La DPA espagnole (AEPD) a condamné Caixabank SA à une amende de 6 000 000 EUR pour violation de l'art. 6 RGPD, art. 13 RGPD et art. 14 RGPD. Les clients de la banque étaient censés accepter de nouvelles politiques de confidentialité permettant au responsable du traitement de transférer les données personnelles des clients à toutes les sociétés du groupe CaixaBank. Dans le même temps, les personnes concernées n'ont pas eu la possibilité de ne pas expressément consentir à ce transfert. Au lieu de cela, s'ils souhaitaient ne pas être d'accord avec le transfert de leurs données, ils étaient tenus d'envoyer une lettre de désaccord à chaque entreprise du groupe. La DPA a conclu que la banque avait violé ses obligations d'information telles que définies à l'art. 13 RGPD et art. 14 RGPD, car les informations fournies aux clients dans le cadre de la politique de confidentialité n'étaient pas cohérentes, contenaient une terminologie imprécise et ne fournissaient pas suffisamment d'informations sur le type de données personnelles traitées et la nature du traitement. En outre, les informations sur les droits des personnes concernées ainsi que les coordonnées du responsable du traitement n'ont pas été fournies de manière cohérente. En outre, la DPA note que le responsable du traitement a traité les données de ses clients au-delà de ses intérêts légitimes, en partie sans base légale, et que le consentement qu'il a obtenu des clients ne répondait pas aux exigences d'un consentement effectif. De plus, des carences dans les procédures de l'entreprise lui ont permis d'obtenir le consentement des clients pour traiter leurs données personnelles. La DPA conclut en outre que, par conséquent, les données ont été illégalement transférées aux sociétés du groupe CaixaBank. Cela constitue une violation de l'art. 6 RGPD.