Sanción de la AEPD por incumplir el RGPD: 5 millones de euros por infracción de los artículos 6, 13 y 14

-

En el presente número de Breves de Regulación Digital, analizamos la resolución del procedimiento sancionador PS/00070/2019 licitada por al AEPD contra una entidad financiera, que impone una multa de 2 millones de euros por infracción de los artículos 13 y 14 del RGPD, calificada como leve; una multa de 3 millones de euros por infracción del artículo 6 del RGPD y calificada como muy grave; un requerimiento para que en el plazo de seis meses adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

La resolución no es firme y contra la misma cabe recurso.

I. Cuestiones previas

De la lectura de la resolución, podréis observar que la reclamada planteó durante el curso del procedimiento sancionar distintas cuestiones procesales relativas a la tramitación del procedimiento, fijación de la sanción en el acuerdo de apertura, potestad de acordar una fase previa de investigación inactividad procesal (etc.),  cuya valoración no será objeto del presente análisis, porque lo que nos interesa valorar es la cuestión de fondo relativa a los argumentos esgrimidos por la Agencia para determinar la existencia del incumplimiento de los arts. 6, 13 y 14 de RGPD.

II. Acuerdo de inicio de procedimiento sancionador

El inicio del procedimiento sancionador trae causa de la presentación ante la AEPD de varias reclamaciones, 5 concretamente, de personas distintas pero contra la misma entidad, a las que la AEPD da traslado a la entidad reclamada para que proceda al análisis de las mismas y a dar respuesta en el plazo de un mes.

El resultado de dicho traslado no fue satisfactorio para la AEPD que acuerda admitir a trámite las reclamaciones e incoar el correspondiente procedimiento sancionador, cuya resolución es la que hoy es objeto de análisis.

III. Hechos probados

De las actuaciones practicadas en el procedimiento sancionador y la documentación aportada quedan probados a juicio de la AEPD los siguientes hechos (reclamaciones que tuvieron entrada en la Agencia):

  1. Denuncia por el envío a una línea móvil de un SMS promocional sin autorización del reclamante.
  2. Denuncia relativa al incumplimiento de los requisitos legales relativos al consentimiento libre e informado de la app de la entidad financiera (mecanismo de oposición al tratamiento para fines distintos a los necesarios para la prestación del servicio si el cliente activa las casillas de oposición).
  3. Reclamación por requerir la suscripción de una política de protección de datos para el desbloqueo de su cuenta en el que se oponía al tratamiento de datos para la oferta de productos y servicios del grupo.
  4. Reclamación por envío de comunicaciones comerciales no solicitadas.
  5. Denuncia por la realización de llamadas telefónicas y envío de SMS publicitarios.

IV. Tramitación conjunta de las reclamaciones

Frente a la solicitud de la entidad sancionada de archivo de las actuaciones que acumula las cinco reclamaciones, por falta de vinculación entre las mismas, la AEPD sostiene que sí existe tal vinculación al referirse todas ellas a la política de privacidad de la sancionada, así como que la resolución analiza cada una de las reclamaciones y realiza una valoración de la prueba practicada en cada caso, pero sin olvidar que estas conductas trascienden de las cinco reclamaciones presentadas.

Motiva además esta acumulación en que la reclamación de un particular puede dar lugar a dos tipos de procedimientos, uno relativo a infracciones del RGPD, con carácter general, y otro por vulneración de sus derechos.

Añade la AEPD que cuando una actuación que se considera incorrecta deriva de una política general adoptada por el responsable del tratamiento, de manera que no se trata de un error puntual, denota que la infracción no reside exclusivamente en los cinco casos examinados, sino en la propia política de privacidad adoptada por el responsable.

Dado que todas las reclamaciones recibidas guardan relación con la operativa de la política de privacidad y la forma de obtener el consentimiento, que tales deficiencias tienen alcance general que afecta a todos los clientes de la entidad y que, a criterio de la AEPD, la adopción de oficio del acuerdo de inicio del procedimiento no está constreñido por la reclamación del particular, se analizan las cinco reclamaciones recibidas en un único procedimiento.

V. Los incumplimientos del RGPD

En los Fundamentos de Derechos III, superadas las manifestaciones relativas a las posibles vulneraciones procesales, la resolución centra el análisis en la revisión del formulario de recogida de datos personales utilizado por la entidad financiera, para determinar el alcance de dicho documento y las posibles irregularidades que puedan apreciarse desde el punto de vista de la normativa de protección de datos personales, desde el 28 de mayo de 2018, fecha en el que RGPD era plenamente aplicable.

