Amendă în valoare de 3 000 000 de euro aplicată de către Agenția Spaniolă de Protecție a Datelor companiei CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. pentru lipsa consimțământului specific și informat cu privire la profilarea în scopuri comerciale
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 3 000 000 de euro, aplicată de către Agenția Spaniolă de Protecție a Datelor (ASPD) companiei CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. pentru lipsa consimțământului specific și informat cu privire la profilarea în scopuri comerciale.
O investigație a fost inițiată ca urmare a mai multor indicii că ar putea exista o practică incorectă în ceea ce privește profilarea automată și luarea deciziilor de către operator în contextul activității sale comerciale (operatorul este o instituție financiară și o instituție de plată).
CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. este o entitate care acționează ca o instituție financiară și o instituție de plată a cărei activitate constă în comercializarea de carduri de credit sau de debit, conturi de credit cu sau fără card.
În cadrul activității sale comerciale, Caixabank realizează profiluri în următoarele scopuri:
· Analiza riscului de neplată la solicitarea unui produs;
· Analiza riscului de neîndeplinire a obligațiilor de plată în timpul solicitării unui produs;
· Selectarea publicului țintă.
Consimțământul este solicitat în diferitele canale ale prescriptorilor și agenților în scopuri de studiu și profilare. Astfel, consimțământul este solicitat în următorii termeni: „Autorizez Grupul CaixaBank să-mi folosească datele în scopuri de studiu și profilare”. Persoanei interesate i se furnizează numai informații generice și cu aceste informații persoana interesată nu poate ști exact la ce fel de prelucrare își dă acordul și nu există nicio prevedere pentru ca persoana în cauză să-și exprime alegerea în toate scopurile pentru care sunt prelucrate datele.
În acest context, ASPD a impus companiei CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U o amendă în valoare de 3 000 000 de euro și a dispus operatorului să aducă operațiunile de prelucrare în conformitate cu prevederile GDPR în termen de șase luni de la această decizie.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.