Un consentimiento no válido motiva a la Agencia Española de Protección de Datos (AEPD) a imponer una sanción de 3 millones de euros a Caixabank este mes de octubre.
Caixabank llevaba a cabo un tratamiento de datos personales con la finalidad de realizar un perfilado de los interesados, todo ello con finalidades comerciales. Además, los datos recabados para este fin eran posteriormente compartidos entre todas las filiales del grupo.
Ante esta práctica, la AEPD ha detectado las siguientes infracciones:
Por un lado, una infracción del artículo 4.7 del RGPD, que define el consentimiento como una “manifestación libre, específica, informada e inequívoca”. En este caso, el interesado no es informado por parte de la entidad sancionada de su intención de llevar a cabo un tratamiento de datos personales con la finalidad de hacer un perfilado. Únicamente se proporciona una información parcial y no completa. Cabe recordar que la información proporcionada a los interesados en relación con el tratamiento de sus datos personales debe ser, además, transparente, concisa y de fácil acceso (artículo 12 RGPD).
Por otro lado, una infracción del artículo 6.1 RGPD. Este artículo establece que el tratamiento sólo será lícito si se realiza con base en alguna de las condiciones que allí se enumeran. Se encuentra entre ellas la prestación del consentimiento específico para uno o varios fines. En este caso, Caixabank no cumple con el requisito de consentimiento específico, ya que no lo recaba de forma diferenciada frente al resto de finalidades.
Por todo lo anterior, se concluye que Caixabank estaba tratando los datos de forma ilícita por no contar con el consentimiento informado y específico (y, por lo tanto, válido) del interesado.