2MM€ Infracción artículos 13 y 14 RGPD por deficiencias en el cumplimiento del deber de información, no informar adecuadamente y de manera uniforme. No cumple con el principio de transparencia.
4MM€ Infracción artículo 6 RGPD por tratamiento de datos con legitimación inadecuada
Y la Agencia Española sigue sancionando por los mismo motivos … igual que BBVA 5MM€…. Falta de transparencia en general:
Deficiencias apreciadas en relación con el cumplimiento del deber de información en materia de protección de datos por parte de CAIXABANK, que pueden resumirse:
- La información ofrecida a los clientes de CAIXABANK no es uniforme … emplean una terminología diferente para referirse a las mismas cuestiones y no tienen el mismo contenido.
- Se emplea una terminología imprecisa y formulaciones vagas, con significados ambiguos … dificultando que el destinatario de la información pueda concluir su alcance real y concreto. (Igual que Sanción BBVA 5 MM€)
- La información ofrecida sobre los tratamientos de datos personales basados en la relación contractual no permite valorar si todos los tratamientos incluidos en este apartado pueden ampararse en esa base jurídica.
- Información sobre las categorías de datos personales sometidos a tratamiento; y sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades específicas. No se cumple esta exigencia en relación a los tratamientos basados en el consentimiento del interesado, basados en el interés legítimo, y los obtenidos de fuentes externas.
- No se informa debidamente en todos los casos sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades especificadas.
- Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.
- Información sobre el interés legítimo del responsable: . El “interés” no se expresa. La entidad CAIXABANK no informa en el “Contrato Marco” ni en la “Política de Privacidad” sobre ningún interés específico al referirse a los tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica. . La información es insuficiente para justificar esta habilitación jurídica y para realizar el juicio de ponderación
- Información sobre elaboración de perfiles . No se especifica el interés legítimo de CAIXABANK en la elaboración de perfiles para la “personalización de la experiencia” del cliente o envío de información en la que éste pueda tener interés.. No se ofrece información sobre el tipo de perfiles que se van a realizar,
No se informa sobre el ejercicio del derecho de oposición, cuando el perfilado esté relacionado con actividades de mercadotecnia directa.
– El “Contrato de Consentimientos” informaba sobre la posibilidad de ejercer los derechos, pero sin mencionar los que se establecen en la normativa aplicable.
En la Política de Privacidad no se menciona el derecho de oposición.
La información que se ofrece para el acceso a datos personales de los clientes en redes sociales informaba sobre los derechos recogidos en la LOPD, no en el RGPD.
– La información sobre plazos de conservación de los datos personales no es uniforme. Según el apartado 11.3 del “Contrato Marco”, los datos personales dejarán de tratarse a los seis meses de finalizadas las relaciones contractuales; mientras que en el apartado7.1 del mismo documento no se menciona dicho plazo y se informa que los tratamientos cesarán con la cancelación de las relaciones contractuales.
Alvaro Aróstegui
Data21
