El pasado día 14 de enero de 2021, la Agencia Española de Protección de Datos (“AEPD”) sancionó a una conocida entidad de crédito, con una multa total de 6.000.000€, por el incumplimiento de 3 artículos del Reglamento General de Protección de Datos (RGPD) (PS/00477/2019).

Reclamación ante la AEPD

En enero de 2018, la AEPD recibió una reclamación interpuesta en relación con las condiciones que una determinada entidad de crédito imponía a sus clientes. Los clientes debían aceptar la cesión de sus datos personales a todas las empresas del Grupo. Asimismo, en caso de que el cliente no estuviera de acuerdo con dicha cesión debía dirigirse a cada sociedad en particular para cancelar la cesión de dichos datos.

En marzo de 2019 la AEPD recibió una nueva denuncia, esta vez realizada por la asociación FACUA-Consumidores en Acción, contra el denominado “Contrato Marco” de privacidad que deben suscribir todos los clientes de la entidad. En dicha denuncia se advertía de que en el “Contrato Marco” ofrecido e impuesto por la entidad se recogían datos personales y se obligaba al cliente a dar consentimiento al tratamiento de estos datos y a la cesión a terceras empresas con las que el cliente podría no tener relación.

Investigación realizada por la AEPD

La AEPD pudo constatar que la entidad de crédito obtenía datos de la actividad laboral, datos identificativos, datos sobre experiencia y de contacto, entro otros, de sus clientes y usuarios.

Asimismo, la AEPD comprobó que se obligaba a los clientes y usuarios a realizar una cesión considerada ilícita de sus datos personales a otras empresas del grupo CaixaBank. Esta obligación puso de manifiesto las deficiencias existentes en el proceso de obtención del consentimiento de los usuarios y clientes para realizar esta cesión.

Resolución de la AEPD

Además de todo lo anterior, la AEPD examinó la información ofrecida en los distintos documentos y concluyó que no era transparente respecto al tratamiento de los datos personales de sus clientes y usuarios. Se indica que se utilizaba un vocabulario impreciso para definir su política de privacidad.

También concluyó que se incumplían los requisitos establecidos para la prestación de un consentimiento válido, que exigen que se manifieste una voluntad libre, específica, inequívoca e informada. Además, habla de deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales y de una cesión ilícita de datos personales a las empresas del Grupo.

La AEPD también afirma que la entidad da una insuficiente justificación de la base jurídica del tratamiento de datos personales, más concretamente en relación con los basados en el interés legítimo. Por todo ello, la AEPD impuso una multa total de 6.000.000€. Asimismo, la AEPD obliga a la entidad de crédito a que “en el plazo de 6 meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales”.

¿Qué podemos aprender?

De la resolución de la AEPD se pueden sacar algunas lecciones que conviene tener muy en cuenta, especialmente en lo que respecta a la transparencia de la información y las bases jurídicas en las que se fundamenta el tratamiento de datos.

1. En cuanto a la información de protección de datos.

• La información que ofrecemos a nuestros clientes y usuarios debe ser clara y transparente. El RGPD exige que los datos sean tratados de manera lícita, leal y transparente en relación con la persona que se trate. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Se exige que la información cumpla, principalmente, las siguientes directrices:

• Debe ser concisa, inteligible y de fácil acceso.

• Debe ser fácil de entender. Para ello es conveniente usar un lenguaje claro y sencillo.

• El deber de información exige que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Asimismo, el responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.

• ¿Cuándo debe facilitarse la información? El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan del interesado o, si se obtienen de otra fuente, como máximo dentro del mes siguiente a su obtención, habida cuenta de las circunstancias específicas en las que se traten dichos datos. Esta información dirigida al público o al interesado podrá facilitarse también en forma electrónica.

• Las cesiones de datos deben ser debidamente informadas. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez.

En definitiva, la obligación de ser transparentes durante todo el tratamiento puede conseguirse, principalmente, con un claro aviso de protección de datos y una política de privacidad sencilla, clara y accesible, por ejemplo, a través de la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.

2. En cuanto a las bases jurídicas en las que se fundamenta el tratamiento de datos.

• El consentimiento debe ser libre, específico, informado e inequívoco. El consentimiento debe quedar reflejado por una declaración o por una acción concreta del interesado que se traduzca en una respuesta positiva y otorgada voluntariamente, a la finalidad concreta del tratamiento informada por el responsable del tratamiento. En este sentido, no se podrá ejecutar el tratamiento hasta que no se confirme el consentimiento. Un responsable del tratamiento debe ser capaz de demostrar que se le otorgó el consentimiento.

• ¿Cómo debe prestarse el consentimiento? El consentimiento puede ser prestado por el cliente o usuario mediante un mecanismo de confirmación, como puede ser un check-box, en un contexto donde se faciliten los detalles necesarios para mantener informado al cliente o usuario sobre el tratamiento de sus datos y que este elija de manera voluntaria y libre aceptar este tratamiento o no.

• El consentimiento no es la única base jurídica que legitima un tratamiento de datos y, debido a sus exigencias, puede no ser la mas conveniente. El consentimiento no es la única base jurídica que permite tratar los datos de los interesados de forma lícita. Existe también, por ejemplo, el interés legítimo. El interés legítimo es un interés del responsable del tratamiento, o de un tercero, para cuya satisfacción se otorga validez al tratamiento de datos personales sin consentimiento de su titular, una vez efectuada la necesaria ponderación de derechos e intereses en juego.

• El tratamiento de datos debe ser idóneo, proporcional y necesario para satisfacer el interés legítimo buscado por el responsable del tratamiento. Si no optamos por pedir el consentimiento y optamos por justificar un tratamiento de datos con el interés legítimo, antes debe haber sido correctamente ponderado y justificado El interés legítimo en el tratamiento de datos exige una ponderación con la que justificar este tratamiento. Se debe analizar la idoneidad, la necesidad y la proporcionalidad en sentido estricto del tratamiento, con el fin de ponderarlo con los derechos y libertades de los interesados, fundamentalmente del derecho a la intimidad y a la protección de datos personales.