Seis millones de euros, el equivalente a 1.000 millones de las antiguas pesetas, es la cantidad que CaixaBank tendrá que pagar en concepto de multa por dos infracciones sobre el tratamiento ilícito de los datos de sus clientes. Las sanciones, impuesta por la Agencia Española de Protección de Datos (AEPD) constan de cuatro millones por una infracción muy grave y otra de dos por otra leve.
El completo informe de la AEPD, de 177 páginas, que puede descargarse aquí, narra cómo todo comenzó hace tres años, el 24 de enero de 2018, por la denuncia de un cliente que mandó un escrito a la entidad “por imponerle la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo”. Así, tal y como recoge El País, para que el banco no usara los datos había que “dirigir un escrito a cada una de las empresas”, algo que la AEPD califica de “desproporcionado considerando que la cesión se acepta en un solo acto”.
Todos estos datos obtiene Caixabank de los clientes
La agencia constató todos los datos que el banco obtiene de los clientes, entre los que se encuentran "los identificativos, fiscales y de contacto, datos socioeconómicos y de actividad laboral, datos sobre experiencia, situación financiera y objetivos de inversión, así como la recogida de autorizaciones para la utilización de los datos con finalidades comerciales". A finales de marzo de 2019, la AEPD registró un escrito de la asociación Facua-Consumidores en Acción que en el que reclamaba contra CaixaBank "en relación con el Contrato marco que suscriben los clientes de esta entidad, mediante el que se recogen sus datos personales”. Facua afirmó que es un contrato de adhesión, “cuyo contenido no puede negociarse por el consumidor, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquel podría no tener relación”.
La AEPD destaca que “que aunque se haya seleccionado no recibir comunicaciones comerciales de forma genérica, al poder marcar uno de los medios, se acepta la recepción de comunicados por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente”, por lo que "considera que se vulneraron los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD)". El primero hace referencia a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el 14 a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”.
A juicio de la AEPD, Caixabank utiliza “una terminología imprecisa para definir la política de privacidad, así como insuficiente información sobre la categoría de datos personales que se someterán a tratamiento”. Cree que ha habido “incumplimiento de la obligación de informar sobre la finalidad del tratamiento”, así como insuficiente información “sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar”.
Según publica Xataka, un mes después de sancionar al BBVA, la AEPD multa a Caixabank con varias sanciones relacionadas con el uso indebido de los datos tras sanciones como la de 600.000 euros a WhatsApp o los 1,2 millones de euros a Facebook en 2017, Ahora, la agencia ha dado un paso más y ha multado a dos de los mayores bancos de España.
"Multa histórica", así lo califica El Confidencial, en un artículo en el que también se hace eco de las sanciones a Caixabank.
Sin consentimiento
La infracción considerada como muy grave es la del del artículo 6 del Reglamento General de Protección de Datos (RGPD), que dicta las condiciones de la información para que su tratamiento sea lícito. La AEPD afirma que “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido”, porque debe haber “manifestación de voluntad específica, inequívoca e informada”. No sólo eso, además asegura que hubo “deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales” a los que se le obligó a una “cesión ilícita de datos personales a empresas del Grupo CaixaBank”.
La mayoría de las alegaciones que presentó el banco para defenderse fueron desestimadas y si bien, la entidad, “en enero de 2021, mejora la información y usabilidad, aportando ejemplos y haciendo que el proceso de autorizaciones se mantenga siempre en poder del cliente”, no se estima que eso le exima de responsabilidad, ya que “simplemente se han previsto en la entidad nuevos tratamientos que requieren consentimiento”. El banco también afirma que divulgará un comunicado masivo a los clientes "informando de los cambios para dar a conocer todas las modificaciones anteriores, informando sobre la nueva Política de Privacidad".
Sin embargo, la AEPD asegura que CaixaBank, “en sus alegaciones a la apertura del procedimiento, se limita calificar los argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que comprenden o no los clientes, añadiendo que se han realizado trabajos externos para verificar que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los cuales no aporta”.
