Nueva sanción de la AEPD a un banco por infracción en el consentimiento para obtener perfiles

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 3 millones de euros a CaixaBank Payment & Consume, la filial de medios de pago y financiación al consumo del grupo CaixaBank, por extraer y utilizar perfiles de clientes sin consentimiento y compartirlos entre las empresas del grupo.

Resolución de la AEPD

La resolución, identificada como PS/00500/2020, invalida el procedimiento por el que la entidad obtiene el consentimiento para elaborar perfiles con los que promocionan sus servicios sirviéndose de información procedente de los ficheros de solvencia patrimonial.

Esta resolución sigue a la anterior de enero de 2021, en la que sancionó a CaixaBank por infracción del deber de información, y por la invalidez del consentimiento y del interés legítimo que servían de base legal para tratar los datos personales.

Aspectos resaltados en la resolución

La AEPD subraya los siguientes aspectos:

1. Los responsables del tratamiento deben:
   • demostrar que los interesados entienden exactamente que están consintiendo la elaboración de perfiles, y
   • recordar que el consentimiento no es siempre una base adecuada para el tratamiento.
2. En todos los casos, los interesados han de contar con información suficiente sobre el uso y las consecuencias del tratamiento, para asegurar que el consentimiento que otorgan constituye una decisión informada.
3. A juicio de la Agencia, la información de la entidad al interesado:
   • es muy genérica,
   • no permite conocer el alcance de los tratamientos ni los datos que se van a utilizar en ellos, y
   • no especifica que se consultarán los ficheros de solvencia y de la Central de Riesgos del Banco de España para promocionar los productos financieros.
4. El consentimiento se solicita en nombre de todas las entidades del grupo CaixaBank, que implica una comunicación de datos entre empresas. Por tanto:
   • este tratamiento constituye una finalidad diferenciada que requiere un consentimiento específico del interesado y, en este sentido,
   • la Agencia rechaza las alegaciones de la entidad sobre el régimen de corresponsabilidad.

Por todo ello la AEPD:

• considera que el consentimiento otorgado por los clientes no es válido y, por tanto, el tratamiento de los datos es ilícito, y
• concede a CaixaBank Payments & Consumer un plazo de 6 meses para acreditar que ha ajustado sus procedimientos a la normativa de protección de datos.