Une amende de 6 millions d’euros a été infligée à la CaixaBank pour des infractions au RGPD, une sanction similaire à celle reçue par BBVA en décembre dernier.
Le régulateur espagnol a constaté que le traitement des données s’est effectué sans base légale appropriée et sans que les clients de la banque aient été suffisamment informés. Deux manquements à la loi pour la protection des données personnelles que l’Autorité espagnole sanctionne indépendamment :
- Une amende de 4 millions d’euros pour la non-conformité du traitement des données d’environ 15 millions de clients ;
- Une amende de 2 millions d’euros pour violation du principe de transparence du RGPD et l’omission de fournir aux clients des informations sur les données obtenues directement et indirectement.
En signant la politique de confidentialité de l’établissement bancaire, les clients ont donné leur autorisation pour le transfert de leurs données personnelles à d’autres sociétés du groupe sans avoir la possibilité de s’y opposer. La seule manière dont les personnes concernées auraient pu refuser le transfert de leurs données aurait été de contacter chaque filiale du groupe.
Il s’agit de la plus grosse amende infligée par l’AEPD. Selon Linklaters, plus de 250 amendes et avertissements ont été émis par l’AEPD en 2020, pour un montant moyen d’environ 50.000 euros. Les amendes beaucoup plus élevées infligées à la CaixaBank, et avant elle à BBVA, démontrent un changement dans l’approche du régulateur en matière d’application du RGPD.
Les deux banques ayant fait appel, le régulateur se trouve confronté à l’un des premiers grands défis dans l’application de la loi en Espagne.