Como ya te habrás dado cuenta, las grandes empresas son las que comenten errores más importantes en materia de protección de datos. De ahí que la AEPD actúe con dureza frente a ellas.
La última sanción que hemos conocido por incumplimiento del RGPD ha recaído sobre CaixaBank. En realidad, la infracción fue cometida en su día por Bankia. Tras la fusión de esta entidad con La Caixa, la responsabilidad se exige ahora a CaixaBank.
La infracción de Bankia
Hace algún tiempo, la ahora extinta Bankia ofrecía a sus clientes la exención del cobro de determinadas comisiones si estos, a cambio, cedían sus datos y autorizaban la recepción de publicidad que podía llegarles tanto de la propia entidad como de otras empresas del grupo.
En 2019, un cliente titular de una cuenta ON presentó una denuncia ante la AEPD. Señalaba que Bankia le exigía que aceptase todos los consentimientos relativos a la cesión de sus datos de carácter personal. De hecho, estos ya estaban premarcados en los formularios de contratación.
En caso de que el interesado se negase de forma expresa a que sus datos pudieran ser comunicados a terceras empresas, la entidad bancaria procedía al cobrarle cinco euros al mes a modo de comisión por el mantenimiento de su cuenta.
Es decir, a efectos prácticos, Bankia cobraba cinco euros al mes a todos aquellos que se opusieran a ceder sus datos personales y a recibir publicidad de la entidad y de otras empresas del grupo.
La investigación de la AEPD
Recibida la denuncia, el organismo encargado de velar por el cumplimiento de la normativa en protección de datos inició una investigación.
En primer lugar, reclamó a Bankia que le enviara toda la información contractual relativa a las cuentas ON, ON Nómina y Un & Dos. En resumidas cuentas, la entidad estaba eximiendo del pago de las comisiones de administración y mantenimiento a los clientes que tenían un perfil digital.
Se consideraban clientes de perfil digital aquellos que habían comunicado al banco su número de teléfono y su correo electrónico y, además, habían consentido el tratamiento de datos personales y el envío de publicidad.
A finales de 2019, Bankia hizo cambios en sus términos de contratación y eliminó lo relativo a la cesión de datos y la recepción de publicidad. A cambio, los clientes que no querían pagar comisiones debían activar el servicio de notificaciones push a través de la app.
El consentimiento no se emitía libremente
Después de su investigación, la AEPD llegó a la conclusión de que las condiciones exigidas por Bankia estaban afectando al libre consentimiento de sus clientes. En la mayoría de los casos, se sentían “obligados” a ceder sus datos para no pagar comisiones.
Esto es algo totalmente contrario al RGPD. Este especifica claramente que el consentimiento debe ser libre en todo caso, así que no puede estar condicionado por injerencias externas procedentes de terceros.
En consecuencia, se entiende que Bankia incurrió en un grave incumplimiento de la normativa sobre la protección de datos. Ahora, CaixaBank debe pagar una multa de dos millones de euros por haber obtenido el consentimiento de forma no legal. La entidad también tiene que pagar 100.000 euros de multa por haber usado formularios de protección de datos con casillas premarcadas.
Una vez más, los bancos demuestran que no están tan al día como deberían en materia de protección de datos, lo cual es un grave problema para sus clientes. Por suerte, la AEPD sigue siendo muy eficiente al hacer su trabajo. La sanción a Bankia se suma a otras que ha puesto en los últimos meses, como la que ha recaído sobre el BBVA.