6 millones de euros


Esta es la cifra por la que ha sido sancionada Caixabank por la AEPD debido a la comisión de dos infracciones en materia de protección de datos: 2 millones por incumplimiento del principio de transparencia en la información y 4 millones por incumplimiento de principio de licitud.
La extensa resolución de nada más de 177 páginas se puede consultar aquí

Hay varias cuestiones que quisiera destacar de una primera lectura de la misma y concretamente de sus fundamentos:

  • Caixabank ha alegado una serie de cuestiones preliminares al fondo del asunto, como la conculcación de la presunción de inocencia por haber manifestada en un acto público la Directora de la AEPD que existían “dos o tres procedimientos sancionadores de alto impacto que van a tener mucha repercusión mediática en relación con el sector financiero”, sin haberse finalizado el procedimiento sancionador. Con estas declaraciones Caixabank intenta alegar que la decisión ya estaba tomada antes de finalizar el procedimiento.
  • Igualmente, Caixabank considera que el principio de confianza legítima (recogido en el artículo 3.1.e de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público) se ha quebrado puesto que poco después de publicada la nueva normativa de protección de datos se intercambiaron correos con la AEPD, en relación a la nueva forma de recabar el consentimiento por parte de Caixabank. Al parecer, telefónicamente la AEPD mostraba algunas consideraciones menores de mejora que fueron implantadas por Caixabank y por ello entendió “haber estado actuando correctamente y que pudo tener una “razonable esperanza inducida” de que su manera de proceder era conforme a derecho.”
  • Vuelve a alegar la conculcación de principio de presunción de inocencia puesto que la propuesta de Resolución se basaba en los elementos de “convicción y prueba recabados durante la fase de actuaciones previas” en las que entiende que no se respeta ninguna garantía esencial del procedimiento sancionador, como informar de la imputación o recordar el derecho a no declarar contra uno mismo.

Obviamente, a la vez del resultado de la Resolución, estas alegaciones fueron rechazadas por la AEPD, pero no serían de extrañar que, en el que más que previsible recurso contencioso administrativo, volvieran a argumentarse.

Los documentos que analiza la AEPD en esta Resolución son el “Contrato Marco” y el “Contrato de consentimientos” que suscriben los clientes de la entidad, así como la “Política de Privacidad” disponible en su web.

Para la AEPD, la información ofrecida a los clientes de Caixabank en los documentos señalados en relación con los artículo 13 y 14 del RGPD, no cumple con los requisitos en ellos contenidos puesto que según la AEPD. Y ello por los siguientes motivos:

  • No es uniforme: ya que “no se ofrece con la misma amplitud a todos los clientes y en todas las situaciones (en unos casos se emplea el “Contrato Marco”, en otros el “Contrato de Consentimientos” y para otros clientes únicamente la “Política de Privacidad”), y no se actualiza de la misma forma en cada caso”. Sirvan como ejemplos la información sobre el ejercicio de derechos, la posibilidad de reclamar ante la Agencia Española de Protección de Datos, la existencia de un Delegado de Protección de Datos y sus datos de contacto o los plazos de conservación que varían en función del documento utilizado.
  • Emplea términos imprecisos y vagos, tales como “conocerte mejor”, “personalizar su experiencia”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, “información generada de los propios productos”, “análisis y estudio”, “estudiar productos y servicios” o “diseñar productos y servicios”, “para nuestra propia gestión”, “darte un mejor servicio”, “comunicar tus datos a terceros con los que tengamos acuerdo”, “expectativa razonable de recibir”, “necesidades de gestión”, “análisis, estudio y seguimiento para la oferta y diseño de productos y servicio ajustados al perfil” . Podemos ver que estos términos no son utilizados sólo por Caixabank, sino por muchas organizaciones en sus políticas de privacidad.
  • No está claro en la información que se facilita si la base jurídica es el consentimiento o la ejecución de un contrato.
  • No hay información suficiente sobre la tipología de los datos que serán sometidos a tratamientos cuya base jurídica sea el consentimiento de los interesados, ya que no se contiene, con carácter general, en un apartado específico de “categorías de datos”. Ello supone, ajuicio de la AEPD que no se cumple con la obligación de “informar sobre las categorías de datos personales que son recabados y sometidos a tratamiento y, en definitiva, para que el interesado pueda tener la información esencial y necesaria para la toma de sus decisiones y comprender lo que está autorizando, así como para el ejercicio de sus derechos.”
  • La información sobre los intereses legítimos es inadecuada ya que no se informa sobre ningún interés específico al referirse a los tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica, limitándose “a señalar los tratamientos que realiza con esta base jurídica y las finalidades, principalmente comerciales, para las que son tratados los datos personales”. La AEPD recuerda que el interés legítimo requiere de una evaluación para determinar los intereses o derechos que prevalecen, teniendo en cuentan “las expectativas razonables de los interesados basadas en su relación con el responsable”, es decir, lo que el interesado puede percibir o deducir como razonable por sí mismo en base a las circunstancias específicas que se dan en cada caso.

