1. Protección de datos

a. Noticias destacadas

La Audiencia Nacional anula la resolución de la AEPD por la que se imponía una multa de 5 millones de euros al BBVA

La Audiencia Nacional (en adelante, la “AN”) ha estimado el recurso interpuesto por BANCO BILBAO VIZCAYA ARGENTARIA, S.A. (en adelante, el “BBVA”) frente a la resolución del 18 de noviembre de 2022 de la Agencia Española de Protección de Datos (en adelante, la “AEPD”) por la que le imponía dos multas por un importe conjunto de 5 millones de euros.

En concreto, la AEPD consideró infringidos los artículos 13 y 14 del REGLAMENTO (UE) 2016/679 o RGPD, relativos a transparencia y e información a los afectados, sancionando a BBVA con 2.000.000 euros por ello. Adicionalmente, por una infracción del artículo 6 del RGPD, sobre legitimación del tratamiento, impuso una multa de 3.000.000 millones de euros.

La resolución de la AEPD analiza en detalle la política informativa de privacidad de la entidad sancionada, así como los mecanismos utilizados para obtener consentimiento y las restantes bases de legitimación que aplicaba BBVA. El procedimiento se inició tras cinco reclamaciones de clientes de la entidad bancaria. Tres de ellos ponían en conocimiento de la AEPD que seguían recibiendo comunicaciones comerciales después de haber ejercido su derecho de oposición o tras haberse inscrito en la Lista Robinson. Otro reclamante cuestionaba la legitimidad del sistema de recogida del consentimiento implantado en la app de BBVA, aduciendo, entre otros aspectos, que la casilla de cesión de datos a terceros venía activada por defecto. En la última reclamación, el interesado señalaba que, para que se procediese al desbloqueo de su cuenta, había tenido que suscribir el documento de protección de datos personales de la entidad, sin haber podido marcar sus preferencias con arreglo al tratamiento de sus datos.

Las resoluciones citadas, en palabras de la AN, sirvieron a la AEPD para iniciar una “causa general” contra la política de privacidad de BBVA:

“(…) La AEPD no examina dichas reclamaciones que se refieren a unos determinados hechos, ni en los fundamentos de derecho hace una valoración de las pruebas practicadas en relación con las mismas, ni se conectan con el documento de privacidad, sino que se vale de las mismas para abrir una especie de causa general contra la política de privacidad de BBVA recogida en el documento " Declaración de actividad económica y política de protección de datos personales".

El hecho de que se haya hecho alusión por BBVA y se haya aportado la suscripción de dicho documento en relación con unos hechos determinados hechos faculta a la AEPD para investigar dichos hechos o el "motivo de la reclamación" como señala el artículo 57.1.f) del RGPD, pero no para abrir contra BBVA en un procedimiento sancionador incoado como consecuencia de dichas reclamaciones, un procedimiento contra la política de protección de datos personales de la entidad”.

La AN considera de aplicación la doctrina establecida en su sentencia de 29 de abril de 2019 sobre los principios del procedimiento administrativo sancionador, y en particular, el principio de tipicidad y el de valoración de la prueba. Sobre este último, destaca lo siguiente:

“(…) se encuentra ligado al principio de presunción de inocencia, exigiendo que cualquier fallo condenatorio se fundamente en actos de prueba reales.

La resolución de la AEPD, no hace ninguna específica valoración de las pruebas en relación con las reclamaciones concretas que la motiva. Según la AN, “se limita a recogerlas en los hechos probados, pero sin hacer una valoración específica de las mismas. Por tanto, como dijimos en la tan citada Sentencia de 23 de abril de 2019, considera la Sala que la AEPD no ha procedido a incoar un procedimiento sancionador, a partir de la denuncia de unos hechos concretos, y en el que respetando los principios que rigen tal procedimiento, haya llegado a una resolución sancionadora después de hacer una valoración razonable de las pruebas".

Lo anterior sirve de base, como hemos indicado, para estimar el recurso del BBVA. La multa de 5 millones de euros constituía una de las mayores sanciones de la AEPD, junto a las impuestas a Caixabank (6 millones de euros) o Vodafone (8 millones y medio de euros), y que probablemente también han sido objeto de recurso. No obstante, debemos aclarar que, en el contexto europeo, las multas de nuestra autoridad de control no se encuentran entre las más elevadas. El récord lo ostenta Luxemburgo, con la multa de 750 millones de euros impuesta a Amazon.

Puede consultar la resolución anulada de la AEPD en el siguiente enlace y la sentencia de la AN aquí.

 Volver al inicio

b. Resoluciones y sentencias relevantes

La AEPD sanciona con 100.000 euros a IBERCAJA por tratar datos personales para una finalidad distinta a la que se cedieron

En el contexto de la tramitación de una herencia familiar, la reclamante facilitó sus datos personales y los de sus hijos menores a IBERCAJA BANCO, S.A. (en adelante, “IBERCAJA”) para obtener los certificados de saldos bancarios de la persona fallecida y poder gestionar la aceptación de la herencia. Sin embargo, la entidad bancaria trató los datos de los menores para la apertura de cuentas bancarias a su nombre, alegando que se trataba de un trámite necesario para el reparto y la adjudicación de bienes de la herencia de la persona fallecida. La controversia surge entorno a la finalidad para la que se cedieron los datos personales y si mediaba base legitimadora para el tratamiento.

Finalmente, la AEPD impone una sanción de 100.000 euros a IBERCAJA por considerar que el tratamiento es ilícito (artículo 6 RGPD). La AEPD resalta que la solicitud de tramitación de una herencia no implica que la entidad bancaria pueda utilizar todos los datos que obren en su poder para cualquier fin, sino que resulta necesario contar con el consentimiento del interesado para aquellos tratamientos con una finalidad distinta a la inicial.

