LA AEPD ALCANZA UN NUEVO RÉCORD SANCIONADOR: 6 MILLONES DE EUROS

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 6 millones de euros a una entidad bancaria. Por un lado, impone una sanción de 2 millones por no cumplir con el deber de informar a los interesados (arts. 13 y 14 RGPD). Por otro lado, impone una sanción de 4 millones por problemas con la licitud del tratamiento de los datos (art. 6 RGPD).

Pueden consultar la resolución de procedimiento sancionador que ha emitido la AEPD aquí.

El artículo 6 del RGPD establece las condiciones por las cuales el tratamiento será lícito:

  • consentimiento del interesado;
  • la ejecución de un contrato o para la aplicación de medidas precontractuales;
  • el cumplimiento de una obligación legal;
  • la protección de intereses vitales del interesado o de otra persona;
  • el cumplimiento de una misión realizada en interés público;
  • la satisfacción de intereses legítimos del responsable del tratamiento o por un tercero.

Por su parte los artículos 13 y 14 del RGPD establecen la información que deberá facilitarse a los interesados según sean obtenidos del mismo o por otros medios, entre otras:

  • la identidad y los datos de contacto del responsable;
  • los datos de contacto del delegado de protección de datos;
  • los fines del tratamiento y su base jurídica;
  • los intereses legítimos del responsable o del tercero, cuando el tratamiento se base en el interés legítimo;
  • los destinatarios o las categorías de destinatarios de los datos personales, ;
  • información sobre las transferencias internacionales de los datos y la existencia o ausencia de garantías para tales transferencias.
  • el plazo de conservación de los datos;
  • la posibilidad de solicitar el ejercicio de derechos de protección de datos y el derecho a retirar el consentimiento en cualquier momento;
  • el derecho a presentar una reclamación ante una autoridad de control;
  • la existencia de decisiones automatizas, incluida la elaboración de perfiles.

Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará además, la fuente de la que proceden los datos dentro de un plazo razonable, a más tardar en el plazo de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.

Esta sanción recuerda la importancia del deber de informar a los interesados y de contar con una base de legitimación lícita para el tratamiento y comunicación de los datos personales, que aplica a todas las organizaciones y entidades, en este caso, Caixabank. También confirma la nueva y alcista estrategia sancionadora de la AEPD, que junto con la sanción de 5 millones de euros recientemente impuesta al BBVA, suma ya sanciones por valor de 11 millones de euros; habiendo sido históricamente la Autoridad de Control europea con las sanciones más bajas.

No dude en consultarnos si tiene dudas acerca de si los tratamientos de datos personales que realiza su entidad se informan y legitiman debidamente.