En enero de 2021, la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicó la  resolución del procedimiento sancionador PS/00477/2019 [1], abierto a CAIXABANK, S.A. (“CAIXABANK”), que concluye con la imposición de dos multas a dicha entidad por un total de 6 millones de euros.

La primera infracción, que se sanciona con una multa de 2 millones de euros, se refiere al incumplimiento de las obligaciones de información establecidas en los artículos 13 y 14 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (“RGPD”).

La segunda infracción, sancionada con 4 millones de euros, se centra en la forma en la que se recoge el consentimiento (artículo 6 del RGPD).

Se trata, junto con la multa impuesta al BBVA mediante la resolución PS/00070/2019 [2], de la sanción más elevada impuesta hasta la fecha por la autoridad española de protección de datos.

El procedimiento sancionador se inició tras la recepción de un escrito de la Asociación de Consumidores y Usuarios en Acción (“FACUA”) de 29 de marzo de 2019. No obstante, el 24 de enero de 2018 tuvo también entrada en la AEPD la denuncia de un particular por hechos relacionados con el escrito de FACUA, aunque la AEPD declaró la caducidad de las actuaciones previas respecto a este último expediente.

Los motivos de la reclamación de FACUA, así como también los motivos de la denuncia particular, fueron: (i) la imposición del consentimiento de los consumidores al tratamiento de sus datos personales por parte de CAIXABANK, y; (ii) la cesión de datos a terceras empresas del grupo de CAIXABANK.

A raíz de estas reclamaciones, la AEPD entra a analizar con detalle los documentos utilizados por CAIXABANK para informar a sus clientes y recoger los consentimientos correspondientes para distintas finalidades del tratamiento. En este sentido, según determina la AEPD, los textos que se han de tener en cuenta, con carácter general, son dos:

• El denominado “Contrato Marco” que, de conformidad con las alegaciones CAIXABANK, es el documento que sirve como formulario de recogida de datos y el que se utiliza de forma prioritaria para facilitar la información en materia de protección de datos a los interesados. La Cláusula 8 del Contrato Marco informa sobre los tratamientos de datos personales que se legitiman en el consentimiento de los interesados.

• El texto llamado “Contrato de Consentimientos” que, de acuerdo con las alegaciones de la entidad financiera, se concibió como documento para “autorizar” los tratamientos de datos basados en el consentimiento de los clientes. Por ello, tanto el Contrato Marco, como el Contrato de Consentimientos, se utilizan como medios para recoger el consentimiento. La información ofrecida en el Contrato de Consentimientos coincide, casi literalmente, con la Cláusula 8 del Contrato Marco.

A continuación, resumiremos los principales asuntos de fondo tratados en la resolución, diferenciando entre las cuestiones que se refieren al cumplimiento del principio de transparencia y a la obligación de información por un lado, y a las bases de legitimación (consentimiento e interés legítimo), por otro.

1. TRANSPARENCIA E INFORMACIÓN

a. Falta de uniformidad en los documentos informativos.

La AEPD estima que los documentos puestos a disposición para informar a sus clientes respecto al tratamiento de sus datos personales usan distinta terminología para referirse a las mismas cuestiones y no tienen el mismo contenido.

La información no se ofrece con la misma amplitud en todos los casos. En este sentido, por ejemplo, el Contrato de Consentimientos solo recoge el contenido de la Cláusula 8 del Contrato Marco.

b. Terminología imprecisa y formulaciones vagas.

La autoridad de control española considera que no se informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados. Además, tampoco se delimita la naturaleza de la información sometida a tratamiento y su posterior utilización.

Según la AEPD, los documentos emplean expresiones que incumplen el principio de transparencia: “conocerte mejor”, “ofrecerte productos y servicios (…) personalizados a ti”, “mejorar la calidad de los productos y servicios”, “(…) que tu experiencia sea más personalizada”, “darte un mejor servicio”, “comunicar tus datos a terceros con los que tengamos acuerdo”, etc.

La circunstancia anterior conlleva a que la AEPD considere que los interesados no pueden deducir claramente el significado de tales expresiones a partir del contexto en el que se ofrece la información.

c. Información insuficiente respecto de las categorías de datos tratados y los tratamientos a que se destinan.

Según el criterio de la AEPD, la información proporcionada por CAIXABANK es incompleta en relación con aspectos claves, como las categorías de los datos personales tratados.

