LegalToday

Por y para profesionales del Derecho

Portal jurídico de Thomson Reuters, por y para abogados

01/07/2022. 00:10:58

LegalToday

Por y para profesionales del Derecho

Sanción histórica impuesta por la Agencia Española de Protección de Datos

Dto. de Cumplimiento. ESCURA

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto a una entidad bancaria la sanción más elevada hasta el momento por la comisión de dos infracciones del Reglamento General de Protección de Datos: una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave, y otra por vulneración de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve. La suma de los importes de ambas sanciones asciende a 5 millones de euros.

La sanción más grave hace referencia a la licitud del tratamiento, es decir, al consentimiento que debe dar toda persona para tratar sus datos personales. En este caso, la AEPD determina que el formulario que utiliza la entidad bancaria para obtener el consentimiento de los clientes va en contra del consentimiento expreso, ya que el cliente debe marcar la casilla correspondiente conforme no desea recibir ofertas personalizadas (en caso de no marcarla, recibiría dichas ofertas).

La segunda infracción hace referencia al deber de información acerca del tratamiento de los datos personales. Así, la AEPD entiende que la entidad bancaria “(…) no informa de manera clara y sistemática sobre los tratamientos de datos personales ni a las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización”. 

Esta sanción no es un hecho aislado, pues va en consonancia con las sanciones que están imponiendo las demás autoridades europeas en materia de protección de datos a las grandes empresas por el incumplimiento continuado del RGPD.

Finalmente, la AEPD requiere a la entidad bancaria para que, en el plazo de seis meses, adecúe la normativa de protección de datos personales a las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

Cabe destacar que la entidad bancaria todavía puede interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

¿Quieres leer la resolución?

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.