En una frase. El sector bancario acumula el 18% del importe sancionador AEPD con CaixaBank (6 M EUR), BBVA (5 M EUR) y Santander como protagonistas, principalmente por información insuficiente sobre scoring crediticio y deficiencias en atención a derechos.
Puntos clave
- CaixaBank: 6 M EUR en 2021 — sanción récord del sector bancario español.
- BBVA: 5 M EUR en 2020 por información inadecuada sobre tratamientos.
- Santander, Bankinter, Sabadell también sancionados por importes superiores a 500.000 EUR.
- Infracciones recurrentes: scoring opaco, decisiones automatizadas sin art. 22 RGPD, asnef.
- Acceso indebido de empleados a cuentas de famosos o clientes VIP: sanción típica.
1. Por qué el sector bancario es objetivo prioritario
Los bancos tratan datos financieros sensibles, aplican scoring automatizado, comparten información con bureaus de crédito y operan redes de cajeros y banca online. La AEPD considera el sector “infrastructura crítica” desde el punto de vista de protección de datos y aplica importes elevados como efecto disuasorio. Importe medio por expediente: 250.000-600.000 EUR.
2. CaixaBank: la sanción récord de 6 M EUR
Procedimiento PS/00477/2019 resuelto en 2021. CaixaBank fue sancionada por dos infracciones: 4 M EUR por base jurídica inadecuada (art. 6 RGPD) en el tratamiento de datos para scoring crediticio y 2 M EUR por información insuficiente (art. 13 RGPD). La AEPD criticó la “complejidad innecesaria” de la política de privacidad y la falta de información clara sobre los tratamientos de elaboración de perfiles.
3. BBVA: 5 M EUR por información deficiente
Procedimiento PS/00070/2020 sancionó al BBVA con 5 M EUR por dos infracciones: 3 M EUR por información insuficiente (art. 13 RGPD) y 2 M EUR por base jurídica inadecuada (art. 6 RGPD). La AEPD señaló que la información facilitada no permitía al cliente comprender los tratamientos realizados, especialmente los de marketing y elaboración de perfiles.
4. Tabla comparativa de sanciones bancarias
| Entidad | Importe (EUR) | Año | Motivo principal |
|---|---|---|---|
| CaixaBank | 6.000.000 | 2021 | Información + base jurídica |
| BBVA | 5.000.000 | 2020 | Información insuficiente |
| BBVA | 1.500.000 | 2025 | Atención derechos deficiente |
| Banco Santander | 540.000 | 2022 | Inclusión indebida Asnef |
| Bankinter | 250.000 | 2023 | Cesión sin base jurídica |
| Sabadell | 200.000 | 2024 | Información insuficiente |
| ING | 175.000 | 2023 | Brecha sin notificar 72h |
| Wizink | 65.000 | 2024 | Acceso indebido empleado |
5. Scoring crediticio: el gran agujero
El art. 22 RGPD exige información específica sobre la lógica aplicada, la importancia y las consecuencias previstas en decisiones automatizadas. La AEPD considera que las políticas bancarias genéricas no cumplen este requisito. Recomendación: documento separado sobre scoring que explique variables, ponderaciones aproximadas y derecho a intervención humana.
6. Inclusión indebida en Asnef
Los bancos generan el 35% de las inscripciones en Asnef. La AEPD exige deuda cierta, vencida, exigible, requerimiento previo fehaciente y proporcionalidad del importe respecto al perjuicio. Importes inferiores a 50 EUR rara vez justifican inscripción. Sanciones típicas: 50.000-200.000 EUR por inscripción improcedente.
7. Acceso indebido a cuentas
Empleados que consultan cuentas de famosos, parejas, exparejas o vecinos generan sanciones inmediatas. El banco es responsable conforme al art. 4.7 RGPD aunque el acceso fuera no autorizado. Casos típicos en 2024-2025: Santander, BBVA, Sabadell por importes entre 30.000 y 150.000 EUR. La medida correctiva exigida: logs de acceso con alertas automáticas y revisión periódica.
8. Decisiones automatizadas y art. 22 RGPD
Concesión o denegación de crédito por algoritmo es decisión automatizada del art. 22 RGPD. Requiere consentimiento explícito o ser necesaria para celebrar el contrato, información sobre la lógica, derecho a obtener intervención humana, expresar punto de vista e impugnar. La AEPD ha sancionado a Wizink y a varias fintech por incumplir este artículo.
9. Brechas de seguridad en banca
Las brechas en el sector financiero requieren notificación AEPD en 72 horas (art. 33 RGPD) y comunicación a clientes cuando haya alto riesgo (art. 34). ING fue sancionada con 175.000 EUR en 2023 por notificación tardía de un incidente que afectó a 12.000 clientes. Banco de España coordina con AEPD bajo el Reglamento DORA desde enero 2025.
10. Cómo cumplir el RGPD en banca
- Política de privacidad por capas con información clara sobre scoring.
- Registro de actividades por línea de negocio con análisis de bases jurídicas.
- DPO con dependencia funcional del Consejo y reporte trimestral.
- Logs de acceso con alertas automáticas y revisiones periódicas.
- Procedimiento de notificación de brechas en 72h con plantilla preformateada.
- Auditoría RGPD anual con muestreo de expedientes y procesos.
FAQ
¿Cuál es la sanción más alta a un banco en España?
CaixaBank: 6 M EUR en 2021. BBVA: 5 M EUR en 2020.
¿El scoring crediticio cumple el RGPD?
Solo si se informa específicamente sobre la lógica, importancia y consecuencias previstas (art. 22 RGPD), y se ofrece intervención humana, expresión de punto de vista e impugnación.
¿Puedo pedir mis datos al banco?
Sí. El derecho de acceso (art. 15 RGPD) permite obtener copia de los datos tratados, incluidos los de scoring y categorización comercial.
¿Qué hacer si un empleado del banco accede a mi cuenta sin motivo?
Reclamar al DPO del banco y, si no hay respuesta satisfactoria en 30 días, denunciar ante la AEPD. Posibilidad de acción civil por daños.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial