La AEPD sanciona al BBVA por importe de 5 millones de euros por incumplir el RGPD

La Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas al BBVA por importe total de 5.000.000 de euros.

La primera, de 2.000.000 de euros corresponde a una infracción tipificada como leve por infringir los artículos 13 y 14 del RGPD. La segunda, de 3.000.000 de euros por infracción muy grave por vulnerar el artículo 6 del RGPD.

Se trata de la sanción más alta impuesta por la AEPD hasta la fecha, sumándose así a la tendencia recientemente marcada por otras autoridades de protección de datos europeas.

No obstante, la resolución es recurrible presentando recurso de reposición ante la Directora de la AEPD o contencioso administrativo ante la Audiencia Nacional para tratar al menos de reducir el importe de la sanción.

La AEPD ha requerido a la entidad para que se adecúe al cumplimiento de lo dispuesto en la normativa en vigor en lo que respecta al deber de información y al procedimiento para la obtención del  consentimiento en la recogida y tratamiento de los datos personales de sus clientes. 

Hasta tanto en cuanto no se produzca dicha adecuación, el BBVA no podrá recabar, ni tratar los datos personales de sus clientes en los casos en que:

• No fueron informados conforme a los artículos 13 y 14 del RGPD.
• El consentimiento no hubiera sido prestado de forma válida. 
• Los tratamientos estuvieran basados en el interés legítimo de BBVA o de terceros.
• Los datos hubieran sido cedidos a otras entidades del Grupo BBVA con finalidades comerciales.

La resolución de la AEPD que extractamos identifica la información ofrecida por parte de BBVA a sus clientes de la que, entre otros aspectos identificamos los siguientes. 

Empleo de una terminología imprecisa y formulaciones vagas.

Según la AEPD la entidad no informa a los clientes de manera clara y sistemática sobre los tratamientos, las finalidades para las que serán empleados, ni delimita la naturaleza de la información a tratar y su posterior utilización. 

Se emplea de terminología imprecisa y formulaciones vagas como “conocerte mejor”, “elaborar nuestros modelos de negocio” o “mejorar la calidad de los productos y servicios” que impiden a los interesados comprender el significado y sentido de las indicaciones proporcionadas, las finalidades perseguidas y el alcance real de los consentimientos que puedan prestarse.

Información sobre las categorías de los datos objeto de tratamiento y categorías específicas para cada finalidad.

La AEPD considera que BBVA no proporciona información suficiente sobre la tipología de los datos en los tratamientos cuya base jurídica sea el consentimiento de los interesados. Lo cual imposibilita conocer con certeza las categorías de datos personales que se utilizarán y entraña el riesgo de llegar a encubrir una recogida y tratamiento inaceptable.

La información genérica no deja claro si se tratarán datos económicos ajenos a los productos contratados con la entidad o comercializados por la misma, qué datos personales se registrarán por cada transacción o qué datos sociodemográficos se tratarán. Aunque la AEPD no concluye que así sea, indica que podrían llegar a incluirse datos sensibles o categorías especiales de datos. 

Igualmente, se hace referencia de forma genérica al informar sobre los datos relativos a tratamientos basados en el interés legítimo, aunque en estos casos es preciso informar sobre las categorías de datos por no ser recabados directamente del interesado (artículo 14.1.d) del RGPD), no estando, por tanto, la obligación relacionada con la necesidad de que el consentimiento sea informado.

Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento.

El documento empleado por BBVA para informar incluye tratamientos similares con finalidades distintas, basadas en el interés legítimo en unos casos y en el consentimiento en otros. Lo cual puede provocar confusión en un ciudadano medio.

En concreto, se informa sobre la realización de ofertas personalizadas y la utilización de los datos para la mejora de sus productos y servicios al amparo del consentimiento del interesado y, al mismo tiempo, se incluyen estos tratamientos entre los que pueden realizarse para conocer mejor al cliente y mejorar su experiencia, basados en el interés legítimo.

