La Agencia Española de Protección de Datos (“AEPD”) ha hecho pública recientemente la resolución del procedimiento sancionador PS/00070/2019, abierto a BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (“BBVA”), que se ha cerrado con la imposición de dos multas a dicha entidad por un valor total de 5 millones de euros.

La primera infracción, de 3 millones de euros, se refiere al incumplimiento de las obligaciones de información establecidas en los artículos 13 y 14 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (“RGPR”).

La segunda infracción, de 2 millones de euros, se centra en las bases de legitimación de algunos de los tratamientos efectuados por el BBVA, y en particular, en la forma en la que se recoge el consentimiento (artículo 6 del RGPD).

Se trata de las sanciones más elevadas impuestas hasta la fecha por la autoridad española de protección de datos.

El procedimiento sancionador se inició tras la recepción de cinco reclamaciones presentadas por clientes del BBVA, en las que se describen hechos diferentes relacionados con la recogida del consentimiento y el envío de comunicaciones comerciales.

A raíz de estas reclamaciones, la AEPD entra a analizar con detalle el documento utilizado por el BBVA tras la entrada en vigor del RGPD para informar a sus clientes y “regularizar” los consentimientos para distintas finalidades adicionales. En los Hecho Probados de la resolución, se incluye el siguiente resumen del consentido de dicho documento:

“Para la adecuación de sus actuaciones al RGPD, la entidad BBVA habilitó el formulario de recogida de datos personales denominado “Declaración de actividad económica y política de protección de datos personales”. En el apartado 1 de este documento constan los datos identificativos del cliente y su declaración de actividad económica. Entre otros datos, figuran los relativos a nombre, apellidos, identificador fiscal, fecha de nacimiento, nacionalidad, domicilio, estado civil, régimen matrimonial, datos de contacto, ingresos fijos y variables, entidad en la que presta servicio o ingresos brutos anuales.

Mediante este documento, establecido por BBVA como obligatorio para todos los clientes, la citada entidad da a conocer los términos de su política de privacidad y establece los mecanismos para que los clientes puedan prestar su consentimiento para el tratamiento de sus datos personales con las finalidades que se indican en el citado documento.

La firma del documento por el cliente y la fecha se incluye al final del apartado 2 “Política de protección de datos personales”, indicando expresamente al interesado que con el proceso de firma presta su conformidad a la “Declaración de actividad económica y política de protección de datos personales”.

Inmediatamente después de la firma se incluye la “Información ampliada” en materia de protección de datos personales y un glosario de términos.

En relación con la prestación del consentimiento, inmediatamente antes del espacio habilitado para la firma, se ofrece a los interesados la posibilidad de marcar las opciones siguientes:

“Te informamos que si no estás de acuerdo con la aceptación de alguna de las siguientes finalidades, puedes seleccionarlas a continuación.

Productos y precios más ajustados a ti

[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí.

[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan ofrecer productos y servicios propios personalizados para mí.

Mejora de calidad

[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que hacemos de tus datos”.”

Si dejamos un lado los aspectos procesales o formales objeto de examen en la resolución, y que probablemente adquieran mayor relevancia en el eventual recurso que presente el BBVA ante la Audiencia Nacional, los principales asuntos de fondo tratados son los siguientes:

1. Empleo de terminología imprecisa y formulaciones vagas

La AEPD considera que el “BBVA no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de la información sometida a tratamiento y su posterior utilización. Cuando hace referencia a estas cuestiones emplea una terminología imprecisa y formulaciones vagas, ajena al cumplimiento estricto del principio de transparencia, impidiendo a los interesados conocer el sentido y significado real de las indicaciones facilitadas y el alcance real de los consentimientos que puedan prestarse”.

Para sustentar su análisis, la AEPD cita algunas de las expresiones que, en su opinión, resulta imprecisas o vagas, como las siguientes:

“En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una relación personalizada Io más adaptada a tu perfil de cliente y a tus necesidades. Para lograrlo tenemos que conocerte mejor…”.

“Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti… así como ofertas personalizadas con precios más ajustados para ti”.

“Nos gustaría mantenerte al día sobre nuevos productos y servicios de BBVA, así como darte consejos recomendaciones para gestionar mejor tu situación financiera. También podemos enviarte información sobre productos y servicios de BBVA con precios más ajustados a tu perfil, informándote de aquello que te pueda interesar como cliente”.

“Si quieres que las sociedades del Grupo BBVA… te puedan ofrecer productos y servicio personalizados en características y precio, necesitamos que nos autorices a comunicarles datos relativos a tu perfil de cliente… Esa información se tratará para intentar mejorar las características y precios de la oferta de productos y servicios”.

“… para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción”.

2. Falta de precisión en la descripción de las categorías de datos tratadas

La AEPD resalta que no se detallan todas las categorías de datos tratados cuando la base legal para llevar a cabo el tratamiento es el consentimiento, que hace que este no pueda considerarse “informado”.

De la misma forma, se aprecia una insuficiente información en relación con los datos tratados para finalidades basadas en el interés legítimo, especialmente, cuando se obtienen datos de terceras fuentes que no aparecen claramente detallados en la política de privacidad.

En opinión de la AEPD:

“(…) Se recogen y tratan datos personales sin que los titulares de los mismos sean conscientes de que BBVA está accediendo a los mismos para registrarlos en sus sistemas de información, los somete a tratamientos sobre los que el cliente no es informado de forma clara precisa y sencilla, y con finalidades no explícitas e indeterminadas, en contra de los principios relativos al tratamiento establecidos en el artículo 5 del RGPD (lealtad, limitación de la finalidad y minimización de datos), por cuanto, a partir de la información facilitada, considerando su inconcreción, el interesado no puede conocer, como señala el Tribunal Constitucional, “a qué uso lo está destinando y, por otro lado, el poder oponerse a esa posesión y usos”. Esta falta de precisión convierte en ineficaz la información facilitada sobre los tratamientos de datos que se pretenden.

El mismo reparo debe expresarse en relación con la comunicación de datos personales a las empresas del Grupo BBVA. Con la información que se ofrece no es posible que el interesado tenga una idea clara sobre la información que se cederá a las entidades que integran el Grupo (…).”.

3. Falta de claridad en la información facilitada sobre finalidades del tratamiento y bases de legitimación

La AEPD considera que se describen tratamientos similares en relación con finalidades distintas, que utilizan bases de legitimación diferentes, de forma que se puede crear confusión en el afectado. Así por ejemplo, el “BBVA informa sobre la realización de ofertas personalizadas y la utilización de los datos para la mejora de sus productos y servicios como tratamientos de datos con base legal en el consentimiento del interesado y, al mismo tiempo, tales tratamientos se mencionan igualmente entre aquellos que pueden realizarse para conocer mejor al cliente y mejorar su experiencia, basados en el interés legítimo”.

4. Falta de información sobre los intereses legítimos del BBVA y de terceros

En opinión de la AEPD, el BBVA confunde la descripción de la finalidad con el detalle de los intereses legítimos perseguidos por el responsable y por terceros con el tratamiento de los datos personales, que, en consecuencia, no aparecen claramente detallados. A lo anterior, hay que añadir lo ya indicado en relación con la utilización de expresiones genéricas y falta de confusión entre tratamientos.

En particular, la autoridad de control señala:

“En todo caso, la utilización de los datos personales con la finalidad de “conocer” mejor al cliente, según aparece enunciada, puede entenderse como un seguimiento del interesado sin una razón justificable, el cual no puede ampararse en el interés legítimo. Este seguimiento supone un análisis exhaustivo de la información sobre el cliente, que pretende justificarse con la mención de una finalidad genérica y simple (“conocerte mejor”), cuyas consecuencias pueden ser mucho más graves que las mencionadas como ejemplos (felicitación por el cumpleaños).

Lo mismo puede decirse sobre la utilización de los datos de los clientes para “mejorar los productos y servicios” de BBVA, que esta entidad fundamenta también en el interés legítimo, considerando, según indica la misma, que el interesado tiene una expectativa razonable de que sus datos personales se utilicen con esa finalidad.

Esta Agencia considera que este tratamiento de los datos, tal como aparece fundamentado en la política de privacidad de BBVA, no puede ampararse en la base jurídica del interés legítimo, que exige una evaluación para determinar los intereses o derechos que prevalecen. Esta ponderación ha de tener en cuenta, efectivamente, “las expectativas razonables de los interesados basadas en su relación con el responsable”, pero entendidas como lo que el interesado puede percibir o deducir como razonable por sí mismo en base a las circunstancias específicas que se dan en cada caso, lo que pudo prever en el momento de la recogida de datos de forma razonable. No lo que la entidad responsable entienda como una “expectativa razonable” del cliente, ni aquello sobre lo que la misma informe al cliente que responde a esas expectativas.

El concepto “expectativa razonable” debe utilizarse siempre con moderación, atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de la relación o servicio que les vincula, que podrían dar lugar al uso posterior de los datos personales de éste (…)”.

5. Falta de información en relación a las actividades de perfilado desarrolladas por el BBVA

La política de privacidad del BBVA se refiere a la elaboración de perfiles en distintas ocasiones, sin sistemática alguna y sin ofrecer información sobre el tipo de perfiles que se van a realizar, los usos específicos de los perfiles creados o el derecho de oposición del afectado cuando el perfilado tiene como finalidad la mercadotecnia directa.

