De bank ging volgens de privacytoezichthouder de fout in met het onrechtmatig verwerken van klantgegevens en het onvoldoende informeren van klanten over de verwerking van persoonsgegevens. Klanten werden gedwongen om een nieuw privacybeleid te accepteren waarbij hun persoonlijke gegevens werden gedeeld met alle bedrijven van de CaixaBank Group. Klanten konden zich hier niet eenvoudig voor afmelden, maar moesten alle bedrijven die onderdeel van de bankgroep uitmaken apart aanschrijven. Volgens de toezichthouder was dit een disproportionele maatregel.

Verder bleek dat de informatie in het privacybeleid te kort schoot en onvoldoende duidelijk maakte welke persoonlijke data werd verwerkt en op wat manier. De door de bank verzamelde informatie bleek voor meer doeleinden te worden gebruikt dan oorspronkelijk was vermeld. Door de klantdata met andere bedrijven binnen de bankgroep te delen gebeurde dit zonder de vereiste toestemming en was daarom onrechtmatig.

De bank overtrad in totaal drie artikelen van de AVG, concludeerde de databeschermingsautoriteit. Gezien de omvang van de bank en de ernst van de overtredingen vond de toezichthouder een boete van 6 miljoen euro op zijn plaats. De Spaanse privacytoezichthouder deelde de afgelopen jaren zo’n 180 AVG-boetes uit. De meeste boetes zijn lager dan 100.000 euro. Afgelopen december kreeg de Banco Bilbao de tot dan toe hoogste boete opgelegd, namelijk 5 miljoen euro.

Lees meer op security.nl