Si hace escasas semanas, concretamente en este blog, hablábamos de la millonaria multa impuesta por nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante, AEPD), a la entidad BBVA por una falta de licitud y transparencia en el tratamiento de los datos de carácter personal de sus clientes, en nuestra publicación de hoy, focalizamos nuestra atención en la reciente resolución sancionadora (PS/00477/2019) impuesta a otra conocida entidad bancaria, CaixaBank, cuya sanción económica desbanca a la impuesta al BBVA, relegándola a un segundo plano.
¿Qué grave actuación ha cometido, en esta ocasión, CaixaBank, a ojos de la AEPD para convertirse en la entidad bancaria con la mayor condena económica en la historia de nuestra autoridad de control? Comencemos por el principio.
El presente procedimiento sancionador tiene su punto de partida en la denuncia emitida por un cliente de la propia entidad en la que expone que CaixaBank le obligó a aceptar las nuevas condiciones en materia de protección de datos, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo y para cuya cancelación debía dirigir un escrito a cada una de las empresas, lo que consideró desproporcionado considerando que la cesión debía ser aceptada en un solo acto.
Tras el correspondiente proceso de investigación, efectuado por parte de la AEPD, se emite propuesta de resolución a la que la entidad bancaria responde mediante la petición de una solicitud de anulación del proceso en base a las siguientes alegaciones:
– La flagrante indefensión producida a la entidad bancaria al conculcar su presunción de inocencia – Que la Agencia desestima porque considera que la instrucción del procedimiento ha sido acorde a la normativa, sin que pueda apreciarse ninguna irregularidad en su tramitación en el que se han respetado todas las garantías del interesado.
– La quiebra del principio de confianza legítima – La AEPD considera que las posibles consultas resueltas a la entidad bancaria, de manera previa al proceso, no han influido en modo alguno en la conducta de esta ni, considera, que se haya realizado actuación alguna que haya permitido a dicha entidad concluir que en la documentación de protección de datos formalizada por la misma o en sus procesos de recogida y tratamiento de datos personales no existiera ningún elemento que contraviniera lo establecido en el Reglamento General de Protección de Datos (RGPD) y Ley Orgánica de Protección de Datos española (LOPDGDD).
– La caducidad del procedimiento sancionador que, a ojos de la AEPD, no tiene cabida pues todas las circunstancias de hecho que se ponen de manifiesto en los fundamentos de derecho, tuvieron lugar dentro del año anterior a la apertura del procedimiento de tal manera que no resultaría de aplicación la caducidad del procedimiento.
– La indefensión materializada en las actividades previas de investigación sin sujeción a garantía alguna – que, al igual que las tres alegaciones anteriormente descritas, se desestima por considerar que el acuerdo de inicio se ajusta a lo dispuesto en las normativas que resultan de aplicación: artículo 68 de la LOPDGDD y artículo 64.2 de la Ley del Procedimiento Administrativo Común de las Administraciones Públicas.
Resueltas, y desestimadas, todas y cada una de las alegaciones emitidas por la entidad CaixaBank, la AEPD, al igual que aconteció en la sanción interpuesta por la AEPD a la entidad BBVA, en el procedimiento sancionador hoy analizado imputa, a la entidad bancaria CaixaBank los siguientes incumplimientos de la normativa vigente en materia de protección de datos:
1. Infracción por incumplimiento de lo establecido en los artículos 13 y 14 del RGPD que está tipificada en el artículo 83.5.b) y es calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Pero ¿Qué principio desarrollan estos dos artículos? El principio de información. Lo hemos indicado en numerosas ocasiones, el principio de información es uno de los pilares fundamentales en los que se sustenta la protección de datos de carácter personal y uno de los que más se ha visto reforzado con la entrada en vigor del RGPD y la LOPDGDD lo cual se tradujo en un aumento de los requisitos para informar a los interesados acerca del tratamiento de sus datos por parte de los responsables del tratamiento.
