HECHOS
• Procedimiento nº.: PS/00477/2019
Recurso de reposición Nº RR/00061/2021
Examinado el recurso de reposición interpuesto por CAIXABANK, S.A. contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00477/2019, y en base a los siguientes
HECHOS
PRIMERO: Con fecha 05/01/2021, se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00477/2019, en la que se acordó lo siguiente:
“PRIMERO: IMPONER a la entidad CAIXABANK, S.A., con NIF A08663619, por una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa por importe de 2.000.000 euros (dos millones de euros).
SEGUNDO: IMPONER a la entidad CAIXABANK, S.A., por una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo
72.1.b) de la LOPDGDD, una multa por importe de 4.000.000 euros (cuatro millones de euros).
TERCERO: DECLARAR la inexistencia de infracción en relación con la imputación a la entidad CAIXABANK, S.A. de una posible vulneración de lo establecido en el artículo 22 del RGPD.
CUARTO: REQUERIR a la entidad CAIXABANK, S.A., para que, en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI. En el plazo indicado, CAIXABANK, S.A. deberá justificar ante esta Agencia Española de Protección de Datos la atención del presente requerimiento”.
Dicha resolución, que fue notificada a la recurrente en fecha 08/01/2021, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en la LOPDPGDD, y supletoriamente en la LPACAP, en materia de tramitación de procedimientos sancionadores.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00477/2019, quedó constancia de los siguientes:
“PRIMERO: Con fecha 24/01/2018, tuvo entrada en esta Agencia una reclamación formulada por el reclamante contra CAIXABANK, en relación con las nuevas condiciones en materia de protección de datos personales cuya aceptación le requiere aquella entidad, cuestionando la cesión de sus datos personales a todas las empresas del Grupo CaixaBank y el procedimiento dispuesto para cancelar dicha cesión, que, según el reclamante, obliga a dirigir un escrito a cada una de las empresas. Solicitó que se inste a CAIXABANK la modificación de las condiciones mencionadas.
El reclamante aportó copia del condicionado citado, que aparece con los rótulos “Autorizaciones para el tratamiento de datos” y “Ejercicio de derecho de acceso, cancelación y oposición. Reclamaciones ante la Autoridad de Protección de Datos”.
En relación con esta reclamación, CAIXABANK informó a esta Agencia que las cláusulas informativas a las que se refiere la denuncia se implementaron con ocasión de los cambios contractuales dispuestos para la adaptación al Reglamento (UE) 2016/679.
SEGUNDO: Con fecha 29/03/2019, tuvo entrada en esta Agencia una reclamación formulada por la entidad Asociación de Consumidores y Usuarios en Acción – FACUA, contra CAIXABANK, en relación con el “Contrato Marco” que suscriben los clientes de esta entidad, mediante el que se recogen sus datos personales, se ofrece a los mismos la información en esta materia y se recaban consentimientos para los tratamientos de datos que se especifican. FACUA denuncia que el contenido de este contrato no puede negociarse por el interesado, al que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las que aquél podría no tener relación (autorizaciones previstas en la cláusula 8 y cesiones mencionadas en la cláusula 10 de dicho contrato).
FACUA aportó copia de un “Contrato Xxxxx” fechado el 24/10/2017.
TERCERO: La entidad CAIXABANK ha declarado a esta Agencia que inició su adaptación al RGPD en el año 2016 y que esta adaptación se llevó a cabo, principalmente, mediante la implementación en junio de 2016 del formulario de recogida de datos personales denominado “Contrato Marco”, empleado por CAIXABANK de forma prioritaria para dar cumplimiento a las exigencias de transparencia en materia de protección de datos personales y para que los clientes puedan prestar su consentimiento para el tratamiento de sus datos personales a nivel de “Grupo”, con las finalidades que se indican en el citado documento.
El “Contrato Xxxxx” se presenta como de suscripción obligatoria para los nuevos clientes, estableciendo que la firma del documento supone que éste “conoce, entiende y acepta su contenido”. Se dispone expresamente que los términos y condiciones son de aplicación general a todas las “relaciones comerciales” del interesado “con CaixaBank y las empresas del Grupo CaixaBank, y por ello, la suscripción y vigencia del presente Contrato, respetando los correspondientes derechos de elección que para el Firmante otorgue el clausulado, es necesaria para la contratación y mantenimiento de contratos de productos o servicios”.
CAIXABANK ha manifestado, que en el caso de clientes ya existentes se incluyó un aviso en la ficha del cliente señalando al gestor que el “Contrato Xxxxx” no se había formalizado.
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK manifestó que el “Contrato Xxxxx” informa sobre todos los tratamientos derivados de la relación contractual.
CAIXABANK ha aportado a las actuaciones seis versiones del “Contrato Marco”, fechadas el 20/06/2016, 22/11/2016, 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019.
Las tres primeras versiones aluden a la LOPD y no hacen referencia a cuestiones específicas reguladas en el RGPD, tales como la base jurídica del tratamiento (obligación legal, interés legítimo o consentimiento); derechos de supresión, limitación y portabilidad; derecho a presentar una reclamación ante la Agencia Española de Protección de Datos; existencia de un delegado de protección de datos y medios habilitados para contactar con el mismo. La versión 3ª constituía la información ofrecida por CAIXABANK a fecha 25/05/2018.
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK aportó copia del “Contrato Xxxxx correspondiente a un cliente”, que aparece firmado con fecha 06/11/2019. Se comprueba que su contenido no coincide en su totalidad con ninguna de las seis versiones del
“Contrato Xxxxx” aportadas por la propia entidad (versión 7).
En el apartado 1 del “Contrato Xxxxx” constan los datos identificativos del cliente y su declaración de actividad económica. Entre otros datos, figuran los relativos a nombre, apellidos, identificador fiscal, fecha de nacimiento, nacionalidad, domicilio, estado civil, régimen matrimonial, datos de contacto, ingresos fijos y variables, entidad en la que presta servicio o ingresos brutos anuales.
La información que se facilita al interesado en este documento en relación con la protección de datos personales se estructura según la base jurídica que legitima el tratamiento de los datos, dedicando el apartado 7 a los tratamientos “basados en la ejecución de los contratos, obligaciones legales e interés legítimo y política de privacidad” (incluye un subapartado relativo al “tratamiento de datos biométricos en la firma electrónica de documentos”), y el apartado 8 al “tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas del grupo CaixaBank basados en el consentimiento”. Se añaden los apartados 9 “Ejercicio de derechos en materia de protección de datos” y 10 “Delegado de Protección de Datos”, así como un subapartado dedicado al “Plazo de conservación de los datos”, insertado en el apartado 11 referido a la duración, resolución y modificación del contrato.
Durante el proceso de contratación, el cliente debe manifestar los consentimientos para el tratamiento de datos personales que se solicitan al interesado en la cláusula 8, incorporándose las opciones seleccionadas por el cliente a la cabecera del documento, al apartado de datos personales y socioeconómicos. Los consentimientos solicitados al cliente se agrupan en las tres finalidades siguientes:
“(i) los tratamientos de análisis y estudio de datos con finalidad comercial por CaixaBank y empresas del grupo CaixaBank
(ii) los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las empresas del grupo CaixaBank
(iii) la cesión de datos a terceros”.
En relación con estos tres consentimientos, la Cláusula 8 indica: “Con la finalidad de poner a su disposición una oferta global de productos y servicios, su autorización a (i) los tratamientos de análisis y estudio de datos, y (ii) para la oferta comercial de productos y servicios, en caso de otorgarse, comprenderá a CaixaBank, y a las empresas del grupo CaixaBank detalladas en xxx.XxxxxXxxx.xx/xxxxxxxxxxxxx (las “empresas del Grupo CaixaBank”) quienes podrán compartirlos y utilizarlos con las finalidades indicadas”.
La copia del “Contrato Xxxxx” aportado por CAIXABANK con su respuesta a los Servicios de Inspección de fecha 20/11/2019 (versión 7), que aparece fechado el 06/11/2019, contempla la prestación por el cliente de un cuarto consentimiento referido al tratamiento de datos biométricos. En el encabezamiento del documento aportado, en el epígrafe de “Autorizaciones para el tratamiento de datos” se indica: “Otras finalidades: Uso de datos biométricos con finalidad de verificación de la identidad y firma. Usted ha manifestado su aceptación y consentimiento”.
Se declara reproducido en este acto a efectos probatorios el contenido íntegro del “Contrato Xxxxx”, en sus versiones de fechas 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019, así como el contenido del “Contrato Xxxxx” fechado el 06/11/2019 (versión 7). El contenido de la versión 4ª, fechada por CAIXABANK el 12/11/2018, así como las modificaciones introducidas posteriormente se incluye como Anexo I.
CUARTO: La formalización del formulario de recogida de datos personales y prestación del consentimiento para el tratamiento de los datos personales denominado “Contrato Marco” tiene lugar durante el proceso de alta del cliente, que puede realizarse de forma presencial en oficinas o a través xx xxxxxxx digitales.
a) El proceso de alta en oficinas se realiza mediante una entrevista entre el cliente y el gestor. Durante
este proceso, el gestor debe cumplimentar la secuencia de pantallas dispuesta en el sistema incorporando la información (datos personales) facilitada por el cliente. Después de cumplimentar varias pantallas (en torno a quince), aparece la pantalla rotulada “Modificación de protección de datos de…”, cuya estructura es la siguiente:
“Alta consentimientos
Protección de datos CaixaBank (RGPD) El cliente autoriza a CaixaBank a:
1. Utilizar sus datos para:
. Efectuar estudios y seguimiento de la operativa
. Gestionar las alertas de los productos que tiene contratados
. Estudiar productos y servicios ajustados a su perfil del Grupo CaixaBank ( ) Sí ( ) No
2. Participar en campañas promocionales y ofertas comerciales del Grupo CaixaBank mediante los canales
( ) Sí
( ) No
( ) Telemarketing
( ) Medios electrónicos como SMS, email y otros ( ) Publicidad postal
( ) Contactos comerciales de los gestores de la entidad
3. Ceder los datos del cliente a terceros ( ) Sí ( ) No
(Aceptar) (Cancelar)”.
