El pasado 21 de octubre de 2021, la AEPD impuso a Caixabank Payments & Consumer EFC, EP, S.A.U. (“CaixaBank” o la “Entidad”) en su procedimiento sancionador PS/00500/2020 (el “Procedimiento”), una multa de 3.000.000 euros por infringir el artículo 6.1 del RGPD relativo a la licitud del tratamiento.

La multa es consecuencia de una investigación iniciada por la AEPD a raíz de una reclamación presentada por un excliente de CaixaBank (el “Reclamante”), el cual dejó de ser cliente de CaixaBank en 2014.

Según el Procedimiento, la Entidad accedió a ficheros de solvencia patrimonial para obtener información sobre el Reclamante para elaborar un perfil y ofrecerle un servicio financiero, todo ello sin solicitar su consentimiento.

Contexto

La investigación de la AEPD que dio lugar al Procedimiento buscaba analizar el método empleado por CaixaBank para la elaboración de perfiles (artículo 4.4 del RGPD) en el desarrollo de varias de sus actividades comerciales.

Recordemos que el artículo 22 del RGPD regula el derecho del interesado a oponerse a decisiones individuales automatizadas, incluida la elaboración de perfiles. Dicho artículo prohíbe la elaboración de perfiles, salvo que se dé una excepción, como es el caso del consentimiento explícito del interesado (art. 22.2.c) del RGPD).

Según la investigación de la AEPD, cuando la base jurídica esgrimida por CaixaBank para amparar la elaboración de dichos perfiles era el consentimiento, el mecanismo empleado por la Entidad para la obtención de dicho consentimiento incumplía la normativa de protección de datos personales, haciendo que el consentimiento prestado por los clientes no fuera válido.

En consecuencia, los tratamientos realizados por CaixaBank al amparo de dicho consentimiento carecían de licitud, infringiendo así el artículo 6.1 del RGPD.

¿Por qué el mecanismo utilizado por CaixaBank para recabar el consentimiento del interesado incumplía la normativa de protección de datos?

En síntesis, la información ofrecida por CaixaBank a los clientes para recabar su consentimiento era insuficiente. Concretamente no se les informaba debidamente sobre las finalidades del tratamiento, ni sobre los datos personales objeto del tratamiento. Asimismo, el consentimiento tampoco era específico, al no cumplirse la exigencia de separación de los fines y prestación del consentimiento para cada uno de ellos.

A continuación revisaremos los detalles de los incumplimientos antes mencionados. Debido a la extensión del post, si el lector lo prefiere, puede pasar directamente a la conclusión del post.

Falta de información sobre las finalidades del tratamiento

Según el Procedimiento, en el documento de CaixaBank denominado “Condiciones Generales de la Solicitud-Contrato de Crédito” utilizado para la contratación de un producto, se informaba a los clientes que “los usos de los datos que se realizará conforme a sus autorizaciones es el siguiente:

(i) “Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente. Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:

a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas y de segmentación de clientes, con una triple finalidad:

1. Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias,

2. Realizar el seguimiento de los productos y servicios contratados,

3. Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados.

b) Asociar sus datos con los de otros clientes o sociedades con las que tenga algún tipo de vínculo, tanto familiar o social, como por su relación de propiedad como de administración, al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos.

c) Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los productos y servicios contratados.

d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar los servicios recibidos.

e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank.”

En relación con la información arriba transcrita, en cuanto a la suficiencia de la información ofrecida, la AEPD interpreta que: “A juicio de esta Agencia la información contenida en el documento Condiciones Generales de la Solicitud-Contrato de Crédito, arriba transcrita no aporta al interesado suficiente información como para que este pueda conocer el alcance de los tratamientos de perfilado que se llevan a cabo”.

“Así el primero de ellos hace referencia al “estudio de productos o servicios que puedan ser ajustados a su perfil y situación comercial concreta, para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias”. Con esta información el interesado no puede conocer exactamente en qué consiste el tratamiento que está consintiendo”.

Asimismo, “De tal información no puede deducirse que los productos a ofertar sean exclusivamente los de CPC, como dicha entidad alega, por lo que podría incluir ofertas de otras entidades del grupo o de otro tipo de productos o servicios no relacionados con la actividad de dicha entidad”.

Falta de información sobre los datos personales objeto del tratamiento

La AEPD también explica que: “Entre los elementos cruciales para que el consentimiento sea válido” se debe informar “al interesado sobre qué tipos de datos van a recogerse y utilizarse”.

