Si hace unas semanas la AEPD publicó la sanción al BBVA de cinco millones de euros por enviar comunicaciones comerciales sin consentimiento expreso y la imposibilidad de los clientes de seleccionar y acceder a una plataforma para concretar que datos ceden al banco, ahora le ha tocado a CAIXABANK con dos multas de cuatro y dos millones por una infracción muy grave y otra leve por el tratamiento ilícito de los datos de sus clientes.
En un informe de 177 folios (ver resolución) la AEPD indica que se vulneraron los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD). El primero hace referencia a la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el 14 a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado. La infracción muy grave ha sido la del artículo 6 del RGPD, que hace referencia a las condiciones que debe tener la información para que su tratamiento sea lícito.
Tal como se establece en la legislación vigente, el importe de las sanciones se pondera en relación con la gravedad de la infracción, así como al elevado volumen de datos afectados, ya que “las infracciones afectan a todos los tratamientos que realiza CAIXABANK”. Ese es el motivo que justifica que, aunque una de las infracciones es leve la multa es de dos millones de euros y para la grave sea de cuatro millones de euros.