Protección de Datos multa a CaixaBank y a Iberdrola por no proteger la información personal de sus clientes

Sede corporativa de CaixaBank en Barcelona. EP

La Agencia Española de Protección de Datos (AEPD) ha impuesto multas millonarias a CaixaBank (5 millones), a Iberdrola (3 millones) y a su filial i-DE Redes Inteligentes (3,5 millones) por no proteger de forma adecuada la confidencialidad de los datos personales de sus clientes.

En el caso de las multas a la entidad bancaria, y que suman 5 millones de euros, se trata de una de las sanciones más importantes por su cuantía de las que ha impuesto el organismo que vela por la adecuada protección de los datos personales desde su nacimiento hace más de treinta años, que ha tipificado este caso como una infracción "grave".

De estas sanciones, impuestas durante los últimos meses, se hace eco este jueves el Boletín Oficial del Estado, donde se publican las multas superiores a un millón de euros, y en el mismo aparecen además las sanciones que se han impuesto a Iberdrola (de 3 millones de euros) y a la distribuidora i-DE Redes Inteligentes del grupo Iberdrola (de 3,5 millones de euros), por incumplir también la normativa de protección de datos.

El procedimiento contra la entidad CaixaBank se inició hace dos años, después de que un cliente denunciara que no se había respetado la confidencialidad de los datos de carácter personal, tras comprobar que en su "área personal" figuraba un documento relativo a una transferencia realizada por un tercero a otra persona desconocida.

En ese documento aparecían numerosos datos personales, como el DNI, domicilio postal o el número de cuenta bancaria, según figura en la resolución de la Agencia Española de Protección de Datos, a la que ha tenido acceso EFE y en la que se pone de relieve que hubo una "brecha" de datos personales.

A estas sanciones, que suman 5 millones de euros, se añade otra, esta vez nueva, de dos millones de euros que la AEPD acaba de imponer a la misma entidad bancaria por incumplir la legislación que regula la protección de los datos personales.

En este caso, la Agencia actuó tras la denuncia de un cliente por un documento que recibió de este banco con un extenso formulario en el que constan todos sus datos personales y bancarios y que incluía una cláusula según la cual el cliente autorizaba expresamente a CaixaBank a solicitar sus datos a la Tesorería General de la Seguridad Social.

El denunciante puso en conocimiento de la Agencia Española de Protección de Datos que en ningún momento se daba la opción al cliente de expresar su negativa a esa solicitud y que por lo tanto ese consentimiento venía "preestablecido".

La Agencia Española de Protección de Datos ha corroborado en su resolución la "intencionalidad, gravedad y duración" de esa infracción, ya que esos hechos afectaron a todos los clientes (más de tres millones) desde la adhesión de CaixaBank al convenio con la Tesorería General de la Seguridad Social en abril de 2021 para la prevención del blanqueo de capitales y de la financiación del terrorismo.

En este último caso, CaixaBank ha abonado ya 1,2 millones de euros, tras acogerse a una reducción de la sanción inicial (de dos millones) al asumir su responsabilidad y proceder de forma voluntaria al pago.

Brecha de seguridad

El BOE publica además la sanción que ha impuesto la Agencia de Protección de Datos a la compañía Iberdrola, de tres millones de euros, por una "brecha de seguridad" que se produjo en marzo de 2022 y que afectó a más de un millón de clientes de la empresa tras sufrir varios ciberataques.

El ciberataque afectó a datos personales de los clientes de varias empresas de Iberdrola, ya que se dirigió contra un sistema en el que se almacenaban las bases de datos de varias compañías del mismo grupo, y el atacante pudo aprovechar las vulnerabilidades de esas bases para acceder a las de otras empresas del grupo, lo que afectó a la confidencialidad de los datos personales de miles de clientes.

En otra resolución, de la que se hace eco también el BOE hoy, la Agencia Española de Protección de Datos ha impuesto dos sanciones que suman 3,5 millones de euros a la empresa i-DE Redes Eléctricas Inteligentes, del grupo Iberdrola, por la brecha de seguridad de los datos personales de sus clientes que se produjo durante el mismo ciberataque, ocurrido en marzo de 2022.

En este caso el número de afectados fue de 1,3 millones de clientes de esta sociedad, y los datos que se vieron expuestos durante esa "brecha de seguridad" fueron, entre otros, los nombres y apellidos, las direcciones de correo electrónico, los teléfonos, la dirección postal o el número del DNI.