Ha sido publicada en la web de a Agencia Española de Protección de Datos (AEPD) una resolución que data del día 12 de diciembre de 2024, mediante la cual se impone a Caixabank, S.A., una multa de 3,5 millones de euros por infracción del principio de seguridad del tratamiento (artículo 5.1.f) del Reglamento General de Protección de Datos) y del principio de privacidad desde el diseño y por defecto (artículo 25 del Reglamento).
CaixaBank fue denunciada por permitir que una persona (la madre de una reclamante) accediera a información de cuentas y productos financieros de los reclamantes a través de la banca online de CaixaBank sin la debida autorización. Las reclamantes compartían una cuenta, y la madre de la reclamante tenía acceso a esta cuenta y a otros productos financieros asociados, a pesar de no estar autorizada para ello. La reclamante había manifestado repetidamente su oposición a este acceso no autorizado, pero CaixaBank no tomó medidas efectivas para resolver la situación.
La aplicación de banca online de CaixaBank permitía que una persona autorizada por uno de los titulares de una cuenta conjunta pudiera acceder a los datos de la cuenta sin el consentimiento de todos los titulares. Esto vulnera la protección de datos de los titulares que no han dado su consentimiento. La aplicación de banca online no estableció un procedimiento especial y adecuado para las cuentas con más de un titular, lo que debería incluir la necesidad de obtener el consentimiento de todos los titulares antes de permitir el acceso a terceros. Es por ello por lo que la AEPD considera que la aplicación de banca online de CaixaBank no estaba diseñada adecuadamente para evitar el acceso no autorizado a datos personales, lo que constituye una infracción tipificada como grave, que se suma a la infracción calificada como muy grave del artículo 5.1.f) del reglamento, que obliga a tratar los datos de manera segura y a evitar accesos no autorizados a información personal.