| Resolución | REPOSICION-PS-00477-2023 |
| Firmado | 2025-02-12T00:00:00Z |
| Enlace | 📋 |
La decisión se refiere a un recurso de reposición presentado por CAIXABANK, S.A. contra una resolución que le impuso sanciones por infracciones relacionadas con la protección de datos personales. La entidad bancaria fue sancionada por vulnerar el artículo 5.1.f del RGPD, que establece el principio de integridad y confidencialidad, y el artículo 25 del RGPD, que exige la protección de datos desde el diseño y por defecto. Además, se le ordenó adoptar medidas para garantizar la confidencialidad de los datos y la adopción de medidas técnicas y organizativas adecuadas.
La reclamación original se basó en que la madre de una cliente, A.A.A., tenía acceso a información financiera y productos asociados a cuentas bancarias de las que no estaba autorizada. A.A.A. denunció que su madre podía ver datos bancarios y movimientos de tarjetas sin su consentimiento. La entidad bancaria argumentó que el acceso fue consentido y que el diseño de su aplicación de banca online era correcto.
La resolución desestimó el recurso de reposición, manteniendo las sanciones impuestas. Se determinó que la entidad bancaria no había actuado con la debida diligencia para resolver la incidencia y que no se había obtenido el consentimiento adecuado de todos los titulares de las cuentas afectadas. Además, se consideró que la entidad no había adoptado medidas suficientes para garantizar la protección de datos desde el diseño y por defecto. Las sanciones se mantuvieron por considerar que eran proporcionales y disuasorias, y se ordenó a la entidad adoptar las medidas necesarias para cumplir con la normativa de protección de datos.