La nueva norma ISO 31700 de Privacidad desde el Diseño y por Defecto (PdD)
webinar ONLINE GRATIS La nueva norma ISO 31700 de Privacidad desde el Diseño y por Defecto (PdD) ¿Por dónde empezar con la PdD para tu
La AEPD ha impuesto una multa a CaixaBank por no cumplir los artículos 6, 13 y 14 del RGPD. No dar todas las opciones para aceptar o rechazar el tratamiento de datos y hacer un uso ilícito de los mismos ha supuesto llegar a los 6 millones de euros de multa.
La investigación de la AEPD (Agencia Española de Protección de Datos) a CaixaBank comenzó con la denuncia de un cliente que manifestaba su descontento al indicar que la entidad le obligaba a aceptar la cesión de sus datos personales a todas las empresas del grupo.
Recordemos que el consentimiento para este tipo de supuestos se tiene que poder expresar libremente. En este caso, si el cliente no quería aceptar que sus datos se compartiesen con otras empresas, tenía que enviar por escrito a cada una de ellas su disconformidad con el tratamiento de sus datos, algo que, lógicamente supone demasiados esfuerzos para un cliente, que tiene mucho más fácil aceptarlo todo con un simple click.
A su vez, Facua también denunció el contrato de adhesión que deben aceptar los clientes para consentir el tratamiento de sus datos personales y la cesión de los mismos a terceras empresa, considerando que prácticamente se impone su aceptación.
Por otra parte, la AEPD ha podido observar otra infracción relacionada con la aceptación de recibir comunicaciones comerciales. Aunque el cliente seleccione la opción de no recibirlas, automáticamente se marca la opción de aceptar recibir comunicados a través de un medio concreto, lo que supone su aceptación.
¿CaixaBank está poniendo en este caso difícil la opción de denegar el tratamiento de datos en diferentes casos? Según la AEPD sí, y esto es lo que la llevado a que se considere que estaban infringiendo los artículos 13 y 14 del RGPD.
La AEPD ha comprobado que CaixaBank obtiene una gran cantidad de datos de sus clientes, que van desde datos sobre la actividad laboral o la situación financiera hasta la recogida de datos con objetivos comerciales.
Para el tratamiento de todos estos datos, el cliente tiene que dar su consentimiento y para ello, tiene que haber entendido correctamente qué es lo que la empresa pretende hacer con sus datos. La AEPD ha considerado que CaixaBank utiliza expresiones en la política de privacidad que no son del todo claras y que no permiten explicar ni justificar correctamente a los clientes qué se va a hacer con los datos obtenidos. Con esto, se está incumpliendo el artículo 6 del RGPD, cometiendo una infracción grave, ya que la entidad estaría obteniendo beneficio con ello al utilizar dichos datos para crear nuevas oportunidades comerciales.
CaixaBank ha presentado diferentes alegaciones que se han desestimado. La noticia de esta multa millonaria nos llega poco tiempo después de la noticia de la sanción a otro conocido banco, el BBVA, que entre otras cosas, tampoco había informado bien a sus clientes sobre cómo se recogían sus datos.
Para no correr el riesgo de tener este tipo de sanciones, hay que informar de una forma clara, con un lenguaje entendible, guiando al usuario para que pueda entender qué puede hacerse con sus datos, para qué se recogen, y permitir que pueda manifestar su consentimiento o denegarlo de una forma específica, inequívoca e informada.
webinar ONLINE GRATIS La nueva norma ISO 31700 de Privacidad desde el Diseño y por Defecto (PdD) ¿Por dónde empezar con la PdD para tu
webinar ONLINE GRATIS Las nuevas cláusulas contractuales tipo de la UE ¿Pueden realizarse transferencias de datos a los Estados Unidos? A consecuencia de la Sentencia
webinar DISPONIBLE Normas Corporativas Vinculantes (BCR) ¿Qué requisitos deben cumplir para ser aprobadas? Las Normas Corporativas Vinculantes, también conocidas por sus siglas en inglés BCR