Señala la AEPD que la información sobre los fines está muy ligada al principio de limitación de la finalidad. La descripción de un fin debe ser transparente, inequívoca y expresada explícitamente. Salvo en lo concerniente a la gestión de los productos, la forma en la que la entidad informa a sus clientes no se ajusta a los requisitos de transparencia. Especialmente considerando el volumen ingente datos que trata unidos a los complejos procesos técnicos empleados, fundamentalmente para la elaboración de perfiles.

Información sobre el interés legítimo del responsable y de terceros.

La AEPD pone de manifiesto que existe falta de justificación del interés legítimo no quedando claramente descrito por parte de la entidad, sino que en su lugar vuelven a reiterarse las finalidades sobre las que se informa a los clientes en la Política de Privacidad.

Adicionalmente, se cuestiona que la Política de Privacidad defina o intente definir al interesado cuál es su expectativa razonable sobre el tratamiento de sus datos.

Información sobre elaboración de perfiles.

Indica la AEPD que los hechos expuestos suponen una vulneración del principio de transparencia. 

Se realizan tratamientos de datos personales de clientes para proceder a la elaboración de perfiles o a la utilización de datos resultantes esta actividad en base al consentimiento del cliente; salvo para la finalidad de conocer mejor al cliente y mejorar su experiencia, que se ampara en el interés legítimo (como se indica más adelante la AEPD rechaza las operaciones de tratamiento relativas al uso de perfiles basadas legalmente en el interés legítimo).

A juicio de la AEPD no se cumple con todas las exigencias de información, pues se limita a informar sobre actuaciones que puede desarrollar adaptadas al “perfil de cliente” o “personalizadas”, pero no se ofrece información sobre tipo de perfilado a realizar, ni sobre los usos específicos pretendidos o la posibilidad el ejercicio de oposición en casos de uso de mercadotecnia directa.

El perfilado no se trata de forma sistematizada en la política de privacidad.

En la primera capa solo se habla de “conocerte mejor y personalizar tu experiencia”, lo que implica tener que perfilar previamente a los clientes, pero no se menciona la elaboración de perfiles.

La información de segunda capa se refiere a la aplicación de métodos estadísticos y de clasificación, pero no explica en qué consisten, ni sus consecuencias como si fuese algo ajeno a la actividad propia del responsable, cuando el resultado es el perfilado. Perfilado que, entre otras cosas es utilizado para la elaboración del modelo de negocio, valorar nuevas funcionalidades y productos y realizar ofertas personalizadas.

Finalmente, en la política de privacidad no se advierte si el perfilado conlleva toma de decisiones automatizadas con efectos jurídicos para el interesado o que puedan afectarle de forma significativa. Aunque tampoco se dice lo contrario, entiende la AEPD que este tipo de acciones no se llevan a cabo pero incluye este comentario como un mero aviso por los efectos discriminatorios que podrían resultar del empleo de perfilados.

Tratamientos de datos personales basados en el consentimiento de los interesados

El mecanismo establecido para la prestación del consentimiento es contrario al RGPD por producirse mediante la inacción del interesado (al no marcar las casillas en las que se indica “NO quiero…”), así no hay certeza absoluta de si el interesado actuó deliberadamente al dejar esas casillas sin marcar.

Adicionalmente, el interesado no tiene el control de sus datos, no puede elegir sus preferencias, al tenerse por consentidos todos los tratamientos indicados mediante una única acción. Siendo inválido el consentimiento prestado para las finalidades distintas a la ejecución del contrato o relación negocial.

Otros tratamientos de datos personales sin base jurídica

La AEPD considera que los siguientes tratamientos de datos descritos en la política de privacidad se llevan a cabo sin ninguna base de legitimación: 

• La comunicación a otras empresas del Grupo para para intentar mejorar las características y precios de la oferta de productos y servicios que queda fuera del amparo del consentimiento prestado por el cliente con esta finalidad.

• La utilización de datos personales obtenidos por la comercialización de productos por cuenta de terceros, no siendo responsable de los mismos se limita la posibilidad de utilizarlos con fines propios.