Concretamente, en el documento Condiciones Generales de la Solicitud-Contrato de Crédito, se menciona que los datos personales tratados serán los siguientes:

“Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la oferta comercial de productos y servicios serán:

a) Todos los facilitados en el establecimiento o mantenimiento de relaciones comerciales o de negocio.

b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank Payments & Consumer, con las empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro, reclamaciones, etc.

c) Todos los que CaixaBank Payments & Consumer o las empresas del Grupo CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio tenga como destinatario al Titular, tales como la gestión de trasferencias o recibos.

d) Su condición o no de accionista de CaixaBank según conste en los registros de esta, o de las entidades que de acuerdo con la normativa reguladora del mercado de valores hayan de llevar los registros de los valores representados por medio de anotaciones en cuenta.

e) Los obtenidos de las redes sociales que el Titular autorice a consultar.

f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el Titular.

g) Los obtenidos de las navegaciones del Titular por el servicio de la web de CaixaBank Payments & Consumer y otras webs esta y/o de las empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank Payments& Consumer y/o de las empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir información relativa a geolocalización.

h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación establecida entre las partes. Los datos del Titular podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos de fuentes públicas, así como por datos estadísticos, socioeconómicos (en adelante, “Información Adicional”) siempre verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos”.

Según la AEPD: “De dicha información se desprende que el interesado no puede conocer los datos que se van a tratar para el perfilado, la información que se le aporta contempla datos que, […] no van a ser objeto de dicho tratamiento y, sin embargo, no se le informa del tratamiento de otros datos que si serán objeto del mismo como la consulta a ficheros de solvencia y a la Central de Información de Riesgos del Banco de España o el denominado Risk score”.

Recordemos que dicha consulta a los ficheros de solvencia fue el motivo por lo que un excliente de CaixaBank presentó la reclamación ante la AEPD que dio lugar al Procedimiento.

La APED continua: “En lo que respecta al dato denominado “risk score”, de la información aportada parece desprenderse que se trata de otra operación de perfilado de datos, efectuado por un encargado del tratamiento, (…). Esta Agencia considera que no se informa al interesado sobre esta nueva operación de perfilado, ni sobre la base jurídica que permite su realización, ni sobre los datos utilizados para llevarlo a cabo.

En lo que respecta a los datos utilizados para llevar a cabo la operación de perfilado denominada risk score, que según se señala son aquellos que obran en los sistemas de información crediticia, tampoco cabe su tratamiento sin el consentimiento del interesado, salvo que concurran las circunstancias previstas en el artículo 20.1.e de la LOPDGDD”.

Falta de consentimiento especifico

La AEPD explica que: “tal como aparece configurado el mecanismo para la prestación del consentimiento, no se ha previsto que el interesado exprese su opción sobre todos los fines para los que se tratan los datos. Se habla en el apartado (i) de tratamientos para “la oferta y diseño de productos y servicios ajustados al perfil de cliente”, supuesto que en sí mismo comprende ya tres diferentes fines:

1. Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias,

2. Realizar el seguimiento de los productos y servicios contratados,

3. Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados.

A ello se añaden otras finalidades como “analizar posibles interdependencias económicas en solicitudes de riesgo y contratación de productos”, “valorar los servicios recibidos” o “diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank Payments& Consumer y las empresas del Grupo CaixaBank”.

La enumeración de los tratamientos que la citada entidad realiza, en realidad supone una ampliación de los fines, que en algunos casos ni siquiera se identifican, por lo que el consentimiento prestado no puede considerarse específico al no haberse disociado suficientemente las solicitudes de consentimiento”.

Asimismo, la AEPD explica que: “En los diversos documentos en que se solicita el consentimiento, este se solicita para “el grupo CaixaBank”, lo que constituye una comunicación de datos a las empresas del grupo, comunicación que constituye una finalidad específica en sí misma considerada, que requiere una manifestación de voluntad del interesado por la que éste consienta que puede llevarse a cabo”.

Conclusión

El Procedimiento resulta interesante por ser el primer caso en donde la AEPD examina en profundidad el mecanismo empleado por una entidad para la obtención del consentimiento para la elaboración de perfiles.

Finalizamos el post con un recordatorio de la AEPD para aquellas empresas que quieran ampararse en el consentimiento explícito para justificar la elaboración de perfiles:

“Los responsables del tratamiento que pretendan basarse en el consentimiento como base para la elaboración de perfiles deberán demostrar que los interesados entienden exactamente qué están consintiendo, y deberán recordar que el consentimiento no es siempre una base adecuada para el tratamiento. En todos los casos, los interesados deben contar con suficiente información sobre el uso y las consecuencias previstos del tratamiento para garantizar que cualquier consentimiento que den constituya una elección informada”.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.