L’Autorità Garante spagnola (AEPD) ha ritenuto illecito il trattamento di dati personali di CAIXABANK per carenza delle informazioni relative alle categorie di dati personali trattati, alle finalità e alla base giuridica del trattamento, con particolare riguardo ai trattamenti basati sul legittimo interesse dell’azienda. Di conseguenza, ha inflitto una sanzione di € 2.000.000 alla banca per violazione degli artt. 13 e 14 del GDPR. L’AEPD ha inoltre rilevato che CAIXABANK non prevedeva alcun meccanismo di raccolta del consenso dell’interessato e che, in ogni caso, tale consenso non poteva considerarsi valido. Inoltre ha ritenuto che le attività di trattamento basate sul legittimo interesse dell’azienda non erano sufficientemente giustificate, infliggendo pertanto un’ulteriore sanzione di €4.000.000 per violazione dell’art. 6 del GDPR.