Blog

La AEPD sanciona a una importante entidad bancaria con 500.000 euros por deficiencias en el diseño de su Servicio de Atención al Cliente

Thursday, 2 of July of 2026

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Caixabank por infringir el artículo 25 del Reglamento General de Protección de Datos (RGPD), al constatar que el diseño de su Servicio de Atención al Cliente (SAC) no incorporaba adecuadamente la protección de datos desde el diseño y por defecto, lo que permitió el envío recurrente de datos personales a destinatarios equivocados.

El procedimiento se inició a raíz de dos reclamaciones en 2023. En la primera, un cliente recibió por error, como respuesta a una solicitud al SAC, un correo con datos relativos a un contrato de un tercero que incluían información sensible sobre su situación financiera y su DNI.

En el segundo caso, un cliente recibió por error documentación perteneciente a otras dos personas. Entre los archivos enviados había un documento con información sobre la situación de descubierto de un cliente, que incluía datos bancarios y parte del número de su cuenta, así como otro documento preparado para la firma de una tercera persona, en el que figuraban su nombre, DNI y otros datos personales.

La entidad bancaria defendió que los incidentes fueron consecuencia de errores humanos aislados cometidos por el personal encargado de gestionar las reclamaciones y afirmó que el SAC disponía de procedimientos, instrucciones, formación y auditorías internas adecuadas. Asimismo, sostuvo que no se habían acreditado perjuicios concretos para las personas afectadas y que la sanción propuesta era desproporcionada. No obstante, la AEPD comprobó que este tipo de incidencias se había producido de forma reiterada durante los años 2022, 2023 y 2024, con una frecuencia creciente en relación con el volumen de reclamaciones tramitadas.

En este sentido, la AEPD consideró que la mera existencia de procedimientos e instrucciones formales no era suficiente para acreditar el cumplimiento del Reglamento General de Protección de Datos (RGPD), ya que las medidas de protección deben ser efectivas e integrarse en el propio diseño del tratamiento. Asimismo, rechazó que la falta de daños económicos acreditados excluyera la infracción, al entender que la comunicación de datos personales a terceros implica una pérdida de control sobre dicha información y puede ocasionar otros perjuicios a las personas afectadas.

Además, puso de manifiesto que muchas de estas brechas no eran detectadas mediante los controles internos del banco, sino gracias a las comunicaciones de los propios clientes o de organismos como el Banco de España. Esta dependencia de avisos externos hizo que algunos incidentes permanecieran sin detectar durante meses, lo que impidió que el delegado de protección de datos evaluara los riesgos a tiempo y que la entidad adoptara medidas para evitar que estas situaciones volvieran a producirse.

Finalmente, la AEPD consideró que las deficiencias no solo afectaban a la confidencialidad de los datos, sino también a la correcta gestión de la información de los clientes. Por ello, concluyó que los hechos constituían una infracción del artículo 25 del RGPD, relativo a la protección de datos desde el diseño y por defecto, e impuso a la entidad una multa de 500.000 euros. Al acogerse al pago voluntario, la sanción se redujo un 20 %, por lo que el importe final abonado fue de 400.000 euros. Adicionalmente, ordenó a la entidad sancionada revisar el funcionamiento de SAC y presentar, en un plazo máximo de nueve meses, un informe con las medidas adoptadas para garantizar el cumplimiento de este principio.

Ver en medio original