La DPA espagnole (AEPD) a condamné Banco Bilbao Vizcaya Argentaria, SA à une amende de 5 000 000 EUR pour violation de l'art. 6 RGPD (3.000.000 EUR) et art. 13 RGPD (2000000 EUR). La banque n'avait pas mis en place de mécanisme spécifique pour obtenir le consentement des clients pour traiter leurs données. En outre, il n'a pas utilisé de terminologie précise dans sa politique de confidentialité et n'a pas non plus fourni d'informations adéquates sur le type de données personnelles susceptibles d'être traitées. En particulier, l'AEPD note que la finalité et la base juridique du traitement des données ne sont pas suffisamment identifiables dans la déclaration de confidentialité.