La autoridad de control española considera que CAIXABANK no proporciona información suficiente sobre la tipología de los datos que serán sometidos a tratamientos cuya base jurídica es el consentimiento de los interesados. En este sentido, la AEPD hace referencia a las “Directrices sobre el consentimiento en virtud del Reglamento 2016/679” del Grupo de Trabajo del Artículo 29 en el que se establecen los requisitos que se deben cumplir para considerar que el consentimiento otorgado es informado. Entre estos requisitos se identifica expresamente el tipo de datos que van a recogerse y utilizarse.

La AEPD considera, además, que esta deficiencia en la información proporcionada sobre las categorías de datos tratadas también afecta a los datos que se traten en base al interés legítimo. Respecto a esta cuestión, y de acuerdo con la política de privacidad de CAIXABANK, los datos tratados al amparo de esta base legal dan lugar a la elaboración de perfiles, que pueden ser posteriormente utilizados para tratamientos basados en el consentimiento (finalidades comerciales). Por lo tanto, los defectos en la información en relación con el tratamiento de datos en base al interés legítimo afectarán por igual a la validez del consentimiento.

Por último, la entidad financiera también utiliza datos personales procedentes de productos y servicios de terceros, de fuentes externas o inferidos de la propia entidad. Esta circunstancia implica que deba informarse sobre las categorías de datos que se trate de conformidad con el artículo 14.1.d) del RGPD.

d. Información sobre las finalidades a que se destinarán los datos personales y la base jurídica del tratamiento. Confusión de bases jurídicas.

La entidad financiera informa sobre tratamientos de datos similares en relación con finalidades distintas, amparadas en el interés legítimo en unos casos y en el consentimiento en otros. La AEPD entiende que la información ofrecida sobre las bases jurídicas que justifican los tratamientos puede provocar confusión a un ciudadano medio.

Además, la autoridad de control española indica, de nuevo, que se deben evitar referencias vagas y demasiado generales a la hora de expresar los fines del tratamiento para que estos puedan considerarse explícitos. Asimismo, la AEPD advierte que, cuanto más complejo sea el tratamiento de los datos personales, los fines deben especificarse de manera más detallada y exhaustiva.

e. Información sobre el interés legítimo del responsable y sobre la elaboración de perfiles.

Por un lado, en relación con el interés legítimo, la AEPD aclara que el concepto de “interés” va más allá que el concepto de “finalidad”. La finalidad es la razón específica por la que se tratan los datos (es decir, el objetivo o la intención del tratamiento de los datos), mientras que el interés representa una mayor implicación del responsable del tratamiento al obtener este beneficios por el tratamiento. 

Los tratamientos de datos que se basen en el interés legítimo exigen una evaluación para determinar si el interés del responsable prevalece o no sobre los derechos y libertades de los interesados. Para la realización de esta evaluación, se deben tener en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.

Respecto a esta cuestión, la AEPD considera que la información ofrecida por CAIXABANK respecto a los tratamientos de datos que se basan en el interés legítimo no expresa el interés específico. Además, se indica que dicha información es insuficiente para justificar la habilitación legal y realizar el juicio de ponderación que permita determinar si dichas razones prevalecen sobre los intereses y derechos del interesado.

Por otro lado, en relación con la elaboración de perfiles, la AEPD establece que la elaboración de perfiles basada en el interés legítimo debe cumplir con las exigencias mencionadas anteriormente (es decir, se debe informar sobre el interés, justificando que tal interés prevalece sobre los derechos y libertadas de los interesados).

Asimismo, la autoridad de control entiende que CAIXABANK no cumple con las exigencias de información respecto a las operación de perfilado porque se limita a informar sobre actuaciones que puede desarrollar adaptadas al “perfil de cliente” o “personalizadas”, pero no ofrece una información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o la posibilidad de que el interesado pueda ejercer el derecho de oposición en aplicación del artículo 21.2 de RGPD.

2. BASES DE LEGITIMACIÓN

a. Deficiencias en la recogida del consentimiento en el Contrato Marco y en el Contrato de Consentimientos.

La AEPD acude al artículo 4.11 de RGPD para definir el consentimiento del interesado, el cual se entiende como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o clara acción afirmativa”.

Estas características del consentimiento, recogidas también el Considerando 32 del RGPD, se analizan en detalle en las “Directrices sobre el consentimiento en virtud del Reglamento 2016/679” del Grupo de Trabajo del Artículo 29, actualizadas mediante las “Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679” del Comité Europeo de Protección de Datos. 