Todo responsable, que realice tratamiento de datos personales, con un fin profesional, queda vinculado por este importante principio. Y así lo refleja la AEPD quién considera que, consta probado que CaixaBank realizaba tratamientos de datos obtenidos de los clientes, de forma directa o “indirectamente”, así como de datos personales obtenidos de otras fuentes distintas a los interesados o inferidos por la propia entidad.
Considera, entonces, que existe un incumplimiento del principio de información, fundamentándose, para ello, en las siguientes irregularidades:
1.1. La información ofrecida a los clientes no es uniforme ni desde el punto de vista terminológico ni desde el documental pues no se ofrece, a todos los clientes, la misma documentación, ni con la misma amplitud ni, por último, se actualiza de la misma forma en cada caso.
1. 2. Se emplea una terminología imprecisa y formulaciones vagas, con significados ambiguos en algunos casos y expresiones que se repiten. Considera que se incumple, así, el principio de transparencia adherido al principio de información al no informar de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados. Añade, la AEPD, que con las expresiones proferidas por la entidad bancaria se da a entender, a cliente que la no aceptación de textos cómo la política de privacidad podría suponer la pérdida de ventajas como cliente.
1.3. Información insuficiente sobre los tratamientos de datos personales basados en la relación contractual lo que no permite valorar si todos los tratamientos cuya base legitimadora es la mencionada, pueden ampararse en ella.
1.4. Información incompleta sobre las categorías de los datos personales sometidos a tratamiento, pues queda probado que no se informa, debidamente y en todos los casos, sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades especificadas.
1.5. Confusión de bases jurídicas al sustentar, tratamientos similares, en bases jurídicas diferentes lo que, a ojos de la AEPD podría suponer, que un tratamiento no consentido por el interesado se llevase finalmente a cabo al amparo del interés legítimo del responsable, desvirtuando la capacidad de los clientes de decidir sobre el destino de sus datos personales.
1.6. Información indefinida sobre el interés legítimo del responsable del tratamiento. Del considerando 47 del RGPD extraemos la exigencia de precisar el contenido y alcance de esta base legitimadora del tratamiento; cuestión que, en el procedimiento sancionador, se deja claro no ha sido debidamente fundamentado por la entidad bancaria. Resulta, por ello, esta actuación, contraria al principio de transparencia.
1.7. Información sobre la elaboración de perfiles. De los hechos probados se deduce que CaixaBank realizaba tratamientos de datos personales de sus clientes para proceder a su perfilado, que posteriormente utilizaba. Si bien alguna de estas actuaciones se realizaban sobre la base jurídica del consentimiento del interesado, otras eran fundamentadas en el interés legítimo del responsable del tratamiento lo que la AEPD rechaza por completo.
1.8. Información insuficiente sobre el ejercicio de determinados derechos, al mencionar la posibilidad del cliente de ejercitar sus derechos, pero sin mencionar los derechos que recoge la normativa aplicable.
1.9. Información sobre plazos de conservación de los datos personales no uniforme al mencionar, plazos diversos para los mismos tratamientos, en los diferentes documentos facilitados al cliente.
2. En segundo lugar, una infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) y c) de la LOPDGDD.
Recordemos que, en base a lo dispuesto en la normativa vigente en materia de protección de datos, todo tratamiento de datos debe ser lícito y leal. Así, la licitud se consigue, a través de cualquiera de las bases legitimadoras descritas en el artículo 6 del RGPD; artículo que, a ojos de la AEPD, se ha visto vulnerado por parte de CaixaBank. ¿En qué basa la autoridad de control su afirmación?
2.1. Tratamientos de datos personales basados en el consentimiento de los interesados, sin que se cumplan los requisitos necesarios para considerar válido dicho consentimiento. Recordemos que el consentimiento se entiende como un acto afirmativo que ha de reflejar una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernan. No sólo eso sino que, además, debe ser prestada con garantías suficientes para que el responsable pueda acreditar que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace, debiendo otorgar, un consentimiento específico e inequívoco para todas las actividades de tratamiento realizadas con el mismo o mismos fines.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento que es, precisamente, lo que ocurre, a ojos de la AEPD, en el presente procedimiento sancionador.
