La entidad está estudiando recurrir esta sanción ante la Audiencia Nacional
MADRID, 21 (EUROPA PRESS)
La Agencia Española de Protección de Datos ha impuesto una sanción de 70.000 euros a CaixaBank Payments & Consumer, filial al 100% de CaixaBank, por tratar los datos personales de un usuario “sin legitimación”, según se desprende de la resolución consultada por Europa Press.
Se trata de una sanción impuesta después de que un cliente de la financiera, con la que había suscrito un contrato de una tarjeta de crédito ‘Visa Classic Club Ahora’, trasladara a Protección de Datos que esta entidad, a través de empresas de recobro, le reclamaba el pago de una deuda que quedó anulada por sentencia judicial de mayo de 2019. Todo ello a pesar de que incluso CaixaBank indicase que procedía al cese de las reclamaciones de la deuda.
En concreto, la sentencia declaraba la nulidad, por usuraria, del contrato de la tarjeta de crédito, por lo que el cliente solo estaba obligado a entregar la suma recibida, pero no los intereses y gastos. Así, en septiembre de 2020, el reclamante ingresaba el capital prestado dispuesto y los intereses legales desde la fecha de la sentencia en la cuenta del juzgado que emitió dicha decisión. En noviembre de 2020, el juzgado notificó a CaixaBank Payments & Consumer el pago por parte del usuario.
Para la reclamación, el usuario aportó una carta del Grupo CaixaBank, fechada el 24 de diciembre de 2020, en contestación a su queja y en la que verificaba la nulidad del contrato y daba órdenes para el cese de las reclamaciones de impago. Sin embargo, el cliente señala que a fecha de 23 de julio de 2021 recibió un SMS de la empresa de recobro, en nombre de CaixaBank Payments & Consumer, reclamando el pago de la deuda.
Por su parte, la financiera rechaza que la deuda quedara “anulada (como erróneamente dice el reclamante), ni que se haya seguido reclamando una deuda ya pagada “como también equivocadamente indica esa agencia”. Además, defiende que los datos de carácter personal referentes al contrato de tarjeta suscrito “fueron objeto de cancelación/supresión y se conservan bloqueados a disposición únicamente de esa agencia [en referencia a Protección de Datos] u otros órganos administrativos o judiciales, en cumplimiento de lo previsto en la normativa aplicable en materia de protección de datos de carácter personal”.
Igualmente, afirma que el acuerdo de apertura del proceso sancionador está “viciado de nulidad” por la “indefensión” que le ha generado que la agencia haya fijado en él el importe de la sanción, en lugar de expresar solo los límites de la posible sanción y afirma que en un procedimiento similar, instruido por Protección de Datos a CaixaBank Payments & Consumer, se dictó […], con fecha 28 de octubre de 2022, resolución de archivo de actuaciones.
“La Administración no puede alzarse contra sus anteriores criterios o decisiones, expresados en actos anteriores, pues queda vinculada por tales actos”, expresa en su defensa la entidad.
Sin embargo, Protección de Datos afirma que el acuerdo de apertura se ajusta al artículo 68 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, y rechaza que este procedimiento sea similar al dictado en octubre de 2022, ya que en ese “no consta que empresas de recobro estuvieran reclamando la deuda pendiente después de su pago”.
Además, la agencia afirma que la falta de diligencia de la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos personales es “evidente”. “Un cumplimiento diligente del principio de licitud en el tratamiento de datos de terceros requiere que la responsable del tratamiento esté en condiciones de probarlo (principio de responsabilidad proactiva)”, añade al respecto.
Con las “evidencias” de las que dispone, Protección de Datos considera que la conducta de CaixaBank Payments & Consumer podría vulnerar el artículo 6.1 del Reglamento General de Protección de Datos, agravado por ausencia de diligencia y la “evidente vinculación” entre la actividad empresarial de la entidad y el tratamiento de datos personales de clientes o de terceros. Por ello, impone a la entidad una sanción de 70.000 euros.
La entidad está estudiando recurrir esta multa ante la Audiencia Nacional, ya que Protección de Datos se habría confundido con el emisor del SMS, que no sería la financiera, sino CaixaBank, y que este mensaje sería por un descubierto en la cuenta del reclamante por no disponer de saldo para el cobro de la cuota de mantenimiento de la tarjeta, y no por la deuda pendiente de la tarjeta en sí, según han informado fuentes del banco a Europa Press.