La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 500.000 euros a CaixaBank por infringir el artículo 25 del Reglamento General de Protección de Datos (RGPD), al constatar que el diseño de su Servicio de Atención al Cliente (SAC) no previno el envío recurrente de datos personales a destinatarios equivocados.
EN 30 SEGUNDOS
- ¿Qué ha resuelto la AEPD? Ha sancionado a CaixaBank con 500.000 euros (reducidos a 400.000 por pago voluntario) por incumplir el principio de privacidad desde el diseño exigido por el artículo 25 del RGPD.
- ¿Qué base jurídica aplica? El artículo 25 del RGPD, que obliga a las organizaciones a integrar medidas técnicas y organizativas adecuadas para garantizar los principios de protección de datos desde la fase de diseño del tratamiento.
- ¿Qué impacto tiene? La resolución obliga a la entidad a presentar en nueve meses un informe detallado con las mejoras en el SAC, y fija un estándar de responsabilidad proactiva para todos los sistemas automatizados que manejan datos personales.
Los hechos: envíos erróneos recurrentes y falta de detección interna
El procedimiento sancionador, con número de expediente EXP202312854, se inició a raíz de dos reclamaciones concretas. Un cliente recibió por error, como respuesta a una solicitud al SAC, un correo con datos relativos a un contrato de un tercero que incluían información sensible sobre su situación financiera y su DNI. La exposición de estos datos a una persona ajena vulneró directamente la confidencialidad. Otro cliente obtuvo documentación privada de dos personas distintas —una referente a deudas y otra a un código de buenas prácticas hipotecarias— tras haber tramitado dos reclamaciones propias.
CaixaBank alegó que los incidentes se debían a meros «errores humanos puntuales» y defendió que el SAC cumplía las normativas bancarias y contaba con medidas preventivas. Sin embargo, la AEPD acreditó que existían brechas similares en años anteriores y que, alarmantemente, el 60% de aquellas brechas fueron detectadas por terceros ajenos al banco —clientes afectados o el Banco de España— y no por los sistemas internos de detección de la entidad. La propia capacidad del SAC para cruzar erróneamente expedientes y enviar datos a destinatarios equivocados demostró un defecto estructural que excedía la simple negligencia individual.
La sanción: 500.000 euros y un plan de mejora obligatorio
La Autoridad concluyó que el banco incumplió el artículo 25 del RGPD al no haber integrado en la fase de diseño del SAC medidas técnicas y organizativas que minimizaran el riesgo de error humano. La resolución propone una multa de 500.000 euros, cifra que quedó finalmente en 400.000 euros al acogerse la entidad al pago voluntario con una reducción del 20%. No obstante, la carga económica no fue la única consecuencia: la AEPD impuso a CaixaBank la obligación de presentar, en el plazo máximo de nueve meses, un informe detallado sobre la revisión integral del SAC y las mejoras implantadas para garantizar el cumplimiento permanente del artículo 25.
Esta medida correctora implica una supervisión activa sobre el rediseño de los flujos de datos en los canales de atención al cliente, con especial atención a los mecanismos de verificación de destinatarios y a la trazabilidad de la información sensible. La resolución convierte la privacidad desde el diseño en un mandato práctico y verificable.
La AEPD interpreta que el simple establecimiento de protocolos y la formación de empleados no satisfacen el artículo 25 del RGPD cuando los sistemas no están concebidos para evitar que los errores humanos provoquen la exposición recurrente de datos personales.
La lectura doctrinal
La resolución del expediente EXP202312854 construye una interpretación del artículo 25 que eleva el estándar de responsabilidad proactiva para todos los responsables del tratamiento. El Reglamento General de Protección de Datos no solo exige que se cumplan los principios de licitud, lealtad y transparencia en cada operación, sino que obliga a que el propio diseño del tratamiento esté alineado con esos principios. La AEPD subraya que la reiteración de brechas detectadas externamente es un síntoma inequívoco de que las medidas técnicas y organizativas han fallado en origen.
En la práctica, esta línea doctrinal sitúa el foco en la auditoría de los sistemas de detección temprana de errores. No basta con documentar procedimientos ni impartir cursos de formación; es necesario que los flujos de información incluyan barreras automáticas que impidan, o al menos minimicen, la remisión de datos a personas equivocadas. Si un proceso muestra una tasa de error recurrente con impacto en los datos personales, el RGPD impone rediseñarlo, y no limitarse a gestionar las incidencias una vez ocurridas.
Esta visión de la responsabilidad desde el diseño tiene un antecedente en la doctrina del Tribunal de Justicia de la Unión Europea sobre la efectividad del sistema de protección, pero la AEPD la aterriza en el ámbito administrativo español. Al exigir un plan de mejora detallado y con plazos, la resolución inaugura una fórmula de cumplimiento supervisado que probablemente se replicará en futuros expedientes contra entidades que operan a gran escala. Para los juzgados de primera instancia que revisen futuros recursos, el criterio de la Agencia se convierte en una referencia técnica de peso, aunque formalmente no constituya jurisprudencia.
La resolución refuerza, en definitiva, la idea de que la privacidad desde el diseño es un principio medible y aplicable, no una declaración de intenciones. Cualquier organización que dependa de sistemas automatizados para la atención al cliente debe revisar si sus herramientas son capaces de detectar desviaciones internamente, sin esperar a que las notifiquen los afectados.
FICHA DEL CASO
- El caso: Expediente AEPD EXP202312854, iniciado por dos reclamaciones contra CaixaBank por el envío erróneo de datos personales a través de su Servicio de Atención al Cliente (SAC).
- Datos importantes: Sanción inicial de 500.000 euros por infracción del artículo 25 del RGPD, reducida a 400.000 euros por pago voluntario. Obligación de presentar un plan de mejora en nueve meses. El 60% de brechas previas fueron detectadas por terceros ajenos a la entidad.
- Fecha de los juicios: Apertura del procedimiento sancionador en abril de 2025; resolución de la AEPD en junio de 2026. Plazo de nueve meses para la entrega del informe de mejora.
- Personas acusadas y por qué: N/A (sanción administrativa impuesta a una persona jurídica).