6. Deficiencias en la recogida del consentimiento de los afectados

Según la AEPD, el BBVA no ha desarrollado un mecanismo de recogida del consentimiento específico que cumpla con los requisitos del RGPD. El BBVA basa el consentimiento en la aceptación de la política de privacidad mediante la firma del ya citado documento “Declaración de actividad económica y política de protección de datos personales” y la no marcación de las casillas de oposición facilitadas en el mismo. Si embargo, esto no constituye un acto positivo, puesto que se da por hecho que el usuario consiente los tratamientos descritos, y se ponen a su disposición casillas de oposición (“opt-out”). 

También se resalta que la falta de claridad en la redacción de la política de privacidad hace que, en cualquier caso, no pueda hablarse de un consentimiento informado.

7. Tratamientos de datos basados (erróneamente) en el interés legítimo

Tras recordar la importancia de llevar a cabo y documentar una ponderación de los intereses en conflicto cuando se quiere basar un tratamiento concreto en la existencia de un interés legítimo del responsable o de un tercero, la AEPD señala lo siguiente:

“Considerando que ni siquiera es posible conocer claramente las finalidades del tratamiento difícilmente las mismas pueden asociarse a intereses legítimos de BBVA que puedan, además, prevalecer sobre los derechos de los interesados, a los que no se informa claramente acerca de los extremos exigidos por las normas de protección de datos.

El interés legítimo expresado, que se describe en los mismos términos que las finalidades, resulta vago y especulativo (…). Ello tiene como consecuencia que los tratamientos que se realizan no resulten previsibles para un ciudadano medio.

Siendo así, resulta imposible que el interesado, o esta autoridad de control, pueda valorar si las operaciones de tratamiento realizadas son necesarias, o si, por el contrario, podría obtenerse el mismo resultado por medios menos invasivos; tampoco podrá concluirse, menos aún, que el interés invocado sea prevalente.

Más bien parece que los “intereses” expresados por BBVA, ya sea en la Política de Privacidad o (…) responden a intereses económicos de la entidad, que no se expresan. La obtención de un beneficio económico a través de la actividad empresarial que BBVA desarrolla no deja de ser un interés legítimo, pero en ningún caso podrá prevalecer sobre el derecho fundamental a la protección de datos de las personas afectadas (…)”

(…)

Además de lo expuesto, se tienen en cuenta las circunstancias siguientes:

La manera en la que se recopilan los datos utilizados en base al interés legítimo y la escala en la recopilación de datos, que resulta excesiva; así como la utilización de datos personales recabados de terceros sin el conocimiento del interesado (ficheros externos de solvencia patrimonial y créditos) o de productos de terceros comercializados por BBVA.

Las técnicas utilizadas (tratamiento de datos con la finalidad de obtener algoritmos) y la falta de transparencia sobre la lógica del tratamiento consistente en la elaboración de perfiles, que puede llevar a una discriminación de precios y suponer una repercusión potencial financiera que puede tener el carácter de excesiva.

Además de lo expuesto, se tienen en cuenta las circunstancias siguientes: . La manera en la que se recopilan los datos utilizados en base al interés legítimo y la escala en la recopilación de datos, que resulta excesiva; así como la utilización de datos personales recabados de terceros sin el conocimiento del interesado (ficheros externos de solvencia patrimonial y créditos) o de productos de terceros comercializados por BBVA.

Las técnicas utilizadas (tratamiento de datos con la finalidad de obtener algoritmos) y la falta de transparencia sobre la lógica del tratamiento consistente en la elaboración de perfiles, que puede llevar a una discriminación de precios y suponer una repercusión potencial financiera que puede tener el carácter de excesiva.(…)”.

Como se puede apreciar, la resolución que comentamos ofrece en sus 124 páginas un estudio en profundidad de la política de privacidad de una entidad como el BBVA que, sin duda, maneja un número considerable de datos de clientes y lleva a cabo operaciones de tratamiento de gran complejidad. Desde luego, conseguir un equilibrio entre la descripción precisa de dichos tratamientos y el lenguaje claro y accesible que exige el RGPD no es una tarea sencilla. A la vista de los comentarios de la AEPD, resulta recomendable una revisión de aquellas políticas de privacidad que, en un intento de evitar modificaciones futuras, no han descrito con precisión los tratamientos y finalidades de los mismos para evitar ambigüedades. De la misma forma, aquellos las entidades deberán asegurarse de haber documentado por escrito las ponderaciones que sirven de base para la aplicación del interés legítimo, y que tales ponderaciones cuenten con una base suficiente.