L’autorité espagnole de protection des données (AEPD) a infligé une amende totale de 6.000.000 EUR à CAIXABANK, S.A., pour :
- traitement illégal des données personnelles de ses clients (4.000.000 EUR) ; et
- ne pas avoir fourni une information suffisante concernant le traitement des données personnelles (2.000.000 EUR).
Outre l’amende administrative, la plus élevée jamais imposée par l’AEPD , l’Autorité de Contrôle a ordonné à CAIXABANK de mettre ses opérations de traitement en conformité avec les articles 6, 13 et 14 du GDPR dans les six prochains mois.
1. Absence de base légale pour le traitement des données personnelles (amende de 4M€)
Selon les conclusions de l’AEPD, la CAIXABANK n’a pas recueilli le consentement des personnes concernées conformément aux exigences du RGPD.
En effet, l’Autorité de contrôle rapporte qu’il n’y avait pas de mécanisme pour recueillir le consentement de la personne concernée et que, par conséquent, il ne remplissait pas les conditions d’un consentement conforme au GDPR.
En outre, les activités de traitement fondées sur l’intérêt légitime de l’entreprise n’étaient pas suffisamment justifiées, en particulier la relation entre l’activité de l’entreprise et le traitement des données à caractère personnel.
L’AEPD a considéré que la CAIXABANK avait violé l’article 6 du RGPD, et sur cette base, a imposé une amende administrative de 4.000.000 EUR.
2. Information insuffisante (amende de 2M€)
L’AEPD a considéré que la mention d’information n’était pas assez précise concernant :
- les catégories de données à caractère personnel concernées (ce qui n’est une exigence que dans le cadre de l’article 14 lorsque les données ne sont pas directement fournies par la personne concernée) ;
les finalités du traitement ; et
- la base juridique du traitement, notamment en ce qui concerne les activités de traitement fondées sur l’intérêt légitime de l’entreprise.
En conséquence, l’AEPD a conclu que la CAIXABANK avait violé les articles 13 et 14 du GDPR et lui a infligé une amende de 2.000.000 EUR.
