La Agencia Española de Protección de Datos (AEPD) ha sancionado a CaixaBank con 400.000 euros por deficiencias en el diseño de los procedimientos de su Servicio de Atención al Cliente (SAC) que provocaron el envío de documentación con datos personales a destinatarios equivocados.
El expediente EXP202312854, difundido a través de sus redes sociales por el abogado Gerard Espuga Torné, resulta especialmente relevante porque la autoridad de control desplaza el foco desde el mero «error humano» hacia el incumplimiento del deber de protección de datos desde el diseño del artículo 25 del RGPD, una interpretación que refuerza las exigencias de responsabilidad proactiva para las grandes organizaciones.
Dos clientes recibieron por error datos de personas terceras ajenas a ellos
Los hechos tienen su origen en dos reclamaciones de clientes de Caixabank.El primero se dirigió ante la AEPD tras recibir, por error, a una respuesta del Servicio de Atención al Cliente (SAC) una respuesta que iba dirigida a un tercero, que no había presentado ni siquiera.
En dicho correo electrónico, figuraba datos relativos a un contrato que contenían información sensible, como la situación financiera y el DNI, de un tercero ajeno a la conversación.
Por su parte, el segundo reclamante recibió documentación privada de dos personas distintas (una relativa a deudas y otra a un código de buenas prácticas hipotecarias) después de haber formulado una solicitud por dos reclamaciones que se encontraba en trámite con la entidad bancaria.
El banco intentó defenderse argumentado que los incidente fueros «errores humanos puntuales» y no fallos sistemáticos. En sus alegaciones tras la apertura del procedimiento sancionador (abril 2025), defendió que su SAC cumple con las normativas bancarias y que existían medidas preventivas.
Sin embargo, la AEPD rechaza frontalmente todas estas argumentaciones.
La AEPD reprocha al banco el error en el diseño
La autoridad acredita que hay un problema de diseño y organización del SAC, al cruzar expedientes, destinatarios erróneos y falta de exactitud en los datos y en la detención de brechas.
Además, la AEPD acreditó la existencia de brechas similares años anteriores a las de las reclamaciones en investigación y que la mayoría de ellas (en torno al 60%) estas fueron detectadas por personas ajenas al banco (como clientes o el Bando de España) y no por los sistemas interno de Caixabank.
Por otro lado, considera que el cumplimiento no consiste únicamente en formar a empleados o establecer protocolos, sino en diseñar sistemas que minimicen la posibilidad de error.
«Si un proceso está expuesto de forma recurrente a errores humanos con impacto en datos personales, el RGPD exige diseñar medidas técnicas y organizativas que reduzcan ese riesgo», se lee en la resolución.
La AEPD, por todo ello, propone una multa de 500.000 euros por infracción del artículo 25 Reglamento General de Protección de Datos (RGPD), el cual consagra los principios clave de privacidad desde el diseño y por defecto. Este artículos establece que las organizaciones deben aplicar medidas técnicas y organizativas adecuadas para garantizar que los principios de protección de datos se integren en el diseño.
Y, tras el procedimiento sancionador, la AEPD constata que la falta de medios para detectar brechas supone un incumplimiento del principio de privacidad del diseño.
Sin embargo, al acogerse la entidad financiera al pago voluntario, la multa acabó reducida un 20% y pasó a ser 400.000 euros. Pero no solo tuvo multa económica, el banco fu obligado a presentar en un plazo de 9 meses un informe detallado sobre la revisión de su SAC y las mejoras implantadas para garantizar el cumplimiento del artículo 25 del RGPD.
