La Agencia Española de Protección de Datos (AEPD) ha impuesto dos sanciones a CaixaBank que suman seis millones€ por una infracción muy grave del artículo 6 del Reglamento General de Protección de Datos (multa de 4 millones) y una leve de los artículos 13 y 14 de éste (2 millones).

El organismo justifica la elevada cuantía de las sanciones por el número de interesados, que son los 15,7 millones de clientes de CaixaBank.

En una resolución de 177 páginas, en la que desestima las alegaciones de CaixaBank, la Agencia estima que ha habido un «incumplimiento de la obligación de informar sobre la finalidad del tratamiento» al usar una terminología imprecisa para definir la política de privacidad de sus clientes por parte del banco.

CaixaBank recurrirá la sanción ya que su actuación es «adecuada y conforme a las exigencias de la legislación española».

La primera denuncia contra CaixaBank fue realizada en enero de 2018 por un cliente de la entidad que aseguró que se le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo en las condiciones en materia de protección de datos y que, además, debía dirigirse a cada sociedad en particular para cancelar la cesión, algo que consideraba «desproporcionado».

En el transcurso de la investigación, la Agencia pudo constatar que la entidad obtenía datos identificativos, de actividad laboral, sobre la situación financiera o fiscales y de contacto. Y determina que ha incumplido «los requisitos establecidos para la prestación de un consentimiento válido», que exige que el cliente manifieste una voluntad específica, inequívoca e informada. También considera que CaixaBank obligó a sus clientes a una «cesión ilícita» de los datos personales a otras empresas del mismo grupo, lo que pone de manifiesto las deficiencias en el proceso de obtención del consentimiento de los usuarios.

La Agencia de Protección de Datos reconoce que CaixaBank mejoró el proceso y permitió que el cliente siempre tenga el poder de las autorizaciones, pero cree que no disminuye por ello la gravedad de la infracción.

En marzo de 2019, la Agencia recibió una denuncia de FACUA-Consumidores en Acción, en la que se advertía de que el Contrato Marco que firmaban los clientes con CaixaBank y en el que se recogían los datos personales «no puede negociarse» e imponía el consentimiento del tratamiento de estos datos y la cesión a terceras empresas con las que el usuario podría no tener relación.

La Agencia detectó que, a pesar de que los clientes seleccionaran no recibir comunicaciones comerciales de forma genérica, si se aceptaba la recepción de información por un medio, quedaba reflejado en el documento firmado.

CaixaBank usaba una terminología imprecisa y no ofrecía la suficiente información a los clientes, por lo que ha habido un «incumplimiento de la obligación de informar sobre la finalidad del tratamiento», según la Agencia de Protección de Datos.