La AEPD impone una sanción de 3,5 millones de euros a Caixabank por una brecha de seguridad

Comparte

Ha sido publicada en la web de a Agencia Española de Protección de Datos (AEPD) una resolución que data del día 12 de diciembre de 2024, mediante la cual se impone a Caixabank, S.A., una multa de 3,5 millones de euros por infracción del principio de seguridad del tratamiento (artículo 5.1.f) del Reglamento General de Protección de Datos) y del principio de privacidad desde el diseño y por defecto (artículo 25 del Reglamento). 

CaixaBank fue denunciada por permitir que una persona (la madre de una reclamante) accediera a información de cuentas y productos financieros de los reclamantes a través de la banca online de CaixaBank sin la debida autorización. Las reclamantes compartían una cuenta, y la madre de la reclamante tenía acceso a esta cuenta y a otros productos financieros asociados, a pesar de no estar autorizada para ello. La reclamante había manifestado repetidamente su oposición a este acceso no autorizado, pero CaixaBank no tomó medidas efectivas para resolver la situación.

La aplicación de banca online de CaixaBank permitía que una persona autorizada por uno de los titulares de una cuenta conjunta pudiera acceder a los datos de la cuenta sin el consentimiento de todos los titulares. Esto vulnera la protección de datos de los titulares que no han dado su consentimiento. La aplicación de banca online no estableció un procedimiento especial y adecuado para las cuentas con más de un titular, lo que debería incluir la necesidad de obtener el consentimiento de todos los titulares antes de permitir el acceso a terceros. Es por ello por lo que la AEPD considera que la aplicación de banca online de CaixaBank no estaba diseñada adecuadamente para evitar el acceso no autorizado a datos personales, lo que constituye una infracción tipificada como grave, que se suma a la infracción calificada como muy grave del artículo 5.1.f) del reglamento, que obliga a tratar los datos de manera segura y a evitar accesos no autorizados a información personal.

Leer más

Posts relacionados que podrían interesarte

13, marzo 2019

EDPB: «uso de datos personales durante las campañas políticas».

28, septiembre 2023

Pedir el DNI no está justificado sólo por la necesidad de identificación, según la AEPD

26, diciembre 2019

Francia multa a Google con 150.000 euros por prácticas abusivas en su plataforma de anuncios.

25, julio 2024

Meta desvela Llama 3.1, su modelo para competir contra OpenAI y Google

13, mayo 2021

Las webs del Consejo de Seguridad Nuclear, el Tribunal de Cuentas y varios ayuntamientos, inoperativas por un ciberataque

14, septiembre 2023

La CNMC advierte la falta de transparencia de los servicios de atención al cliente de las comercializadoras energéticas