La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas a CaixaBank de cuatro y dos millones por una infracción muy grave y otra leve por el tratamiento ilícito de los datos de sus clientes. La Agencia ha desestimado una tercera sanción relacionada con el tratamiento automatizado de los perfiles de los clientes. Fuentes de CaixaBank aseguraron que no están de acuerdo con la sanción y que la recurrirán a las instancias que consideren oportunas.
Hace unas semanas la Agencia hizo pública la sanción al BBVA de cinco millones por enviar comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para determinar qué datos ceden ―o no― al banco.
El informe de la sanción es un prolijo documento de 177 folios en el que se incluyen los numerosos recursos interpuestos por CaixaBank a lo largo de este largo proceso. Todo se inició el 24 de enero de 2018, hace tres años, cuando un cliente envió un escrito a la Agencia denunciando a la entidad “por imponerle la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo”.
El cliente añadió que para cancelar dicha cesión era necesario “dirigir un escrito a cada una de las empresas”, lo que calificó de “desproporcionado considerando que la cesión se acepta en un solo acto”.
La Agencia realizó numerosas comprobaciones, según consta en el informe, y constató la gran cantidad de datos que se obtienen de los clientes. Entre ellos están los identificativos, fiscales y de contacto, datos socioeconómicos y de actividad laboral, datos sobre experiencia, situación financiera y objetivos de inversión, así como la recogida de autorizaciones para la utilización de los datos con finalidades comerciales.
“Se detecta”, dice la Agencia, “que aunque se haya seleccionado no recibir comunicaciones comerciales de forma genérica, al poder marcar uno de los medios, se acepta la recepción de comunicados por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente”.
Por este motivo, Protección de Datos considera que se vulneraron los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD). El primero hace referencia a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el 14 a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”.
La Agencia considera que la entidad dirigida por Gonzalo Gortázar utiliza “una terminología imprecisa para definir la política de privacidad, así como insuficiente información sobre la categoría de datos personales que se someterán a tratamiento”. Cree que ha habido “incumplimiento de la obligación de informar sobre la finalidad del tratamiento”, así como insuficiente información “sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar”.
Sin consentimiento válido
Pero la infracción muy grave ha sido la del artículo 6 del RGPD, que hace referencia a las condiciones que debe tener la información para que su tratamiento sea lícito. La Agencia asegura que “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido”, ya que debe haber “manifestación de voluntad específica, inequívoca e informada”.
También considera que hubo “deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales” a los que se le obligó a una “cesión ilícita de datos personales a empresas del Grupo CaixaBank”.
En el documento se recogen las numerosas alegaciones de CaixaBank, pero son desestimadas en su mayoría. También se dice que la entidad, “en enero de 2021, mejora la información y usabilidad, aportando ejemplos y haciendo que el proceso de autorizaciones se mantenga siempre en poder del cliente”. La Agencia no considera que eso le exime de responsabilidad, ya que “simplemente se han previsto en la entidad nuevos tratamientos que requieren consentimiento”.
El banco también dice que realizará un comunicado masivo a clientes informando de los cambios para dar a conocer todas las modificaciones anteriores, informando sobre la nueva Política de Privacidad.
Alegaciones sin pruebas
La Agencia considera que CaixaBank, “en sus alegaciones a la apertura del procedimiento, se limita calificar los argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que comprenden o no los clientes, añadiendo que se han realizado trabajos externos para verificar que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los cuales no aporta”. A juicio de la Agencia, la falta de claridad de aquellas fórmulas o expresiones es evidente y objetiva.
El importe de las sanciones va en relación con la gravedad de la infracción, así como al elevado volumen de datos afectados, ya que “las infracciones afectan a todos los tratamientos que realiza el banco”. También por el gran número de interesados: todos los clientes personas físicas de la entidad, 15,7 millones. Por eso, aunque una de las infracciones sea leve la multa es de dos millones. Para la grave son cuatro millones.