La Agencia Española de Protección de Datos (AEPD) ha sancionado a la entidad Banco Bilbao Vizcaya Argentaria, S.A (BBVA) con 5 millones de euros por incumplimiento de los preceptos 6, 13 y 14 del Reglamento Europeo de Protección de Datos (RGPD).
A continuación, analizaremos cada una de las infracciones cometidas por la entidad, así como su repercusión en la normativa, si bien antes debemos destacar que esta no es la única sanción impuesta a BBVA en estos últimos tiempos. Ya en el mes de marzo la AEPD les impuso una sanción con valor de 30.000€ (PS/00068/2020) por infracción del artículo 6.1 RGPD (relativo al principio de licitud, en virtud del cual, el tratamiento de los datos deberá efectuarse de manera legítima, atendiendo a las condiciones que establece dicho precepto), en relación con el artículo 20 e) de la Ley Orgánica de Protección de Datos y garantías de los derechos digitales (LOPDGDD), y que reza que: “los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.”
La AEPD considera que la entidad consultó “los datos personales del reclamante en los ficheros de información de solvencia patrimonial y crédito en aras de garantizar la mejor resolución de las reclamaciones presentadas ante la Entidad por el reclamante”. Tras las oportunas investigaciones por parte de nuestra autoridad de control, se terminó demostrando que BBVA no contaba con legitimación suficiente para para acceder a tales datos, al no mantener el reclamante ningún tipo de relación contractual con la entidad, cuestión esta que, a ojos de la Agencia, se tornaba necesaria para acceder a la información de solvencia patrimonial.
En cuanto a la resolución objeto del presente artículo (PS/00070/2019), en la cual la AEPD interpone la multa con mayor cuantía de su historia, y que asciende a un total de 5 millones de euros, debemos hacer una distinción entre las diferentes infracciones cometidas por parte de la entidad bancaria, y en las que nuestra autoridad de control basa su sanción:
En primer lugar, la AEPD sanciona con un total de 3 millones de euros a la entidad BBVA por el incumplimiento del artículo 6.1 RGPD (principio de licitud del tratamiento), en base a los siguientes motivos:
- 1. Inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales. Las opciones del interesado se limitaban a la marcación de una casilla mediante la cual dejaban constancia de su oposición a los tratamientos de datos. A este respecto, debemos indicar que, en la actual normativa en materia de protección de datos, el consentimiento tácito no se entiende como un consentimiento válido.
- 2. Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado. Recordemos que, actualmente, la configuración del consentimiento redunda en una manifestación de voluntad libre, específica, informada e inequívoca y que debe darse a través de una declaración o clara acción afirmativa.
- 3. Insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del responsable.
La infracción de dicho precepto se encuentra tipificada en el artículo 83.5 a) RGPD y calificada en la normativa a efectos de prescripción (art. 72.1.b LOPDGDD) como infracción muy grave. Además, la AEPD entiende que concurren en la presente infracción, las siguientes circunstancias agravantes:
- Naturaleza, gravedad y duración de la infracción, al incluir la elaboración de perfiles utilizando información excesiva.
- Intencionalidad o negligencia en la infracción, al ser la entidad bancaria conocedora de la misma con anterioridad, y no haber adoptado las medidas necesarias para su adecuación. Además, como consecuencia del dicho incumplimiento, la entidad obtuvo beneficios relativos a la mejora de su negocio para la difusión de sus propios productos.
- Naturaleza de los perjuicios causados a los interesados o terceros, al producirse una gran intromisión en la privacidad de los clientes de la entidad, así como la comunicación de sus datos a empresas del Grupo, sin contar legitimación para ello.
- Alta vinculación de la actividad con la realización de tratamiento de datos de carácter personal.
- Condición de gran empresa y volumen de negocio.
- Elevado volumen de datos y tratamientos que constituye el objeto del expediente.
- Elevado número de interesados (todos los clientes de la entidad: 8.031.000)
- No implantación de procedimientos adecuados de actuación en la recogida y tratamiento de los datos personales
A este respecto, es necesario destacar que el formulario contenido en la web de la entidad llamado “Declaración de Actividad Económica y Política de Datos Personales” no ofrecía al usuario la posibilidad de aceptar de manera explícita el envío de comunicaciones comerciales, sino que era el usuario quien debía seleccionar los canales a través de los cuales no quería que la entidad le enviase información acerca de productos y servicios de BBVA (información a través de email, SMS, llamada telefónica y por correo postal) al encontrarse dichas casillas previamente marcadas.
A tenor de lo dispuesto, debemos hacer referencia al Informe sobre Políticas de Privacidad en Internet, elaborado por la AEPD, y en el que se indica que la solicitud del consentimiento no podrá basarse ni en el silencio (consentimiento táctico), ni en casillas premarcadas, basándose en un claro acto afirmativo, debiendo facilitar al interesado una casilla en blanco o similares, en el que se recomiende leer y comprender la política de privacidad.
En este supuesto, y en base al artículo citado, relativo a la licitud del tratamiento de los datos, podemos observar que la única base legitimadora para el envío de estas informaciones comerciales radicaría en el consentimiento del usuario, el cual, como hemos comprobado, no se recababa de manera correcta, al realizarse de forma tácita, consentimiento que no se contempla en la normativa vigente en materia de protección de datos.
