La Agencia Española de Protección de Datos (AEPD) ha sancionado a CaixaBank Payments & Consumer ECF con 3 millones de euros, según el BOE, por una infracción del artículo 6.1 de reglamento general de protección de datos RGPD, relativo a la licitud del tratamiento, al no garantizar la licitud del tratamiento de los datos:
- solo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos
- si es necesario para la ejecución de un contrato en el que el interesado es parte
- para el cumplimiento de una obligación legal
Concretamente la AEPD ha impuesto parte de la sanción por vincular la exención del cobro de comisiones a que los clientes cedan sus datos para el envío de publicidad.
NO PODEMOS CONDICIONAR EL CONSENTIMIENTO PARA DIFERENTES FINALIDADES: 1º exención del cobro y 2º envío publicidad DOS CONSENTIMIENTOS INDEPENDIENTES
SIGUEN IGUAL … ya en 2020 sancionó la AEPD a Caixabank con 5 millones de euros por falta de transparenica por:
- información ofrecida a los clientes de CAIXABANK no es uniforme … emplean una terminología diferente para referirse a las mismas cuestiones y no tienen el mismo contenido.
- Se emplea una terminología imprecisa y formulaciones vagas, con significados ambiguos … dificultando que el destinatario de la información pueda concluir su alcance real y concreto.
- La información ofrecida sobre los tratamientos de datos personales basados en la relación contractual no permite valorar si todos los tratamientos incluidos en este apartado pueden ampararse en esa base jurídica.
- Información sobre las categorías de datos personales sometidos a tratamiento; y sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades específicas. No se cumple esta exigencia en relación a los tratamientos basados en el consentimiento del interesado, basados en el interés legítimo, y los obtenidos de fuentes externas.
- No se informa debidamente en todos los casos sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades especificadas.
- Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.