Para la prestación de estos consentimientos, durante esta entrevista el cliente responde verbalmente a las tres preguntas que le realiza el gestor sobre las finalidades indicadas, una de ellas desglosada en cuatro opciones, y éste incorpora las respuestas al sistema. Una vez finalizada la entrevista, se imprime en papel el “Contrato Xxxxx” ya cumplimentado y se firma por el cliente.
En su respuesta a los Servicios de Inspección de 17/07/2018, CAIXABANK señala que, posteriormente, dotó a toda la red de oficinas de tabletas digitalizadoras, posibilitando que el “Contrato Marco” se firme, no en papel, sino en la propia tableta.
CAIXABANK, con su respuesta a la AEPD, de fecha 03/05/2019, aportó documentación referida a la formación impartida a sus empleados en la que se indica:
“En oficinas recogeremos el consentimiento de nuestros clientes en el contrato marco. En el proceso de alta de nuestro contrato marco, te aparecerá la pantalla siguiente que deberás cumplimentar de acuerdo con las respuestas del cliente.
(pantalla)
Tras haber cumplimentado esta pantalla y haberse firmado digitalmente el documento, el contrato marco que se imprimirá recogerá las preferencias de tu cliente en la cláusula 8”.
La operativa seguida en este proceso se modificó nuevamente, estableciendo un sistema de “pantalla compartida” para posibilitar que el cliente marcase las opciones seleccionadas por sí mismo en una tablet que el gestor pone a su disposición.
CAIXABANK con su escrito de 20/11/2019, remitido en respuesta a los requerimientos de información de los Servicios de Inspección de la AEPD aportó impresión de pantallas correspondientes al proceso de alta de un cliente. Después de avanzar unas quince pantallas, se muestra una pantalla con un mensaje para el gestor con la indicación “Según el Reglamento General de Protección de Datos, el cliente debe autorizar el uso de sus datos. A continuación debe entregar la tableta al cliente para que cumplimente los consentimientos”. Una vez el gestor pulsa el botón “Aceptar” en esa pantalla, se
muestran dos pantallas correspondientes a la recogida de consentimientos para el tratamiento de los datos personales, con el rótulo “Autorización/Revocación de consentimientos” y la indicación “Modo Tablet. Cliente”. El detalle es el siguiente:
“Protección de datos personales grupo Caixabank Autorizo al grupo Caixabank a:
1. Utilizar mis datos para finalidades de estudio y perfilado:
Si lo autorizo, las ofertas que se me remitan estarán adaptadas a mi perfil ( ) Sí, acepto que las ofertas sean en base a mi perfil
( ) No
2. Recibir publicidad y ofertas comerciales
Si no lo autorizo, ni siquiera mi gestor podrá contactarme para informarme de productos de mi interés. ( ) Sí, acepto recibir ofertas por los siguientes medios:
( ) Telemarketing
( ) Medios electrónicos como SMS, email y otros ( ) Correo postal
( ) Contactos comerciales por cualquier canal de mi gestor
( ) No
3. Ceder mis datos a terceros con los que el grupo Caixabank tenga acuerdos:
Si lo autorizo, en el momento en el que se cedan mis datos, se me informará de qué tercero es el receptor de los datos y, si no estoy de acuerdo, podré revocar esta autorización
( ) Sí, acepto ceder los datos a terceros ( ) No
4. Uso de mis datos biométricos (imagen facial, huella dactilar, etc.) con la finalidad de verificar mi identidad y firma: Esta autorización se complementará en cada caso con el registro de los datos biométricos a utilizar en cada momento. Para poder verificar la identidad/firma de sus clientes, Caixabank utiliza métodos de reconocimiento biométrico como sistemas de reconocimiento facial, lectura de huella dactilar y similares. Actualmente, algunos de nuestros cajeros ya permiten realizar operaciones utilizando estos métodos.
( ) Sí, acepto el uso de mis datos biométricos ( ) No
Las preferencias que aquí ha indicado quedarán recogidas en la primera página de su contrato marco”.
Una vez marcadas las opciones, en la parte final de la pantalla se incluyen los botones “Aceptar” y “Cancelar”. Al pulsar el primero se ofrece el mensaje “Sus consentimientos se han indicado. Gracias por su colaboración. Por favor devuelva la Tablet a su gestor”. En esta misma pantalla si incluyen casillas para que el gestor introduzca su clave de empleado y contraseña y un botón “Aceptar”.
Las pantallas “Modo Tablet. Cliente” no contienen ningún enlace a la información en materia de protección de datos personales contenida en el “Contrato Marco”.
En relación con este proceso, no se aportó ninguna pantalla relativa a la consolidación del documento y su firma por el cliente.
b) El proceso de alta del cliente a través del portal web de CAIXABANK y aplicación móvil (la aplicación redirige al interesado a la aplicación web), incluye un paso que muestra una pantalla mediante la que se recaban los consentimientos para el tratamiento de los datos con finalidades comerciales. La pantalla muestra las opciones siguientes:
<<Gestiona tus datos (i)
¿Quieres enterarte de nuestras novedades de manera personalizada?
Tratamiento de tus datos para recibir un servicio personalizado del Grupo Caixabank
Tratamiento de tus datos con finalidades de análisis, estudio y seguimiento sobre la oferta y diseño de
productos y servicios adaptados al perfil de cliente por Caixabank y empresas del Grupo Caixabank. Más información
No Si
Tratamientos de tus datos para recibir ofertas de productos y servicios de Caixabank
Tratamiento de tus datos para la oferta comercial de productos y servicios de Caixabank y empresas del Grupo Caixabank
Más información
No Si
Cesión de tus datos a terceros con los que Caixabank y empresas del Grupo Caixabank tengan acuerdos
Tratamiento de tus datos por terceros con los que Caixabank y empresas del Grupo Caixabank tengan acuerdos, para recibir ofertas de productos y servicios de dichos terceros.
Más información
No Si
(Continuar)>>
Durante este proceso de prestación del consentimiento se posibilita el acceso por parte del cliente a la cláusula 8 del “Contrato Marco2. Al final del proceso se muestra el “Contrato Xxxxx” con el resumen de los consentimientos otorgados y el clausulado, para su firma por el cliente (“Ver y descargar contrato marco”). Se incluye una casilla para marcar “He leído y acepto el contrato” y los botones “Anterior” y “Continuar”.
En la inspección realizada a CAIXABANK en fecha 28/11/2019, se verificó la descarga completa del “Contrato Marco” y que, una vez seleccionada la casilla de aceptación del contrato, se procede a la firma mediante un código numérico enviado al teléfono móvil proporcionado por el cliente.
QUINTO: Según informó CAIXABANK a los Servicios de Inspección en su respuesta de 17/07/2018, esta entidad también recaba el consentimiento de sus clientes para el tratamiento de datos con “finalidades comerciales” y cesión de datos a terceros, mediante el documento rotulado como “Autorización para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”, que CAIXABANK denomina “Contrato de Consentimientos” y que también se utiliza para modificarlos en momentos posteriores al proceso de alta.
a) El proceso de formalización de este documento en oficina es similar al del “Contrato Xxxxx” y ha seguido la misma evolución en el tiempo (impresión y firma del documento, firma digital y “Modo Tablet”), pero suscribiéndose un documento que solo recoge los extremos señalados.
Mediante este documento se ha dispuesto la prestación de consentimiento de forma separada para las mismas finalidades que se citan en el “Contrato Xxxxx”. El sistema muestra la pantalla habilitada para que el gestor registre la revocación bajo el rótulo “Modificación de protección de datos”, cuya estructura es similar a la mostrada para la prestación del consentimiento durante el proceso de alta de los clientes, incluida la incorporación del cuarto consentimiento que se solicita al cliente en relación con el tratamiento de los datos biométricos, verificada en la inspección realizada en fecha 28/11/2019.
De este “Contrato de consentimientos” constan incorporadas a las actuaciones tres versiones (la aportada por el reclamante en fecha 24/01/2018, reseñada en el Hecho Primero -Versión 1; la aportada por CAIXABANK en fecha 10/07/2018, reseñada en el Hecho Segundo y transcrita en Anexo II -Versión 2; y la adjunta al Acta de Inspección de fecha 28/11/2019, reseñada en el Hecho Cuarto, Versión 3 (se incluyen igualmente en Anexo II las diferencias de esta Versión 3 respecto de la versión 2).
En la versión 3 del documento, la aportada durante la inspección de 28/11/2019, en la denominación del documento se añade el término “revocación” y queda “Autorización/revocación para el tratamiento
de datos de carácter personal con finalidades comerciales por CaixaBank, S.S. y empresas del grupo CaixaBank”.
