| Resolución | PS-00143-2025 |
| Firmado | 2026-04-15T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
El procedimiento sancionador, iniciado en 2025, se resolvió con el archivo del expediente EXP202312854 tras el pago voluntario de la sanción por parte de Caixabank, S.A. (400.000 euros, reducidos del importe inicial de 500.000 euros por el pago anticipado).
Hechos denunciados:
Dos reclamaciones ante la AEPD revelaron múltiples brechas de datos personales en el Servicio de Atención al Cliente (SAC) de Caixabank. Los errores humanos en la gestión de reclamaciones provocaron:
Reclamación 1: Envío de respuesta a un cliente (A.A.A.) dirigida a un tercero desconocido (B.B.B.), revelando datos personales del reclamante (nombre, DNI, etc.) y recibido también por este último.
Reclamaciones posteriores: Fallos similares (envío de documentos o respuestas a destinatarios incorrectos) afectaron a otros clientes, revelando datos financieros como números de contratos, IBAN, y situaciones económicas. Se identificaron al menos 28 brechas análogas entre 2022 y 2024, muchas detectadas tardíamente.
Infracción sancionada:
Artículo 25 del RGPD ( protección de datos desde el diseño y por defecto): Incumplimiento de medidas técnicas y organizativas para garantizar la confidencialidad, exactitud y minimización de datos. Se evidenció:
Falta de controles en los sistemas del SAC para evitar errores humanos.
Dificultad para detectar y corregir brechas de seguridad (solo el 10% se detectaron internamente).
Omisión en la identificación de afectados y datos revelados en numerosas brechas.
Sanción impuesta:
Multa de 500.000 euros por la infracción del artículo 25 del RGPD (tipificada como grave en el artículo 83.4 del RGPD). La sanción se redujo a 400.000 euros por el pago voluntario antes de la resolución definitiva.
Medidas correctivas ordenadas:
Caixabank debe, en 9 meses desde la resolución firme:
Acreditar haber implementado medidas que:
Mejoren la detección autónoma de brechas de datos.
Permitan identificar correctamente a todos los afectados y los datos revelados.
Revise el funcionamiento del SAC para garantizar el cumplimiento proactivo del artículo 25 del RGPD (incluyendo diseño de sistemas y formación continua).
Causa de la sanción:
La multa se justifica por la gravedad, recurrencia y negligencia de los incidentes. Caixabank, como entidad financiera, maneja datos sensibles (DNI, información económica) y, pese a su obligación de actuar con responsabilidad proactiva, no implementó controles adecuados para prevenir errores humanos que afectaran derechos fundamentales. Aunque no hubo intencionalidad, la duración de las vulneraciones (varias brechas pasaban meses sin detectarse) y la falta de corrección previa agravaron la sanción.