Puede encontrar la resolución de la AEPD aquí.

La AEPD concluye que fotografiar el DNI del receptor de un paquete para verificar su identidad constituye un tratamiento excesivo

La AEPD ha sancionado a ORANGE ESPAGNE, S.A.U. (en adelante, “ORANGE”), después de que haya impuesto la obligación de que los repartidores de las empresas distribuidoras tomen una fotografía del anverso y del reverso del DNI del receptor de sus paquetes.

En este supuesto, la AEPD entiende que ORANGE ha vulnerado el principio de minimización de los datos (artículo 5.1.c del RGPD), ya que, conforme a este principio, solo se pueden recabar aquellos datos personales estrictamente necesarios para la finalidad para la que se recabaron. La AEPD añade que el DNI contiene datos excesivos y no necesarios para cumplir la finalidad perseguida y, además, existen otros procedimientos de verificación de la identidad de los destinatarios de los paquetes que resultan menos lesivos para la privacidad.

De este modo, por el incumplimiento del mencionado principio, la AEPD ha impuesto a ORANGE una multa de 100.000 euros.

La CNIL, con la colaboración de las autoridades de protección de datos española e italiana,  ha impuesto una sanción de 125.000 euros a CITYSCOOT por incumplir varias obligaciones de la normativa de protección de datos

En 2020, la autoridad de protección de datos francesa (en adelante, la “CNIL”) centró sus investigaciones en una serie de temáticas relacionadas con las preocupaciones cotidianas de los franceses, entre las que se encontraban los sistemas de geolocalización instalados en servicios de movilidad. En este contexto, la CNIL investigó a la empresa CITYSCOOT que presta servicios de alquiler de scooters por un periodo corto de tiempo.

Tras la investigación, se constataron varios incumplimientos tanto del RGPD como de la Ley de Protección de Datos francesa. Se revela un incumplimiento del principio de minimización de datos (artículo 5.1.c del RGPD) por tratar datos de geolocalización de los vehículos con un excesivo e injustificado nivel de detalle, de forma casi permanente. La CNIL entiende que se podría ofrecer un servicio idéntico sin necesidad de geolocalizar a los usuarios con tal nivel de detalle. También se manifiesta un incumplimiento del marco contractual con terceros encargados del tratamiento (artículo 28 del RGPD) así como el incumplimiento de la obligación de informar al usuario y obtener su consentimiento antes de registrarse.

Por todo lo anterior, la CNIL, en colaboración con las autoridades de protección de datos española e italiana por ser países donde también opera la empresa de servicios de movilidad, impuso una multa de 125.000 euros a CITYSCOOT.

Puede encontrar la resolución en el siguiente enlace.

 Volver al inicio

c. Informes y guías

La AEPD publica una guía sobre el uso de cookies y tecnologías similares en portales web de Administraciones Públicas

La AEPD ha publicado una guía con orientaciones sobre el uso de cookies y tecnologías similares en portales web de Administraciones Públicas, especialmente cuando las mismas se usen con fines de analítica web. El documento, dirigido a responsables del tratamiento y delegados de protección de datos del sector público, contiene una serie de interesantes precisiones sobre la aplicabilidad del RGPD y de la Ley 34/2002, de Servicios de la Sociedad de la Información (en adelante, la “LSSI”) a estas situaciones. Así, distingue entre aquellas actividades desarrolladas por las Administraciones Públicas que constituyan actividades económicas –aplicándose, por ende, la LSSI– y aquellas que se cataloguen como otro tipo de actividades –como, por ejemplo, de interés público–. Igualmente, dado el carácter especialmente delicado de los servicios de analítica web cuando traten datos personales, la Agencia recuerda que habrán de tenerse en cuenta las diferentes exigencias y obligaciones del RGPD.

Puede consultar la Guía de la AEPD en el siguiente enlace.

La AEPD publica una guía relativa a tratamientos que impliquen comunicaciones de datos entre Administraciones Públicas ante el riesgo de brechas de seguridad

Considerando el alto volumen de datos personales que tratan las Administraciones Públicas y la interconexión permanente de sus sistemas, la AEPD ha publicado una guía con sus orientaciones para tratamientos que impliquen comunicaciones de datos entre Administraciones Públicas ante el riesgo de brechas de seguridad. Como bien comenta la Agencia, los tratamientos de datos personales en las Administraciones Públicas son cada vez más complejos en cuanto al número de intervinientes, los medios técnicos y las tecnologías empleadas. Entre otros aspectos, y para facilitar el cumplimiento de las obligaciones en materia de seguridad y la demostración de la responsabilidad proactiva por parte de las Administraciones Públicas, las orientaciones contienen una enumeración de medidas de seguridad adecuadas para este tipo de tratamientos.

Puede consultar la guía de la Agencia en este enlace.

 Volver al inicio

3. Juego

Publicado el Real Decreto de juego seguro

El 14 de marzo fue aprobado el Real Decreto 176/2023, por el que se desarrollan entornos más seguros de juego. La norma persigue crear y reforzar un marco de políticas de juego responsable o seguro e impone para ello nuevas obligaciones a los operadores de juego. Entre estas obligaciones, se encuentran la formación del personal del operador, la habilitación de un servicio de información y asistencia en materia de juego seguro y la configuración previa del tiempo y de la cantidad económica que el jugador desee utilizar en la sesión.

Desde el equipo de Tecnologías de la Información de Ramón y Cajal Abogados hemos querido resumir las principales características de esta nueva norma. El artículo está disponible tanto en español (aquí) como en inglés (en este enlace).

Puede consultar el texto completo del Real Decreto en el siguiente enlace.

  Volver al inicio