Multas millonarias a entidades bancarias por tratamiento ilícito de datos personales

La Agencia Española de Protección de Datos (AEPD) muestra su cara más estricta ante el sector bancario. Varias entidades bancarias han sido sancionadas con multas millonarias por haber infringido la normativa de protección de datos personales. Te damos toda la información en este post de Conversia.

conversia-multas-entidades-bancarias-aepd

6 millones de multa a CaixaBank

CaixaBank es una de las entidades bancarias que ha recibido la sanción. Concretamente, la AEPD le ha impuesto dos multas de cuatro y dos millones, respectivamente, por una infracción muy grave y otra leve relacionadas con el tratamiento ilícito de los datos personales de sus clientes.   

Tal y como se explica en la resolución del procedimiento sancionador  emitido por la Agencia, todo empezó en enero de 2018, cuando un cliente denunció a CaixaBank ante la AEPD “por imponerle la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo”. Además, el cliente señalaba que para poder cancelar la cesión de los datos debía “dirigir un escrito a cada una de las empresas”, lo que calificó de “desproporcionado considerando que la cesión se acepta en un solo acto”.

Ante esta denuncia, la Agencia inició una investigación a través de la cual comprobó que la entidad bancaria obtenía una gran cantidad de datos de sus clientes (identificativos, fiscales, de contacto, socioeconómicos, laborales, financieros…), además de recoger una autorización para poder utilizar todos estos datos con finalidades comerciales.

Antes de concluir la investigación, en marzo de 2019, la Agencia recibió otra denuncia contra CaixaBank, esta vez procedente de la asociación Facua-Consumidores en Acción. En este caso, la organización denunciaba que el contrato que firman los clientes con la entidad es de adhesión ya que su “contenido no puede negociarse por el consumidor, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquel podría no tener relación”.

La sanción más elevada impuesta por la AEPD

La infracción muy grave, que le ha costado a CaixBank una multa de 4 millones de euros, ha sido por infringir el artículo 6 del Reglamento General de Protección de Datos (RGPD), referente a las condiciones que debe tener la información para que su tratamiento sea lícito. La AEPD sostiene que “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido”, ya que debe haber “manifestación de voluntad específica, inequívoca e informada”.

Asimismo, asegura que se produjeron “deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales” a los que se le obligó a una “cesión ilícita de datos personales a empresas del Grupo CaixaBank”. “Aunque se haya seleccionado no recibir comunicaciones comerciales de forma genérica, al poder marcar uno de los medios, se acepta la recepción de comunicados por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente”, explica el documento. En este sentido, la Agencia considera que se vulneraron los artículos 13 y 14 del RGPD, en relación a los datos personales obtenidos por el interesado.

En el documento se recogen un gran número de alegaciones presentadas por CaixaBank, la gran mayoría de las cuales han sido desestimadas por la autoridad de control. Sin embargo, la entidad bancaria ya ha manifestado su desacuerdo con la sanción y ha anunciado que la recurrirá.

5 millones de multa a BBVA

BBVA es otra de las entidades sancionadas por un importe total de 5 millones de euros por incumplimiento de la ley de protección de datos. Cinco reclamaciones de usuarios distintos que recibieron llamadas telefónicas por parte del BBVA, pese a que habían denegado la cesión de sus datos con fines publicitarios, fueron el motivo que llevó a la AEPD a iniciar una investigación a la entidad bancaria

En este caso también se impusieron dos multas, una muy grave (3 millones de euros) y una leve (2 millones de euros). Como en el caso de CaixaBank, la multa muy grave sería por infracción del artículo 6 del RGPD, mientras que la leve sería por infracción de los artículos 13 y 14. El banco considera que su actuación “ha sido correcta” y ya ha anunciado que presentará un recurso ante la Audiencia Nacional.

Si quieres conocer más noticias sobre sanciones en materia de protección de datos, sigue leyendo este blog de Conversia.