Esa información no puede sostenerse como clara, precisa, sencilla y correcta. El cliente desconoce qué empresa del grupo, cuando autoriza este tratamiento, puede tratar sus datos.— Agencia Española de Protección de Datos (AEPD)
La AEPD impuso en enero de 2021 una multa de 6 millones de euros a CaixaBank, la mayor sanción de la Agencia hasta esa fecha. El procedimiento arrancó cuando la asociación de consumidores FACUA presentó una denuncia porque CaixaBank imponía la cesión de los datos de sus clientes a todas las empresas del grupo y, para revocar ese consentimiento, los afectados debían dirigirse empresa a empresa. La AEPD consideró que el consentimiento obtenido era inválido porque la información proporcionada sobre qué empresas del grupo tratarían los datos no era clara, precisa ni sencilla. Se impusieron dos multas: 2 millones por incumplimiento del deber de información (Arts. 13 y 14 RGPD) y 4 millones por consentimiento inválido (Art. 6 RGPD).
En enero de 2018, un particular notificó a la AEPD que CaixaBank le había enviado una notificación en su app de banca móvil exigiéndole aceptar nuevos términos de protección de datos. El cliente denunció que se exigía ceder datos a todas las empresas del grupo y que para revocar esa cesión debía dirigirse individualmente a cada una de ellas. FACUA también presentó denuncia en 2019 por los mismos motivos. La AEPD investigó y abrió el procedimiento PS/00477/2019. CaixaBank alegó que actuaba bajo régimen de corresponsabilidad y que el consentimiento era válido. La AEPD rechazó estas alegaciones y dictó resolución el 28 de enero de 2021 imponiendo las dos multas.
La AEPD consideró que el consentimiento obtenido por CaixaBank para ceder los datos de sus clientes a las empresas del grupo era inválido por dos razones: (1) La información facilitada sobre qué empresas del grupo tratarían los datos no era clara, precisa, sencilla ni correcta — los clientes aceptaban sin saber exactamente a quién cedían sus datos. (2) El consentimiento para ceder datos a terceras empresas constituye una finalidad diferenciada que requiere consentimiento específico, no genérico. La AEPD también rechazó el argumento del interés legítimo como base del tratamiento de perfiles.
Si CaixaBank tiene tus datos personales y los ha cedido a otras empresas de su grupo para elaborar perfiles comerciales, tienes derecho a: (1) saber exactamente a qué empresas han llegado tus datos, (2) revocar el consentimiento cedido y exigir la supresión, (3) reclamar si ese tratamiento fue ilegítimo. Esta resolución establece que el consentimiento genérico que CaixaBank obtuvo masivamente era inválido — lo que significa que millones de clientes pueden haber sido perfilados sin base legal válida.
| Órgano | Agencia Española de Protección de Datos (AEPD) |
| Referencia | PS/00477/2019 |
| Fecha | 28/01/2021 |
| Entidad | CaixaBank |
| Condena | 6.000.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Art. 13 RGPD (información), Art. 14 RGPD, Art. 6 RGPD (licitud del tratamiento) |
📄 Fuente oficial:
Ver fuente →La AEPD impuso en enero de 2021 una multa de 6 millones de euros a CaixaBank, la mayor sanción de la Agencia hasta esa fecha. El procedimiento arrancó cuando la asociación de consumidores FACUA presentó una denuncia porque CaixaBank imponía la cesión de los datos de sus clientes a todas las empresas del grupo y, para revocar ese consentimiento, los afectados debían dirigirse empresa a empresa. La AEPD consideró que el consentimiento obtenido era inválido porque la información proporcionada sobre qué empresas del grupo tratarían los datos no era clara, precisa ni sencilla. Se impusieron dos mul…
La AEPD consideró que el consentimiento obtenido por CaixaBank para ceder los datos de sus clientes a las empresas del grupo era inválido por dos razones: (1) La información facilitada sobre qué empresas del grupo tratarían los datos no era clara, precisa, sencilla ni correcta — los clientes aceptaban sin saber exactamente a quién cedían sus datos. (2) El consentimiento para ceder datos a terceras empresas constituye una finalidad diferenciada que requiere consentimiento específico, no genérico. La AEPD también rechazó el argumento del interés legítimo como base del tratamiento de perfiles.
Si CaixaBank tiene tus datos personales y los ha cedido a otras empresas de su grupo para elaborar perfiles comerciales, tienes derecho a: (1) saber exactamente a qué empresas han llegado tus datos, (2) revocar el consentimiento cedido y exigir la supresión, (3) reclamar si ese tratamiento fue ilegítimo. Esta resolución establece que el consentimiento genérico que CaixaBank obtuvo masivamente era inválido — lo que significa que millones de clientes pueden haber sido perfilados sin base legal válida.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.