Hemos tenido conocimiento de que la Agencia Española de Protección de Datos (AEPD) ha impuesto otra de sus sanciones por no cumplir la normativa de protección de datos. Esta vez a CaixaBank; la cantidad, 6.000.000 de euros. La mayor sanción impuesta hasta la fecha.
Esta no es la primera sanción que impone la autoridad de control española. El pasado mes de diciembre se publicó la resolución por la que se imponía una sanción de cinco millones de euros al BBVA por dos vulneraciones del Reglamento Europeo de Protección de Datos (RGPD).
La AEPD impuso al BBVA dos millones de euros por una infracción leve al haber vulnerado los artículos 13 y 14 RGPD, referida al formulario de recogida de datos personales utilizado por la entidad bancaria para cumplir con el deber de información; y tres millones de euros por una infracción muy grave del artículo 6 del RGPD, en cuanto a la fórmula utilizada para recabar el consentimiento de sus clientes con fines comerciales o mejora de la calidad y para su comunicación a otras sociedades del Grupo BBVA.
¿Cuáles son los incumplimientos?
De nuevo, la Agencia ha impuesto a CaixaBank la sanción de 2.000.000 de euros por la infracción leve de los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD). Esto es, la AEPD considera que la entidad bancaria no cumplió con el principio de transparencia.
En particular, entiende la Agencia que la información en materia de protección de datos personales ofrecida por CAIXABANK, a través de los diversos clausulados y canales que ofrece a sus clientes, no es uniforme, tanto en los que a la terminología se refiere, como a su contenido, que varía en cuanto a su amplitud y las distintas situaciones.
Por su parte, impone otra de las sanciones por protección de datos de 4.000.000 de euros por una infracción muy grave del artículo 6 del RGPD. En este caso, la entidad falla en la forma de recabar el consentimiento inequívoco de los interesados para el tratamiento de sus datos.
Estima la AEPD que existen deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales. Y al no cumplir las condiciones para que la manifestación de voluntad del interesado se considere válidamente prestada, convierte en ilegales los tratamientos de datos que realiza CAIXABANK en base al consentimiento del interesado.
En particular, la AEPD considera irregulares o ilícitas todas las cesiones de datos realizadas por CaixaBank a otras empresas del grupo, así como los tratamientos que lleva a cabo CaixaBank de datos que le son facilitados por otras entidades del grupo, por cuanto no se ha habilitado un mecanismo específico para recabar el consentimiento de sus clientes, sino que la aceptación se realiza mediante la firma del contrato, cuando se requiere un consentimiento diferenciado y granular.
¿Cuáles son las lecciones aprendidas de las sanciones de la AEPD?
- Es importante que, en el momento de la recogida de los datos personales, se ofrezca la misma información sobre protección de datos, con independencia del canal de recogida de los mismos (presencial, telefónica, telemáticamente, etc.). Es decir, no puede ofrecerse una información contradictoria o distinta, según se recaben los datos por una vía o por otra. Lo recomendable en este caso es que exista una única política de privacidad.
- La información básica sobre protección de datos que se ofrece en el momento previo a la recogida de los datos debe contener la información “esencial”.
- La información se debe suministrar “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”, y en particular, en los que a los aspectos claves se refiere, como las categorías de los datos personales tratados, las finalidades o la base legal que habilita el tratamiento.
Este requisito impide el empleo de una terminología imprecisa para definir la política de privacidad o el uso de fórmulas o expresiones poco claras o imprecisas, sin desarrollar. A modo ilustrativo, destaca la AEPD que deben evitarse expresiones como “conocerte mejor”, “personalizar su experiencia”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, entre otras.
- Cuando el tratamiento esté basado en el consentimiento del interesado, éste debe conocer qué categorías de datos personales serán tratados por cada finalidad específica o sometidas a una determinada operación de tratamiento (por ejemplo, la comunicación de sus datos a un tercero). En este sentido, se deben evitar expresiones como “tales como” o “etc.”, y, con mayor razón, cuando estén afectados datos sensibles.
En este caso, los titulares de los datos deben ser conscientes en todo momento de qué información se está registrando y tratando para cada finalidad que no esté amparada en la relación contractual; sin que la AEPD admita que todos los datos recabados o inferidos puedan utilizarse para todas las finalidades de las que se informa, sin delimitar.