Tratamiento de datos personales basados en el interés legítimo del responsable o de terceros

A criterio de la AEPD no existe base legal suficiente para el tratamiento basado en el interés legítimo con las finalidades de conocer mejor al cliente y mejorar su experiencia, incluida la elaboración de perfiles, elaborar el modelo de negocio de la entidad, valorar nuevas funcionalidades o remitir felicitaciones a los clientes.

La realización de ofertas personalizadas o el desarrollo y mejora de la calidad de productos y servicios tampoco pueden admitirse por ser tratamientos similares a los indicados con finalidades basadas en la prestación del consentimiento.

Si la falta de claridad y precisión sobre el interés del responsable impide conocer las finalidades del tratamiento, difícilmente van a poder asociarse a intereses legítimos que puedan, además, prevalecer sobre los derechos de los interesados, a los que no se informa con claridad suficiente.

Así resulta imposible que el interesado, o la AEPD puedan valorar si las operaciones de tratamiento realizadas son necesarias, si puede obtenerse el mismo resultado por medios menos invasivos o si el interés invocado sea prevalente.

La AEPD continúa indicando que más bien parece que los intereses expresados por BBVA responden a intereses económicos de la entidad que no se expresan, que aunque no deja de ser un interés legítimo, en sí mismo considerado y sin tener en cuenta el resto de factores que pueden operar en la ponderación de los intereses en juego no se estima suficiente para amparar el tratamiento, pues en ningún caso podrá prevalecer sobre el derecho fundamental a la protección de datos de los afectados.

Adicionalmente, se han tenido en cuenta diversas circunstancias, entre otras, la forma de recabar los datos empleados en base al interés legítimo, la excesiva escala en la que son recopilados, la utilización de datos recabados de terceros sin conocimiento del interesado (ficheros externos de solvencia patrimonial y créditos) o de productos de terceros comercializados por BBVA. Técnicas empleadas (tratamiento con la finalidad de obtener algoritmos), falta de transparencia sobre la lógica empleada en la elaboración de perfiles. Gran cantidad de afectados y número de datos, enriquecimiento con otros datos incluidos de fuentes externas, pérdida de control de los afectados sobre sus datos, utilización la información obtenida de conformidad con la normativa de prevención del blanqueo de capitales y financiación del terrorismo. Posición dominante del responsable.

Especial importancia se presta a la ausencia de medidas o garantías adicionales. Entre las que sobresalen el aumento de la transparencia y la habilitación de mecanismos de exclusión voluntaria.

Concluye la AEPD que no prevalece el interés legítimo de BBVA sobre los intereses y derechos y libertades fundamentales de los clientes y que las garantías que ofrece son insuficientes para salvar el desequilibrio existente.

A la vista de esta resolución y de otras recientemente dictadas por otras autoridades de control europeas, queda patente que la aplicación práctica del elevado régimen sancionador impuesto por el RGPD se ha hecho realidad.

Todo ello, a efectos prácticos, contribuye a que responsables y encargados de tratamiento tengan que poner mayor empeño aún en el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora de sus sistemas de gestión de cumplimiento en protección de datos. 

En consecuencia, se tiene que ver incrementada la seguridad jurídica de la empresa, a la par que los interesados afectados se benefician de un mayor poder de disposición sobre sus datos personales.

En este sentido, será fundamental para los Responsables de tratamiento, actuar con la debida transparencia de información hacia los interesados, recabando los preceptivos consentimientos informados, realizando las correspondientes evaluaciones de impacto, así como las debidas ponderaciones de los derechos e intereses en juego dentro del marco legal vigente. 

En conclusión, es imprescindible disponer de sistemas ágiles, eficaces y de bajo impacto para la empresa instrumentados a través de políticas, procedimientos, instrucciones, cláusulas y contratos sencillos y transparentes que permitan cumplir con la norma en un escenario altamente cambiante, en el que la tecnología posibilita recabar y enriquecer cantidades desmesuradas de datos.

Gonzalo de la Cruz
Abogado Asociado Senior