El pasado 4 de marzo de 2022, la AEPD impuso a CaixaBank, S.A. (“CaixaBank”) en su procedimiento sancionador PS/00226/2020 (el “Procedimiento”), una multa de 2.100.000 euros por imponer comisiones a los clientes de determinadas cuentas si estos no otorgaban su consentimiento para el envío de comunicaciones comerciales y para la cesión de sus datos personales a empresas de su grupo.

Asimismo, entre el periodo del 8 de julio de 2018 y el 15 de agosto de 2018, en el proceso online de contratación de la cuenta ON, las casillas para otorgar el consentimiento se encontraban premarcadas en estado de aceptación.

Hechos

La contratación de los productos financieros de CaixaBank denominados Cuenta ON; Cuenta ON Nómina y Cuenta UN&DOS (las “Cuentas Bancarias”) conllevan el cobro de varias comisiones como la de administración, mantenimiento de la cuenta, y cuota de las tarjetas, entre otras.

Sin embargo, los clientes de las Cuentas Bancarias (los “Clientes”) podían evitar dichas comisiones si estos accedían a mantener un “perfil digital”.

Para acceder a ese perfil digital, CaixaBank solicitaba a los Clientes su consentimiento para: (a) “el tratamiento de sus datos personales para el envío de comunicaciones comerciales por cualquier canal de comunicación habilitado, incluidos correo electrónico y teléfono móvil” y (b) “la cesión de sus datos personales a empresas de su grupo para el análisis de su perfil a efectos comerciales”.

Si los Clientes aceptaban dichas condiciones, adquirían el perfil digital y quedaban exentos de las comisiones de las Cuentas Bancarias.

Infracción 1: Consentimiento o comisiones

Como saben nuestros lectores, el RGPD define en su artículo 4 el consentimiento del interesado como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Según el Procedimiento, CaixaBank condicionó la exención de comisiones de los Clientes al otorgamiento de su consentimiento para fines distintos de los propios del contrato.

Es decir, en palabras de la AEPD: “se fusionan o difuminan las dos bases jurídicas para el tratamiento lícito de datos personales, el consentimiento y el contrato, incumpliéndose así el artículo 7.4 que garantiza que el tratamiento de los datos para los que se ha solicitado el consentimiento no se convierta en una contraprestación del contrato”.

En relación con la validez del consentimiento otorgado en estas circunstancias, la AEPD explica que “no puede considerarse que el consentimiento se otorga libremente, en tanto que, si no se aceptan tales tratamientos o se revoca posteriormente el consentimiento así obtenido, se producen consecuencias negativas para el interesado que está sujeto, en tal caso, al abono de las comisiones fijadas por la entidad bancaria”.

CaixaBank alegó que las comisiones son la contraprestación de los servicios prestados por la entidad, formando una parte esencial del contrato de cuenta corriente.

Sin embargo, la AEPD no penaliza a CaixaBank por exigir comisiones, sino por vincular “la exención de su cobro a la prestación del consentimiento para otros tratamientos de datos personales diferentes a los propios del contrato” en este caso concreto, el envío de comunicaciones comerciales y la cesión de sus datos personales a empresas de su grupo, lo cual “determina que el consentimiento no se preste en condiciones de libertad”.

CaixaBank también argumentó que la exención de las comisiones no era una penalización para los Clientes sino un beneficio.

La AEPD desestima esta argumentación explicando que:“en ningún caso puede considerarse que la exención de las comisiones constituya un beneficio para el interesado, por el contrario dicha exención tiene como contrapartida la limitación de su derecho fundamental a la protección de datos, limitación que solamente puede ser admisible cuando su aceptación no se encuentra condicionada”.

Las directrices sobre el consentimiento en el RGPD, aprobadas por el Grupo de Trabajo del artículo 29, adoptadas, en la reunión de 25 de mayo de 2018, por el Comité Europeo de Protección de Datos, establecen en su punto 3.1:

“En términos generales, el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy distintas) que impida que este ejerza su libre voluntad. (…) el consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales ) si no da su consentimiento. El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad”.

En este sentido, la AEPD interpreta que: “Este elemento de compulsión o presión viene determinado, a juicio de la AEPD, por el cobro de esas comisiones establecidas de forma que suponen un coste de suficiente entidad como para determinar a los clientes de tales cuentas a aceptar el consentimiento para el tratamiento de datos con fines distintos a los propios del contrato (…) Por consiguiente, esta Agencia entiende que cuando no se presta el consentimiento o su revocación implica un cobro de comisiones que no se produciría en virtud de la prestación de ese consentimiento para otros tratamientos, dicho consentimiento no es libre ya que dicho cobro supone un claro perjuicio para el interesado”.

En resumen, la AEPD concluye que CaixaBank infringió el artículo 6 del RGPD, en relación con el artículo 7.4 del RGPD al considerar inválido el consentimiento prestado por los Clientes por no haberse otorgado de forma libre. La multa por dicha infracción asciende a 2.000.000 de euros.

Infracción 2: Consentimientos premarcados

Como ya mencionamos anteriormente, entre el periodo del 8 de julio de 2018 y el 15 de agosto de 2018, en el proceso online de contratación de la cuenta ON, las casillas para otorgar el consentimiento se encontraban premarcadas en estado de aceptación. Este hecho afectó a un total de 2.562 clientes de CaixaBank.

En palabras de la AEPD: “No se ha cumplido el requisito según el cual el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, entendiéndose que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento” (Considerando 32).

En consecuencia, la AEPD concluye que: “La ausencia de tal requisito determina que el mismo (el consentimiento) no sea válido de modo que los tratamientos basados en él carecen de legitimación contraviniéndose así lo previsto en el artículo 6 del RGPD” e impone a CaixaBank por esta infracción una multa de 100.000 euros.

Conclusión

El presente Procedimiento permite arrojar luz sobre la postura de la AEPD en cuanto a la definición del concepto “voluntad libre” en relación con el consentimiento.

El consentimiento no será considerado libre cuando el responsable del tratamiento utilice “elementos de presión” para obtener el consentimiento del interesado para un tratamiento de datos distinto al requerido por un contrato para su ejecución.

La justificación del uso de elementos de presión en la forma de comisiones como una contraprestación de los servicios prestados o como un beneficio para el interesado, no han prosperado en el Procedimiento.

La multa del presente Procedimiento de 2,1 millones de euros, se sitúa en el puesto número 7 de nuestro ranking de las 10 multas más altas en España por infracción del RGPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.