Concretamente, el análisis se centra en:

  • el cumplimiento por parte de la entidad del principio de transparencia establecido en los arts. 5, 12 y ss del RGPD,
  • los distintos tratamientos de datos personales de sus clientes que lleva a cabo la entidad conforme a la información ofrecida,
  • Análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados.

A. Principio de transparencia

La recogida de datos personales a través de formularios habilitados al efecto constituye un tratamiento de datos, respeto del cual el responsable del tratamiento ha de dar cumplimiento al principio de transparencia.

Analizada la información ofrecida por la entidad financiera a sus clientes en relación con los artículos 13 y 14 del RGPD, la AEPD comprueba que la misma es incompleta o inadecuada por los siguientes motivos:

  • Emplea terminología imprecisa y formulaciones vagas.
  • No informa de manera clara y sistemática sobre los tratamientos y las finalidades para las que serán utilizados.
  • Contiene fórmulas y expresiones imprecisas y vagas, tales como “conocerte mejor”, “personalizar tu experiencia”, de forma que se presenta la política de privacidad como beneficio para el cliente, dando a entender que su no aceptación supondrá la perdida de ventajas. Expresiones todas ellas incluidas como ejemplos de mala prácticas en el documento del Grupo de Trabajo del articulo 29 “Directrices sobre la transparencia en virtud del Reglamento 2016/679” de 29 de noviembre de 2017 y revisadas el 11 de abril de 2018.

B. De los distintos tratamientos de datos personales de sus clientes que lleva a cabo la entidad conforme a la información ofrecida.

Observa asimismo la Agencia que la información ofrecida es incompleta.

  • No se informa adecuadamente sobre la categoría de datos personales sometidos a tratamiento y en relación con todos aquellos tratamientos cuya base jurídica sea el consentimiento del interesado como base legitimadora (Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 29016/679).
  • Respecto a tratamientos basados en el interés legítimo, observa la AEPD que en estos tratamientos la entidad elabora perfiles, que son posteriormente utilizados para la oferta de productos y servicios, de acuerdo con la finalidad número 3 de su política de privacidad a los clientes que presten su consentimiento para ello y que, dicho perfil se comunica a las sociedades del grupo también en base al consentimiento prestado por el interesado. De esta forma, los defectos que se advierten en relación con los tratamientos basados en el interés legítimo, repercuten en por igual en la validez del consentimiento.
  • Cuestiona también la Agencia la utilización de los datos para la oferta de productos y servicios de los que la entidad es comercializadora, dado que no se trata de productos propios, sino de productos de terceros, lo que limita la información de que se trate con fines propios.
  • Finalidades a las que se destinarán los datos y la base jurídica del tratamiento. Tratamientos similares en relación con finalidad distintas, aparecen amparadas en interés legítimo en unos casos y en el consentimiento en otros. La cuestión analizada en este caso es la confusión que puede producir al interesado que un tratamiento no consentido se lleve finalmente a cabo al amparo del interés legítimo.
  • Información sobre el interés legítimo del responsable y terceros. La Agencia determina que esos tratamientos, tal y como aparecen fundamentados en la política de privacidad, no pueden ampararse en el interés legítimo, que exige una evaluación para determinar los intereses o derechos que prevalecen, entendida como los que interesado pueda percibir o deducir como razonable por sí mismo. En definitiva, no puede justificarse en lo que la entidad responsable entienda como una “expectativa razonable” del cliente, ni aquello sobre lo que la misma informe al cliente que responde a esas expectativas.

En este sentido, la entidad reclamada justificaba en el interés legítimo  la finalidad de “conocerte mejor y personalizar tu experiencia” en tratamientos relativos al análisis de la evolución financiera del interesado, la de los productos o servicios contratados, sus operaciones (pagos, ingresos, adeudos…) usos de productos y servicios y canales, así como la posibilidad de aplicar métodos estadísticos y de clasificación para ajustar su perfil.

  • Información sobre elaboración de perfiles, en este caso, además de rechazar las operaciones de tratamiento que incluyan la elaboración de perfiles basadas en el interés legítimo por falta de justificación, tampoco se ofrece información sobre el tipo de perfiles que se realizan ni el uso específico al que se va a destinar o la posibilidad de ejercer el derecho de oposición si el perfilado está relacionado con actividades de mercadotecnia.

La infracción de los arts. 13 y 14 RGPD, calificada como leve a efectos de prescripción, ha supuesto un a multa a la entidad financiera de 2 millones de euros.

C. Licitud del tratamiento y Condiciones para el Consentimiento

La entidad responsable no diseñó un mecanismo específico para recabar el consentimiento de sus clientes para las finalidades relativas a:

  • “Ofrecer productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para ti”.
  • “Para comunicar tus datos a sociedades del Grupo BBVA para que te puedan ofrecer productos y servicios personalizados para ti”.
  • “Para mejorar la calidad de los productos y servicios”.

