Seis millones de multa a CaixaBank por el tratamiento il¨ªcito de los datos de sus clientes
La Agencia de Protecci¨®n de Datos impone la sanci¨®n m¨¢s alta tras la denuncia de un cliente que tuvo que compartir su informaci¨®n con las empresas del grupo
La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha impuesto dos multas a CaixaBank de cuatro y dos millones por una infracci¨®n muy grave y otra leve por el tratamiento il¨ªcito de los datos de sus clientes. La Agencia ha desestimado una tercera sanci¨®n relacionada con el tratamiento automatizado de los perfiles de los clientes. Fuentes de CaixaBank aseguraron que no est¨¢n de acuerdo con la sanci¨®n y que la recurrir¨¢n a las instancias que consideren oportunas.
Hace unas semanas la Agencia hizo p¨²blica la sanci¨®n al BBVA de cinco millone...
La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha impuesto dos multas a CaixaBank de cuatro y dos millones por una infracci¨®n muy grave y otra leve por el tratamiento il¨ªcito de los datos de sus clientes. La Agencia ha desestimado una tercera sanci¨®n relacionada con el tratamiento automatizado de los perfiles de los clientes. Fuentes de CaixaBank aseguraron que no est¨¢n de acuerdo con la sanci¨®n y que la recurrir¨¢n a las instancias que consideren oportunas.
Hace unas semanas la Agencia hizo p¨²blica la sanci¨®n al BBVA de cinco millones por enviar comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar que datos ceden ¨Do no¨D al banco.
El informe de la sanci¨®n, al que ha tenido acceso EL PA?S, es un prolijo documento de 177 folios en el que se incluyen los numerosos recursos interpuestos por CaixaBank a lo largo de este largo proceso. Todo se inici¨® el 24 de enero de 2018, hace tres a?os, cuando un cliente envi¨® un escrito a la Agencia denunciando a la entidad ¡°por imponerle la obligaci¨®n de aceptar las nuevas condiciones en materia de protecci¨®n de datos personales, en concreto la relativa a la cesi¨®n de sus datos personales a todas las empresas del grupo¡±.
Otra denuncia de Facua
El cliente a?adi¨® que para cancelar dicha cesi¨®n era necesario ¡°dirigir un escrito a cada una de las empresas¡±, lo que calific¨® de ¡°desproporcionado considerando que la cesi¨®n se acepta en un solo acto¡±.
La Agencia realiz¨® numerosas comprobaciones, seg¨²n consta en el informe, y constat¨® la gran cantidad de datos que se obtienen de los clientes. Entre ellos est¨¢n los identificativos, fiscales y de contacto, datos socioecon¨®micos y de actividad laboral, datos sobre experiencia, situaci¨®n financiera y objetivos de inversi¨®n, as¨ª como la recogida de autorizaciones para la utilizaci¨®n de los datos con finalidades comerciales.
Antes de concluir el informe, el 29 de marzo de 2019, ¡°tuvo entrada en esta Agencia un escrito de la asociaci¨®n Facua-Consumidores en Acci¨®n, en el que formula reclamaci¨®n contra CaixaBank en relaci¨®n con el Contrato marco que suscriben los clientes de esta entidad, mediante el que se recogen sus datos personales¡±.
En concreto, Facua denuncia que se trata de un contrato de adhesi¨®n, ¡°cuyo contenido no puede negociarse por el consumidor, al que se impone el consentimiento al tratamiento de sus datos personales y la cesi¨®n de los mismos a terceras empresas con las que aquel podr¨ªa no tener relaci¨®n¡±.
Imposibilidad de no recibir comunicaciones
¡°Se detecta¡±, dice la Agencia, ¡°que aunque se haya seleccionado no recibir comunicaciones comerciales de forma gen¨¦rica, al poder marcar uno de los medios, se acepta la recepci¨®n de comunicados por esa v¨ªa y queda reflejado el otorgamiento en el documento que firma el cliente¡±.
Por este motivo, Protecci¨®n de Datos considera que se vulneraron los art¨ªculos 13 y 14 del Reglamento General de Protecci¨®n de Datos (RGPD). El primero hace referencia a la ¡°informaci¨®n que deber¨¢ facilitarse cuando los datos personales se obtengan del interesado¡± y el 14 a la ¡°informaci¨®n que deber¨¢ facilitarse cuando los datos personales no se hayan obtenido del interesado¡±.
La Agencia considera que la entidad dirigida por Gonzalo Gort¨¢zar utiliza ¡°una terminolog¨ªa imprecisa para definir la pol¨ªtica de privacidad, as¨ª como insuficiente informaci¨®n sobre la categor¨ªa de datos personales que se someter¨¢n a tratamiento¡±. Cree que ha habido ¡°incumplimiento de la obligaci¨®n de informar sobre la finalidad del tratamiento¡±, as¨ª como insuficiente informaci¨®n ¡°sobre el tipo de perfiles que se van a realizar, los usos espec¨ªficos a que se van a destinar¡±.
Sin consentimiento v¨¢lido
Pero la infracci¨®n muy grave ha sido la del art¨ªculo 6 del RGPD, que hace referencia a las condiciones que debe tener la informaci¨®n para que su tratamiento sea l¨ªcito. La Agencia asegura que ¡°se han incumplido los requisitos establecidos para la prestaci¨®n de un consentimiento v¨¢lido¡±, ya que debe haber ¡°manifestaci¨®n de voluntad espec¨ªfica, inequ¨ªvoca e informada¡±.
Tambi¨¦n considera que hubo ¡°deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales¡± a los que se le oblig¨® a una ¡°cesi¨®n il¨ªcita de datos personales a empresas del Grupo CaixaBank¡±.
En el documento se recogen las numerosas alegaciones de CaixaBank, pero son desestimadas en su mayor¨ªa. Tambi¨¦n se dice que la entidad, ¡°en enero de 2021, mejora la informaci¨®n y usabilidad, aportando ejemplos y haciendo que el proceso de autorizaciones se mantenga siempre en poder del cliente¡±. La Agencia no considera que eso le exime de responsabilidad, ya que ¡°simplemente se han previsto en la entidad nuevos tratamientos que requieren consentimiento¡±.
El banco tambi¨¦n dice que realizar¨¢ un comunicado masivo a clientes informando de los cambios para dar a conocer todas las modificaciones anteriores, informando sobre la nueva Pol¨ªtica de Privacidad.
Alegaciones sin pruebas
La Agencia considera que CaixaBank, ¡°en sus alegaciones a la apertura del procedimiento, se limita calificar los argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que comprenden o no los clientes, a?adiendo que se han realizado trabajos externos para verificar que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los cuales no aporta¡±. A juicio de la Agencia, la falta de claridad de aquellas f¨®rmulas o expresiones es evidente y objetiva.
El importe de las sanciones va en relaci¨®n con la gravedad de la infracci¨®n, as¨ª como al elevado volumen de datos afectados, ya que ¡°las infracciones afectan a todos los tratamientos que realiza el banco¡±. Tambi¨¦n por el gran n¨²mero de interesados: todos los clientes personas f¨ªsicas de la entidad, 15,7 millones. Por eso, aunque una de las infracciones es leve la multa es de dos millones. Para la grave son cuatro millones.