La información ofrecida en el “Contrato de Consentimientos” en materia de protección de datos personales coincide, casi literalmente, con la cláusula 8 del “Contrato Marco”.
b) El proceso para revocar los consentimientos a través del espacio privado del cliente en la web de CAIXABANK muestra una pantalla con la estructura siguiente:
<<Autorizaciones con finalidades comerciales Modificación
A continuación podrás modificar el tratamiento que realiza Caixabank sobre tu información
Acepto el trato de mis datos para efectuar seguimiento y estudio de alertas de mis productos contratados, estudios y servicios ajustados a mi perfil. Ver detalle Cláusula 8
Acepto No acepto
Acepto que Caixabank contacte conmigo para conocer aquellas ofertas de productos y servicios, así como promociones y ofertas que puedan resultar de mi interés. Ver detalle Cláusula 8
Acepto No acepto
Indique si Caixabank puede ponerse en contacto contigo de alguna de las siguientes maneras ( ) A través de mi gestor (oficina)
( ) Mediante comunicaciones postales
( ) Por email, SMS y otros canales electrónicos ( ) Por telemarketing
Acepto que se compartan mis datos con empresas con las que Caixabank haya firmado acuerdos con la finalidad de poder recibir ofertas de productos y servicios de estas empresas. Ver detalle Cláusula 8
Acepto No acepto>>
Durante este proceso se posibilita el acceso por parte del cliente a la información contenida en la cláusula 8 del “Contrato Marco”. Una vez marcadas las opciones, se muestra al cliente un resumen con los consentimientos otorgados (“Operación todavía no finalizada, Compruebe los datos y confirme la operación”) y se pone a su disposición el contrato que recoge un resumen de esos consentimientos (“Xxx detenidamente el contrato. Confirme la operación”).
c) En el entorno de la aplicación móvil de CaixaBank Now, el cliente puede acceder a “Configuración – Ejercicio de derechos” y es redirigido al portal Web.
d) CAIXABANK informó a los Servicios de Inspección, en su respuesta de 17/07/2018, que el cliente puede revocar los consentimientos mediante el uso de formularios disponibles en el portal web corporativo de CAIXABANK (indica que permite revocar el consentimiento para cualquier empresa del Grupo) o en el portal web de cada una de las empresas del Grupo (al acceder a la página correspondiente a la entidad de que se trate, el cliente es dirigido a una pantalla común a todas). Se ofrece la posibilidad de marcar tres casillas con el detalle siguiente:
“( ) No deseo recibir un servicio personalizado del Grupo CaixaBank (tratamiento de datos con finalidades de análisis, estudio y seguimiento para la oferta y el diseño de productos y servicios ajustados a su perfil por parte de CaixaBank y empresas del grupo CaixaBank)
( ) No deseo recibir ofertas de productos y servicios personalizados de CaixaBank y empresas del grupo CaixaBank
( ) No deseo que mis datos sean comunicados para finalidades comerciales propias de terceros con los que CaixaBank tenga acuerdos”.
d) Revocación del consentimiento a través del servicio de atención telefónica: los Call Centers tienen a su disposición una herramienta que le permite atender la revocación de los consentimientos. La estructura que muestra la citada herramienta para la revocación de los consentimientos es similar a la indicada para el proceso de alta de clientes en oficina (“Alta de consentimientos”).
CAIXABANK, en su respuesta de 03/05/2019 al traslado de la reclamación formulada por FACUA, informó a esta Agencia que la revocación de los consentimientos tiene efectos para todas las empresas del Grupo y que puede ser ejercitada ante cualquiera de ellas, por cualquiera de los canales propios de cada una.
Según CAIXABANK, estas solicitudes de revocación o modificación de consentimientos quedan registradas y son remitidas a un servicio centralizado de atención de derechos, que se encarga de darles el trámite correspondiente.
Se declara reproducido en este acto a efectos probatorios el contenido íntegro del “Contrato de Consentimientos”, en todas sus versiones (el contenido de la versión 2 y las diferencias de la versión 3 respecto de la 2 se incluyen como Anexo II).
El documento “Política de Privacidad”, con trece apartados, informa de modo genérico sobre la identidad del responsable (sin hacer referencia a la existencia de un “repositorio común” a CAIXABANK y las empresas del Grupo), datos recabados, información obtenida de navegación por la web y aplicaciones móviles, finalidades, base jurídica que ampara los tratamientos de datos, seguridad, conservación de datos, cesiones, transferencias internaciones, delegado de protección de datos y derechos del interesado. Interesa destacar que esta “Política de Privacidad”, al referirse a los usos basados en el consentimiento, advierte al interesado que podrá utilizar “todos los datos que tenemos sobre ti”; y en el apartado “¿A quién se comunican mis datos?” se informa sobre el intercambio de información con empresas del Grupo CaixaBank.
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK informó a esta Agencia que dicha política de privacidad tiene la finalidad de complementar la información facilitada a los clientes mediante el “Contrato Xxxxx” xxxxx xxxxx xx 0000 x xxxx xx 0000; y dar información completa a los clientes que en mayo de 2018 no hubieran firmado el “Contrato Marco”. Así, desde mayo de 2018 distingue dos situaciones:
. Todos los clientes preexistentes han firmado un contrato marco o han recibido la Política de Privacidad (además de tenerla a su disposición en la web de la entidad).
. Todos los nuevos clientes, en su primera relación con la entidad, suscriben un “Contrato Marco”, en el que se incluye toda la información del artículo 13 del RGPD.
Se declara reproducido en este acto, a efectos probatorios, el contenido íntegro de la Política de Privacidad accesible a través de la web de CAIXABANK.
SÉPTIMO: El “Contrato Marco”, en su apartado 8, detalla los datos personales utilizados con las finalidades descritas en ese mismo apartado. Entre ellos se mencionan “los datos obtenidos de redes sociales que el firmante autorice a consultar”. Se accede desde el área personal de la banca online y se especifica la red para la que se consiente el acceso (Facebook, Twitter y LinkedIn). En una caja se incluye un texto con la indicación “Información sobre el tratamiento de datos de carácter personal y comunicaciones comerciales”; y un botón con el texto “Aceptar y continuar”. Con esta sola acción, el
cliente presta su consentimiento a la recogida de los datos personales que se mencionan en esa información y a los tratamientos que se detallan.
Esta información se declara reproducida en este acto a efectos probatorios (consta reseñada íntegramente en Anexo III):
OCTAVO: El apartado 8 del “Contrato Xxxxx” detalla los datos personales utilizados con las finalidades descritas en ese mismo apartado. Entre los datos utilizados con esas finalidades se mencionan “los datos obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el firmante”. Dicha solicitud se formaliza mediante la suscripción por el cliente del denominado Contrato de Servicio de Agregación.
Este servicio permite agregar la información de los productos que tenga contratados con otras entidades (posiciones y movimientos de cuentas y tarjetas) y disponer así de una visión global de todas las posiciones, alertas sobre recibos, vencimientos, etc., pero no operar sobre los productos de las entidades agregadas. El cliente agrega o elimina entidades a su voluntad, pero solo entre las incorporadas al servicio.
El proceso de solicitud del servicio de agregación se sigue a través de la web de CAIXABANK. Después de seleccionar la entidad que pretende añadir al servicio y de introducir los datos que el cliente utiliza para acceder online a la entidad seleccionada (claves de acceso), el proceso requiere la aceptación de los términos y condiciones del servicio.
“Por una parte Caixabank, S.A. y por otra las personas cuyas circunstancias y representación se especifican más adelante, acuerdan la formalización de las relaciones contractuales que se expresan, a tenor de las siguientes condiciones:
Datos del contratante
Nombre y apellidos Número de documento”.
(enlace a un documento en formato pdf. con la indicación “Versión para imprimir o guardar”).
(enlace para la descarga del programa Acrobat Reader, con la indicación “Si no dispones del programa…, puedes descargar Acrobat Reader”)
(Botón “Aceptar y continuar”)
Seguidamente, el proceso requiere la confirmación de la operación mediante la introducción de una clave. No incluye, en cambio, ninguna verificación que deje constancia sobre la lectura del documento “Términos y condiciones del servicio”.
Se declara reproducido en este acto, a efectos probatorios, el clausulado completo del Contrato de servicio de agregación (consta reseñado íntegramente en Anexo IV).
NOVENO: En su respuesta a los Servicios de Inspección de esta Agencia, de 16/05/2018, CAIXABANK manifestó que, con ocasión de los cambios que conllevó la adaptación al RGPD, en 2016 dispuso que los consentimientos de los clientes para el tratamiento de sus datos personales con “finalidad comercial” se recabarían a nivel de “grupo”, de manera conjunta para todas las sociedades del “grupo”.
La versión 2 del documento “Contrato de Consentimientos” hace referencia a un “repositorio común” de datos personales en la indicación “Para ello, sus datos se gestionarán desde un repositorio común de información de las empresas del Grupo CaixaBank. Los datos que se incorporarán a este repositorio común serán…” (esta mención al “repositorio común” en la presentación del citado documento desaparece en la versión 3ª del mismo).
CAIXABANK informó que, en realidad no existe ese “repositorio común” de información, sino un conjunto xx xxxx repositorios individuales coordinados entre sí que “almacena” toda la información de los clientes; y un “repositorio común de consentimientos”, que almacena las autorizaciones para tratamientos comerciales otorgadas por los clientes a las empresas del Grupo, permitiendo que un
cliente revoque el consentimiento desde cualquier empresa del Grupo, y a la inversa, con efectos automáticamente para todas ellas.
