiente a las anteriores actuaciones previas (derivadas de la reclamación de 2018 y afectadas por caducidad).

El objeto de estas nuevas actuaciones previas de investigación se determinó en el análisis de:

• La información ofrecida con carácter general por CaixaBank SA en materia de protección de datos personales, a través de todos los canales empleados por la entidad.

• Los distintos tratamientos de datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación con clientes o persona que mantengan cualquier otra relación con la misma, y en el marco de la nueva normativa aplicable desde el 25/05/2018, incluido el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados;

• El cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento establecidos en el artículo 5 del RGPD.

Durante el desarrollo de estas actuaciones previas de investigación se cursó un requerimiento de información a CaixaBank SA y se realizó visita de inspección tanto presencial, en las instalaciones de la entidad, como telemática, mediante acceso a la web de la entidad.

Inicio del procedimiento sancionador

Finalizadas las actuaciones previas, en enero del 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad CaixaBank SA por:

• La presunta infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) del citado Reglamento, determinando que la sanción que pudiera corresponder por esta infracción ascendería a 2M de euros, son perjuicio de lo que resulte de la instrucción.

• La presunta infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) del citado Reglamento, determinando que la sanción que pudiera corresponder por esta infracción ascendería a 4M de euros, son perjuicio de lo que resulte de la instrucción.

• La presunta infracción del artículo 22 del RGPD, tipificada en el artículo 83.5.b) del RGPD, determinando que la sanción que pudiera corresponder por esta infracción ascendería a 500.000 euros, son perjuicio de lo que resulte de la instrucción.

Resolución del procedimiento sancionador

La resolución sancionadora de la AEPD multa con 6M de euros a CaixaBank SA por infringir el RGPD.

Para mayor concreción, la resolución sancionadora impone a la entidad una primera multa de 4M de euros por infringir los artículos 13 y 14 del RGPD y una segunda multa de 2M de euros por infringir el artículo 6 del RGPD.

Además de imponer estas dos multas por importe total de 6M de euros,  la AEPD también requiere a la entidad para que en el plazo de 6 meses adecúe su política de privacidad a la normativa de protección de datos vigente.

Por último, conviene remarcar que la resolución sancionadora también declara la inexistencia de una infracción de lo establecido en el artículo 22 del RGPD (artículo dedicado a las decisiones individuales automatizadas, incluida la elaboración de perfiles). Y, es que según la AEPD:

«la instrucción del procedimiento no ha permitido constatar que CAIXABANK lleve a cabo tratamientos de datos como los regulados en este artículo 22 del RGPD, es decir, que adopte decisiones basada únicamente en el tratamiento automatizado y que produzcan efectos jurídicos en el interesado o le afecten significativamente de modo similar».

Fallo de la resolución:

“PRIMERO: IMPONER a la entidad CAIXABANK, S.A., con NIF A08663619, por una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa por importe de 2.000.000 euros (dos millones de euros).

SEGUNDO: IMPONER a la entidad CAIXABANK, S.A., por una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, una multa por importe de 4.000.000 euros (cuatro millones de euros).

TERCERO: DECLARAR la inexistencia de infracción en relación con la imputación a la entidad CAIXABANK, S.A. de una posible vulneración de lo establecido en el artículo 22 del RGPD.

CUARTO: REQUERIR a la entidad CAIXABANK, S.A., para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI. En el plazo indicado, CAIXABANK, S.A. deberá justificar ante esta Agencia Española de Protección de Datos la atención del presente requerimiento.”

Consulta el texto íntegro de la resolución: PS-00477-2019

Motivo de la sanción

Como resultado del procedimiento sancionador la AEPD ha impuesto dos multas, cuya suma asciende a 6M de euros, a la entidad CaixaBank SA por infringir el RGPD.

1a multa – Infracción de los artículos 13 y 14 del RGPD (2M de euros de multa):

• La información ofrecida en los distintos documentos y canales no es uniforme.

• Empleo de una terminología imprecisa para definir la política de privacidad.

• Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento.

• Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales basados en el interés legítimo.

• Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.

• La información facilitada sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es uniforme.

2a multa –  Infracción del artículo 6 del RGPD (4M de euros de multa):

• Insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo.

• Incumplimiento de los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada.

• Deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales.

• Cesión ilícita de datos personales a empresas del Grupo CaixaBank.

¿Cómo se pueden evitar este tipo de multas?

Para evitar este tipo de sanciones resulta imprescindible que:

• Se informe a los usuarios/clientes de forma clara y comprensible sobre el alcance, la finalidad, la base de legitimación para el tratamiento de sus datos personales y sus derechos como persona interesada. A modo de resumen, es imprescindible informar al usuario/cliente sobre: qué datos se van a recopilar, para qué finalidades, durante cuanto tiempo, si se van a ceder a terceros, si se producen transferencias internacionales, cuales son sus derechos como interesado y los mecanismos o forma para ejercerlos

• Permitir que los usuarios/clientes acepten o denieguen libremente y de forma sencilla el tratamiento de sus datos personales para la totalidad o parte de las finalidades perseguidas por la empresa. Por ejemplo, se debe permitir que el usuario acepte fácilmente el tratamiento de sus datos personales pero que a la vez deniegue o no autorice que dichos datos se utilicen para fines comerciales.

• Tener claras cuales son las condiciones y requisitos establecidos en el artículo 6 del RGPD para que el tratamiento de datos personales se considere lícito. Es decir, si el tratamiento de datos se basa en el consentimiento del interesado, si es necesario para la ejecución de un contrato en el que el interesado es parte o si es necesario para el cumplimiento de una obligación legal, entre otros.

Para saber mas sobre cómo debes solicitar el consentimiento de tus usuarios para el tratamiento de sus datos personales, te recomendamos que leas nuestra entrada sobre ¿Cómo debo configurar las cookies de mi web para no ser sancionado? en la que explicamos como debe solicitarse el consentimiento para que el interesado pueda prestarlo de forma libre e informada y como exponer la información por capas.

No olvides seguirnos en LinkedIn, Facebook o Twitter. para estar siempre al día sobre las últimas noticias relacionadas con la protección de datos personales.

Si necesitas asesoramiento en materia de protección de datos, desde Qualgest podemos ayudarte. Contacta con nosotros y te ofreceremos una solución a medida para que cumplas con todas las obligaciones exigidas en la normativa de protección de datos.

Entradas relacionadas: 

• ¿Pueden sancionarte por tener una web no segura?
• Sanción de 5 millones de euros a la entidad BBVA por infringir el RGPD
• ¿Cómo debo configurar las cookies de mi web para no ser sancionado?
• El Tribunal Supremo confirma la sanción de 40.000 euros impuesta por la AEPD a Mutua Madrileña