Como ya comentamos en la primera parte de este post, el pasado 13 de enero, en su procedimiento sancionador PS/00477/2019, la AEPD impuso a la entidad bancaria CaixaBank, S.A. (“CaixaBank”) una multa de 6 millones de euros por infringir los artículos 6, 13 y 14 del RGPD relativos al principio de licitud del tratamiento y al deber de información.

La instrucción de este caso surgió tras la recepción por la AEPD de dos reclamaciones relacionadas con las condiciones de los contratos utilizados por CaixaBank para recabar el consentimiento de los interesados.

En nuestro primer post nos centramos en las infracciones del deber de información establecidas en los artículos 13 y 14 del RGPD.

En el presente post hemos querido centrarnos en la infracción del principio de la licitud del tratamiento de datos establecido en el articulo 6 del RGPD. En este sentido, destacamos a continuación las dos infracciones de CaixaBank de este artículo que consideramos más relevantes.

Los distintos contratos están definidos en nuestro primer post.

Infracciones del principio de licitud del tratamiento (art. 6 del RGPD)

1. Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el Contrato Marco y en el Contrato de Consentimientos.

En dichos contratos, la base jurídica empleada por CaixaBank para el tratamiento de datos con finalidades comerciales es el consentimiento del interesado.

Recordemos que el RGPD establece que para que el consentimiento sea válido, este debe de cumplir los siguientes requisitos: ser libre, informado, específico e inequívoco.

Con todo esto presente, la AEPD considera que el consentimiento recabado por CaixaBank incumple varios de estos requisitos.

En primer lugar, el consentimiento no es especifico. Esto se debe a que CaixaBank agrupa dentro de cada finalidad principal otras finalidades sobre las que el cliente no puede pronunciarse.

A modo de ejemplo, dentro de la finalidad “(ii) oferta comercial de productos y servicios de CaixaBank”, para la que se recaba un único consentimiento, se detalla lo siguiente:

(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios de CaixaBank y las Empresas del Grupo CaixaBank.

Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a: Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o telemáticos, relativas a los productos y servicios que, en cada momento:

a) comercialice CaixaBank o cualquiera de las Empresas del Grupo CaixaBank

b) comercialicen otras empresas participadas por CaixaBank y terceros cuyas actividades estén comprendidas entre las bancarias, de servicios de inversión y asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de servicios de consultoría, ocio y benéfico-sociales.

Esta finalidad agrupa en una sola manifestación de voluntad del interesado el envío de comunicaciones comerciales relativas a productos y servicios de CaixaBank, las empresas del Grupo CaixaBank y de terceros.

En palabras de la AEDP “el consentimiento prestado no puede considerarse específico al no haberse disociado suficientemente las solicitudes de consentimiento […]. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines y, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos”.

En segundo lugar, el consentimiento no es libre. La AEPD considera que con la firma del contrato se imponen al cliente aspectos relativos al tratamiento de sus datos personales, como es el intercambio de información entre CaixaBank con las entidades que integran el Grupo CaixaBank, que merman la capacidad de elección del cliente.

En tercer lugar, el consentimiento no es informado. Como ya mencionamos en la sección “Infracción del deber de información” de nuestro primer post, la información que CaixaBank ofrecía a los interesados antes de obtener su consentimiento era insuficiente.

En resumen: el consentimiento de los interesados que ampara el tratamiento de datos para finalidades comerciales no es específico, libre ni informado.

Por todo lo expuesto, la AEPD concluye que “devienen en ilícitos todos los tratamientos detallados cuya base legal venga determinada, conforme a lo expresado por la propia entidad CAIXABANK, por el consentimiento de los interesados”.

2. Tratamiento de datos personales basados en el interés legítimo

CaixaBank ampara en la base jurídica del interés legítimo diversos tratamientos de datos. Sin embargo, al igual que sucede con el consentimiento, el interés legitimo también debe de cumplir una serie de requisitos para poder ser utilizado como base jurídica.

En primer lugar, y tal como establece el Considerando 47 del RGPD, antes del tratamiento se debe realizar una evaluación meticulosa de los derechos e intereses en juego: el interés legítimo del responsable del tratamiento, por un lado, y por el otro los intereses, derechos y libertades fundamentales de los interesados (“Evaluación Meticulosa”).

