El martes de la semana pasada, día 9 de abril, publicamos un artículo que por fin aclaraba la resolución de la Agencia Española de Protección de Datos (AEPD) en los dos expedientes que abrió a Iberdrola y a varias de sus sociedades por el sonadísimo robo de datos que sufrió la eléctrica hace poco más de dos años, el 15 de marzo de 2022. La AEPD concluyó que las medidas de seguridad que disponía Iberdrola para evitar el robo eran insuficientes y que el nivel de daños y perjuicios es alto, afectando no solo a los 1,3 millones de clientes cuya información sensible fue sustraída por los atacantes sino también a otros 1,6 millones de usuarios. En consecuencia, decidió imponer dos multas, que suman 6,5 millones y que recayeron sobre Iberdrola (3 millones) y sobre su filial i-DE Redes Inteligentes (3,5 millones),
Estas sanciones, impuestas durante los últimos meses, se recogen en el Boletín Oficial del Estado (BOE) publicado este pasado jueves (18 de abril), en el que constan las multas superiores a un millón de euros y en el que también figura CaixaBank en la casilla de "nombre del infractor". En su caso, como se especifica en el BOE, la AEPD le ha multado con 5 millones de euros por infringir tres artículos del Reglamento General de Protección de Datos (RGPD). Además, el organismo acaba de imponer otra sanción a la entidad bancaria de 2 millones de euros por otro incumplimiento del RGPD, según asegura EFE apuntando una multa más a las que aparecen en el BOE y explicando a qué se deben ambas.
Multa de 5M€ por una "brecha" de datos personales
La primera multa, de 5 millones de euros, se debe a tres infracciones del RGPD, concretamente de los artículos 5.1.f), 25 y 32. La AEPD inició este procedimiento hace dos años, después de que un cliente de CaixaBank denunciara que la entidad bancaria no había respetado la confidencialidad de los datos de carácter personal, tras percatarse de que su "área personal" albergaba un documento relativo a una transferencia que había realizado un tercero a otra persona desconocida.
Ese documento contenía numerosos datos personales, como el DNI, domicilio postal o el número de cuenta bancaria, según figura en la resolución de la Agencia Española de Protección de Datos, a la que ha tenido acceso EFE y en la que se pone de manifiesto que hubo una "brecha" de datos personales.
"Se trata de una de las sanciones más importantes por su cuantía de las que ha impuesto el organismo que vela por la adecuada protección de los datos personales desde su nacimiento hace más de treinta años, que ha tipificado este caso como una infracción 'grave'", señala la agencia de noticias.
Multa de 2M€ por un "consentimiento prestablecido" que ha afectado a más de 3 millones de clientes
Siguiendo la información de EFE, la segunda multa, de dos millones de euros, también tuvo como germen una denuncia de un cliente de CaixaBank. En ese caso, por un documento que le remitió del banco con un extenso formulario en el que consta toda su información personal y bancaria, y que incluía una cláusula según la cual autorizaba expresamente a CaixaBank a solicitar sus datos a la Tesorería General de la Seguridad Social.
El denunciante puso en conocimiento de la AEPD que ese consentimiento venía "preestablecido", ya que en ningún momento se daba la opción al cliente de expresar su negativa ante esa cláusula.
En su resolución, la AEPD ha constatado la "intencionalidad, gravedad y duración" de esa infracción en la gestión del consentimiento de los clientes, que afectó a toda la cartera de CaixaBank (más de 3 millones de personas) desde su adhesión en abril de 2021 al convenio con la Tesorería General de la Seguridad Social para la prevención del blanqueo de capitales y de la financiación del terrorismo.
Tal y como apunta EFE, CaixaBank ya ha afrontado esta segunda multa y lo ha hecho acogiéndose a una reducción de la sanción inicial por reconocimiento temprano de la infracción y proceder al pago de forma voluntaria. Así, ha abonado 1,2 millones de euros, el 60% del importe inicial de la multa de la AEPD.