La AEPD archiva el recurso de CaixaBank y mantiene la histórica multa de 6 millones de euros que le impuso por vulnerar el RGPD

A principios de año se hizo efectiva un cambio de estrategia en la Agencia Española de Protección de Datos. Sigue siendo uno de los organismos de control que más sanciones imponen de toda Europa, pero la cuantía de las mismas son sensiblemente inferiores a las de sus homólogas.

Sin embargo, entre finales de diciembre y principios de enero se registraron dos históricas sanciones a dos grandes entidades bancarias españolas. 5 millones a BBVA primero, 6 millones a CaixaBank después. Luego, ya en marzo, llegaría un nuevo récord: 8 millones a Vodafone, también por vulnerar el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Ahora se ha sabido que la AEPD ha tumbado el recurso que interpuso CaixaBank para evitar pagar los 6 millones de euros. Y lo ha hecho con contundencia.

En la resolución de la Agencia, que puedes consultar aquí, el organismo desmonta punto por punto los recursos que interpuso la entidad bancaria y le recuerda que debe abonar la millonaria sanción dentro de los plazos legales previstos. Da 6 meses a la entidad para que repare todos los problemas que la AEPD detectó.

Europa puso 159 millones de euros en multas por vulnerar el RGPD en 2020, casi la mitad de todas las sanciones propuestas desde que está en vigor

El procedimiento que terminó en una resolución sancionadora de la AEPD comenzó en 2018. Un cliente del banco recibió una notificación en su app para aceptar en aquel año unos nuevos términos y condiciones en materia de protección de datos. El usuario denuncia a la AEPD que CaixaBank pretendía ceder los datos de sus usuarios a todas las empresas del grupo.

Sin embargo, si los usuarios quisieran reclamar el cese del tratamiento de esos datos en las empresas del grupo, tendrá que dirigirse a ellas una a una, por lo que la persona que denunció consideró que la exigencia era "desproporcionada". En 2019 la asociación de consumidores FACUA también denunció que los contratos mediante los cuales la entidad recaba datos personales de sus clientes no podían ser negociados.

"Una vez más la recurrente basa su defensa en meras afirmaciones genéricas sobre el cumplimiento de la norma, sin oponer ni un solo argumento frente a lo expuesto en la resolución", responde el organismo en la resolución que firma su propia directora general, Mar España.

"Lo hace únicamente en relación con la obtención del consentimiento de los interesados para los tratamientos amparados en esta base jurídica", destaca. Pero sin mencionar "la falta de información sobre la base jurídica que habilite las cesiones de datos a las empresas del grupo".

Así reaccionó Mapfre, minuto a minuto, al ciberataque que recibió en verano: la AEPD reconoce la "diligencia" con la que la empresa respondió

En su recurso, CaixaBank aportaba una serie de encuestas para determinar el grado de comprensión que sus clientes hacían de sus políticas de protección de datos. En palabras de la AEPD: "Todos los reproches que se describen en la resolución impugnada en relación con estas cuestiones pretenden salvarse por parte de CaixaBank en base a las encuestas e informes aportados con sus alegaciones a la propuesta de resolución, en los que se concluye, según esa entidad, que los clientes comprendían la información".

"Pero de tales encuestas e informes difícilmente puede extraerse las conclusiones que indica la entidad en su recurso", zanja el organismo.

La AEPD todavía tiene que resolver otros asuntos, como las cámaras de reconocimiento facial que Mercadona instaló en varias de sus tiendas, lo que hará previsiblemente antes de julio.