2023 年 10 月 26 日，西班牙数据保护机构 (AEPD) 在第 PS/00020/2023 号诉讼中公布了其决定，对 CaixaBank SA (CaixaBank) 处以 500 万欧元罚款，原因是其违反《通用数据保护条例》（GDPR）。

决定的背景

AEPD指出CaixaBank的客户投诉CaixaBank未遵守个人数据保密规定。该投诉涉及一份与第三方转账有关的文件，其中包括了第三方、转账发起人和接收人的个人数据。投诉人在个人数据泄露后获得了这份文件，而 CaixaBank 花了一年零四个月的时间才解决这个问题。

AEPD的发现

AEPD解释称，CaixaBank没有保证个人数据在处理过程中的充分安全，并否认存在风险。此外，AEPD得出结论称，CaixaBank未遵守隐私设计原则，因为他们没有专注于个人的基本权利和自由，并且没有提供足够的程序来处理数据保护投诉。

AEPD参考了他们的“隐私设计指南”，其中指出，“隐私设计”要求采取积极主动的态度，而 CaixaBank 在处理数据保护投诉的方式上却采取了被动的态度。最后，AEPD还发现 CaixaBank未能履行采用适当技术和安全措施的义务，以保证个人数据的安全水平适合风险。AEDPD认定 CaixaBank 违反了 GDPR 第 5(1)(f)、25 和 32 条：
第5(1)(f):以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来避免未经授权、非法处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性")。

第 25 条 设计和默认的数据保护
考虑到现状，执行的成本和性质，范围，内容和处理的用途以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险，控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如匿名化，即目的是实施数据保护原则，如数据最小化，以有效的方式，在处理时实施必要的保障措施，以符合法律要求，保护数据主体的权利。
控制者应该实施适当的技术和组织措施以确保，在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量，数据处理的程度，数据的存储期限和数据的可及性。特别是，这些措施应确保在没有个人对无限数量自然人的干预下，个人数据在默认情况是不可访问的。
根据第 42 条的经批准的认证机制可以作为一个元素，以证实对本条第1款和第 2款要求的遵守。

第 32条 处理过程的安全性
1.统筹考虑最先进的技术、实施成本、处理过程（包括其性质、范围、目的）以及自然人自由权利变化可能性和严重性的风险。控制者、处理者应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平，尤其要酌定考虑以下因素：
（a）个人数据的匿名化和加密；
（b）数据系统保持持续的保密性、完整性、可用性以及弹性的能力；
（c）在发生自然事故或者技术事故发的情况下，存储有用信息以及及时获取个人信息的能力；
（d）定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理，力求确保处理过程的安全性。

1. 安全账户的等级评估应当尤其重视处理过程中的风险问题，特别是抵御意外和非法销毁、损失、变更、未经授权披露或者是个人数据的传送、存储和处理过程中的风险。
2. 参考第40条采取一种合法行为或者参考42条采取一种认证机制，这可以用来说明本条第一款要求的合规性。
3. 控制者以及处理者应当逐步采取措施，以求确保在部门规制之下操作个人数据的自然人不能对数据进行处理，除非获得控制者的指示，或者其根据联邦或州宪法确有必要。

因此，AEPD对CaixaBank S.A.处以500万欧元的罚款。此外，AEPD要求CaixaBank在九个月内报告其采取的技术和组织措施