Ley al día

Agencia Española de Protección de Datos multa en 6 millones de euros a entidad bancaria por infracción al Reglamento General de Protección de Datos

21 Ene 2021

Introducción

En una interesante resolución, con fecha 13 de enero de 2021, la Agencia Española de Protección de Datos o AEPD multó a la entidad Caixabank S.A. (en adelante CaixaBank) con 6 millones de euros por infracción al Reglamento General de Protección de Datos (RGPD), en particular por acreditar la vulneración de los artículos 6, 12, 13 y 14 de dicho cuerpo legal (procedimiento Nº PS/00477/2019).

A propósito de las infracciones detectadas por el AEPD en los cambios contractuales implementados por CaixaBank para adaptar sus políticas de privacidad al RGPD, la agencia multó con 2 millones de euros por infracciones leves (en relación a la vulneración del principio de transparencia respecto de la información que debía facilitarse a los usuarios) y con 4 millones de euros por una infracción grave (dado la imprecisión respecto a las bases de legitimación del tratamiento y, asimismo, porque la presentación del consentimiento no se ajustó a la normativa aplicable).

El procedimiento sancionatorio tuvo lugar a propósito de que, en el año 2018, un usuario del banco ingresó una denuncia a la AEPD, sosteniendo que CaixaBank le impuso la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, y en especial, en relación a la cesión de sus datos personales a todas las empresas del grupo de la entidad. Además, sostuvo que para cancelar dicha cesión debía dirigir un escrito a cada una de las empresas del grupo, lo que denunció como desproporcionado.

Si bien esta resolución no es aplicable en Chile, y su fundamento jurídico es el RGPD, conocerla es de interés, pues en nuestro país existe un proyecto de ley que busca aumentar los estándares de protección de los datos personales a un nivel similar al europeo (boletín 11144-07); asunto que actualmente se encuentra regulado en la Ley N° 19.628, de 1999, sobre la Protección de la Vida Privada.

La resolución comentada contiene fundamentos de derecho interesantes que pueden resultar útiles cuando dicho proyecto sea promulgado. Especial relevancia tiene respecto al consentimiento válido, las bases de legitimación o licitud del tratamiento de datos y la aplicación de multas.

Respecto a este último punto, el proyecto de ley prevé hasta el momento, la clasificación de infracciones en leves, graves y gravísimas. Las leves serían sancionables con amonestación escrita o multa de 1 a 100 UTM, las graves con multa de 101 a 5.000 UTM y las gravísimas con multa de 5.001 a 10.000 UTM.

Cabe hacer presente que el proyecto de ley se encuentra siendo discutido actualmente en el Senado, en primer trámite Constitucional.

Contacto

En caso que requiera información adicional sobre esta materia, puede contactar a Jorge Tisné (jtisne@jdf.cl)

JDF