Según CAIXABANK, el funcionamiento real del “repositorio común” es que cada empresa del Grupo alberga su propia información relativa a datos personales, que se comparten entre empresas para tratamientos específicos, siendo CAIXABANK la entidad que centraliza el uso de los datos y la publicidad emitida”.
TERCERO: Con fecha 08/02/2021, dentro del plazo establecido, se ha interpuesto recurso de reposición por la entidad CAIXABANK, S.A. (en lo sucesivo CAIXABANK, la reclamada o la recurrente) contra la resolución reseñada en el Antecedente Primero, de fecha 05/01/2021, en el que, después de dar por reproducidas la información y documentación aportadas durante la tramitación del procedimiento que dio lugar a dicha resolución y de señalar que su recurso pone de manifiesto posiciones discrepantes en un ánimo de colaboración con la AEPD, solicita que se declare la nulidad de aquella resolución conforme a las consideraciones siguientes:
1. Estricta sujeción de CAIXABANK al marco normativo, respeto absoluto por las indicaciones impartidas por la AEPD y voluntad de cooperación con esta entidad, manifestada con especial intensidad a raíz de la promulgación del RGPD y su normativa de desarrollo en España, habiendo adoptado todas las medidas internas necesarias para la implementación de los cambios exigibles (protocolos internos de actuación en actualización continua, auditorías internas, adecuación de los sistemas informáticos, adaptación de formularios, formación a empleados, elaboración de guías operativas, seguimiento estadístico de la atención de asuntos, etc.).
2. Según se señaló en las alegaciones a la propuesta de resolución, la AEPD ha conculcado el derecho a la presunción de inocencia y el principio de objetividad (artículos 24.2, 103. 1 y 3 Constitución Española, artículo 3.1 de la Ley 40/2015, de Régimen Jurídico del Sector Público
-LRJSP- y el artículo 6.1 del CEDH) cuando, antes siquiera de haber recibido las alegaciones al acuerdo de inicio, el 03/03/2020, la Directora de la Agencia manifestaba en un acto público que “Tenemos ya dos o tres procedimientos sancionadores de alto impacto que van a tener mucha repercusión mediática en relación con el sector financiero, serán las primeras multas cuantitativas importantes por parte de la Agencia”. Es decir, quien resuelve y de quien depende jerárquicamente el instructor del procedimiento, tenía la decisión tomada incluso antes de tener a su alcance todos los elementos probatorios.
Considera CAIXABANK que la falta de recusación de la máxima autoridad de la AEPD no desvirtúa esa falta de imparcialidad y consecuente objetividad. Añade que la AEPD destaca, como criterio de objetividad, que la sanción se ha rebajado como consecuencia de las Alegaciones, si bien ello se debe a la falta total de prueba.
3. Quiebra de los principios de buena fe, confianza legítima y lealtad institucional (artículo 3 de la LRJSP), que resulta del convencimiento de CAIXABANK de estar actuando correctamente, después de haber remitido a la AEPD, hace cuatro años, toda la información por la que ahora se sanciona con la multa de mayor cuantía impuesta hasta el momento (2.000.000 de euros por la infracción de los artículo 13 y 14 del RGPD), recibiendo de contrario varios comentarios telefónicos que fueron implementados y dos negativas a comentarlo presencialmente en una reunión.
Considera CAIXABANK que los formalismos que expone la Agencia en la resolución (que no
se ha seguido el canal formalmente previsto o que el RGPD no prevé este tipo de consultas) no desmerecen sus alegaciones y que existen signos externos sobre la influencia de estos hechos en su comportamiento, cuando la propia AEPD solicitó expresamente el texto de las cláusulas en formato de impresión y ha tenido dicha documentación durante años por petición proactiva de CAIXABANK sin mostrar interés o queja alguna por su contenido.
Seguidamente, la recurrente reproduce unas nuevas declaraciones de la persona encargada de dictar resolución, que aparecieron en el Diario Confilegal el pasado 28/01/2021 (“Mar España, directora de la AEPD, cree que las grandes empresas deben perder el miedo y consultar para evitar sanciones elevadas”), y señala que, en su caso, en lugar de un ámbito de consulta y colaboración lo que realmente se ofrece es un expediente sancionador con sanciones desproporcionadas.
4. Indefensión generada a CAIXABANK por la extensión artificial y antijurídica de las actuaciones previas, ignorando su caducidad.
La AEPD abrió unas actuaciones previas que caducaron, se abrieron unas segundas, incorporando el contenido de las primeras y después se abrió un expediente sancionador sobre los hechos investigados en ambas actuaciones previas. En total, la AEPD ha dedicado 3 años de instrucción, incorporando “en bloque” al procedimiento las actuaciones caducadas y obtenidas sin garantías, lo que ha generado una absoluta indefensión y persecución a CAIXABANK.
La utilización por la AEPD de las actuaciones previas como un procedimiento sancionador, sin las garantías que todo procedimiento sancionador debe tener, produce desviación de poder.
Finalmente, considerando el verdadero inicio de la actividad instructora de la AEPD (años atrás desde las primeras actuaciones previas), el propio expediente sancionador del Procedimiento Sancionador ha caducado.
Discute el mal uso de las actuaciones previas y señala que la Agencia se limita básicamente a negar las alegaciones y la falta de prueba por parte de CAIXABANK, meridianamente claras a este respecto, y a relatar los hechos y distintos procedimientos e instrucciones concatenadas, que ponen de manifiesto el artificioso entramado de instrucciones e investigaciones que se han llevado a cabo para mantener vivo un procedimiento de años de antigüedad.
5. CAIXABANK ha informado a los interesados en los términos previstos en los artículos 13 y 14 RGPD, y éstos lo han entendido.
Manifiesta que ha proporcionado a sus clientes debida y completamente la información requerida por la normativa, sin perjuicio de que algunos extremos pudieran ser, según el criterio de la AEPD, “mejorables”.
a) No es cierto que se ofrezca información no uniforme a los clientes.
La Resolución señala que la información ofrecida a los clientes no es uniforme y que no se ofrece de la misma manera a todos los clientes y en todas las situaciones, pero parte de un reducido e incidental número de casos, cuando la regla general es la firma del “Contrato Marco” (más del 95% de los clientes lo tienen firmado). El hecho de que algunos clientes hayan firmado únicamente el “Contrato de Consentimientos”, y no el “Contrato Marco”, no
supone ninguna merma de información ni confusión en la información facilitada, ya que se ha proporcionado la información completa mediante la política de privacidad, cuya información coincide con la reflejada en el “Contrato Marco” y es común para todos.
Las mínimas divergencias de información que puedan encontrarse entre los diferentes documentos se deben únicamente al proceso de actualización de tales documentos, que conocía la Agencia, en ocasiones, precisamente para adaptarlos al RGPD, siendo en todo caso algo puramente temporal.
En todo caso, debe la Agencia valorar positivamente el proceso de mejora que ha llevado a cabo CAIXABANK, que ha conseguido una absoluta cohonestación de todos los documentos, como se explicó detalladamente en las alegaciones a la propuesta de resolución. Dicha armonización no implica falta de información o transparencia, sino una actitud diligente y proactiva y un afán de mejora continua por parte de CAIXABANK.
b) No es cierto que se emplee una terminología imprecisa con formulaciones vagas, ni que se genere confusión alguna sobre los tratamientos de datos basados en la relación contractual, ni sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.
Sobre esta cuestión, reitera que la AEPD no ha probado de forma alguna (salvo con meras afirmaciones y referencias a Directrices del Grupo de Trabajo del Artículo 29 (“GT29”)) que los clientes no hayan comprendido la información, mientras que las encuestas e informes aportados con sus alegaciones a la propuesta de resolución, elaborados por expertos externos, permitieron concluir que los clientes entendían qué tratamientos se realizan para la ejecución del contrato y cuales con finalidades comerciales, así como las distintas bases legales. Además, se tomaron medidas adicionales (como la ya explicada regla del “NO es NO”) para evitar cualquier posible consecuencia indeseada para aquellos remotos casos en los que un sujeto no tenga claro la información facilitada en materia de protección de datos.
Por mucho que la AEPD trate en la Resolución de desacreditar las encuestas e informes aportados, cuestionando las preguntas realizadas, los aspectos tratados y la metodología de los mismos, no existe prueba en contrario. Añade que se ha visto obligada a asumir una inaceptable inversión de la carga de la prueba.
Asimismo, con respecto a los contratos de redes sociales y de agregación, la AEPD parece no comprender ni el objeto de los mismos ni su situación con respecto al “Contrato Marco”, quedando patente tal desconocimiento cuando alega que las entidades que prestan un servicio de agregación legalmente reglado parecen tener por objeto obtener datos personales y no prestar un servicio.
c) Se informa sobre las categorías de datos tratados, incluso en casos en los que no es obligatorio, y los intereses legítimos de CAIXABANK.
La información sobre las categorías de datos no puede considerarse insuficiente. Al contario, CAIXABANK informa de las categorías de datos personales en casos en los que no viene obligada a hacerlo, como ocurre en relación con los tratamientos basados en el consentimiento e interés legítimo. Únicamente el artículo 14 RGPD exige proporcionar a los interesados esta información de forma obligatoria, cuando los datos no se obtienen directamente del interesado, por lo que se pretende imponer obligaciones que no establece la
propia normativa aplicable y estándares superiores a los exigibles.
Respecto al cumplimiento por parte de CAIXABANK del artículo 14 RGPD, nos remitimos a lo ya expuesto en las Alegaciones. Quizás la información podría ser mejorable en relación con su presentación (si se atiende al criterio de la Agencia, aunque este resulte difuso en la Resolución al no concretar qué se espera que haga CAIXABANK), pero en ningún caso la misma era incompleta o incomprensible.
d) No existe falta de información sobre la elaboración de perfiles, tipos de perfiles, los usos específicos de los mismos y el derecho de oposición del interesado. A este respecto, damos por reproducidas las argumentaciones contenidas en las Alegaciones.
Además, se debe valorar positivamente que CAIXABANK haya clarificado y especificado en la Nueva Política de Privacidad –ya facilitada en el seno del Procedimiento– los tratamientos que conllevan perfilado para evitar que el concepto sea malinterpretado por un “cliente común”.
e) No existe una falta de información sobre los plazos de conservación y el ejercicio de derechos.
Alega nuevamente al respecto que se trata de discordancias menores debidas a la normal evolución de la documentación contractual, que han sido clarificadas en la Nueva Política de Privacidad y en el Nuevo Contrato Marco, ya facilitado.
6. Hay base jurídica para los tratamientos y los consentimientos se obtienen de manera lícita.
a) Los consentimientos cumplen todos los requisitos legalmente establecidos, según la interpretación del Comité Europeo de Protección de Datos (“CEPD”, antiguo GT29). Los consentimientos son:
− Libres: La AEPD argumenta que el consentimiento no puede considerarse libre debido al intercambio de información que CAIXABANK realiza con las entidades que integran el Grupo CaixaBank, pero no se produce tal cesión, sino que existe una corresponsabilidad entre las compañías del Grupo CaixaBank;
− Específicos: se separan y desglosan específicamente las actividades que se realizan al amparo de tales consentimientos, como ya se explicó sucintamente en las alegaciones;
− Informados: pese a que la información fuera mejorable, la información proporcionada contenía todo lo que la normativa obliga a proporcionar y se considera necesario para que cualquier cliente sea plenamente consciente e informado de a qué consiente. Incluso si no se facilitara la información prevista en los arts. 13 y 14 del RGPD (quod non), el consentimiento sería válido (en línea con las recientes Directrices 5/2020 sobre el consentimiento); e
− Inequívocos: El interesado debe realizar un acto afirmativo para que se entienda su consentimiento como otorgado.
Además, reitera que hay tratamientos sobre los que se solicita el consentimiento sin que, en la práctica, se lleven a cabo. Elemento que tampoco la AEPD tiene en cuenta en la resolución
y en las sanciones impuestas en la misma.
b) Contrato de redes sociales y de agregación.
El contrato de redes sociales se trató de un proyecto de corta duración que acabó dándose de baja, lo que no ha sido considerado por la Agencia, la cual también olvida que la firma de este contrato es complementaria al “Contrato Marco”, mediante el que se obtienen los consentimientos para las “finalidades comerciales”.
No es cierta la afirmación contenida en la resolución, según la cual “el servicio de agregación más bien parece que estaba diseñado para la recogida de información por la entidad responsable”. Esta afirmación denota un absoluto desconocimiento acerca de dicha tipología de contratos.
Las bases legitimadoras previstas en el “Contrato Marco” y en la “Política de Privacidad” son las que amparan los tratamientos de datos personales relativos a servicios contratados por los clientes, con los matices propios de dicho contrato de agregación, respetando tanto la normativa financiera como la de protección de datos.
c) No hay cesión ilícita de datos a empresas del grupo: hay corresponsabilidad.
Considera errónea la conclusión sobre la existencia de cesiones ilícitas de datos en el marco del grupo y se remite, a este respecto, a los párrafos 70 y ss. de las alegaciones a la propuesta de resolución.
Reitera que CAIXABANK es el Grupo CaixaBank y que se establece un régimen de corresponsabilidad transparente para los interesados, tanto a nivel regulatorio como comercial. se trata de una realidad, una situación de facto que no pueden acordar las partes, que viene existiendo desde mucho antes de las alegaciones a la propuesta de resolución, como parece insinuar la AEPD en la Resolución. Simplemente, la relación existente entre CAIXABANK y las compañías del Grupo CaixaBank, es, y ha sido siempre, de corresponsabilidad.
La AEPD, contra el propio espíritu del RGPD, recurre a formalismos que no cambian el hecho de que el Grupo CaixaBank, y las entidades que lo componen, participan conjuntamente en la toma de decisiones sobre los fines y medios de los tratamientos objeto de la corresponsabilidad.
La AEPD parece ignorar la prueba formal facilitada, el acuerdo aportado, en el que se indican los tratamientos afectados por la corresponsabilidad, las funciones de cada entidad con respecto a las obligaciones, se nombra un coordinador en función del tratamiento, etc., y, sin fundamento probatorio alguno y a pesar de las pruebas facilitadas, afirma que no existe régimen de corresponsabilidad. Sin prueba alguna llega a una conclusión que se enfrenta a la lógica intrínseca del RGPD al definir las figuras de responsable, encargado y corresponsable.
Sin embargo, como recuerda el xxxxxxx 00 de las Directrices 07/2020 sobre los conceptos del responsable y el encargado en el RGPD del CEPD (las “Directrices”), la consideración acerca de la corresponsabilidad se debe llevar a cabo bajo un análisis de hechos –y no de aspectos formales– en relación con la influencia real sobre los fines y medios del tratamiento. La normativa de protección de datos tanto de la UE como la española siempre han partido de la realidad acerca del poder de decisión sobre los medios y fines para determinar quién es
responsable, quién es encargado y, más recientemente, quién es corresponsable. La AEPD no puede afirmar sin prueba alguna que este no es el caso, más aún cuando CAIXABANK sí ha aportado evidencias (que no han sido refutadas por la AEPD). La clave es la participación conjunta en la determinación de los fines y medios del tratamiento, ya sea por la toma de decisiones en común, o por que estas sean convergentes, tal y como lo señalan las Directrices (véanse los párrafos 51 y ss. de las mismas). Esta participación conjunta de todos los miembros del Grupo CaixaBank en cuanto a las “finalidades comerciales” queda reflejada en:
• Los equipos de CAIXABANK se reúnen con representantes de las distintas entidades del Grupo para establecer cómo, cuándo y en qué medida impactar a los interesados. CAIXABANK no toma estas decisiones por sí mismo, sino que los tratamientos con fines comerciales se llevan a cabo de forma consensuada y tras una puesta en común con el objeto de evitar saturar a los clientes, duplicidades o sobre-impactarles.
• CAIXABANK, como cabeza del Grupo, tiene un gran poder de decisión acerca de los medios del tratamiento, pero entabla contratos con las distintas entidades en los que se establecen claros límites sobre la forma de tratar los datos personales y para qué fines. De nuevo, no estamos ante entidades que operan como células independientes, sino ante un organismo donde se toman decisiones en común acerca de los tratamientos que se llevan a cabo.
• No hace falta destacar las sinergias que se producen en un grupo de sociedades desde un punto de vista comercial y, sobre todo, el fin común de todas las entidades del Grupo CaixaBank de maximizar el beneficio de todas sus entidades y, en su conjunto, de todo el Grupo. Estos tratamientos no se producen, con tal grado de cooperación y coparticipación, entre entidades que no forman parte del Grupo (sin perjuicio de que la corresponsabilidad no derive exclusivamente del hecho de pertenecer al mismo grupo).
Como es lógico, y de ahí la importancia del acuerdo de corresponsabilidad, no todas las entidades del Grupo CaixaBank tienen la misma participación o responsabilidad, sino que cada entidad se relaciona con CAIXABANK de forma distinta según sus productos y servicios y, en consecuencia, los tratamientos con fines comerciales se adaptan a cada una de estas relaciones. Esto, como recuerda el xxxxxxx 00 de las Directrices, no socava en forma alguna la corresponsabilidad. La AEPD niega el poder decisorio de todas las entidades partícipes sin realizar el más mínimo análisis acerca de la operativa del Grupo CaixaBank y la participación de todas sus entidades en relación con los tratamientos objeto de la corresponsabilidad.
A efectos aclaratorios, cabe mencionar que la AEPD parece interpretar que todos los tratamientos relativos al “Contrato Xxxxx” caen en el paraguas de la corresponsabilidad. Esto no es así, como se indica en el Nuevo Contrato Marco, en la Nueva Política de Privacidad y en el contrato de corresponsabilidad facilitado a esta Agencia. Por este motivo, el hecho de que haya tratamientos -incluso aquellos que “vinculan a cada empresa con el cliente se encuentra regulado expresamente en una norma” a los que la AEPD se refiere- en los que CAIXABANK y las entidades del Grupo actúan como responsables independientes no quita que otros tratamientos sean objeto de corresponsabilidad.
Por último, la AEPD cita desacertadamente y con xxxx xxxxxxx el siguiente ejemplo de las Directrices para negar la corresponsabilidad “operaciones de marketing en un grupo de empresas que utilizan una base de datos compartida”, seguramente tentada por su título. En dicho ejemplo se parte de la falta de cooperación y la independencia absoluta (y casi poco realista) de las entidades de un grupo, donde la matriz es una mera “alojadora” de los datos,
sin tomar decisión alguna y actuando como encargado del tratamiento del resto. Sin embargo, la realidad del Grupo CaixaBank no puede estar más alejada de la situación descrita en dicho ejemplo. CAIXABANK ni es un prestador de servicios de cloud del Grupo CaixaBank, ni una marioneta de las entidades del Grupo. Como ya se ha indicado, participa de forma activa en la toma de decisiones relativas a los fines y medios del tratamiento, junto con el resto de las entidades y de tú a tú. Por ello, no cabe la comparación con el ejemplo citado como argumento, a mayor abundamiento, y no solo por su imprecisión, sino porque refleja una falta de entendimiento de la operativa del propio Grupo CaixaBank.
