La Agencia Española de Proteccíón de Datos (AEPD) ha confirmado las multas de 4 y 2 millones de euros que le impuso a Caixabank en enero de 2021 por vulnerar el el Reglamento General de Protección de Datos (RGPD). La resolución tuvo su origen en una denuncia de un cliente del banco en 2018 y otra interpuesta por FACUA-Consumidores en Acción en 2019.
El organismo ha desestimado así el recurso de reposición que la entidad presentó contra la sanción. En una nueva resolución, de 144 páginas, la Agencia niega las alegaciones de Caixabank con las que pretendía conseguir la anulación de las dos sanciones.
La directora general de la AEPD, Mar España, indica en la resolución que “la recurrente basa su defensa en meras afirmaciones genéricas sobre el cumplimiento de la norma, sin oponer ni un solo argumento frente a lo expuesto en la resolución”.
En sus alegaciones, Caixabank aportaba una serie de encuestas para determinar el grado de comprensión que tenían los usuarios sobre su política de protección de datos. La AEPD, sin embargo, afirma que “todos los reproches que se describen en la resolución impugnada en relación con estas cuestiones pretenden salvarse por parte de CaixaBank en base a las encuestas e informes aportados con sus alegaciones a la propuesta de resolución, en los que se concluye, según esa entidad, que los clientes comprendían la información”.
“Pero de tales encuestas e informes”, continúa la resolución, “difícilmente puede extraerse las conclusiones que indica la entidad en su recurso”.
Así, el organismo señala que “en el presente recurso de reposición la recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada”, por lo que ha resuelto “desestimar el recurso de reposición interpuesto por Caixabank contra la resolución de esta Agencia”.
Hasta la fecha, las tres multas más altas impuestas por organismos a empresas denunciadas por FACUA son los 6,23 millones que aplicó la Junta de Andalucía a Movistar en 2016 por la subida de sus tarifas Fusión después de haber anunciado que mantendría los mismos precios “para siempre”, la resuelta por la AEPD a Caixabank y los 3,15 millones impuestos por el Gobierno andaluz a Unicaja por sus cláusulas suelo.
Infracción grave
La AEPD acordó la imposición de dos sanciones a Caixabank en enero de 2021 por varias vulneraciones del Reglamento General de Proteccón de Datos.
La primera, de 4 millones de euros, por “una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave” y la segunda, de 2 millones, por “una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve”.
En dicha resolución, de 177 páginas y en la que se analizaban, entre otras cuestiones, diferentes versiones del Contrato Marco de Caixabank que debían firmar los clientes de la entidad, la AEPD imponía estas sanciones al constatar que “ha quedado acreditado el incumplimiento del principio de trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del mismo Reglamento”.
Ilicitud del tratamiento
FACUA presentó una denuncia contra Caixabank ante la Agencia en marzo de 2019, en la que indicaba que el Contrato Marco incluía una serie de condiciones que podían vulnerar la normativa de protección de datos.
En concreto, la asociación consideraba que el texto de la entidad imponía a los consumidores el consentimiento al tratamiento de sus datos personales y la cesión de sus datos a terceras empresas con las que podrían no tener relación. Así, FACUA indicaba que, dado que este contrato era de adhesión -esto es, el usuario sólo puede adherirse a él pero no tiene capacidad de modificarlo-, esta imposición unilateral conllevaba la vulneración del tratamiento de los datos personales de los clientes del banco.
En este sentido, la asociación recogía en la denuncia que Caixabank vulneraba el artículo 6 del RGPD, que recoge las condiciones que se deben cumplir para considerar lícito el tratamiento de los datos personales de los usuarios.
