CaixaBank no tenía unas medidas de seguridad adecuadas al riesgo en los derechos y libertades de los interesados. La solución adoptada fue un mero parche que no garantizaba la protección de los datos de todos los clientes.— Agencia Española de Protección de Datos (AEPD)
La AEPD impuso en abril de 2024 una multa de 5 millones de euros a CaixaBank por una grave brecha de seguridad: clientes del banco podían ver en su área personal documentos con datos de transferencias realizadas por otros clientes totalmente desconocidos. Esos documentos incluían el nombre, DNI, dirección postal y número de cuenta bancaria de terceros. La AEPD consideró que la brecha podía afectar potencialmente a todos los clientes de CaixaBank, que el banco no reaccionó de forma adecuada cuando tuvo conocimiento de la incidencia y que las medidas adoptadas fueron "un mero parche". El banco tardó tres años en recibir la resolución, en parte porque la AEPD ha anonimizado la mayor parte de los detalles técnicos.
Un cliente de CaixaBank descubrió en el área personal de su banca online un documento sobre una transferencia realizada por un tercero desconocido, con el que no tenía ninguna relación. En ese documento figuraban datos personales sensibles de ese tercero: nombre, DNI, dirección y número de cuenta bancaria. El cliente presentó reclamación ante la AEPD. La Agencia verificó la incidencia y la extendió a la potencial afectación a todos los clientes. La investigación duró varios años. Durante ese tiempo, la AEPD reprochó a CaixaBank que no reaccionó de forma proactiva, sino solo cuando la Agencia lo requirió, y que no contaba con procedimiento adecuado para gestionar reclamaciones de protección de datos. La multa de 5 millones se publicó el 18 de abril de 2024 en el BOE.
La AEPD sancionó por tres infracciones: (1) Art. 5.1.f) RGPD — confidencialidad e integridad: 2,5 millones, por no aplicar medidas de seguridad adecuadas que permitieron la exposición de datos de transferencias. (2) Art. 25 RGPD — privacidad desde el diseño: 1,5 millones, por haber diseñado el sistema sin garantías suficientes de privacidad. La AEPD señaló que la brecha no era imprevisible sino producto de una "clara falta de previsión". (3) Falta de procedimiento adecuado de reclamaciones en protección de datos: CaixaBank solo tenía procedimiento para reclamaciones financieras, no para reclamaciones de privacidad.
Si eres cliente de CaixaBank y temes que tus datos de transferencias hayan podido ser vistos por terceros, esta resolución confirma que el banco sufrió una brecha de seguridad sistémica. Tienes derecho a solicitar a CaixaBank que te informe de si tus datos personales se vieron afectados (derecho de acceso, Art. 15 RGPD) y a presentar reclamación ante la AEPD si el banco no te responde adecuadamente.
| Órgano | Agencia Española de Protección de Datos (AEPD) |
| Referencia | Resolución AEPD abril 2024 |
| Fecha | 11/04/2024 |
| Entidad | CaixaBank |
| Condena | 5.000.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Art. 5.1.f) RGPD (confidencialidad e integridad), Art. 25 RGPD (privacidad desde el diseño) |
La AEPD impuso en abril de 2024 una multa de 5 millones de euros a CaixaBank por una grave brecha de seguridad: clientes del banco podían ver en su área personal documentos con datos de transferencias realizadas por otros clientes totalmente desconocidos. Esos documentos incluían el nombre, DNI, dirección postal y número de cuenta bancaria de terceros. La AEPD consideró que la brecha podía afectar potencialmente a todos los clientes de CaixaBank, que el banco no reaccionó de forma adecuada cuando tuvo conocimiento de la incidencia y que las medidas adoptadas fueron "un mero parche". El banco t…
La AEPD sancionó por tres infracciones: (1) Art. 5.1.f) RGPD — confidencialidad e integridad: 2,5 millones, por no aplicar medidas de seguridad adecuadas que permitieron la exposición de datos de transferencias. (2) Art. 25 RGPD — privacidad desde el diseño: 1,5 millones, por haber diseñado el sistema sin garantías suficientes de privacidad. La AEPD señaló que la brecha no era imprevisible sino producto de una "clara falta de previsión". (3) Falta de procedimiento adecuado de reclamaciones en protección de datos: CaixaBank solo tenía procedimiento para reclamaciones financieras, no para reclam…
Si eres cliente de CaixaBank y temes que tus datos de transferencias hayan podido ser vistos por terceros, esta resolución confirma que el banco sufrió una brecha de seguridad sistémica. Tienes derecho a solicitar a CaixaBank que te informe de si tus datos personales se vieron afectados (derecho de acceso, Art. 15 RGPD) y a presentar reclamación ante la AEPD si el banco no te responde adecuadamente.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.