Comenzamos el 2021 con una sanción histórica, la Agencia Española de Protección de Datos, ha impuesto a las entidades BBVA y Caixa Bank multas millonarias por valores de cinco millones de euros a la primera y seis millones de euros a la segunda.

Un total de 11 millones de euros, que pasa a batir el récord histórico de sanciones interpuestas por la AEPD.

La legitimidad del tratamiento de datos personales y la información proporcionada.

 En el caso de BBVA la resolución se basa en la infracción cometida por la entidad al infringir el artículo 6 del Reglamento General de la Ley de Protección de Datos, referido a la licitud del tratamiento de los datos personales de los clientes por parte de las empresas y por otra parte por la infracción cometida en base al tipo de información proporcionada a los clientes sobre la obtención de sus datos personales. Imponiéndoles una sanción por valor de 3 millones de euros por el tratamiento de los datos personales de sus clientes y de otros 2 millones de euros en base a la obtención de los datos personales de éstos.

El formulario contenido en la web de BBVA llamado “Declaración de Actividad Económica y Política de Datos Personales”, no ofrecía al usuario la posibilidad de aceptar de manera explícita el envío de comunicaciones comerciales, sino que era el mismo usuario el que debía seleccionar los canales a través de los cuales no quería que la entidad le enviase información acerca de productos y servicios de BBVA (información a través de email, SMS, llamada telefónica y por correo postal) al encontrarse dichas casillas previamente marcadas.

La Agencia Española de Protección de Datos, en su informe sobre Políticas de Privacidad en Internet, indica expresamente que la solicitud del consentimiento no podrá basarse ni en el silencio (consentimiento táctico), ni en casillas premarcadas, basándose en un claro acto afirmativo, debiendo facilitar al interesado una casilla en blanco o similares, en el que se recomiende leer y comprender la política de privacidad. Por tanto, la única base legítima para el envío de información comercial sería el consentimiento expreso del usuario, realizándose aquí de manera tácita mediante casillas premarcadas, sin siquiera facilitar al usuario una casilla en la que se recomendase leer y comprender las políticas de privacidad.

La información facilitada a la hora de obtener datos personales.

En cuanto a Caixa Bank la sanción se eleva a dos millones de euros por la infracción de los artículos 13 y 14 del RGPD en cuanto a la información que deberá facilitarse cuando los datos personales se obtengan del interesado, y cuando no hayan sido obtenidos del interesado.  Se impone además una sanción por infracción del artículo 6 del RGPD calificada como muy grave y con una multa por valor de cuatro millones de euros, por la licitud del tratamiento de los datos personales.  Además, es requerida la entidad para que en el plazo de seis meses adecúe sus políticas a la normativa de protección de datos.

Un cliente de la entidad denunció en 2018 que le obligaban a ceder sus datos personales a todas las empresas que formaban parte del grupo en las condiciones en materia de protección de datos, y para cancelar la cesión en cuestión, debía dirigirse de manera particular a cada sociedad individualmente, considerándolo un hecho totalmente desproporcionado, comenzando así la investigación contra Caixa Bank. Durante la investigación, la Agencia Española de Protección de Datos, comprobó que la entidad obtenía de sus clientes datos identificativos, de su actividad laboral, situación financiera y contacto entre muchos otros, cediéndolos al resto de empresas del grupo.

Además de todo ello, y al igual que en el caso de BBVA también incumple con los requisitos establecidos en cuanto a la prestación del consentimiento válido por parte de sus clientes, obligándoles a una cesión lícita al resto de empresas poniendo de manifiesto las imperfecciones en el proceso de obtención legítimo del consentimiento de los usuarios.

En Foorma somos una empresa con más de veinte años de experiencia en el sector y contamos con profesionales altamente cualificados en la adecuación de las empresas al Reglamento General de Protección de Datos.

No dude en ponerse en contacto con nosotros a la hora de adecuar su empresa a la nueva normativa de protección de datos, puede hacerlo a través del teléfono 955 546 531 o a través del formulario de nuestra página web. Estaremos encantados de atenderle.