Conservar datos de clientes cuando estos dejan de ser necesarios para la finalidad para la que fueron recabados, tiene su repercusión. Esta lógica afirmación, se encuentra fundamentada tanto en el Reglamento General de Protección de datos 2016/679 (en adelante, RGPD) cómo en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española 3/2018 (en adelante, LOPDGDD). Así, en el presente blog, centramos nuestra atención en el análisis de un reciente procedimiento sancionador (PS/00076/2020) emitido por nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante, la AEPD) contra la entidad financiera Bankia, S.A.
Este pronunciamiento tiene su punto de partida en la reclamación interpuesta por un interesado ante la AEPD, contra la conocida entidad financiera. El afectado, basa su denuncia en que, su relación con la entidad financiera finaliza hace 16 años y que cuando, por motivos personales, vuelve a retomarla, la propia entidad le comunica que, su número interno de cliente sigue activo y que, por tanto, los datos vinculados al mismo se mantenienen en sus ficheros, no sabiendo, la entidad explicarle el motivo de tal situación.
Ante el hecho de que la entidad haya mantenido sus datos durante 16 años sin una finalidad aparente, el ahora afectado, presenta denuncia ante la AEPD, en fecha 20 de septiembre de 2019, que fue trasladada, por parte de la Subdirección General de Inspección de Datos, a la reclamada para que esta esgrimiese una justificación al respecto y pudiese aclarar el motivo de la conservación de los datos del reclamante durante un proceso en el que este había dejado ya de ser cliente de la entidad.
Indica la entidad financiera, que si bien es cierto que mantenían información relativa al reclamante, esta se encontraba debidamente bloqueada conforme a lo establecido en el artículo 32 de la LOPDGDD que impone, al responsable del tratamiento, la obligación de bloquear los datos cuando proceda a su rectificación o supresión.
A la vista de la fundamentación esgrimida por la entidad, la AEPD acuerda el inicio de procedimiento sancionador por una supuesta infracción del principio de limitación de la finalidad desarrollado en el artículo 5.1 b) del RGPD.
La entidad financiera presenta escrito de alegaciones mediante el que manifiesta, entre otras cuestiones, que cuenta con una política de conservación de la información cuyos objetivos radican en conservar la información durante los plazos exigidos en cada caso, y siempre aplicando las medidas esenciales para garantizar la seguridad de la información. Alega, además que, el mencionado documento recoge la obligación de bloquear los datos personales de sus clientes una vez se cancelan los distintos productos o servicios contratados por estos, y siempre adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas, lo que, a sus ojos, resulta plenamente coincidente con lo establecido en el artículo 32 de la LOPDGDD.
Centrándonos en la fundamentación emitida por la AEPD en su resolución, considera esta que la entidad reclamada incurre en los siguientes incumplimientos:
1. Incumplimiento del principio de limitación de la finalidad recogido en el artículo 5.1 letra b del RGPD y sobre el que ya nos pronunciamos en el presente blog (aquí). Como bien sabemos, este principio obliga a responsables del tratamiento a recoger los datos con fines determinados, explícitos y legítimos, y a no tratarlos ulteriormente de manera incompatible con dichos fines.
Si bien es cierto que, la AEPD, centra su atención exclusivamente en el mencionado principio, nos parece oportuno traer a colación, de igual forma, otro de los principios incumplidos con la actuación de la entidad financiera; el principio de limitación del plazo de conservación de los datos, que se encuentra desarrollado en el artículo 5.1 letra e) del RGPD y que implica la necesidad de mantener los mismos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
La única excepción que hubiese amparado a la entidad financiera a la conservación de los datos del reclamante durante un periodo de tiempo tan elevado, sería que lo hubiese realizado con fines de archivo en interés público, investigación científica o histórica o con fines estadísticos; excepción contemplada en el artículo 5.1 letras b y e.
Sin embargo, la única alegación de la demandada a este respecto fue que los datos personales del demandante se habían conservado, exclusivamente, con la finalidad de ponerlos a disposición de las autoridades competentes sin que hubiesen sido objeto de tratamiento por parte de ningún empleado de Bankia.
A ojos de la AEPD, queda suficientemente probado que la entidad reclamada conservaba en sus registros los datos personales del reclamado a pesar de haber expirado la finalidad para la que fueron recabados en su día, ya que disponía de los mismos cuando el reclamante acudió nuevamente a dicha entidad financiera para contratar un nuevo servicio financiero en septiembre de 2019, lo que implica la existencia de una vulneración de los principios anteriormente mencionados.
2. El segundo de los fundamentos esgrimidos por la autoridad de control radica en que, la entidad financiera realiza una incorrecta interpretación normativa del bloqueo de los datos cuya regulación la encontramos en el artículo 32 de la LOPDGDD y que establece que el bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
La demandada alega que cumplía con dicha obligación normativa tal y como quedaba reflejado en la política de conservación que aportan al procedimiento. Sin embargo, la autoridad de control interpreta que, para dar cumplimiento al principio del bloqueo de los datos, la información vinculada al demandante no tendría que haber estado disponible para los trabajadores de las oficinas de la entidad financiera, como en realidad sí aconteció.
3. Por último, y en vista a los dos fundamentos anteriormente analizados, consideramos se puede atribuir, a la entidad financiera, una falta de cumplimiento del principio de responsabilidad proactiva o accountability aplicable al responsable del tratamiento. El principio de responsabilidad proactiva, configurado cómo uno de los dos grandes pilares del RGPD, se encuentra recogido como un principio normativo más en el artículo 5.2 del RGPD que reza que (…) El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo.
¿Qué implicaciones prácticas tiene para el responsable del tratamiento el mencionado principio?
– Ser capaz de demostrar que el responsable del tratamiento cumple con todas aquellas obligaciones que la normativa actualmente vigente en la materia, le exigen y más concretamente, para el caso que nos ocupa, el cumplimiento de los principios relativos al tratamiento de los datos.
– La necesidad de aplicar medidas técnicas y organizativas apropiadas para poder garantizar y demostrar que el tratamiento que realiza es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
En base a las alegaciones emitidas por la ahora demandada, y aunque la autoridad de control no se pronuncia específicamente a este respecto, no podemos considerar que la entidad financiera haya cumplido de manera óptima con el principio de responsabilidad proactiva.
A la luz de la fundamentación emitida, la AEPD considera probada la comisión de una vulneración de los principios y garantías establecidos en el artículo 5 del RGPD lo que, en base a la categorización de las infracciones que encontramos en los artículos 83.5 del RGPD y 72.1.a) de la LOPDGDD, nos sitúa ante una infracción de carácter muy grave y a la que la autoridad de control impone una sanción pecuniaria de 50.000 euros (reducida a 40.000 por pago voluntario).
Cómo conclusión al análisis realizado a lo largo del presente blog, podemos decir que, el pronunciamiento de la AEPD es sólo una demostración más de que debemos romper con la tradición de conservar información “por lo que pueda pasar”. Las entidades deben tomar conciencia de la necesidad de contar, en su seno, con una política de custodia y conservación de datos efectiva y convenientemente adaptada a los principios y exigencias del RGPD y la LOPDGDD.