L'APD espagnole (AEPD) a infligé une amende de 3 000 000 EUR à CAIXABANK PAYMENTS & CONSUMER EFC, EP, SAU. Un individu avait déposé une plainte contre le contrôleur. La raison en était que Caixabank avait demandé des informations à son sujet à une entreprise alors que cette dernière n'est plus cliente de Caixabank depuis 2014 et qu'il a été inclus dans une campagne publicitaire pour lui proposer un crédit pré-octroi. Caixabank avait utilisé les données des individus pour évaluer leur solvabilité sans leur consentement. Cela a été utilisé pour créer des profils financiers des personnes concernées et pour leur faire la publicité de certains services financiers (par exemple, des cartes de crédit ou des prêts) sur cette base. Ce faisant, la DPA a constaté que le responsable du traitement n'avait pas obtenu le consentement effectif des personnes concernées. Il est vrai que les personnes concernées avaient à un moment donné donné leur accord pour que leurs données soient traitées par l'ensemble du groupe CaixaBank. Cependant, le responsable du traitement n'avait pas suffisamment informé les personnes concernées du traitement des données, y compris le profilage. Par exemple, le responsable du traitement n'avait fourni aux personnes concernées que des informations générales sur les différents traitements de profilage, de sorte que les personnes concernées ne pouvaient pas savoir exactement en quoi consistait le traitement auquel elles avaient consenti.