La Agencia Española de Protección de Datos (AEPD) ha sancionado a Amazon y Caixabank con 8,1 y 2 millones, respectivamente, por incumplir con varios artículos que se encuentran recogidos en el Reglamento General de Protección de Datos. Te explicamos los detalles en este post de Conversia.

¿Por qué la AEPD ha multado a Amazon y Caixabank?

Mediante la resolución de 26 de abril de 2022, de la Agencia Española de Protección de Datos, publicada en el BOE, en el que se dan a conocer las sanciones superiores a un millón de euros impuestas a personas jurídicas, se informa de las infracciones cometidas por estas empresas en materia del RGPD. Así lo establece el apartado 4 del artículo 76 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos digitales: «Será objeto de publicación en el «Boletín Oficial del Estado» la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica».

Por un lado, la Agencia sanciona a Caixabank con una multa que asciende a 6.000.000 de euros, por cometer dos infracciones:

  1. Infracción del artículo 13 y 14 del RGPD, por incumplir el deber de información cuando los datos son obtenidos del interesado o de un tercero, el Responsable del Tratamiento le debe facilitar al interesado información detallada sobre la base jurídica, la identidad y los datos de contacto del responsable, los del Delegado de Protección de Datos, o los fines del tratamiento a los que se destinan.
  2. Infracción del artículo 6 en relación con el 7.4 del RGPD, con respecto a la obtención del consentimiento para fines distintos a los propios del contrato concertado, condicionando su obtención a la exención de comisiones bancarias.

Pero esta no es la primera sanción a la que se enfrenta la entidad bancaria. En marzo de este mismo año, la Agencia impuso una multa por valor de 2.100.000 euros, por infringir varios artículos del reglamento. En aquel entonces, la resolución dictada en el expediente sancionador nº: PS/00226/2020 declaraba la comisión de dos infracciones (la infracción del art. 6 es la misma referida en el apartado anterior):

  1. Infracción del artículo 6 en relación con el artículo 7.4 del RGPD, con respecto a la obtención del consentimiento para fines distintos a los propios del contrato concertado, condicionando su obtención a la exención de comisiones bancarias, tipificada en el artículo 83.5.a) del RGPD, sancionada con una multa por importe de 2.000.000 de euros.
  2. Infracción del artículo 6.1 del RGPD, relativa a la obtención del consentimiento a través de casillas premarcadas, tipificada en el artículo 83.5.a) del RGPD, y castigada con una multa por importe de 100.000 euros.

Tal y como se puede leer en la resolución, la investigación se inició a raíz de una primera reclamación de un cliente de la cuenta ‘ON’ de Bankia, quién comunicó que la entidad financiera le exigía que aceptase todos los consentimientos de tratamientos de datos personales que aparecían ya premarcados o aceptados y que, si elegía que no se cediesen sus datos a terceras empresas, el banco le cobraría una tasa de 5 euros al mes para mantener su cuenta.

Por otro lado, Amazon se enfrenta a una sanción por importe de 2 millores de euros, con relación al artículo 6 del RGPD, relativo a la licitud de tratamiento. Hace unos meses, en este mismo blog, nos hacíamos eco de la noticia de esta sanción de la autoridad de control a una filial de la compañía, Amazon Road Transport Spain, por exigir a las personas candidatas a trabajar como repartidor el certificado de ausencia de antecedentes penales

Adaptarte a la normativa de Protección de Datos es algo más que cubrir el expediente

A estas alturas ya debes tener muy claro lo importante que es cumplir con este marco normativo único y común para todos los Estados miembro de la UE. Obligatoriamente, debes haber revisado tus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a las obligaciones establecidas por el RGPD. Esto es así, incluso, en el caso de que tu entidad estuviera adaptada a la normativa nacional existente.

Además, desde diciembre de 2018, también debes cumplir con la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y, por tanto, realizar actualizaciones sobre las medidas de adecuación y adaptación que hayas llevado a cabo. En Conversia te aportamos un conjunto de actuaciones orientadas a las necesidades específicas de tu actividad, además de formación, seguimiento, auditoría y, en consecuencia, la máxima garantía de una verdadera adecuación a la normativa. Contacta con nosotros y te asesoraremos sin compromiso.