En una frase. El sector financiero concentra las mayores multas de protección de datos en España —CaixaBank fue sancionada con 6 millones de euros y BBVA con 5 millones, ambas por defectos de información y legitimación— porque combina volumen masivo de datos, scoring, perfilado y prevención de blanqueo.
El RGPD banca es un terreno de alto riesgo sancionador. Las entidades financieras tratan datos económicos sensibles de millones de personas, aplican decisiones automatizadas y están sometidas a un mosaico de obligaciones que a veces tiran en direcciones opuestas: la prevención del blanqueo pide recabar y conservar datos, mientras el RGPD pide minimizar. Esta guía ordena los puntos críticos.
Puntos clave
- Las mayores multas AEPD son del sector financiero: CaixaBank 6M EUR y BBVA 5M EUR.
- El scoring y los ficheros de solvencia se regulan en el art. 20 LOPDGDD.
- La prevención de blanqueo (Ley 10/2010) convive con la minimización del RGPD.
- Las decisiones automatizadas con efectos jurídicos exigen garantías del art. 22 RGPD.
- La entidad financiera debe encajar el RGPD con DORA.
1. Por qué la banca acumula las mayores sanciones
Las dos mayores multas de la Agencia Española de Protección de Datos del sector recaen sobre grandes bancos:
| Entidad | Importe | Motivo principal |
|---|---|---|
| CaixaBank | 6.000.000 EUR | Defectos de información y de bases de legitimación |
| BBVA | 5.000.000 EUR | Información deficiente y legitimación de tratamientos |
El patrón es revelador: no las sancionaron por una brecha espectacular, sino por cómo informaban a sus clientes y por qué base jurídica invocaban para cada tratamiento. Es decir, por los cimientos. Cualquier entidad, por grande o pequeña que sea, debería auditar esos dos elementos antes que nada. Analizamos los casos en detalle en el seguimiento de sanciones AEPD a banca y sector financiero.
La razón por la que la información y la legitimación concentran las sanciones es estructural. Un banco realiza decenas de tratamientos distintos sobre un mismo cliente: gestión de la cuenta, tarjetas, seguros vinculados, scoring, prevención del fraude, marketing, cesión a empresas del grupo. Cuando la cláusula informativa mezcla todos esos tratamientos en un texto genérico y ampara el conjunto en una base única y difusa, se incumple el principio de transparencia del art. 5.1.a del Reglamento (UE) 2016/679. La AEPD exige lo contrario: cada finalidad, su base y su información específica. Es un trabajo de granularidad que solo se sostiene con un inventario de tratamientos riguroso, no con una política de privacidad de plantilla.
2. Scoring y ficheros de solvencia
El scoring crediticio y la consulta de ficheros de morosidad (ASNEF, Badexcug) son tratamientos de altísima sensibilidad. El art. 20 LOPDGDD regula los sistemas de información crediticia y exige, entre otras cosas:
- Que la deuda sea cierta, vencida y exigible.
- Requerimiento previo de pago al deudor.
- Notificación de la inclusión en el fichero.
- Antigüedad y calidad de la información.
La inclusión indebida de una persona en un fichero de morosos es una de las conductas que la AEPD sanciona con más constancia, y la responsabilidad recae tanto en quien informa como en quien consulta sin base. Documenta cada consulta y cada comunicación en el registro de actividades de tratamiento.
3. Prevención de blanqueo frente a minimización
La Ley 10/2010 de prevención del blanqueo de capitales obliga a las entidades a identificar a sus clientes, conservar documentación y comunicar operaciones sospechosas. Esta obligación legal es una base válida (art. 6.1.c RGPD), pero no es un cheque en blanco: la entidad debe tratar solo los datos necesarios para cumplir la norma de blanqueo y conservarlos durante los plazos legales, no indefinidamente. El conflicto aparente entre “recabar” y “minimizar” se resuelve delimitando con precisión qué exige cada norma.
En la práctica, esto obliga a documentar por separado el tratamiento de blanqueo del resto. Los datos recabados para diligencia debida (identificación, origen de fondos, titularidad real) no pueden reutilizarse para marketing ni para perfilado comercial: fueron obtenidos para una finalidad legal concreta y usarlos para otra distinta vulnera la limitación de la finalidad del art. 5.1.b RGPD. El Comité Europeo de Protección de Datos (EDPB) ha insistido en que una obligación legal de conservar no habilita a explotar comercialmente esos mismos datos. La entidad que quiera hacer marketing con clientes captados por la vía del blanqueo necesita una base independiente para ese uso.
4. Perfilado, decisiones automatizadas y open banking
La banca moderna perfila a sus clientes para ofrecer productos, calcular riesgo y detectar fraude. Reglas:
- El perfilado comercial exige base válida (normalmente consentimiento o interés legítimo con oposición) e información clara.
- Las decisiones automatizadas con efectos jurídicos o significativos (conceder o denegar un crédito de forma totalmente automática) están sujetas al art. 22 RGPD: derecho a la intervención humana, a expresar el punto de vista y a impugnar la decisión.
- El open banking (PSD2) mueve datos entre entidades y terceros proveedores: cada acceso debe ampararse en el consentimiento del cliente y en el marco de la PSD2, y requiere seguridad reforzada. Los proveedores de pagos deben revisar además el seguimiento de sanciones AEPD a fintech y pagos.
5. Encaje con DORA y régimen sancionador
Desde enero de 2025 se aplica el Reglamento DORA de resiliencia operativa digital, que impone a las entidades financieras obligaciones de gestión del riesgo TIC, reporte de incidentes y control de proveedores. DORA y RGPD se solapan en la seguridad y en la notificación de incidentes: una misma brecha puede disparar la notificación a la AEPD (72 horas, art. 33 RGPD) y el reporte a los supervisores financieros. Revisa el marco en la guía de DORA para entidades financieras españolas.
El régimen sancionador del RGPD llega hasta 20 M EUR o el 4% de la facturación mundial, y el sector financiero es donde más se ha acercado la AEPD a esas cifras. Entender la escala y los criterios de graduación es esencial; lo detallamos en la guía de sanciones RGPD.
Coordinar el RGPD, la normativa de blanqueo y DORA en una entidad financiera exige un inventario de tratamientos y proveedores impecable. Plataformas como Legiscope ayudan a mantener ese inventario y la documentación al día, aunque la función de cumplimiento y el DPO siguen siendo el eje de la gobernanza.
Véase también, para sectores con obligaciones de protección de datos similares: RGPD para despachos de abogados, RGPD para notarías y RGPD para administradores de fincas.
FAQ
¿Por qué el sector financiero tiene las mayores multas de protección de datos?
Porque trata datos económicos de millones de personas, aplica scoring y perfilado y su información y sus bases de legitimación suelen presentar defectos. CaixaBank (6 M EUR) y BBVA (5 M EUR) fueron sancionadas precisamente por deficiencias de información y legitimación, no por una brecha.
¿Puede un banco denegar un crédito con una decisión totalmente automática?
Solo con las garantías del art. 22 RGPD: el cliente tiene derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión, además de recibir información sobre la lógica aplicada.
¿La prevención de blanqueo permite conservar los datos indefinidamente?
No. La Ley 10/2010 fija plazos de conservación; superado el plazo legal, los datos deben bloquearse o suprimirse. La obligación de blanqueo no autoriza un almacenamiento ilimitado.
¿Cómo se relaciona el RGPD con DORA en un banco?
Se solapan en seguridad y notificación de incidentes. Una brecha con datos personales puede obligar a notificar a la AEPD en 72 horas y, a la vez, a reportar el incidente TIC a los supervisores financieros conforme a DORA.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial