| Resolución | PS-00477-2019 |
| Firmado | 2021-03-18T00:00:00Z |
| Enlace | 📋 |
Se investigan las prácticas de CAIXABANK en materia de protección de datos personales, especialmente en relación con el denominado “Contrato Marco” y los consentimientos recabados de sus clientes. Se analizan la suficiencia de la información facilitada a los interesados y la licitud del tratamiento de datos personales, con foco en su uso para finalidades comerciales y la cesión de datos a empresas del grupo.
**Hechos probados relevantes:**
1. CAIXABANK utilizaba el “Contrato Marco” como principal instrumento para recabar información y consentimientos de los clientes desde 2016, al adaptar sus procesos al Reglamento General de Protección de Datos (RGPD).
2. El contrato contenía diversas versiones que no siempre ofrecían una información completa ni uniforme sobre el tratamiento de datos, base jurídica, derechos del interesado o el Delegado de Protección de Datos.
3. La forma de recabar el consentimiento en oficinas o digitalmente no garantizaba siempre que este fuera plenamente libre, específico, informado e inequívoco.
4. Se establecían consentimientos amplios y agrupados para varias finalidades comerciales y cesiones de datos a terceras empresas, incluyendo el uso de datos biométricos, sin que se informara adecuadamente sobre los tratamientos ni se dieran opciones claramente diferenciadas.
5. CAIXABANK mencionaba la existencia de un «repositorio común» de datos para todas las empresas del grupo, lo cual resultó no ajustarse a la realidad, ya que eran repositorios coordinados pero independientes, lo que implica que sí existían cesiones de datos.
**Infracciones sancionadas:**
1. **Infracción de los artículos 13 y 14 del RGPD**: relativos al deber de información cuando se recogen datos del interesado (art. 13) o de otras fuentes (art. 14). Se determinó que la información facilitada era incompleta, poco clara, y se ofrecía de forma no uniforme. Esta infracción se calificó como leve (art. 74.a LOPDGDD), imponiéndose una multa de **2.000.000 euros**.
2. **Infracción del artículo 6 del RGPD**: relativo a la licitud del tratamiento. Se consideró que los consentimientos recabados no cumplían los requisitos de validez (libres, específicos, informados e inequívocos), y que se trataban datos sin base jurídica adecuada, en especial en lo referente al uso con fines comerciales y la cesión a empresas del grupo. Esta infracción se calificó como muy grave (art. 72.1.b LOPDGDD), imponiéndose una multa de **4.000.000 euros**.
Finalmente, se requirió a la entidad para que, en un plazo de seis meses, adaptara sus operaciones de tratamiento, la información proporcionada y el mecanismo de obtención del consentimiento a la normativa vigente.
**Conclusión:**
La resolución sanciona a CAIXABANK por deficiencias sustanciales en la información ofrecida a los clientes y por obtener consentimientos que no cumplían con los estándares legales exigidos, imponiendo un total de **6.000.000 euros en multas** y obligando a la entidad a modificar sus prácticas en materia de protección de datos.