Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 70 000 euro mot Caixabank Payments & Consumer EFC, EP, S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en person inlämnat ett klagomål den 24 november 2021 till AEPD. Klagomålet rörde ett avslag på en låneansökan på grund av en felaktig skuld, kopplad till ett Ikea-kreditkort, som hade noterats av kreditupplysningsföretag. Personen som klagade var ett offer för identitetsstöld och hade inte ansökt om detta kreditkort.
Enligt utredningen aktiverades Ikea-kreditkortet av en Ikea-säljare den 13 januari 2020 och hade i juni samma år en skuld på 690.25 euro. Skulden registrerades hos ASNEF, ett kreditupplysningsföretag, och betalades senare av Caixabank. Skulden såldes till Kruk España S.L., som därefter överförde den till InvestCapital, Ltd.
AEPD konstaterade att Caixabank brutit mot artikel 6.1 GDPR genom att behandla personens uppgifter utan rättslig grund. AEPD påpekade att den olagliga behandlingen inleddes med det bedrägliga tecknandet av Ikea-kreditkortet och fortsatte med överföringen av uppgifter till ASNEF samt försäljningen av skulden till Kruk España.
Den 14 november 2023 begärde Caixabank en omprövning av beslutet, men bankens begäran avslogs. AEPD framhöll att Caixabank varit försumliga genom att inte adekvat verifiera identiteten på den registrerade personen. Majoriteten av de uppgifter som identitetstjuven lämnat var falska och kunde inte kopplas till den drabbade personen. AEPD poängterade att ansvaret för dataskydd kräver att Caixabank verifierar att individen de gör affärer med är den rättmätiga innehavaren av identitetshandlingarna. AEPD underströk även att köparna av skulden, Kruk och InvestCapital, inte var skyldiga till överträdelser eftersom de agerade i god tro.
Sammanfattningsvis ansåg AEPD att Caixabank misslyckats i sitt ansvar att skydda personuppgifter enligt GDPR och bibehöll sanktionsavgiften på 70 000 euro.