El Boletín Oficial del Estado (BOE) publica este 18 de abril la multa que la Agencia de Protección de Datos ha impuesto a CaixaBank por importe de 5 millones de euros por infringir varios artículos del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), ley de obligado cumplimiento para todas las empresas que operan en la Unión Europea.
En concreto, la entidad ha recibido tres sanciones, una de 2 millones de euros y dos de 1,5 millones de euros, por incumplir tres artículos del citado Reglamento.
La primera de las multas, de 2 millones de euros, se basa en el incumplimiento por parte de CaixaBank del artículo 5.1.f del RGPD (LA LEY 6637/2016), en el que se exige que los datos personales la confidencialidad e integridad en el tratamiento de los datos personales.
Asimismo, la Agencia ha impuesto una multa de 1,5 millones al banco por infringir el artículo 25 del Reglamento, en el que se obliga al responsable del tratamiento de los datos a aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, para aplicar de forma efectiva los principios de protección de datos y proteger los derechos de los interesados.
Dicho artículo exige además al responsable del tratamiento de los datos garantizar que sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos, así como que los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
La tercera de las multas a CaixaBank, también por importe de 1,5 millones de euros, se debe al incumplimiento del artículo 32 del RGPD (LA LEY 6637/2016), en el que se obliga al responsable y encargado del tratamiento de datos a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, y la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
Por ley, la Agencia de Protección de Datos está obligada a publicar en el BOE las sanciones a personas jurídicas superiores al millón de euros.