Antecedentes
El procedimiento viene motivado por la denuncia de un reclamante que entiende que CaixaBank le impone la obligación de aceptar sus nuevas condiciones en materia de tratamiento de datos personales y que, en concreto, recogen la cesión de sus datos personales a todas las empresas del grupo CaixaBank. También manifiesta en la denuncia que, en caso de querer cancelar dicha cesión, tendría que escribir a cada una de las empresas del grupo, lo que interpreta que es desproporcionado, dado que la cesión la acepta en un solo acto.
Adicionalmente, FACUA denuncia con posterioridad que el contrato marco de CaixaBank que suscriben los clientes y que desde el que recaban consentimientos de los mismos es, en realidad, un contrato de adhesión no negociable por el titular del dato y a cuyo consentimiento no puede negarse dicho titular, incluido el consentimiento para las cesiones de datos.
Infracciones contempladas
Dados esos antecedentes y tras el estudio de las denuncias, las infracciones contempladas en el procedimiento sancionador por la Agencia Española de Protección de Datos son las siguientes:
Posible infracción de los artículo 13 y 14 del RGPD.
Dichos artículos regulan la información que debe facilitarse al titular de los datos de carácter personal.
Según la Agencia de Protección de Datos los motivos del incumplimiento de CaixaBank de dichos artículos serían los siguientes:
- La información ofrecida en los distintos documentos y canales no es uniforme.
- El empleo de una terminología imprecisa para definir la política de privacidad.
- Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento.
- Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales basados en el interés legítimo.
- Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.
- La información facilitada sobre el ejercicio de derechos, la posibilidad de reclamar ante la Agencia Española de Protección de Datos, la existencia de un Delegado de Protección de Datos y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es uniforme.
Posible infracción del artículo 6 del RGPD.
El artículo 6 regula las condiciones que deben darse para que el tratamiento de los datos de carácter personal sea lícito en virtud de la base legal que aplique a dicho tratamiento, pudiendo ser dichas base legales alguna de las siguientes: consentimiento, ejecución de contrato, obligación legal, protección de intereses vitales, interés público o interés legítimo.
Pues bien, la Agencia de Protección de Datos valora la infracción de dicho artículo 6 por los siguientes motivos:
- Insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo.
- Incumplimiento de los requisitos establecidos para la prestación de un consentimiento válido, en tanto que requieren la manifestación de voluntad específica, inequívoca e informada.
- Deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales.
- Cesión ilícita de datos personales a empresas del grupo CaixaBank.
Artículo 22 del RGPD:
Este artículo regula cómo debe producirse el tratamiento cuando se llevan a cabo decisiones automatizadas con los datos personales, incluida la elaboración de perfiles.
La Agencia de Protección de Datos valora la posible infracción de dicho artículo por la siguiente razón:
- Invalidez del consentimiento prestado por los clientes para los tratamientos de datos regulados en este artículo.
Resultado de la resolución
Finalmente la sanción impuesta a CaixaBank ha sido por infracción de los artículos 13, 14 y 6 del RGPD, descartando la infracción del artículo 22. Y la multa ha quedado repartida de la siguiente manera:
- 2 millones de euros por infracción de los artículos 13 y 14 del RGPD.
- 4 millones de euros por infracción del artículo 6 del RGPD.
Asimismo, se requiere a CaixaBank para que, en un plazo de 6 meses, se adecúe a la normativa de protección de datos las operaciones de tratamiento que realiza, la información que ofrece a los clientes y el procedimiento por el que recaba el consentimiento de sus clientes,
Contra la resolución cabe recurso de reposición ante la propia Agencia Española de Protección de datos o recurso contencioso administrativo ante la Audiencia Nacional.
