Parte 1/2: La Agencia Española de Protección de Datos (AEPD) impone una multa de 6 millones de euros a CaixaBank por varias infracciones del RGPD

El pasado 13 de enero, en su procedimiento sancionador PS/00477/2019, la AEPD impuso a la entidad bancaria CaixaBank, S.A. (“CaixaBank”) una multa de 6 millones de euros por infringir los artículos 6, 13 y 14 del RGPD relativos al principio de licitud del tratamiento y al deber de información.

La instrucción de este caso surgió tras la recepción por la AEPD de dos reclamaciones relacionadas con las condiciones de los contratos utilizados por CaixaBank para recabar el consentimiento de los interesados.

Una de las reclamaciones fue presentada por la Asociación de Consumidores y Usuarios en Acción (FACUA), la misma entidad cuya reclamación dio lugar al procedimiento sancionador PS/00477/2019 contra la Liga Nacional de Fútbol Profesional que concluyó con una multa de 250.000 euros.

Debido a la extensión del presente post, hemos decidido publicarlo en dos partes. En esta primera parte, hablaremos de la infracción de CaixaBank de los artículos 13 y 14 del RGPD relativos al deber de información.


Documentos utilizados por CaixaBank en el tratamiento de datos

Para poder entender mejor las infracciones cometidas por CaixaBank resulta primero necesario conocer los distintos documentos utilizados por dicha entidad en el tratamiento de datos y su objeto (los “Documentos”).

1. “Contrato Marco”: Sirve como formulario de recogida de datos y es el documento utilizado prioritariamente por CaixaBank para facilitar al interesado la información en materia de protección de datos personales. Su apartado 8 detalla los datos personales que CaixaBank utiliza y para qué finalidades. Se firma presuntamente durante el proceso de alta con el cliente.

2. “Contrato de Consentimientos” o “Autorización para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”: El contrato de consentimientos se utiliza para documentar la modificación de los consentimientos fuera del proceso de alta del cliente.

3. “Contrato del Servicio de Agregación”: En este contrato, el firmante permite a CaixaBank agregar la información de los productos que el cliente tenga contratados con otras entidades (posiciones y movimientos de cuentas y tarjetas) y disponer así de una visión global de todas sus posiciones.

4. “Contrato de Redes Sociales”: En este contrato, el firmante autoriza a CaixaBank a obtener datos personales de este a través de las redes sociales (Facebook, Twitter y LinkedIn) para su posterior tratamiento.

5. “Política de Privacidad”: accesible a través de la web de la entidad.


Infracciones del deber de información (arts. 13 y 14 del RGPD)


1. La información ofrecida a los clientes de CaixaBank en los distintos Documentos no es uniforme.

Los Documentos emplean una terminología diferente para referirse a las mismas cuestiones y no tienen el mismo contenido. Esto resulta relevante porque la información que reciben los clientes en materia de protección de datos varía en función del documento empleado por CaixaBank en cada caso para facilitar la información.

Según la AEPD, CaixaBank facilitó a algunos clientes la información sobre protección de datos a través del Contrato de Consentimiento o la Política de Privacidad, sin que éstos suscribieran el Contrato Marco, no teniendo dichos clientes acceso a información importante recogida en el Contrato Marco.

El primer reclamante es uno de estos clientes que prestó sus consentimientos mediante el Contrato de Consentimientos, sin suscribir el Contrato Marco.

La Política de Privacidad también ha sido la única información sobre protección de datos personales a la que algunos clientes han accedido, los cuales no suscribieron el Contrato Marco ni el Contrato de Consentimientos.


2. Los Documentos emplean una terminología imprecisa y formulaciones vagas.

La AEPD estima que “CAIXABANK no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados”.

La AEPD emplea los siguientes ejemplos para ilustrar este punto: “conocerte mejor”, “personalizar su experiencia”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, “información generada de los propios productos”, “análisis y estudio”, “estudiar productos y servicios”.

La terminología en estas expresiones impide por tanto a los interesados conocer el significado del tratamiento y el alcance real de sus consentimientos, incumpliendo el principio de transparencia del RGPD.


3. Insuficiente información sobre los tratamientos de datos personales basados en la relación contractual.

La información indicada en el apartado 1 “Gestión de las relaciones comerciales” de un contrato que la AEPD no especifica, es insuficiente para permitir al cliente valorar si el tratamiento de datos que persigue CaixaBank puede ampararse en la base jurídica de Ejecución del Contrato.


4. En algunos casos no se informa debidamente sobre qué tipo de datos personales concretos se tratarán para cada una de las finalidades especificadas.

Concretamente, esta insuficiencia se observa en el Contrato Marco y en el Contrato de Consentimientos en relación con las finalidades de “análisis y estudio de datos” y “para la oferta comercial de productos y servicios”.

En estos documentos se advierte al interesado que CaixaBank podrá tratar “todos” los datos que “se generen en la contratación y operativas de productos y servicios”, incluyendo únicamente algunos ejemplos y finalizando con la palabra “etc.”, cuyo empleo, según la AEPD, debe evitarse al ofrecer información en materia de protección de datos.

La AEPD explica que: “esta información es defectuosa en la medida en que no permite al destinatario de la información conocer con certeza todas las categorías de datos personales que se utilizarán por aquella entidad y que, incluso, la repetida información, por su falta de concreción, podría estar dando cobertura a una recogida y tratamiento de datos personales inaceptable”.


5. Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y la base jurídica que lo legitima. Confusión de bases jurídicas.

La AEPD considera que la información ofrecida por CaixaBank a sus clientes para explicar las finalidades del tratamiento no es explícita. Es decir, la finalidad no se describe con la suficiente claridad para que cualquier interesado entienda cómo serán tratados sus datos personales.

La AEPD esgrime las siguientes finalidades de tratamiento de datos de CaixaBank como ejemplos de finalidades poco claras: “personalizar su experiencia comercial en nuestros canales”, “ofrecerle productos y servicios que se ajusten a su perfil”, “Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”, “ofertas comerciales ajustadas a sus necesidades y preferencias” y “definir o mejorar las experiencias de los usuarios”.

Asimismo, en el Contrato Marco, CaixaBank hace referencia a tratamientos similares utilizando el consentimiento como base jurídica en unos casos, y el legítimo interés en otros. Según la AEPD: “Ello puede suponer que un tratamiento no consentido por el interesado se lleve finalmente a cabo al amparo del interés legítimo del responsable, desvirtuando la capacidad de los clientes de decidir sobre el destino de sus datos personales”.

En consecuencia, la información ofrecida al interesado puede provocar confusión sobre la base jurídica que ampara el tratamiento de datos.


6. Insuficiente información en relación con la base jurídica del interés legítimo que CaixaBank utiliza para justificar el tratamiento de datos.

CaixaBank no explica en qué consiste su “interés” legítimo. En el Contrato Marco y en la Política de Privacidad no se informa sobre ningún interés específico al referirse a los tratamientos de datos y finalidades que CaixaBank pretende realizar al amparo de esta base jurídica.

En consecuencia, la información ofrecida por CaixaBank es insuficiente para realizar una evaluación meticulosa que permita determinar si el interés legítimo de CaixaBank debe prevalecer sobre los intereses y derechos del interesado. No resulta por tanto posible ampararse en el interés legítimo para justificar el tratamiento de datos.

Por último, la AEPD también concluye que CaixaBank ha realizado otros tratamientos de datos personales amparándose en el interés legítimo sobre los que no ha informado en ningún momento a los interesados. Estos tratamientos se describen en un documento denominado “Tratamientos de datos de carácter personal en base al interés legítimo” accesible en la página web de CaixaBank.

Según la AEPD: “este documento no se facilita a los interesados ni consta ninguna referencia al mismo en el “Contrato Marco”, el “Contrato de Consentimientos” o en la “Política de Privacidad”, de modo que CAIXABANK no puede tener certeza sobre el acceso de los clientes a esta información ni está en situación de poder acreditar este acceso”.


7. Insuficiente información sobre elaboración de perfiles.

No se ofrece información al cliente sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o su funcionamiento y las consecuencias de su elaboración.


8. Insuficiente información sobre el ejercicio de derechos, la posibilidad de reclamar ante la Agencia Española de Protección de Datos, y la existencia de un Delegado de Protección de Datos.

La información que CaixaBank facilita al respecto no es uniforme en todos los Documentos. La AEPD utiliza entre otros, los siguientes ejemplos:

La información que se ofrece para el acceso a datos personales de los clientes en redes sociales informa sobre los derechos recogidos en la LOPD, no en el RGPD: “Usted podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición de acuerdo con la normativa de protección de datos”.

Asimismo, en la Política de Privacidad no se menciona el derecho de oposición. El Contrato del Servicio de Agregación tampoco menciona expresamente la posibilidad de revocar el consentimiento y de ejercer el derecho de oposición.


9. La información sobre plazos de conservación de los datos personales no es uniforme.

Al igual que en el anterior punto, la información que CaixaBank facilita al respecto no es uniforme en todos los Documentos. La AEPD utiliza entre otros, los siguientes ejemplos:

Según lo establecido en el Contrato Marco, los datos personales dejarán de tratarse a los seis meses de la finalización de las relaciones contractuales con el cliente.

La información relativa al acceso a datos personales de los clientes en redes sociales no contiene ninguna indicación sobre la conservación de datos personales.

En el Contrato del Servicio de Agregación se indica que los datos personales serán tratados hasta transcurridos doce meses desde la finalización de la relación contractual.


Conclusión

A continuación, indicamos las lecciones que entendemos más relevantes a tener en cuenta a raíz de esta sanción de la AEPD:

  • Estandarizar la información en materia de protección de datos para que esta sea uniforme en todos los documentos que el interesado deba leer y firmar.

  • Reforzar los procesos de alta para que todos los clientes firmen los mismos documentos en materia de protección de datos.

  • Concretar y simplificar el texto que describa los tratamientos de datos, las finalidades del tratamiento, y la base jurídica que lo legitima.

  • Definir el interés legítimo cuando se emplee como base jurídica para el tratamiento de datos, y justificar porque debe prevalece sobre los derechos y libertades de los interesados.

  • Evitar realizar tratamientos de datos similares utilizando distintas bases jurídicas para legitimarlos.

Recordemos que en este primer post solo hemos descrito las infracciones de CaixaBank relativas al deber de información (artículos 13 y 14 del RGPD). En nuestro siguiente post, escribiremos sobre la infracción de esta entidad del principio de licitud del tratamiento (artículo 6 del RGPD).


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x