Por todo ello, para la AEPD, se considera que existe una vulneración del principio de transparencia en la información lo que supone una sanción de 2 millones de euros.

En cuanto a la otra sanción, la vulneración del principio de licitud, los aspectos más relevantes serían los siguientes:

  • No se informe ninguna base de legitimación relacionada con la cesión de datos al resto de empresas del grupo de Caixabank.
  • La forma de obtener el consentimiento no es una manifestación de voluntad libre, específica, informada e inequívoca de aceptar los tratamientos de datos de carácter personal que le conciernan, prestada con garantías suficientes para acreditar que es consciente del hecho de que da su consentimiento y de la medida en que lo hace, puesto que con la firma del contrato se imponen al cliente aspectos esenciales relativos al tratamiento de sus datos personales, de los que no tiene posibilidad de elegir. Además, no consiente sobre las diferentes finalidades, sino sobre todas ellas.
  • Existen tratamientos de datos si un base jurídica suficiente obtenidos de terceros y, por tanto, de los que no es responsable, lo que limita la posibilidad de utilizar la información de que se trate con fines propios.
  • Como se ha hecho mención anteriormente, no se justifican los intereses legítimos que tiene CAIXABANK para tratar datos amparándose en esta base ya que no se acredita la idoneidad, necesidad y proporcionalidad del interés, respecto a los derechos de las personas interesadas.

Por último la AEPD considera que la cuantía de las sanciones son apropiadas debido a:

  • Existen agravantes los siguientes factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de Caixabank “por cuanto las infracciones resultan de los procedimientos de gestión de datos personales diseñados por esa entidad para la adecuación de esos procesos al RGPD, los cuales se consideran irregulares desde el mismo momento de la recogida de los datos personales”
  • Existe intencionalidad o negligencia ya que existe una conducta negligente en relación con la vulneración de la normativa que deberían haber sido advertidas por una entidad de las características de Caixabank y evitadas al diseñar sus procesos de gestión de datos personales, además de la consideración como gran empresa.
  • La vinculación de los hechos infractores con la realización de tratamientos de datos personales, ya que todas las operaciones que constituyen la actividad empresarial desarrollada por la entidad conllevan operaciones de tratamiento de datos personales.
  • El elevado volumen y tratamiento de datos objeto del procedimiento.
  • El hecho que las conductas infractoras deriven de gestión de datos personales diseñados por la entidad para la adecuación de esos procesos a la normativa, y que consideran irregulares desde el inicio.
  • Los hechos constatados ponen de manifiesto que no se han previsto medidas para evitar que los tratamientos de datos “se utilicen exclusivamente los datos necesarios en razón al fin pretendido“.
  • Los beneficios obtenidos derivados de una mayor información de clientes para diseñar nuevos productos o servicios, aunque no se hayan cuantificado.
  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas por el alto grado de intromisión en la privacidad de los clientes.
  • Las categorías de los datos de carácter personal afectados como las de los perfiles de los clientes.

Sin duda, una Resolución con mucha “chicha” y de la que se hablará por un largo período de tiempo porque, como he comentado anteriormente, es previsible su judicialización.

Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .