Fallece Román Mas i Calvet, prestigioso jurista y fundador del Bufete Mas y Calvet
25 enero, 2021
¿Cómo y para qué hacer una “due diligence” laboral en tu empresa?
8 febrero, 2021Multa histórica al BBVA: claves legales sobre cumplimiento en protección de datos
En los últimos meses la Agencia Española de Protección de Datos (AEPD) ha impuesto varias multas que han acaparado la atención de los medios de comunicación por su cuantía y por las empresas a las que ha afectado. Un ejemplo reciente de ello ha sido la multa histórica al BBVA, un caso emblemático que puede dejar interesantes lecciones a otras compañías, independientemente de si son de menor tamaño o de otro sector. ¿Cuáles son las claves legales sobre cumplimiento en protección de datos que este caso deja a las empresas? Estas son algunas de las lecciones que se pueden extraer.
- ¿Cómo crear una contraseña segura?
- Principales aspectos legales de los vertipuertos para drones
- Inteligencia Artificial: perspectiva ética y legal
- Incentivos al mecenazgo en el ámbito empresarial: donación versus convenio de colaboración empresarial
- La empresa del SXXI: ¿Qué es una empresa ESG?
En el caso del BBVA, la sanción ha sido la más elevada hasta ese momento. En total, cinco millones de euros por dos infracciones: por una parte, por infringir el deber de información cuando los datos personales se obtengan del interesado; por otra, por infringir la licitud del tratamiento de datos por carecer del consentimiento de los interesados. Entre las conclusiones que podemos sacar de esta resolución, el equipo del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet, que lidera el abogado Efrén Díaz, destaca las siguientes:
Los usuarios denuncian… cada vez más
Las empresas deben tener en cuenta que los usuarios son más conscientes de su derecho a la privacidad. De hecho, el origen de esta resolución sancionadora se encuentra en cinco reclamaciones de usuarios diferentes, entre octubre de 2018 y agosto de 2019, por recibir un SMS promocional sin su autorización, por la falta en la App BBVA de los requisitos legales sobre consentimiento libre e informado, por negarse a desbloquear la cuenta por no firmar el documento de protección de datos personales, por el envío de comunicaciones comerciales no solicitadas ni autorizadas y por la realización de llamadas telefónicas y envío de SMS publicitarios.
Informar correctamente a los clientes
Otra de las claves legales sobre cumplimiento en protección de datos es la información facilitada al interesado. La AEPD sostiene, en este caso, que no le permite tener una idea clara sobre los datos que se comunicarán a las entidades del Grupo, ya que no ha utilizado una terminología clara en su política de privacidad.
También indica que el BBVA no ofrece suficiente información sobre la categoría de datos personales procesados (sobre todo, cuando los clientes hacen uso de los productos, servicios y canales). También ha incumplido su obligación de informar sobre la finalidad del tratamiento y la base jurídica que lo legitima (especialmente en los tratamientos de datos personales basados en el interés legítimo de la entidad bancaria). Y considera insuficiente la información sobre el tipo de perfiles a realizar y los usos específicos a que se van a destinar.
La AEPD explica que para determinar la regularidad de los tratamientos denunciados en las cinco reclamaciones, es necesario comprobar la validez del consentimiento prestado. La información ofrecida al usuario parece haber sido incompleta o inadecuada, y pone en entredicho los mecanismos para recabar el consentimiento y que no se han respetado los principios y garantías establecidos en la normativa aplicable
El consentimiento del interesado
La AEPD considera probado que el BBVA carecía de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de sus datos personales. El interesado podía marcar una casilla para hacer constar su oposición a los tratamientos de datos, pero no se obtenía un consentimiento específico, inequívoco e informado. A ello se suma la insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del BBVA como responsable.
El interés legítimo de la entidad
El argumento del interés legítimo prevalente de la entidad para realizar determinados tratamientos de datos, en lugar de pedir el consentimiento expreso para ello, no alcanza a ciertos casos, explica la Agencia. En particular, diferencia los tratamientos que se realizan con la finalidad de “Conocerte mejor y personalizar tu experiencia”, basados en interés legítimo, de aquellos referidos al envío de comunicaciones comerciales que BBVA basa en el consentimiento del interesado.
Según la AEPD, “la conducta de BBVA se ve agravada por el carácter continuado de la infracción, al menos hasta el momento en que procedió a la modificación de la citada política en julio de 2020”, si bien BBVA actuó en la confianza legítima de que la AEPD consideraba que su Política de Privacidad resultaba conforme a la legislación de protección de datos.
Con el foco en las técnicas de perfilado
El tratamiento de datos personales realizados por la entidad, de forma directa o indirecta, también se basa en datos recogidos de fuentes distintas a los interesados, incluso inferidos por la propia entidad, a través de técnicas de perfilado, de las que no habría informado con suficiente claridad. Las empresas deben saber que tienen que revisar escrupulosamente estos procedimientos para constatar que cumplen adecuadamente con la normativa, una labor que deben desarrollar los Delegados de Protección de Datos (estas son las empresas que deben contar obligatoriamente con un DPD y este es el perfil profesional y las funciones que debe desarrollar el Delegado de Protección de Datos)
Imprecisiones del lenguaje comercial
BBVA no habría informado de manera clara y sistemática sobre los tratamientos de datos personales, las finalidades para las que serán utilizados ni la naturaleza de la información personal que trataría. De hecho, habría utilizado expresiones vagas e imprecisas, como “Ofrecerte productos y servicios… personalizados para ti”, “Mejorar la calidad de los productos y servicios” o “Tus datos son tuyos y los controlas tú”, que impiden comprender el alcance real de los consentimientos que puedan prestarse. Y cuestiona que la Política de Privacidad se utilice como una “acción de marketing”.
Es decir, debe haber un equilibrio entre las acciones comerciales y el cumplimiento de la normativa de protección de datos, con una información transparente, clara e inequívoca.
No marcar una casilla no es consentimiento
La entidad debería dar opción para que el cliente preste su consentimiento a los tratamientos concretos. Sin embargo, el BBVA recaba el consentimiento no a través de una acción, sino mediante la inacción del interesado, a través de no marcar las casillas en las que se indica “NO quiero…”. Y esto no asegura que el interesado otorgue inequívocamente el consentimiento, por lo que los tratamientos de datos personales derivados de este tipo de consentimiento devienen en ilícitos.
Si las finalidades del tratamiento de datos no se pueden conocer de forma clara, la AEPD considera que difícilmente estas se pueden asociar a intereses legítimos de BBVA, por lo que estos no pueden prevalecer sobre los derechos de los interesados, a los que no se habría informado claramente acerca de los extremos exigidos por las normas de protección de datos.
En conclusión, la inacción del usuario no se traduce en un consentimiento expreso y las finalidades del tratamiento de datos personales deben ser conocidas de forma clara e inequívoca.
Suprimir los datos y dejar de utilizarlos
Tras constatar las infracciones, la AEPD ha aplicado de los poderes correctivos que le otorga el RGPD (art 58) y ha requerido al BBVA para que, en el plazo de seis meses, todas las entidades del grupo que hayan comunicado datos personales de los clientes con dicho formulario de consentimiento que deberán suprimir tales datos y cesar en la utilización de los mismos. También le indica que debe cesar en los tratamientos de datos personales que fundamenta en el interés legítimo de BBVA o de terceros.
Alternativas legales: los recursos
No obstante, el BBVA puede presentar recurso de reposición contra esta resolución de la AEPD ante la Directora de la Agencia Española de Protección de Datos o, directamente, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional. Por lo pronto, BBVA tendrá que abonar la multa y, más adelante, iniciar las distintas acciones según considere adecuado.
Cumplimiento en protección de datos
Nuestro equipo de especialistas te ayuda a cumplir con el Reglamento General de Protección de Datos (RGPD) en todas las actividades de tu empresa o fundación, también en las relacionadas con el uso de nuevas tecnologías de la comunicación y en campañas de marketing, apoyándote en el cumplimiento y auditoría en protección de datos, el asesoramiento en materia de propiedad intelectual o la defensa de derechos de autor, etc.
Somos el primer bufete de abogados en España que puede ofrecer la certificación Europrivacy. Estos son los servicios que te podemos ofrecer para obtener la certificación europea de protección de datos.
Contacta con nuestro equipo de abogados para que te asesoremos de forma personalizada. Estos son nuestros servicios.