Esto también sería aplicable a los tratamientos basados en el interés legítimo, incluidos los perfiles elaborados con esta base jurídica, siempre que se emplee también para tratamiento basados en el consentimiento. Igualmente, conforme a lo establecido en el art. 14 del RGPD, cuando los datos personales no se hayan obtenido directamente del propio interesado, sino de un tercero.
- A fin de evitar provocar confusión, se debe informar claramente sobre la finalidad del tratamiento y base jurídica que lo legitima caso por caso, especialmente en relación con los tratamientos de datos personales basados en el interés legítimo. Cuanto más complejo sea el tratamiento de los datos, los fines deben especificarse de forma más detallada y exhaustiva.
- No sería admisible, como afirma la AEPD, informar de tratamientos similares, amparados en el interés legítimo en unos casos y en el consentimiento en otros.
- No se debe olvidar la información sobre los intereses legítimos específicos en los que se basan los tratamientos que estén basados en esta base de legitimación. Para ello, se exige al responsable del tratamiento una evaluación previa de dicho interés legítimo y su ponderación en relación con los intereses y derechos de los afectados.
- Igualmente, tampoco debe olvidarse la transparencia exigida sobre el tipo de perfiles que se van a realizar y los usos específicos a que se van a destinar o la posibilidad de que el interesado pueda ejercer el derecho de oposición cuando el perfilado esté relacionado con actividades de mercadotecnia directa.
- En la política de privacidad se debe incluir información sobre todos y cada uno de los tratamientos realizados, en particular, cuando estén amparados en el interés legítimo, de manera que sean conocidos por el cliente u otro titular.
En cuanto a la forma de obtener el consentimiento, cabe resaltar:
- No es conforme al RGPD la obtención del consentimiento mediante la inacción del interesado (no marcar las casillas en las que se indica “NO quiero…”). No se trata de una acción afirmativa, sino de una inacción que no asegura que el interesado otorgue inequívocamente el consentimiento.
- No todos los casos en los que el cliente u otra categoría de interesado consiente mediante un “acto afirmativo” (por ejemplo, marcación de una casilla) es un consentimiento válido. El consentimiento debe ser también “libre, específico, informado e inequívoco”.
- Es importante realizar las agrupaciones de consentimientos de forma correcta. Cuando las actividades de tratamiento se agrupen a la hora de obtener el consentimiento, todas ellas deben perseguir una única finalidad respecto a la cual el interesado se pronuncia. La ampliación de los fines es incompatible con el requisito de un consentimiento “específico”.
- En el caso de comunicaciones de datos a otras empresas del grupo empresarial, no todas las finalidades de dicha comunicación pueden ampararse en el interés legítimo ex considerando 48 RGPD, pudiendo requerir por tanto un consentimiento específico. En todo caso, se detallará a qué empresas se comunican, de otro modo no podemos hablar de “consentimiento específico” que ampare la comunicación.
Otras cuestiones relevantes:
- Es necesario realizar un análisis exhaustivo de todas las circunstancias concurrentes en relación con los tratamientos pretendidos para valorar y justificar documentalmente la base jurídica que legitime cada tratamiento, y en particular, cuando se pretenda por el responsable del tratamiento fundamentar en el interés legítimo. De este modo, se podrá utilizar este análisis documentado frente a la autoridad de control en caso de que cuestione dicha base de legitimación.
- Además de los informes de ponderación del interés legítimo, son especialmente relevantes en el marco de un procedimiento sancionador las evaluaciones de impacto y los registros de actividades de tratamiento.
Mediante el presente post hemos querido destacar las deficiencias apreciadas por la AEPD que considera de especial gravedad, a fin de que tanto las entidades financieras, como cualquier otra entidad de cualquier otro sector, con actividades de tratamiento de mayor riesgo, proceda a revisar sus políticas y procedimientos de gestión de datos personales diseñados para cumplir con la normativa en materia de protección de datos, a fin de que sean lo más transparentes y garantistas posibles y evitar así sanciones por no cumplir la normativa de protección de datos.
Igualmente, es de vital importancia implantar medidas o garantías adicionales que, aunque no vengan exigidas por las normas aplicables. La AEPD considera una buena práctica, en la medida en que reducen el impacto del tratamiento sobre la privacidad del interesado. Entre ellas, se han destacado el aumento de la transparencia y la habilitación de mecanismos de exclusión voluntaria.
Contacte con nuestros abogados especializados aquí.
Abogada del Área de Tecnología, Innovación y Economía Digital
Añadir nuevo comentario