La AEPD ha impuesto un total de 6 millones de euros de multa a CAIXABANK por varias infracciones del RGPD.
A finales del mes pasado, la AEPD y el CEPD informaban de una multa impuesta a CAIXABANK por diversas infracciones del RGPD. Se determinó que la compañía trataba datos de clientes de manera ilegítima y no ofrecía la información pertinente al respecto. Los importes de la sanción son de cuatro y dos millones de euros respectivamente, convirtiéndose así en la mayor cantidad total de multa impuesta por la AEPD hasta la fecha.
Una de las multas que conforman el total es de cuatro millones de euros por infracción del Artículo 6 del RGPD.
CAIXABANK habría infringido el Artículo 6 del RGPD al no contar con ningún mecanismo para recoger el consentimiento de los sujetos. Como resultado, el consentimiento otorgado por los mismos no cumplía con todos los elementos requeridos para considerarlo válido. La AEPD consideró que el interés legítimo de la compañía no justificaba de manera suficiente las actividades de tratamiento de la empresa, y tampoco lo hacía la relación entre la actividad de ésta y el tratamiento de datos personales. En consecuencia de esta brecha, la AEPD impuso una multa administrativa de cuatro millones de euros, en conformidad con el Artículo 83 (5) a RGPD.
La otra de las multas impuestas a CAIXABANK es de dos millones de euros por infracción de los Artículos 13 y 14 del RGPD.
Se descubrió asimismo que CAIXABANK no estaba proporcionando información clave en cumplimiento de los Artículos 13 y 14 del RGPD, pues no se indicaban las categorías de datos que se trataban, ni las finalidades del tratamiento. Además, el documento no especificaba las bases legitimadoras para el tratamiento en relación al interés legítimo de la empresa. Así, la AEPD concluyó que la empresa había infringido tales artículos del RGPD, lo que motivó la multa de dos millones de euros conforme al Artículo 83 (5) b.
La AEPD basó su decisión de multa en varios factores.
En su decisión sobre la multa más apropiada para las diversas infracciones del RGPD, la AEPD tomó en consideración ciertos factores agravantes. En general, la AEPD tuvo en cuenta la naturaleza, gravedad y duración de las infracciones, así como el carácter negligente de las mismas. El hecho de que la empresa sea una gran compañía y su ratio de beneficio también jugaron un papel esencial en la determinación de la cantidad final. La AEPD observó la relación entre la actividad de CAIXABANK y el tratamiento de datos personales, y también los beneficios obtenidos con las infracciones y las categorías de datos afectadas. Además, la AEPD valoró el grado de responsabilidad del responsable, en observación de las medidas técnicas y organizativas implementadas conforme a los Artículos 25 y 32 del RGPD.
CAIXABANK deberá adaptar sus operaciones en cumplimiento de la normativa en seis meses.
Junto a las multas administrativas impuestas por la AEPD, la empresa ha sido requerida a poner en orden todas sus actividades de tratamiento conforme a los Artículos 6, 13 y 14 del RGPD, dentro de los próximos seis meses. Esto implicará implantar un mecanismo apropiado para recoger el consentimiento válido de los clientes y asegurar que sólo se trate la información personal que sea necesaria y legalmente justificada según el interés legítimo de la empresa. Además, CAIXABANK tendrá que confirmar que esta información, así como las finalidades del tratamiento, se detallan adecuadamente en el documento correspondiente.