Como ya se ha explicado a lo largo del procedimiento, la corresponsabilidad es una figura nueva acerca de la cual no se han publicado directrices hasta hace poco (el año pasado), lo que justifica que, sin prejuicio de que esta realidad y codecisión se haya estado produciendo a lo largo de los últimos años, no se haya informado de forma directa a los individuos para evitar la falta de claridad e incertidumbre jurídica que puede suponer esta figura. Es decir, la AEPD puede tratar de achacar la falta de transparencia e información (quod non) o cuestionar la legitimidad del tratamiento por CAIXABANK (quod non); pero la afirmación categórica y sin falta de prueba acerca de la inexistencia de corresponsabilidad carece de todo apoyo jurídico.
En conclusión, ni se producen cesiones de datos en los términos previstos en el RGPD, ni la corresponsabilidad requiere de un consentimiento separado (en el marco de las “finalidades comerciales”) en tanto que es una situación de hecho (no es algo pactable ni requiere de base legal bajo el artículo 6 RGPD para concurrir).
7. Indeterminación del requerimiento hecho en virtud del apartado cuarto de la parte dispositiva. Inseguridad jurídica.
La Agencia requiere a CAIXABANK para que adecúe a la normativa las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, pero sin concretar el alcance de este requerimiento, más allá de una referencia genérica a lo “expresado en los Fundamentos de Derecho del presente acto”. Esta indeterminación da lugar a una situación de inseguridad jurídica para CAIXABANK, que de manera reiterada había intentado obtener la ayuda de la Agencia para asegurarse de que las acciones que estaba llevando a cabo eran conformes a la normativa sobre protección de datos, tal y como se ha expresado anteriormente.
Además, si procede a realizar cambios no tendrá certidumbre sobre si tales cambios son los esperados por la Agencia.
8. Se han aplicado agravantes que no atienden a la realidad.
La Agencia obvia que se ha producido una sola reclamación por parte de los clientes, de manera que el volumen de reclamaciones es ínfimo. En cambio, si CAIXABANK se viera obligada a realizar cambios, los clientes personas físicas sí se verían afectados.
Además, la Agencia también afirma que CAIXABANK “no ha cuidado que en los tratamientos de datos se utilicen exclusivamente los datos necesarios en razón al fin pretendido”, mencionando los artículos 25 y 32, sin que se haya producido tal tratamiento ilícito de los datos personales.
9. Proporcionalidad y graduación de las sanciones. desproporción de la sanción impuesta.
Subsidiariamente, nos reiteramos en nuestros argumentos indicados en las Alegaciones sobre la proporcionalidad y graduación de las sanciones impuestas. Entendemos que resultarían de aplicación al presente caso los criterios de valoración de las sanciones señalados en el artículo 83.2 RGPD (en calidad de atenuantes), entre otros, los descritos en la alegación séptima de las Alegaciones a la Propuesta de Resolución.
Considera necesario resaltar, en particular, como la AEPD ignora por completo y desprecia todas las medidas tomadas para paliar los posibles daños y perjuicios sufridos (incluida la nueva documentación señalada y explicada en la alegación sexta de las Alegaciones a la Propuesta de Resolución) en los términos previstos en el artículo 83.2.c) del RGPD, así como el grado de cooperación con la AEPD (en línea con el artículo 83.2.f) del RGPD), cuando la disponibilidad de esta parte ha sido absoluta (a lo largo de los últimos 4 años, en lo que respecta a este procedimiento). La AEPD sanciona y castiga todos los intentos de la entidad de cooperar.
La AEPD niega las alegaciones realizadas, no tiene en cuenta los atenuantes, la corresponsabilidad o la falta de pruebas aportadas por su parte, e impone una sanción sin precedentes a la par que desproporcionada. El hecho de que esté dentro de los rangos legales (que bajo el RGPD son especialmente amplios) no desmerece la desproporción y falta de adecuación de la Resolución. Además, la AEPD insiste en negar el uso del apercibimiento, proporcionado y propio para este tipo de procedimientos, señalando que está pensado para personas físicas cuando, en el pasado, ella misma lo ha utilizado con personas jurídicas.
En definitiva, la multa de dos millones de euros (2.000.000 €) por una infracción que no se considera ni grave ni muy grave, y tampoco supone una vulneración sustancial de los artículos 13 y 14 del RGPD, se sanciona con una cuantía similar a la de una sanción muy grave, en particular si se compara con la de cuatro millones de euros (4.000.000 €) que se impone en la misma Resolución por la supuesta infracción del artículo 6 del RGPD.
Por otra parte, de las anteriores consideraciones se desprende claramente que en el vigente marco normativo del régimen sancionador en materia de protección de datos no se respeta correctamente el principio de legalidad sancionadora que consagra el artículo 25.1 de la Constitución.
El Tribunal Constitucional se ha pronunciado reiteradamente sobre el alcance de dicho principio. Recientemente en su Sentencia 150/2020, de 22 de octubre de 2020, dictada en la cuestión de inconstitucionalidad núm. 7194-2019, que recoge su doctrina anterior. En esta Sentencia, el Alto Tribunal afirma:
“El derecho a la legalidad sancionadora, conforme a la doctrina consolidada de este tribunal “comprende una doble garantía. La primera, de orden material y alcance absoluto, tanto por lo que se refiere al ámbito estrictamente penal como al de las sanciones administrativas, refleja la especial trascendencia del principio de seguridad en dichos ámbitos limitativos de la libertad individual y se traduce en la imperiosa exigencia de predeterminación normativa de las conductas ilícitas y de las sanciones correspondientes. La segunda, de carácter formal, se refiere al rango necesario de las normas tipificadoras de aquellas conductas y reguladoras de estas sanciones, por cuanto, como este tribunal ha señalado reiteradamente, el término ‘legislación vigente’ contenido en dicho art. 25.1 es expresivo de una reserva xx xxx en materia sancionadora” (entre otras muchas, STC 42/1987, de 7 xx xxxxx, FJ 2). En relación con la vertiente material de este derecho, hemos puesto de relieve que “la
necesidad de que la ley predetermine suficientemente las infracciones y las sanciones, así como la correspondencia entre unas y otras, no implica un automatismo tal que suponga la exclusión de todo poder de apreciación por parte de los órganos administrativos a la hora de imponer una sanción concreta”, pero en modo alguno cabe encomendar por entero tal correspondencia a la discrecionalidad judicial o administrativa, “ya que ello equivaldría a una simple habilitación en blanco a la administración por norma legal vacía de contenido material propio” (STC 113/2002, de 9 xx xxxx, FJ 6)”.
La indeterminación normativa es evidente desde el mismo momento en que parece posible imponer una sanción de 2.000.000 de euros por la comisión de una infracción leve. La discrecionalidad administrativa sobrepasa los límites de la legalidad sancionadora por cuanto, entre otras consideraciones, sería posible imponer discrecionalmente una sanción de 0,1 euro a 20.000.000 de euros por la comisión de una infracción leve. Lo que además se compadece mal con el hecho de que el artículo 78 de la Ley Orgánica 3/2018 parece diferenciar entre las sanciones por infracción leves, graves y muy graves pensando en cuantías de importe igual o inferior a 40.000 euros (para las infracciones leves), importe comprendido entre 40.001 y
300.000 euros (para las infracciones graves) e importes superiores a 300.000 euros (para las infracciones muy graves).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1 de la LOPDPGDD.
II
Debido a razones de funcionamiento del órgano administrativo, por ende no atribuibles al recurrente, hasta el día de la fecha no se ha emitido el preceptivo pronunciamiento de esta Agencia respecto a la pretensión del interesado.
De acuerdo con lo establecido en el art. 24 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio.
Con todo, y a pesar del tiempo transcurrido, la Administración está obligada a dictar resolución expresa y a notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, según dispone el art. 21.1 de la citada LPACAP. Por tanto, procede emitir la resolución que finalice el procedimiento del recurso de reposición interpuesto.
III
En relación con las manifestaciones efectuadas por la recurrente, que reproducen, básicamente, las alegaciones ya presentadas a lo largo del procedimiento sancionador, especialmente las formuladas frente a la propuesta de resolución elaborada por el instructor del procedimiento, debe señalarse que ya fueron analizadas y desestimadas en los Fundamentos de Derecho de la Resolución recurrida, de fecha 05/01/2021, en la que se considera que la misma incumplió lo dispuesto en los artículos 13, 14 y 6 del RGPD y se
detalla suficientemente la valoración de las pruebas que han permitido determinar dichos incumplimientos y el alcance otorgado a los mismos, así como las circunstancias tenidas en cuenta para la graduación de la sanción impuesta. En dichos Fundamentos de Derecho se indica lo siguiente:
<<II
Con carácter previo, se estima oportuno analizar las excepciones alegadas por CAIXABANK, en base a las cuales solicita la declaración de nulidad de las actuaciones, así como las cuestiones formales planteadas por dicha entidad.
- 1. Conculcación del artículo 24.2 de la Constitución, presunción de inocencia.
