Las entidades financieras españolas y las grandes empresas están tan acostumbradas a hacer su voluntad que sus desmanes ya no nos sorprenden. Lo que sí es noticia es que de vez en cuando sean sancionadas por sus actividades ilegales. Está claro que luego no sabemos lo que pasa con esas multas y es que sus bufetes de abogados y muchos jueces suelen librarles de todo mal.

En este caso ha sido la Agencia Española de Protección de Datos (AEPD) la que ha sancionado a Caixabank con dos multas de 4 y 2 millones de euros por el Reglamento General de Protección de Datos (RGPD). La resolución ha tenido su origen en sendas denuncias. La primera interpuesta por un cliente del banco en 2018 y la segunda por FACUA-Consumidores en Acción en 2019.

La AEPD ha impuesto a la entidad bancaria una multa de 4 millones por «una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave» y otra de 2 millones por «una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve«.

En concreto el procedimiento sancionado se refiere a la imposición a los consumidores por parte de la entidad al consentimiento de incorporar sus datos personales y cederlos a terceras empresas con las que podrían no tener relación. Pero al ser un contrato de adhesión, esto es,que el usuario sólo puede adherirse a él pero no tiene capacidad de modificarlo, la imposición unilateral conllevaba la vulneración del tratamiento de los datos personales de los clientes del banco.

Asimismo, la entidad ha requerido a Caixabank  para que  «en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales«, según consta la denuncia.

En la resolución, de tiene 177 páginas y en la que se analizan, entre otras cuestiones, diferentes versiones del Contrato Marco de Caixabank que debían firmar los clientes de la entidad, la AEPD impone las sanciones al constatar que «ha quedado acreditado el incumplimiento del principio de trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del mismo Reglamento«. Este incumplimiento con la transparencia es una normativa que las grandes empresas no entienden por más que se les explique.

La Agencia de Protección de Datos también señala que el procedimiento se inició tras una serie de inspecciones previas y la incorporación de toda la documentación que había recibido sobre la actuación de la entidad financiera. En concreto la denuncia de un particular -realizada en enero de 2018-, la propia documentación de dichas actuaciones previas y la denuncia de FACUA, que se interpuso en marzo de 2019  y en la que esta asociación de consumidores aludía a la vulneración del artículo 6 del RGPD.

Tras estas denuncias, Caixabank puede interponer un recurso de reposición ante la directora de la Agencia Española de Protección de Datos o presentar directamente un recurso contencioso-administrativo ante la sala de lo contencioso-administrativo de la Audiencia Nacional.