Solo si tras la Evaluación Meticulosa, los intereses del responsable del tratamiento de datos prevalecen sobre los intereses, derechos y libertades fundamentales de los interesados, podrá el responsable del tratamiento utilizar el interés legítimo como base legal.

En segundo lugar, y tal como indica el Dictamen 6/2014 elaborado por el Grupo de Trabajo del Artículo 29 sobre el concepto del interés legítimo: “un interés debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado. Además, el interés en juego debe también ser perseguido por el responsable del tratamiento. Esto exige un interés real y actual, que se corresponda con actividades presentes o beneficios que se esperen en un futuro muy próximo. En otras palabras, los intereses que sean demasiado vagos o especulativos no serán suficientes”.

En este sentido, la AEPD explica que: “la información facilitada no especifica ningún interés legítimo de CAIXABANK, que se limita a señalar los tratamientos de datos que realiza con esta base jurídica”. Esto impide realizar una evaluación meticulosa entre el interés del responsable y los derechos del interesado para determinar cuáles prevalecen.

En tercer lugar, y tal como establece el articulo 6.1.f) del RGPD, el tratamiento debe ser necesario. Es decir, el tratamiento ha de ser imprescindible para la satisfacción del interés legítimo perseguido por el responsable. Por lo tanto, si existen alternativas menos invasivas para conseguir el mismo fin, no podrá esgrimirse el legítimo interés como base legal para el tratamiento de datos.

La AEPD se pronuncia sobre la claridad y necesidad del interés legítimo de CaixaBank: “resulta imposible que el interesado, o esta autoridad de control, pueda valorar si las operaciones de tratamiento realizadas son necesarias, o si, por el contrario, podría obtenerse el mismo resultado por medios menos invasivos; tampoco podrá concluirse, menos aún, que el interés invocado sea prevalente”.

Además de no cumplirse los requisitos para la validez del interés legítimo como base jurídica, la AEPD indica un problema adicional que surge a raíz del uso de esta base jurídica: los tratamientos realizados por CaixaBank con finalidades comerciales basados en el interés legítimo son similares a tratamientos que CaixaBank ampara en el consentimiento del cliente. Es decir, existe un conflicto por el uso de distintas bases jurídicas para amparar tratamiento de datos similares.

La AEPD explica el problema de dicho conflicto “no puede admitirse un tratamiento de datos basado en el interés legítimo similar a otros llevados a cabo sobre la base del consentimiento del cliente […] Podría dar lugar a una situación en la que se realicen tratamientos de datos en base al interés legítimo que hubiesen sido negados por el afectado”.

Por todo lo anterior, la AEPD finaliza: “se ha de concluir que no prevalece el interés legítimo de CAIXABANK como base legitima para el tratamiento”.

Conclusión

La AEPD hace historia con este procedimiento por ser la mayor multa impuesta por la AEPD en España hasta la fecha. Resulta interesante observar que las infracciones del RGPD cometidas por CaixaBank (art. 6, 13 y 14) son las mismas por las que Banco Bilbao Vizcaya Argentaria, S.A. fue sancionado en su momento con una multa de 5 millones de euros en el procedimiento sancionador PS/00070/2019 y que ya explicamos en un post anterior.

En Estados Unidos, en el entorno de la Foreign Corrupt Practices Act (FCPA) se utiliza un término denominado el “efecto contagio”. Este efecto consiste en que cuando una empresa se encuentra bajo investigación, dicha empresa confiesa a los reguladores las infracciones cometidas por otros competidores en su industria con el fin de reducir su sanción. También sucede que los reguladores adquieren experiencia durante la investigación sobre una industria concreta que los hace mas eficientes para futuras investigaciones en la misma industria. En cualquier caso, el resultado es el mismo: surgen mas investigaciones dentro de una industria concreta.

El tiempo dirá si la actividad sancionadora de la AEPD frente a las entidades bancarias por infracción del RGPD es solo algo puntual o un posible efecto contagio.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.