Un mes después de sancionar al BBVA, la Agencia Española de Protección de Datos (AEPD) multa a Caixabank, a pesar de las alegaciones de la entidad financiera, por imponer la obligación de aceptar unas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de datos personales a todas las empresas del grupo. Estableciendo que para cancelar dicha cesión se debe dirigir un escrito a cada una de las empresas.
La AEPD considera que Caixabank incumplió los artículos 13 y 14 GDPR, no facilitar adecuadamente la información relativa al tratamiento de datos personales, incurriendo en una infracción calificada como leve y por los que se impone una multa de dos millones de euros.
En segundo lugar, la Agencia resuelve que Caixabank ha incumplido el artículo 6 del GDPR, en relación con el artículo 7 GDPR y artículo 6 LOPDGDD, el consentimiento del interesado, incurriendo con ello en una infracción calificada como muy grave, y por ello impone una multa de cuatro millones de euros.
No ha ayudado mucho a la graduación de las sanciones el que según expone la AEPD en el documento, no ha existido actitud cooperante de CAIXABANK, que ha negado sistemáticamente los hechos, a pesar de su evidencia.
Puede descargar el documento íntegro del procedimiento sancionador aquí.