La autoridad de control española, teniendo en cuenta la documentación anteriormente mencionada, considera que el consentimiento recogido por CAIXABANK no cumple con los requisitos legalmente establecidos y, por tanto, todos los tratamientos que se hayan basado en dicha base legitimadora devienen ilícitos.

En primer lugar, la AEPD considera que el consentimiento recogido por CAIXABANK no puede considerarse libre porque con la firma del contrato se imponen al cliente aspectos esenciales relativos al tratamiento de sus datos personales, mermando su capacidad de elección. Por ejemplo, la firma del contrato supone la cesión de datos personales a las empresas del grupo.

El consentimiento tampoco puede considerarse específico de acuerdo con el criterio de la autoridad española de protección de datos porque los consentimientos se agrupan en tres finalidades, pero dentro de cada una de esas finalidades se recogen a su vez distintas subfinalidades que suponen tratamientos de datos en sí mismos. Respecto a esta circunstancia, conviene hacer mención, por ejemplo, a la primera de las finalidades que se recoge en la Cláusula 8 del Contrato Marco relativa a los tratamientos de análisis, estudio y seguimiento en las que se incluyen diferentes subfinalidades que no están relacionadas con la finalidad principal (subrayadas):

“(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente.

a. Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas y de segmentación de clientes, con una triple finalidad: 1) Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias, 2) Realizar el seguimiento de los productos y servicios contratados,3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados.

b. Asociar sus datos con los de sociedades con las que tenga algún tipo de vínculo, tanto por su relación de propiedad como de administración, al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos”.

De conformidad con el criterio de la AEPD, algunas de las subfinalidades constituyen tratamientos independientes para los que se debería haber recogido el consentimiento del interesado de forma granular y diferenciada.

Por último, y conforme se ha explicado anteriormente, la AEPD entiende que se han producido diferentes deficiencias a la hora de proporcionar la información conforme a los artículos 13 y 14 del RGPD y, por tanto, el consentimiento no es informado. Esta circunstancia afecta también a la validez del consentimiento otorgado por parte de los interesados puesto que les impide conocer el sentido y significado real de las indicaciones facilitadas y el alcance del consentimiento, haciéndolo inválido.

Los aspectos más relevantes que la AEPD tiene en cuenta para considerar que el consentimiento no ha sido informado son:

• El leguaje empleado, que es poco claro e indeterminado.

• La falta de información sobre las categorías concretas de datos que se tratarán para cada una de las finalidades específicas.

• En los procesos de alta en oficinas, el Contrato Marco se suscribe por los clientes sin tener acceso al documento, lo que equivale a decir que los clientes prestan su consentimiento sin que se le facilite información.

• En los procesos de alta en oficinas, cuando se utilizan tabletas y el sistema de “pantalla compartida”, los formularios de recogida no contienen ningún enlace a la información en materia de protección de datos contenida en el Contrato Marco.

• En los procesos de alta a través de medios telemáticos, la información que se ofrece no es suficiente porque únicamente recoge la correspondiente cláusula 8 del Contrato Marco, pero no el resto de información necesaria.

• En el Contrato de Consentimientos, la información ofrecida al interesado es menor que la ofrecida en el Contrato Marco porque solo se proporciona un texto similar a la Cláusula 8 del Contrato Marco.

b. Deficiencias en la recogida del consentimiento en otros supuestos: contratos de redes sociales y contratos de agregación.

La resolución de la AEPD destaca que, tanto en el contrato de redes sociales como en el contrato de agregación, algunas de las finalidades de las que se informa a los interesados son similares a las mencionadas en el Contrato Marco y en el Contrato de Consentimientos.

Sin embargo, para alguna de las finalidades anteriores, tanto en el Contrato Marco como en el Contrato de Consentimientos, se requiere que el interesado preste su consentimiento. No obstante, en los contratos de redes sociales y contratos de agregación, para la totalidad de los tratamientos de datos personales, el interesado consiente todos los tratamientos y para todas las finalidades mediante una acción única: la firma del correspondiente contrato.

Por lo tanto, se hace más evidente en los contratos de redes sociales y contratos de agregación que el consentimiento otorgado por los interesados no cumple con el requisito de ser específico, puesto que no se recoge de forma independiente y granular para cada una de las finalidades del tratamiento.

c. Comunicación de datos a empresas del grupo CAIXABANK

El Contrato Marco incluye la cesión de datos a empresas del grupo CAIXABANK sin que se consulte al interesado acerca del mismo.

