El organismo comprobó la veracidad de la reclamación y llevó a cabo una serie de pruebas por las que concluyó que la “afectación potencial del incidente” podía extenderse a “todos los clientes de CaixaBank”. La entidad niega este extremo, denuncia que la AEPD se basa en “meras conjeturas” y que su informe “carece del adecuado rigor científico”. La argumentación de los inspectores de la AEPD para calcular los clientes que pudieron quedar afectados por la brecha ha sido eliminada de la resolución.

El regulador de privacidad asevera por su parte que CaixaBank no reaccionó de manera adecuada para corregir la brecha tras tener constancia de ella y que incluso entonces su solución fue “un mero parche”. La resolución señala a su vez que la entidad “no tenía unas medidas de seguridad adecuadas al riesgo en los derechos y libertades de los interesados, aunque no hubiera habido brecha de datos personales”.

“La parte reclamada ha ido solventando algunas cuestiones relacionadas con su incumplimiento a razón del traslado, requerimiento o práctica de prueba por parte de la AEPD, de forma reactiva y no proactiva, mas no todo y ni completamente”, abunda el organismo. Estas medidas estuvieron encaminadas a reducir los “riesgos en la organización” y no a proteger a sus clientes, le reprende.

La AEPD contesta además a los reproches de la entidad sobre la falta de profesionalidad de la investigación asegurando que le ha explicado con “claridad meridiana cuáles han sido los incumplimientos” en los que ha incurrido. También destaca que, pese a que en un primer momento CaixaBank aseguró que el riesgo para los clientes “era cero”, luego procedió a tomar medidas para tapar el agujero: “Tendrán que explicar el porqué de las modificaciones posteriores”, ironiza.

Por todo ello, el regulador achaca a la entidad violaciones de tres artículos del Reglamento General de Protección de Datos (RGPD) y le impone un total de cinco millones de multa. “CaixaBank ha infringido el RGPD, no ha adoptado, a lo largo del procedimiento sancionador, todas las medidas necesarias para cumplir con la legalidad vigente y le corresponde a la Agencia conforme a los poderes que tiene conferidos imponer medidas correctivas”, zanja la resolución.