La Agencia Española de Protección de Datos (AEPD) ha multado con tres millones de euros a Caixabank por haber cometido una infracción muy grave de la normativa por los procesos que utiliza para recabar de sus clientes el consentimiento necesario para elaborar perfiles con fines comerciales.
Estos perfiles comerciales, que acaban compartiendo todas las filiales del grupo, no se hacen con los fines con los que se recaba la información, según la resolución de la AEPD, además de que no se especifica que la entidad consultará registros de solvencia o la Central de Riesgos del Banco de España para ofrecer al usuario productos financieros.
La denuncia parte de un excliente de la Caixa cuya relación se extinguió formalmente en 2014 con rescisión de los contratos existentes y que, en 2018, la entidad CaixaBank, Consumer Finance, EFC ha solicitado información suya a un fichero de solvencia y fue posteriormente incluido en una campaña comercial para ofrecerle un crédito.
En un primer momento, la denuncia no fue admitida a trámite porque el banco alegó que se trató de un «error humano y puntual», pero ocho meses el cliente reclamó y, a la vista de la reclamación, la Directora de la AEPD instó a la Subdirección General de Inspección de Datos el inicio de actuaciones previas de investigación que revelasen de qué forma CaixaBank Consumer Finance EF, S.A.U. estaba realizando perfilados de los datos personales de sus clientes en el contexto de su actividad comercial, con objeto de verificar su adecuación a la normativa.
Se trata de la tercera sanción por infracción de carácter grave que impone la Agencia a Caixabank tras los seis millones de euros en conjunto con los que multó a la compañía en marzo por vulnerar el RGPD.
Bizum se ha convertido en una de las aplicaciones más usadas en España, con más de 15 millones de usuarios que están pendientes de las novedades que presenta la plataforma creada en 2015 y que opera desde 2016 gestionada por la sociedad constituida por la banca, Procedimientos de Pago, en cuyo primer consejo de administración se sentaron representantes de Santander, BBVA, CaixaBank, Sabadell, Popular, Bankia, Kutxabank y Unicaja.
Novedades para los usuarios particulares
Entre las últimas se encuentran el descenso de transacciones mensuales de 150 a 60, con unas limitaciones de 1000 euros por operación, aunque variarán según la entidad bancaria (en el BBVA, por ejemplo, señalan que son 500 euros, aunque en la práctica, y debido a «problemas de seguridad«, los envíos de más de 300 euros están dando error. Esta reducción, según la plataforma, tiene como objetivo «continuar garantizando la seguridad».
El número máximo de destinatarios en una solicitud o envío múltiple queda en 30, con una duración del envío pendiente de dos días a alguien que no sea cliente de Bizum.
Otras cuestiones importantes para los usuarios de Bizum es conocer las novedades de los ciberdelincuentes que usan la aplicación para estafar.
Lo primero que hay que aclarar, sobre todo para tu tranquilidad, es que los casos de fraude a través de Bizum no se deben a fallos de seguridad. En la mayoría de incidentes los estafadores persuaden a los clientes para pedirles sus datos bancarios.
Una de las estafas más comunes es la de enviar una solicitud de pago por la compra de objetos de segunda mano a través de páginas como Milanuncios.
👮♀️El Grupo de Delitos Tecnológicos de @policia de La Rioja alerta del incremento de estafas por Bizum
‼️ Estafa más extendida 👉un supuesto comprador, en vez de realizar un pago por la compra de objetos, envía solicitud de dinero para que su víctima sea quien abone ese importe pic.twitter.com/Mn8IGOnIrp
— Delegación del Gobierno de España en La Rioja (@DelegGobRIO) May 6, 2021
Otra estafa común es el vishing, un fraude que se realiza a
través de una llamada telefónica con el objetivo de conseguir datos personales
o bancarios de una persona.
Por último, una estafa de la que ya alertó la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), son las llamadas que suplantan a la Seguridad Social haciendo creer a las víctimas que les llegarán cargos a usuarios a través de Bizum.
Se recibe una llamada fraudulenta de un supuesto funcionario de la Seguridad Social con la excusa de devolver una cantidad de dinero, por ejemplo, por tener hijos a cargo o maternidad. A veces no se detalla el motivo.
Los ciberdelincuentes suelen usar la solicitud de envío de dinero en sus estafas.