La segunda infracción que imputa la AEPD a la entidad BBVA, y que asciende a un total de 2 millones de euros, se basa en el incumplimiento de los artículos 13 y 14 RGPD (relativos al principio de información, en virtud de los cuales se exige que la información que ha de facilitarse al interesado sea de forma clara, concisa, transparente, inteligible y de fácil acceso), obedeciendo a los siguientes motivos, tal y como se refleja en la resolución:1. Empleo de una terminología imprecisa para definir la Política de Privacidad. – BBVA no informa de una manera clara, conforme a lo que exigen la normativa en la materia, acerca de los tratamientos ni finalidades de los datos, así como tampoco delimita la naturaleza la información ni su ulterior tratamiento, conteniendo terminología imprecisa y fórmulas vagas, impidiendo la comprensión clara por parte del usuario.
- 1. Empleo de una terminología imprecisa para definir la Política de Privacidad. – BBVA no informa de una manera clara, conforme a lo que exigen la normativa en la materia, acerca de los tratamientos ni finalidades de los datos, así como tampoco delimita la naturaleza la información ni su ulterior tratamiento, conteniendo terminología imprecisa y fórmulas vagas, impidiendo la comprensión clara por parte del usuario.
- 2. Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento, especialmente, en relación con los datos que BBVA dice obtener del uso por el cliente de productos, servicios y canales; los datos económicos y de solvencia obtenidos de productos contratados con BBVA o de los que BBVA es comercializador; y los datos personales que se cederán a empresas del Grupo BBVA.
- 3. Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales que BBVA basa en el interés legítimo. – A este respecto, BBVA utiliza datos que los propios usuarios no han proporcionado, siendo de aplicación la obligación del artículo 14.1 d) RGPD, que indica que “cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento deberá facilitar la información acerca de las categorías de datos personales de que se trate.”
- 4. Insuficiente información sobre el tipo de perfiles que se van a realizar y los usos específicos que se van a destinar. – Se comprueba que el tratamiento de datos por parte de BBVA tiene como una de sus finalidades la elaboración de perfiles, con la finalidad comercial de ofrecer productos y servicios adecuados a cada cliente de la entidad bancaria. A este respecto, es importante resaltar que BBVA no estaría comercializando con productos propios, sino interviniendo en la comercialización de dichos productos de terceros, ostentando la figura de encargado de tratamiento, “lo que limita la posibilidad de utilizar la información de que se trate con fines propios.”
Este tipo de infracción se encuentra tipificada en el artículo 83.5. b) RGPD y calificada en la normativa a efectos de prescripción (art. 74 a LOPDGDD) como infracción leve.
En el mismo sentido que la primera infracción cometida por la entidad, la APED considera la concurrencia de las siguientes circunstancias agravantes para la infracción de los artículos indicados previamente. Como podemos observar, se trataría de las mismas circunstancias agravantes, con pequeños matices en lo referente a las dos primeras:
- Naturaleza, gravedad y duración de la infracción, al atentar contra el principio de transparencia de la información, al no proporcionar al interesado información suficiente en lo relativo a los diversos tratamientos que realiza BBVA de sus usuarios.
- Intencionalidad o negligencia en la infracción, al acreditarse una conducta intencionada del incumplimiento de la normativa.
- Carácter continuado de la infracción, al ser BBVA conocedora de la misma un año antes de la apertura del procedimiento.
- Alta vinculación de la actividad con la realización de tratamiento de datos de carácter personal.
- Condición de gran empresa y volumen de negocio.
- Elevado volumen de datos y tratamientos que constituye el objeto del expediente.
- Elevado número de interesados (todos los clientes de la entidad)
- No implantación de procedimientos adecuados de actuación en la recogida y tratamiento de los datos personales.
Por su parte, BBVA alega que la información proporcionada en su Política de Privacidad es clara, e informa acerca del tratamiento de “datos económicos y de solvencia patrimonial (incluidos los relativos a todos los productos y servicios que tienes contratados con BBVA o de los que BBVA es comercializador).”
Además, BBVA considera que la AEPD realiza “valoraciones subjetivas en relación con la transparencia de su Política de Privacidad”, al utilizar en su Política de Privacidad expresiones similares a las incluidas en la “Guía para el cumplimiento del deber de informar” de la AEPD.
Asimismo, entiende la entidad que el tratamiento realizado a sus usuarios no supondrá un “análisis individualizado para la realización de comunicaciones comerciales”, lo que supondría un tratamiento adicional y diferenciado, para cuyo tratamiento se requeriría del consentimiento de los interesados.
Entre otras de las cuestiones que alega BBVA en su defensa, es que en el formulario web se prevén varios consentimientos para diferentes finalidades, pero, la AEPD considera a este respecto que no se trataría de un consentimiento inequívoco ni de una clara acción afirmativa.
Finalmente, la AEPD requiere a la entidad que, en el plazo de 6 meses, justifique su adecuación a la normativa en materia de protección de datos, debiendo informar correctamente a sus clientes, así como el procedimiento a través del cual éstos deben otorgar su consentimiento para la obtención y tratamiento ulterior de sus datos personales.
Como podemos comprobar, son numerosas las circunstancias fundamentadas por la AEPD que le han llevado a sancionar a la entidad bancaria BBVA con un total de 5 millones de Euros. Esta sanción, la mayor de la historia interpuesta por nuestra autoridad de control, reafirma la importancia de una correcta adecuación en la materia de protección de datos, aplicable a toda entidad que realice un tratamiento de datos de carácter personal. Del mismo modo, evidencia la proporcionalidad de las sanciones interpuestas, atendiendo a la naturaleza de la infracción cometida, puesto que, tal y como podemos comprobar, no se sancionará de igual modo aquellas infracciones cometidas por pequeñas o medianas empresas, que las realizadas por una gran entidad, como el supuesto que hemos tratado en el presente artículo.