En primer lugar, invoca los artículos 24.2, 103.1 y 2 de la CE, y artículo 6 del Convenio Europeo de Derechos Humanos (CEDH), y alega una posible vulneración del principio de presunción de inocencia por falta de objetividad e imparcialidad del órgano que tiene la competencia para resolver el procedimiento, deducida por CAIXABANK de unas manifestaciones realizadas por la Directora de la AEPD en un acto público, mediante las que se anuncia la imposición de multas “cuantitativamente importantes”. La declaración a la que se refiere CAIXABANK es la siguiente:
“Tenemos ya dos o tres procedimientos sancionadores de alto impacto que van a tener mucha repercusión mediática en relación con el sector financiero, serán las primeras multas cuantitativas importantes por parte de la Agencia”.
De esta declaración, realizada durante el plazo concedido al interesado para presentar alegaciones a la apertura del procedimiento, deduce CAIXABANK que la voluntad del órgano que tiene la competencia para resolver estaba formada sin siquiera conocer esas alegaciones y sin tener a la vista todos los elementos probatorios.
En el ámbito administrativo sancionador, la imparcialidad del órgano resolutorio está vinculada al derecho del interesado a un proceso con todas las garantías. Se garantiza con los motivos de abstención o recusación y con la debida separación entre las fases de instrucción y de resolución del procedimiento sancionador, separación entre fases que en este caso no ha quebrado y que se respeta escrupulosamente en todos los procedimientos de esta naturaleza seguidos en la AEPD.
En aras de la seguridad jurídica, los motivos de abstención o recusación se han regulado mediante una lista taxativa de circunstancias que responden a razones objetivas, evitándose con ello que los interesados puedan apreciar causas de abstención o recusación basadas en criterios propios o particulares.
En nuestro ordenamiento administrativo, la apariencia de parcialidad se estima por la concurrencia, objetivamente justificada, de los motivos regulados en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP):
“Artículo 23. Abstención.
1. Las autoridades y el personal al servicio de las Administraciones en quienes se den algunas de las circunstancias señaladas en el apartado siguiente se abstendrán de intervenir en el procedimiento y lo
comunicarán a su superior inmediato, quien resolverá lo procedente.
2. Son motivos de abstención los siguientes:
a) Tener interés personal en el asunto de que se trate o en otro en cuya resolución pudiera influir la de aquél; ser administrador de sociedad o entidad interesada, o tener cuestión litigiosa pendiente con algún interesado.
b) Tener un vínculo matrimonial o situación de hecho asimilable y el parentesco de consanguinidad dentro del cuarto grado o de afinidad dentro del segundo, con cualquiera de los interesados, con los administradores de entidades o sociedades interesadas y también con los asesores, representantes legales o mandatarios que intervengan en el procedimiento, así como compartir despacho profesional o estar asociado con éstos para el asesoramiento, la representación o el mandato.
c) Tener amistad íntima o enemistad manifiesta con alguna de las personas mencionadas en el apartado anterior.
d) Xxxxx intervenido como perito o como testigo en el procedimiento de que se trate.
e) Tener relación de servicio con persona natural o jurídica interesada directamente en el asunto, o haberle prestado en los dos últimos años servicios profesionales de cualquier tipo y en cualquier circunstancia o lugar.
Artículo 24. Recusación.
1. En los casos previstos en el artículo anterior, podrá promoverse recusación por los interesados en cualquier momento de la tramitación del procedimiento.
2. La recusación se planteará por escrito en el que se expresará la causa o causas en que se funda”.
Se trata, en definitiva, de que la persona que adopta la decisión no tenga ningún interés personal en el asunto y no haya intervenido en el procedimiento como perito o testigo, de modo que pueda resolver conforme al interés general, sin ningún tipo de influencia ajena a ese interés que pueda llevarle a decidir en una forma determinada.
Por otra parte, de conformidad con la doctrina de nuestro Tribunal Constitucional, lo que se reclama a los servidores públicos no es la imparcialidad personal y procesal que se exige a los órganos judiciales, sino que actúen con objetividad y sometimiento al derecho.
Así, en la STC 174/2005, de 4 de julio, se declara lo siguiente:
“Al respecto se debe recordar que si bien este Tribunal ha reiterado que, en principio, las exigencias derivadas del derecho a un proceso con todas las garantías se aplican al procedimiento administrativo sancionador, sin embargo, también se ha hecho especial incidencia en que dicha aplicación debe realizarse con las modulaciones requeridas en la medida necesaria para preservar los valores esenciales que se encuentran en la base del art. 24.2 CE y la seguridad jurídica que garantiza el art.
9.3 CE, en tanto sean compatibles con su propia naturaleza (por todas, STC 197/2004, de 15 de noviembre, FJ 2). Más en concreto, y por lo que se refiere específicamente a la garantía de imparcialidad, se ha señalado que es uno de los supuestos en que resulta necesario modular su proyección en el procedimiento administrativo sancionador, toda vez que dicha garantía “no puede predicarse de la Administración sancionadora en el mismo sentido que respecto de los órganos judiciales” (STC 2/2003, de 00 xx xxxxx, XX 00), xxxx, “sin perjuicio de la interdicción de toda arbitrariedad y de la posterior revisión judicial de la sanción, la estricta imparcialidad e independencia de los órganos del poder judicial no es, por esencia, predicable en la misma medida de un órgano administrativo” (STC 14/1999, de 00 xx xxxxxxx, XX 0), xxxxxxxxxxxxx de ello que la independencia e imparcialidad del juzgador, como exigencia del derecho a un proceso con todas las garantías, es una garantía característica del proceso judicial que no se extiende sin más al procedimiento administrativo sancionador (STC 74/2004, de 22 xx xxxxx, FJ 5)”.
Y la STC 14/1999, de 22 de febrero, señala lo siguiente:
“Un erróneo entendimiento del contenido de las exigencias constitucionales de imparcialidad judicial y
su pretendida traslación in totum a quien interviene en el procedimiento administrativo sancionador en calidad de Instructor, lleva al recurrente a afirmar la lesión de su derecho a un proceso con todas las garantías.
(…)
Cabe reiterar aquí de nuevo, como hicimos en la STC 22/1990 (fundamento jurídico 4º), que "sin perjuicio de la interdicción de toda arbitrariedad y de la posterior revisión judicial de la sanción, la estricta imparcialidad e independencia de los órganos del poder judicial no es, por esencia, predicable en la misma medida de un órgano administrativo".
Lo que del Instructor cabe reclamar, ex arts. 24 y 103 C.E., no es que actúe en la situación de imparcialidad personal y procesal que constitucionalmente se exige a los órganos judiciales cuando ejercen la jurisdicción, sino que actúe con objetividad, en el sentido que a este concepto hemos dado en las SSTC 234/1991, 172/1996 y 73/1997, es decir, desempeñando sus funciones en el procedimiento con desinterés personal. A este fin se dirige la posibilidad de recusación establecida por el art. 39 de la Ley Orgánica 12/1985, del Régimen Disciplinario de las Fuerzas Armadas (en adelante L.O.R.D.F.A.) que reenvía al art. 53 de la Ley Procesal Militar, cuyo catálogo de causas guarda, en éste ámbito, evidente similitud, con el previsto en la Ley Orgánica del Poder Judicial, aunque las enumeradas en uno y otro obedezcan, según lo expuesto, a diverso fundamento.
(…)
Ninguna de las razones aducidas puede ser atendida, no ya sólo porque, con carácter general, y según antes se expresó, no puede trasladarse sin más al ámbito sancionador administrativo la doctrina constitucional elaborada acerca de la imparcialidad de los órganos judiciales, sino porque en el caso presente, y en atención a la configuración de las causas legales de recusación, no cabe apreciar la concurrencia de ningún elemento que demandara el apartamiento del Instructor por pérdida de la necesaria objetividad. No se observa en el Instructor cuestionado, ni el interesado ha aportado dato justificado alguno al respecto, la presencia de interés personal directo o indirecto en la resolución del expediente sancionador (…)”.
En este caso, debe precisarse en primer término que CAIXABANK, a pesar de su alegación de falta de imparcialidad del órgano resolutorio, no ha planteado formalmente la recusación de la Directora de la AEPD, ni hace alusión alguna a los motivos enumerados en esos artículos.
A este respecto, debe tenerse en cuenta que, para declarar la nulidad de las actuaciones por las razones alegadas, es preciso que se demuestre plenamente la concurrencia de uno de aquellos motivos que hayan podido influir de manera efectiva en la decisión adoptada mediante la resolución presente.
No obstante, se estima oportuno dejar constancia en este acto de la no concurrencia de ninguna de las causas de abstención o recusación establecidas en los preceptos transcritos, lo que permite concluir que no existe la falta de imparcialidad alegada. No tiene interés personal en el objeto del procedimiento; ni vínculo, amistad o enemistad con el interesado; ni ha intervenido como perito o testigo en el procedimiento.
La presente resolución se adopta conforme a Derecho, según criterios objetivos, y sin que el órgano resolutorio haya prejuzgado el asunto en cuestión mediante actuaciones formales previas o mediante su intervención en fases anteriores del procedimiento. Esta intervención no ha tenido lugar en forma alguna, más allá de la adopción del acuerdo de apertura del procedimiento según establece la normativa procesal aplicable.
La manifestación a la que se ha referido CAIXABANK no se encuadra en los supuestos de recusación y abstención antes enumerados y tampoco adelantan la decisión, de modo que no pueden apreciarse con el alcance pretendido por dicha entidad.
