La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción millonaria a CaixaBank de 4 y 2 millones de euros por el Reglamento General de Protección de Datos (RGPD). La resolución ha tenido su origen en una denuncia de un cliente del banco en 2018 y otra interpuesta por FACUA-Consumidores en Acción en 2019, respectivamente.
Según indica la asociación de consumidores, hasta la fecha, las tres multas más altas impuestas por organismos a empresas denunciadas por FACUA son los 6,23 millones que aplicó la Junta de Andalucía a Movistar en 2016 por la subida de sus tarifas Fusión después de haber anunciado que mantendría los mismos precios “para siempre”, la resuelta ahora por la AEPD a Caixabank y los 3,15 millones impuestos por el Gobierno andaluz a Unicaja por sus cláusulas suelo.
En la resolución, la AEPD requiere a la entidad CaixaBank para que, “en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI”.
Caixabank todavía puede interponer un recurso de reposición ante la directora de la Agencia Española de Protección de Datos o presentar directamente un recurso contencioso-administrativo ante la sala de lo contencioso-administrativo de la Audiencia Nacional.
El origen de la sanción
FACUA presentó una denuncia contra Caixabank ante la Agencia en marzo de 2019, en la que indicaba que el Contrato Marco incluía una serie de condiciones que podían vulnerar la normativa de protección de datos.
En concreto, la asociación consideraba que el texto de la entidad imponía a los consumidores el consentimiento al tratamiento de sus datos personales y la cesión de sus datos a terceras empresas con las que podrían no tener relación.
Así, FACUA indicaba que, dado que este contrato era de adhesión -esto es, sin capacidad de que el usuario lo modifique-, esta imposición unilateral conllevaba la vulneración del tratamiento de los datos personales de los clientes del banco.
En este sentido, la asociación recogía en la denuncia que Caixabank vulneraba el artículo 6 del RGPD, que recoge las condiciones que se deben cumplir para considerar lícito el tratamiento de los datos personales de los usuarios.
Comentarios recientes