Y entendía que la mera aceptación de la política de privacidad, mediante la firma por el cliente del formulario de recogida de datos, conllevaba la prestación de ese consentimiento, dando la opción al cliente de marcar la casilla redactada en sentido negativo, si no estaba de acuerdo con alguna de las finalidades.

En ese sentido, y tal como argumenta la resolución, la formula escogida por la entidad no daba al interesado la opción para prestar el consentimiento a los distintos tratamientos, sino que el consentimiento se recaba mediante la inacción del interesado al no seleccionar las casillas (“no quiero”), en contra de lo establecido en el Considerando 32 del RGPD.

Abunda el análisis de incumplimientos que recoge la resolución, en el de la aceptación operada mediante una acción única (¿deberíamos entender que es una acción por inacción?) de todos los tratamientos contenidos en la política de privacidad, al recoger la misma finalidades distintas a la ejecución del contrato o relación negocial mantenida por el interesado y la entidad responsable, y que por tanto deviene inválido respecto de los tratamientos que requieren de un consentimiento diferenciado y granular.

Resalta asimismo la Agencia, que el consentimiento así prestado (únicamente permite al interesado no autorizar), no se considera suficientemente informado.

VI. Ponderación del Interés legítimo

La resolución contiene también razonamientos de rechazo a la utilización del  interés legítimo del responsable o de terceros, con la finalidad de elaborar el modelo de negocio de la entidad, valorar nuevas funcionalidades o remitir felicitaciones a los clientes.

Y hace especial hincapié, en algo que desde nuestro departamento hemos ido recomendando, que es la necesidad de realizar los ejercicios de ponderación del interés legítimo, de forma meticulosa, de los derechos e intereses en juego.

En definitiva, sostiene que dados los defectos expresados en relación con el principio de transparencia, la indefinición de las finalidades, el lenguaje empleado, y la dificultad para conocer claramente las finalidades del tratamiento, difícilmente pueden asociarse a intereses legítimos del responsable, que puedan prevalecer sobre los derechos de los interesados.

Recuerda lo establecido en la STEDH 25/3/1983 sobre el juicio de proporcionalidad, relativo a idoneidad, necesidad y proporcionalidad en sentido estricto.

Para rechazar los argumentos expuestos por la reclamada, la AEPD ha tenido en  cuenta además:

  • La manera en la que se recaban los datos utilizado en base al interés legítimo y la escala en la recopilación que resulta excesiva.
  • Las técnicas utilizadas y la falta de transparencia sobre la lógica del tratamiento consistente en la elaboración de perfiles.
  • El elevado número de afectados, así como la gran cantidad de datos que se tratan.
  • La posición dominante del responsable frente al interesado.

Concluyendo, la Agencia destaca la ausencia de medidas o garantías adicionales, así como que en cuanto a la transparencia, la entidad no pone a disposición de los interesados el informe de ponderación del interés legítimo ni las evaluaciones de impacto.

VII. Resolución sancionadora

Como consecuencia de la concurrencia de los distintos incumplimientos, la Agencia acuerda imponer a la entidad reclamada:

  • una multa de 2 millones de euros por infracción de los artículos 13 y 14 del RGPD, calificada como leve,
  • una multa de 3 millones de euros por infracción del artículo 6 del RGPD y calificada como muy grave.
  • Requerirla para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

La resolución no es firme y contra la misma cabe interponer recurso de reposición ante la propia Agencia o directamente recurso contencioso administrativo.

VIII. Recomendaciones

Tras la lectura de la resolución, y el análisis pormenorizado que realiza la Agencia, recuerda la necesidad de tomar conciencia de contar con el debido asesoramiento y conocimiento de los requerimientos de RGPD, y  la necesidad de realizar las siguientes acciones:

  • Revisar el lenguaje utilizado en los formularios de recogida de datos y políticas de privacidad, de forma que no recojan expresiones vagas e imprecisas.
  • El cumplimiento del principio de transparencia.
  • La correcta identificación de las distintas finalidades para las que se tratan los datos.
  • El mecanismo de recogida del consentimiento para varias finalidades y cada una de ellas.
  • El análisis de aplicación de la correcta base legitimadora, la necesidad de obtener, en su caso, el consentimiento mediante una acción afirmativa, libre, especifica, informada e inequívoca.
  • La justificación debidamente ponderada del interés legítimo. Éste no puede justificarse en lo que la entidad responsable entienda como “expectativa razonable” del cliente.
  • Informar acerca de la elaboración de perfiles.