Caixabank ha recibido una multa histórica por parte de La Agencia Española de Protección de Datos. La entidad vulneró tres de los artículos de la actual normativa, incluyendo una calificada como muy grave.
La entidad Caixabank tendrá que hacer frente a una multa de 6 millones de euros por haber vulnerado tres normativas de la GDPR. La agencia impone una multa de 2 millones, considerada leve, por incumplir la normativa del artículo 13 y 14., mientras que los 4 millones restantes vienen a raíz de saltarse el artículo 6, una infracción calificada como muy grave por el reglamento.
Todo se remonta en 2018, tras realizar una investigación por una denuncia de un particular y una posterior en 2019 llevado por la FACUA (Asociación de Consumidores) contra el ‘Contrato Marco’ de privacidad que deben suscribir todos los clientes de dicho banco. El ‘Contrato Marco’ no es más que un acuerdo entre uno o varios compradores o proveedores, que establecen como regirán los contratos, en un cierto periodo de tiempo. El documento de la sentencia consta de 177 páginas y detalla cómo la entidad Caixabank infringió los artículos y no ha corregido lo que se le ha pedido por la institución.
Entre los fallos que menciona la GDPR, referente a los 2 primeros puntos, encontramos que la información ofrecida en los distintos documentos o canales nos son uniformes. Se emplea una terminología imprecisa para definir la política de privacidad, también nos encontramos con una falta de información sobre la categoría de datos personales.
En cuanto al punto 6, la Agencia Española de Protección de Datos afirma que La Caixa no da una buena justificación de la base jurídica del tratamiento de datos personales, incumple los requisitos establecidos para la prestación de un servicio válido. También habla de algunas deficiencias en los procesos habilitados para obtener el consentimiento de sus clientes y el procedimiento por el cual pasan para prestar su consentimiento para la recogida y tratamiento de sus datos personales.
Además de la sanción impuesta, la AEPD obliga a la entidad que en el plazo de seis meses adecue la normativa de protección de datos personales, las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
Según la agencia, Caixabank no ha tenido una actitud muy colaborativa por su parte y las correcciones que se han efectuado por la compañía no han sido realmente una verdadera regularización de la situación irregular de la que hemos podido comprobar en el procedimiento sancionador.