2.2. Tratamiento de datos personales que la entidad sancionada basa, erróneamente, en el interés legítimo del responsable. A criterio de la AEPD, de los hechos probados, queda suficientemente acreditado que CaixaBank realiza tratamientos de datos en base al interés legítimo que no son conocidos por el cliente, al que no se informa en ningún caso, y que, por la amplitud de datos personales que se utilizan y las distintas finalidades para las que son tratados, afectan a múltiples aspectos de la vida personal del cliente, por lo que tales tratamientos se estiman ilícitos.
2.3. Comunicación de datos a empresas del Grupo CaixaBank. A pesar de que, efectivamente, CaixaBank pueda considerarse incluido dentro del concepto “grupo de empresas”, este no es motivo suficiente para que el intercambio de información que lleva a cabo esta entidad, a favor del resto de empresas del grupo pueda sustentarse en el interés legítimo a las que se refiere el Considerando 48, referidas a la transmisión de datos personales dentro del grupo empresarial “para fines administrativos internos” que es lo que fundamenta la entidad ahora sancionada.
2.4. Y, por último, el tratamiento de datos personales llevados a cabo por la entidad bancaria CaixaBank sin ninguna base jurídica lo que contraviene, por completo, el principio de licitud.
3. Otro de los puntos sobre los que versa el procedimiento sancionador es acerca de las decisiones individuales automatizadas, incluida la elaboración de perfiles (artículo 22 del RGPD). ¿Qué nos dice el artículo 22 al respecto? Que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Así, a pesar de que CaixaBank advierte, en varios de los documentos entregados al cliente sobre el tratamiento de sus datos, que algunos de ellos podrían ser realizados de manera automatizada y conllevar la elaboración de perfiles, lo cierto es que de la instrucción del procedimiento, la AEPD no ha podido constatar que la entidad bancaria haya adoptado decisiones basada únicamente en el tratamiento automatizado. Consecuentemente, y por falta de evidencias, declara la inexistencia de infracción.
El resultado derivado de los incumplimientos descritos a lo largo del presente artículo: Una multa de 6 millones de euros con la que la AEPD rompe su techo en lo que a infracciones económicas se refiere. Para la determinación de semejante cuantía pecuniaria, la agencia considera, concurren una serie de agravantes que revelan una mayor antijuridicidad y culpabilidad en la conducta de la entidad bancaria; siendo estos los presentes en el artículo 83 del RGPD:
– La naturaleza, gravedad y duración de las infracciones que tuvieron carácter continuado.
– La intencionalidad o negligencia apreciada en la comisión de las infracciones.
– Los beneficios obtenidos con las infracciones.
– La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
– La condición de gran empresa de la entidad responsable y su volumen de negocio.
– Elevado volumen de datos, su categoría y tratamientos que constituye el objeto del expediente.
– Elevado número de interesados.
– Ausencia de procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal.
Por último nos parece oportuno reflejar que no sólo se impone una millonaria multa a la entidad si no que, considerando la gravedad de las infracciones constatadas, la requiere, para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
Llegados a este punto, a nadie le resultará extraño leer que la entidad bancaria CaixaBank solicitase a la autoridad de control, la imposición de un apercibimiento por considerar que tan sólo existían unos simples defectos en la información ofrecida que no merecían ningún reproche que no fuese su rectificación. La AEPD no atiende la petición de la entidad bancaria pues considera que las irregularidades cometidas tienen un carácter más grave y una mayor repercusión que la expresada por CaixaBank; quién, además, ha denotado, durante todo el proceso, una actitud no cooperante, a ojos de la AEPD, por negar sistemáticamente los hechos, a pesar de su evidencia.
Así, tras el análisis hoy realizado, parece que nos encontramos, una vez más, ante una llamada de atención de la AEPD para todos los responsables del tratamiento en lo referente a la necesidad de cumplir de manera pulcra con los principios desarrollados en la normativa en materia de protección de datos. Principios que se acusan, todavía más importantes, en determinados sectores cómo, por ejemplo, el bancario, que en ocasiones cuentan con una complejidad añadida para los interesados y en el que estos pueden llegar a asumir riesgos con altas repercusiones en su vida personal.