Protección de Datos multa a CaixaBank con tres millones por sus perfiles de clientes

Tras las sanciones de 6 millones recibidas este año, la entidad financiera vuelve a ser multada por la AEPD por realizar perfiles de clientes de manera irregular compartiendo datos entre empresas del grupo.

Logo de Caixabank en la torre de sus oficinas centrales de Barcelona.

Logo de Caixabank en la torre de sus oficinas centrales de Barcelona. / REUTERS/Albert Gea

4
Se lee en minutos

La Agencia Española de Protección de Datos (AEPD) ha impuesto una nueva multa millonaria a CaixaBank por el tratamiento que hace de los datos de sus clientes. La agencia ya castigó a la entidad financiera con dos sanciones con un importe conjunto de 6 millones de euros el pasado enero, y ahora suma una nueva multa de 3 millones de euros a CaixaBank Payments & Consumer, la filial de medios de pago y créditos al consumo del grupo.

La AEPD considera que la filial de CaixaBank ha cometido una infracción muy grave por los procesos que utiliza para recabar de sus clientes el consentimiento para elaborar perfiles con fines comerciales y que pueden acabar compartiendo todas las filiales del grupo, y da a la compañía seis meses para adaptarlos a los criterios exigidos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea, según se recoge en una larga resolución de 133 páginas a las que ha tenido acceso EL PERIÓDICO DE ESPAÑA.

CaixaBank confirma su intención de recurrir la resolución, como ya lo hizo con las sanciones impuestas a principios de año. “Nuestra actuación en materia de protección de datos personales es adecuada y conforme a las exigencias de la legislación española”, explican fuentes del grupo a este diario. “En materia de protección de datos, la interpretación de la normativa europea y española por parte de la AEPD ha sufrido cambios muy significativos en los últimos años y ello ha provocado que las empresas hayan tenido que ir adaptando su política de protección de datos y su reflejo contractual, amparados en la normativa vigente en cada momento y la interpretación que de ella ha ido emanando de los reguladores”.

La Agencia considera que el consentimiento que pide a sus clientes CaixaBank para el tratamiento de sus datos no es específico para el uso que se le pretende dar y porque se solicita para que todas las filiales del grupo puedan compartirlos; y que ese consentimiento tampoco está debidamente informado, al no especificar por ejemplo que la entidad realizará consultas a registros de solvencia o la Central de Información de Riesgos del Banco de España para acabar ofreciéndole productos comerciales. Por ello, la AEPD considera que el permiso concedido por los clientes directamente no es válido y por tanto el tratamiento de los datos es ilícito.

Las quejas de la entidad

La investigación contra la entidad arrancó tras la denuncia en 2018 de un particular que fue informado de que CaixaBank había solicitado información sobre él a un fichero de solvencia sin tener ningún contrato vigente con la entidad y cuando se le incluyó en una campaña comercial para ofrecerle un crédito preconcedido. En un primer momento, la denuncia no se admitió a trámite porque la compañía alegó que se trataba de un "error humano y puntual", pero ocho meses después se reabrió el expediente que ha derivado en esta multa de 3 millones de euros.

Durante la investigación de la AEPD, CaixaBank planteó, entre otras alegaciones, que el expediente acabó reactivándose debido a la información recabada en otro procedimiento contra el grupo, el que acabó con las multas por 6 millones el pasado enero. Por ello, la entidad se quejó de que podría tratarse de un caso de duplicidad de multas por los mismos hechos, ya que en ambos casos se investigaba la misma conducta (la falta de consentimiento legal para realizar perfiles de clientes).

Noticias relacionadas

En paralelo, CaixaBank llegó también a esgrimir que se había vulnerado el principio de presunción de inocencia durante el procedimiento, denunciando que la propia presidenta de la AEPD, Mar España Martí, anticipó en varias entrevistas con medios de comunicación y en actos públicos que la Agencia se disponía a imponer multas cuantiosas a entidades del sector financiero y que tendrían una "gran repercusión mediática" cuando se estaba activando el expediente contra el grupo. CaixaBank criticó durante la investigación que la Agencia ya diera por hecho el resultado de una investigación en marcha y denunció que lo que buscaban éste y otros expedientes contra grandes empresas era simplemente obtener esa precisamente repercusión mediática indicada por la presidenta del organismo.

En los últimos meses, la AEPD ha disparado la cuantía de las sanciones impuestas por vulneración de la normativa de protección de datos y acumula multas millonarias a grandes compañías que operan en el mercado español. Además de las sanciones por un total de 9 millones a CaixaBank, la operadora de telecomunicaciones Vodafone ha sido multada con una sanción récord de 8,1 millones -de momento la más alta aprobada por el organismo-, BBVA ha recibido una sanción de 5 millones o la eléctrica EDP también fue castigada con otros 3 millones.