Multa de 5 millones de euros de la Agencia Española de Protección de Datos (AEPD) a BBVA por varias infracciones del RGPD

El pasado 11 de diciembre, la AEPD impuso en su procedimiento sancionador PS/00070/2019 una multa de 5 millones de euros a Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”) por diversas infracciones del RGPD.

El procedimiento surgió a raíz de la reclamación de 5 personas distintas. BBVA se justificó de todas estas reclamaciones esgrimiendo como defensa el formulario de recogida de datos personales utilizado por la entidad denominado “Declaración de actividad económica y política de protección de datos personales” (el “Formulario”). En el Formulario, BBVA explica a los interesados los términos aplicables sobre la protección de datos personales, y solicita el consentimiento de los interesados.

Durante la instrucción del procedimiento la AEPD detectó dos infracciones concretas como resultado del análisis del Formulario, las cuales exponemos a continuación.


Infracción del derecho de información del interesado (arts. 13 y 14 del RGPD).

El considerando 58 del RGPD establece que en el momento de la recogida de los datos personales el responsable del tratamiento debe suministrar a los interesados la información exigida por el RGPD de manera “concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo”.

La AEPD estima que la información ofrecida por BBVA a los interesados en el Formulario en relación con lo dispuesto en los artículos 13 y 14 del RGPD es incompleta o inadecuada.

La AEPD resume esta infracción de la siguiente manera: “BBVA no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización. Cuando hace referencia a estas cuestiones emplea una terminología imprecisa y formulaciones vagas, ajena al cumplimiento estricto del principio de transparencia, impidiendo a los interesados conocer el sentido y significado real de las indicaciones facilitadas y el alcance real de los consentimientos que puedan prestarse”.

La AEPD cita en su procedimiento las expresiones vagas e imprecisas encontradas en el Formulario, de las cuales transcribimos algunos ejemplos:

“Conocerte mejor y mejorar tu experiencia”, “Ofrecerte productos y servicios… personalizados para ti”, “Mejorar la calidad de los productos y servicios”, “Tus datos son tuyos y los controlas tú”, “… que tu experiencia sea más personalizada”, “Productos y precios más ajustados a ti”, “NO quiero que BBVA trate mis datos para ofrecerme productos y servicio… personalizados para mí”, “NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan ofrecer productos y servicios propios personalizados para mí”.

La AEPD concluye además que BBVA no ofreció a los interesados suficiente información sobre la categoría de datos personales que iban a ser objeto de tratamiento, así como la finalidad de dicho tratamiento y la base jurídica que legitimaba el tratamiento.


Invalidez del consentimiento como base legal para el tratamiento de datos personales (infracción del artículo 6 del RGPD).

El RGPD define el consentimiento como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Según el considerando 32 del RGPD: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen… Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Respecto al requisito de un acto afirmativo claro en el presente caso: el Formulario recababa el consentimiento de los interesados utilizando las siguientes fórmulas:

“[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí.

[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan ofrecer productos y servicios propios personalizados para mí.

[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que hacemos de tus datos”.

Es decir, el interesado necesitaba realizar una acción marcando las casillas para que BBVA no procesara sus datos. La inacción del interesado, por ejemplo, si no había leído todo el formulario, daría lugar a un consentimiento por defecto, que sería contrario al acto afirmativo claro exigido por el RGPD para que el consentimiento fuera válido.

Respecto al requisito de voluntad especifica en el presente caso: El considerando 32 del RGPD establece que: “cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos”. Según la AEPD, BBVA carecía de un mecanismo para recabar el consentimiento de los interesados de forma granular con el objeto de tratar sus datos personales para distintas finalidades. BBVA estimó que la aceptación sin más de su política de privacidad, mediante la firma por el cliente del Formulario, conllevaría la prestación de ese consentimiento.

Respecto al requisito de consentimiento informado en el presente caso: en la medida en la que BBVA incumplió la obligación de información (arts. 13 y 14) antes mencionada, se considera que el consentimiento de los interesados tampoco fue informado.

Dado que el consentimiento otorgado por los interesados en el Formulario no fue un claro acto afirmativo, ni especifico, ni informado, el consentimiento no reúne los requisitos necesarios para ser considerado un consentimiento valido. Por tanto, el tratamiento de datos personales realizado por BBVA de sus clientes basado en el consentimiento como base legal a raíz del Formulario, es ilícito.


Invalidez del interés legítimo como base legal para el tratamiento de datos personales (infracción del artículo 6 del RGPD).

La AEPD estima que el interés legítimo que BBVA emplea como base legal para el tratamiento de datos personales para determinadas finalidades no está suficientemente justificado.

El RGPD establece en su artículo 6.1.f) que el tratamiento de datos será lícito si: “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño…”.

El Considerando 47 del RGPD precisa además que “El interés legítimo de un responsable del tratamiento […], puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, […] la existencia de un interés legítimo requeriría una evaluación meticulosa […]”.

Es decir, antes de iniciar un tratamiento de datos utilizando la base legal del interés legítimo, ha de hacerse una “evaluación meticulosa”, de los derechos e intereses en juego: por un lado, el interés legítimo del responsable del tratamiento, y, por otro lado, tanto los intereses como los derechos y libertades fundamentales de los interesados.

Sin perjuicio de lo anterior, la AEPD concluye que: “Considerando que ni siquiera es posible conocer claramente las finalidades del tratamiento difícilmente las mismas pueden asociarse a intereses legítimos de BBVA que puedan, además, prevalecer sobre los derechos de los interesados, a los que no se informa claramente acerca de los extremos exigidos por las normas de protección de datos”.

“[…] resulta imposible que el interesado, o esta autoridad de control, pueda valorar si las operaciones de tratamiento realizadas son necesarias, o si, por el contrario, podría obtenerse el mismo resultado por medios menos invasivos; tampoco podrá concluirse, menos aún, que el interés invocado sea prevalente”.

La AEPD también critica que BBVA no pusiera a disposición de los interesados el informe de ponderación del interés legítimo, para justificar la prevalencia del interés legítimo de BBVA frente a los derechos y libertades de los interesados.


Conclusión:

Según el procedimiento sancionador, BBVA infringió los artículos 6, 13 y 14 del RGPD. Del total de la multa de cinco millones de euros, dos millones corresponden a la infracción de los artículos 13 y 14 del RGPD, y tres millones corresponden a la infracción del artículo 6 del RGPD.

Entre los diversos agravantes que la AEPD tiene en consideración, destaca el siguiente: “La entidad imputada no tiene implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, de modo que la infracción no es consecuencia de una anomalía en el funcionamiento de dichos procedimientos, sino un defecto del sistema de gestión de los datos personales diseñado por la responsable.

Las lecciones aprendidas del presente procedimiento sancionador: (1) Ser sumamente claro y completo en cuanto a la información que se ofrece a los interesados en la política de privacidad. (2) En caso de utilizarse la base legal del consentimiento para el tratamiento de los datos personales, comprobar que se reúnen todos los requisitos necesarios para la validez del consentimiento. (3) En caso de utilizarse la base legal del interés legítimo, realizar, documentar y justificar el análisis de ponderación del interés legítimo frente a los derechos y libertades de los interesados.

Nos encontramos ante la mayor multa impuesta por la AEPD hasta la fecha por infracción del RGPD, quitándole el primer puesto a la multa de 300.000 euros que la AEPD impuso a la Liga Nacional de Fútbol Profesional en el procedimiento sancionador PS/00326/2018.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x