La AEPD considera que la comunicación de datos a empresas del grupo, fuera de la transmisión de datos personales dentro de un grupo empresarial para fines administrativos internos a los que se refiere el considerando 48 del RGPD, constituye una finalidad para la cual se requiere el consentimiento del usuario.

La autoridad de control española considera que el intercambio de información entre el grupo CAIXABANK responde a propósitos “comerciales” y, por tanto, se debería hacer recogido el consentimiento de los interesados. De acuerdo con ello, las cesiones realizadas por CAIXABANK a su grupo devienen ilícitas. Asimismo, también se consideran ilícitos todos los tratamientos que lleva a cabo CAIXABANK con datos personales que le son facilitados por las entidades pertenecientes a su grupo., relativos a clientes de estas últimas.

La entidad financiera alega, respecto a la cesión ilícita de datos personales, que se trata de un supuesto de corresponsabilidad de datos y no de cesión de datos. Respecto a esta alegación, la AEPD considera que no puede hablarse de corresponsabilidad porque no se ha detallado la atribución de responsabilidades entre las diferentes entidades, ni las funciones y obligaciones de estas empresas en relación con los interesados. Tampoco consta que se haya formalizado un acuerdo de corresponsabilidad, el cual debe ponerse a disposición de los interesados conforme al artículo 26 del RGPD.

La AEPD también establece que no puede tratarse de un supuesto de corresponsabilidad porque las entidades no determinan de forma conjunta las objetivos y medios del tratamiento. Además, alguna de las actividades de las empresas del grupo y las relaciones que vinculan a cada empresa con el cliente se encuentran reguladas expresamente en una norma que dispone la naturaleza de su participación en el tratamiento desde el punto de vista de protección de datos. Es el caso de la normativa reguladora de mediación en seguros privados, que cataloga a los operadores de banca-seguros exclusivos como encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia.

d. Confusión entre los tratamientos basados en el consentimiento y el interés legítimo.

De acuerdo con el criterio y la investigación llevada a cabo por la AEPD, existen tratamientos de datos personales realizados por CAIXABANK que se legitiman en el interés legítimo y que no son conocidos por el cliente, al que no se informa en ningún caso.

Asimismo, la AEPD considera que los tratamientos de datos con fines comerciales basados en el interés legítimo que lleva a cabo la entidad son similares a los tratamientos que se llevan a cabo al amparo del consentimiento del cliente. Tal situación, además de crear confusión entre los tratamientos basados en el consentimiento y el interés legítimo, puede dar lugar a que se realicen tratamientos de datos en base al interés legítimo que hubiesen sido rechazados por el interesado. 

e. El interés legítimo no se expresa y falta la correspondiente ponderación de interés legítimo.

La AEPD entiende que CAIXABANK no especifica ningún interés legítimo, sino que se limita a señalar los tratamientos de datos que realiza con dicha base jurídica, tal y como ya se ha explicado anteriormente en el apartado correspondiente a “Transparencia”.

Por otro lado, la AEPD recuerda que, para que el artículo 6.1.f) del RGPD pueda constituir la base legitimadora del tratamiento de los datos personales, es necesario que previamente se haya realizado una ponderación de los derechos e intereses en juego: el interés legitimo del responsable del tratamiento de una parte, y de otra, los intereses, derechos y libertades fundamentales de los afectados.

La referida ponderación es imprescindible, pues solo cuando como resultado de ella prevalezca el interés legítimo del responsable del tratamiento sobre los derechos o intereses de los titulares de los datos podrá operar como fundamento jurídico del tratamiento. Además, la autoridad de control española señala que, el tratamiento ha de ser necesario para la satisfacción del interés legítimo perseguido por el responsable, de forma que sean preferidos siempre medios menos invasivos para servir a un mismo fin.

Todo ello conlleva a que esta base jurídica requiera la existencia de intereses reales, no especulativos y que sean legítimos. En el caso de CAIXABANK, la AEPD considera que falta justificación del interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos de los interesados para determinar cuál de ellos prevalece. La autoridad de control española también considera que no ha quedado acreditado la idoneidad (si el tratamiento permite conseguir el objetivo propuesto), la necesidad (esto es, que no exista ninguna otra medida más moderada o menos intrusiva para los interesados), ni la proporcionalidad (es decir, que el tratamiento conlleve más beneficios que perjuicios) del tratamiento de datos basados en el interés legítimo.