| Resolución | PA-00065-2025 |
| Firmado | 2026-03-21T00:00:00Z |
| Enlace | 📋 |
Resumen:
Una persona denunció que Kutxabank envió una notificación push el 22 de marzo de 2024, informando sobre documentos pendientes de firma, en concreto un «Tratamiento de datos» donde cuatro casillas de consentimiento (como el uso de datos para fines comerciales o perfiles) aparecían premarcadas en «Sí» y no permitían modificar la respuesta, al tratarse de un archivo PDF no editable.
La entidad respondió que el sistema de Firma Digitalizada Omnicanal (FDO) exige leer el documento, aceptar su contenido (sin casillas predefinidas) e introducir una clave para firmar. Reconoció un posible error aislado en la oficina reclamada, que generó un documento con casillas premarcadas por equivocación no intencionada.
El procedimiento determinó que se vulneró el artículo 7 del RGPD, al no garantizar un consentimiento libre, específico, informado e inequívoco, ya que la presentación de opciones automatizadas (casillas marcadas) no cumple con el requisito de acción afirmativa clara del titular. Aunque el proceso no se completó (anulándose transcurridos 15 días sin firma), la acción se considera infracción por el riesgo generado.
La entidad adoptó medidas correctivas (protocolo de revisión, formación anual y alertas en el sistema), lo que, junto al carácter puntual y no generalizable del fallo, llevó a la Agencia a aplicar un apercibimiento en lugar de sanción económica. La decisión se basa en el principio de responsabilidad proactiva y la ausencia de perjuicio real para el afectado.