En la comunicación se requiere el uso de Bizum porque el ciberdelincuente envía al usuario una notificación a través de ella. El remitente puede llegar a aparecer como TGSS, para dar mayor credibilidad. El engaño viene cuando la solicitud que se recibe no es para un pago, sino que se trata de una petición de cobro. Si la persona no se da cuenta y lo acepta, se le realizará un cargo.
Si se ha sido víctima de estafa a través de Bizum, lo primero que hay que hacer es contactar directamente con el banco para tomar las medidas de seguridad que correspondan y así evitar que se realicen cargos adicionales e interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Agencia Española de Protección de Datos.
No obstante, CaixaBank tendrá que desinvertir parte de su capital en la fintech con el objetivo de cumplir con los estatutos de la empresa, pues al absorber Bankia se ha sumado el 23% de CaixaBank con el 11% de la entidad madrileña, resultando un 33,4% del capital, muy por encima del 24% de límite.
Según indica la asociación de consumidores, hasta la fecha, las tres multas más altas impuestas por organismos a empresas denunciadas por FACUA son los 6,23 millones que aplicó la Junta de Andalucía a Movistar en 2016 por la subida de sus tarifas Fusión después de haber anunciado que mantendría los mismos precios «para siempre», la resuelta ahora por la AEPD a Caixabank y los 3,15 millones impuestos por el Gobierno andaluz a Unicaja por sus cláusulas suelo.
En la resolución, la AEPD requiere a la entidad CaixaBank para que, «en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI».
Caixabank todavía puede interponer un recurso de reposición ante la directora de la Agencia Española de Protección de Datos o presentar directamente un recurso contencioso-administrativo ante la sala de lo contencioso-administrativo de la Audiencia Nacional.
El origen de la sanción
FACUA presentó una denuncia contra Caixabank ante la Agencia
en marzo de 2019, en la que indicaba que el Contrato Marco incluía una serie de
condiciones que podían vulnerar la normativa de protección de datos.
En concreto, la asociación consideraba que el texto de la entidad imponía a los consumidores el consentimiento al tratamiento de sus datos personales y la cesión de sus datos a terceras empresas con las que podrían no tener relación.
Así, FACUA indicaba que, dado que este contrato era de adhesión -esto es, sin capacidad de que el usuario lo modifique-, esta imposición unilateral conllevaba la vulneración del tratamiento de los datos personales de los clientes del banco.
En este sentido, la asociación recogía en la denuncia que
Caixabank vulneraba el artículo 6 del RGPD, que recoge las condiciones que se
deben cumplir para considerar lícito el tratamiento de los datos personales de
los usuarios.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de cinco millones de euros a BBVA por tres vulneraciones del Reglamento General de Protección de Datos (RGPD).
En concreto, le ha impuesto una sanción de tres millones de euros por una infracción muy grave del artículo 6 del RGPD, en cuanto a la fórmula utilizada para recabar el consentimiendo de sus clientes, y otra de dos millones por una infracción leve al haber vulnerado los artículos 13 y 14, referidos a los datos obtenidos de los interesados.
Según informa la AEPD, la política de privacidad de la entidad bancaria no era clara y vulneraba el principio de legitimación. Es decir, no captaba bien los consentimientos y las bases jurídicas utilizadas para determinados tratamientos no eran correctos.
Además, la resolución de la Agencia impone una serie de medidas coercitivas que obligan a BBVA a reformular en un plazo de seis meses su sistema de gestión de protección de datos en relación con el deber de información y obtención del consentimiento.
BBVA puede interponer un recurso de reposición ante la AEPD y acudir a la Audiencia Nacional en vía contenciosa para recurrir la sanción.
La sanción más alta de la historia de la AEPD
Se trata de la multa más alta de la historia impuesta por la Agencia. Hasta ahora, la sanción más elevada había sido contra Facebook, de 1,2 millones de euros, al constatar que la red social recopilaba, almacenaba y utilizaba datos, incluso los especialmente protegidos, para fines publicitarios sin el consentimiento de los usuarios.
Con esta resolución la AEPD se alinea con el resto de autoridades de protección de datos europeas, que ya han impuesto multas similares a otras entidades y multinacionales por vulneraciones de la normativa de protección de datos.