Tampoco esa manifestación, ni ninguna otra circunstancia, han quebrado la imparcialidad del órgano instructor, que ha dispuesto de todas las facultades que le atribuye la normativa en cuestión y plena libertad para dictar su propuesta de resolución, como lo prueba el hecho de que dicha propuesta haya minorado las infracciones que se imputaron en el acuerdo de apertura del procedimiento sancionador.
La intervención de la Directora en el evento celebrado el 03/03/2020 está relacionada, antes bien, con la adopción de los acuerdos de apertura de los procedimientos a los que se refiere CAIXABANK en sus alegaciones, ambos del sector financiero. La referencia a estos acuerdos como de amplio impacto para los sectores afectados y con relevancia mediática tiene que ver con las novedades reguladas en el RGPD y, en particular, las relativas al nuevo modelo de cumplimiento y de supervisión. En relación con este último, destacan las importantes cuantías contempladas en el Reglamento con el fin de qué, cómo pretende dicha norma, puedan tener carácter disuasorio.
A juicio de esta Agencia, concretar en el acuerdo de inicio dictado la infracción que hubiera podido cometer y su posible sanción se ajusta a lo previsto en el artículo 68 de la LOPDGDD y artículo 64.2 de la LPACAP (en este caso, de los distintos poderes correctivos que contempla el artículo 58.2 del RGPD, la Agencia estimó procedente la imposición de multa, además de la adopción de medidas para ajustar su actuación a la normativa, considerando los indicios de infracción apreciados en el momento de la apertura y sin perjuicio de lo que pudiera resultar de la instrucción del procedimiento). Así, no puede decirse que señalar la posible sanción que pudiera corresponder por las infracciones imputadas sea determinante de indefensión o que suponga una ruptura del principio de separación de las fases de instrucción y resolución.
Por otra parte, la instrucción del procedimiento ha sido acorde a la normativa procedimental, sin que pueda apreciarse ninguna irregularidad en la tramitación del procedimiento, en el que, además, se han respetado todas las garantías del interesado, incluida la presunción de inocencia. CAIXABANK, en este caso, ha visto respetadas todas las garantías del interesado que prevé la normativa procesal y no puede decirse que la determinación del importe de la multa en el acuerdo de apertura suponga ninguna merma de dichas garantías causante de indefensión.
Cabe destacar que tanto en el presente procedimiento como el otro citado por la entidad CAIXABANK, la resolución dictada ha rebajado la cuantía de la sanción inicial en atención a las alegaciones de las partes, como así ocurre en tantos supuestos de procedimientos sancionadores tramitados por la AEPD.
No hay más que acudir a la web de la Agencia, en la que se publican todas las resoluciones dictadas en procedimientos sancionadores, para verificar la gran cantidad de ellos que finalizan con una resolución de archivo de actuaciones, así como aquellas otras en las que se incrementó o minoró el importe de la sanción fijado en el acuerdo de apertura o se acordó la aplicación de un poder correctivo distinto a la sanción de multa, una veces a propuesta del instructor o bien a iniciativa del órgano resolutorio.
- 2. Quiebra de la confianza legítima.
Por otra parte, CAIXABANK solicita el archivo del expediente por una presunta vulneración del principio de confianza legítima o la reconsideración de la declaración de nulidad de los consentimientos recabados.
Basa esta petición en la consulta realizada poco después de publicado el RGPD, mediante correos electrónicos dirigidos al “Director Adjunto de la AEPD”, relativa a la implementación del RGPD y a los documentos analizados en el expediente, especialmente el “Contrato Marco”, sobre los que, según CAIXABANK, únicamente se realizaron algunas consideraciones menores en conversación telefónica, las cuales fueron atendidas por la entidad interesada. Señala que en esos correos se solicitó reiteradamente la celebración de una reunión entre la AEPD y CAIXABANK con ese objeto, que fue denegada.
Del hecho de haber comunicado a la AEPD las acciones principales que llevarían a cabo para la adecuación de su actuación al RGPD, incluida la referencia al denominado “repositorio común”, deduce CAIXABANK su legítimo convencimiento de haber estado actuando correctamente y que pudo tener una “razonable esperanza inducida” de que su manera de proceder era conforme a derecho.
El mencionado principio de confianza legítima se encuentra recogido en el artículo 3 de la LRJSP:
“Artículo 3. Principios generales.
1. Las Administraciones Públicas sirven con objetividad los intereses generales y actúan de acuerdo con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con sometimiento pleno a la Constitución, a la Ley y al Derecho.
Deberán respetar en su actuación y relaciones los siguientes principios:
(…)
e) Buena fe, confianza legítima y lealtad institucional”.
Es una manifestación de la doctrina de los “actos propios” y tiene relación con el principio de seguridad jurídica. El principio de confianza legítima puede entenderse como la confianza de los ciudadanos en la actuación futura de las Administraciones Públicas atendiendo a sus actuaciones pasadas, considerando las expectativas que generan, aunque salvaguardando siempre el principio de legalidad, por lo que aquel principio no podrá invocarse para salvar situaciones contrarias a la norma.
La STS de 18 de diciembre de 2007 se refiere al principio de protección de confianza legítima citando los términos de una Xxxxxxxxx xxxxxxxx xx 00 xx xxxx xx 0000:
<<Así, la STS de 10-5-99 ( RJ 1999, 3979) , recuerda "la doctrina sobre el principio de protección de la confianza legítima, relacionado con los más tradicionales en nuestro ordenamiento de la seguridad jurídica y la buena fe en las relaciones entre la Administración y los particulares, y que comporta, según la doctrina del Tribunal de Justicia de las Comunidades Europeas y la jurisprudencia de esta Sala, el que la autoridad pública no pueda adoptar medidas que resulten contrarias a la esperanza inducida por la razonable estabilidad en las decisiones de aquélla, y en función de las cuales los particulares han adoptado determinadas decisiones. […] Por otra parte, en la STS de 1-2-99 (RJ 1999, 1633), se recuerda que "este principio no puede invocarse para crear, mantener o extender, en el ámbito del Derecho público, situaciones contrarias al ordenamiento jurídico, o cuando del acto precedente resulta una contradicción con el fin o interés tutelado por una norma jurídica que, por su naturaleza, no es susceptible de amparar una. conducta discrecional por la Administración que suponga el reconocimiento de unos derechos y/u obligaciones que dimanen de actos propios de la misma. […] Una cosa es la irrevocabilidad de los propios actos declarativos de derechos fuera de los cauces de
revisión establecidos en la Ley (arts. 109 y 110 de la Ley de Procedimiento Administrativo de 1958 [ RCL 1958, 1258, 1469, 1504 y RCL 1959, 585] , 102 y 103 de la Ley de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, Ley 30/1992 [ RCL 1992, 2512, 2775 y RCL 1993, 246] , modificada por Ley 4/1999 [ RCL 1999, 114, 329] ), y otra el respeto a la confianza legítima generada por actuación propia que necesariamente ha de proyectarse al ámbito de la discrecionalidad o de la autonomía, no al de los aspectos reglados o exigencias normativas frente a las que, en el Derecho Administrativo, no puede prevalecer lo resuelto en acto o en precedente que fuera contrario a aquéllos. O, en otros términos, no puede decirse que sea legítima la confianza que se deposite en un acto o precedente que sea contrario a norma imperativa">>.
La STS de 22 de febrero de 2016 (rec.1354/2014) se refiere a los requisitos que deben concurrir para apreciar la confianza legítima:
“Conviene tener en cuenta que confianza legítima requiere, en definitiva, de la concurrencia de tres requisitos esenciales. A saber, que se base en signos innegables y externos (1); que las esperanzas generadas en el administrado han de ser legítimas (2); y que la conducta final de la Administración resulte contradictoria con los actos anteriores, sea sorprendente e incoherente (3). Exactamente lo que acontece en el caso examinado, a tenor de los hechos antes relatados, que no hace al caso insistir.
Recordemos que, respecto de la confianza legítima, xxxxxxx declarando de modo reiterado, por todas, Sentencia de 22 de diciembre de 2010 (recurso contencioso administrativo nº 257/2009), que «el principio de la buena fe protege la confianza legítima que fundadamente se puede haber depositado en el comportamiento ajeno e impone el deber de coherencia en el comportamiento propio. Lo que es tanto como decir que el principio implica la exigencia de un deber de comportamiento que consiste en la necesidad de observar de cara al futuro la conducta que los actos anteriores hacían prever y aceptar las consecuencias vinculantes que se desprenden de los propios actos constituyendo un supuesto de lesión a la confianza legítima de las partes "venire contra factum propium".
Esta misma Sentencia se refiere a la confianza en la estabilidad de criterio de la Administración, evidenciado en actos anteriores en un mismo sentido.
Por otra parte, la STS de 21 de septiembre de 2015 (rec.721/2013), en su Fundamento de Derecho Cuarto, declara lo siguiente:
“En la mencionada sentencia de esta Sala jurisdiccional de 23 de febrero de 2000, la aplicación del principio de protección de confianza legítima se condiciona no tanto al hecho de que se produzca cualquier tipo de convicción psicológica en el particular beneficiado, sino más bien a que se acredite la existencia de signos externos producidos por la Administración “lo suficientemente concluyentes” para que le induzcan razonablemente a confiar en la legalidad de la actuación administrativa”.
Por tanto, esa esperanza o confianza generada ha de ser “legítima” y estar basada en actos externos anteriores, cuyo sentido sea indudablemente contrario a lo acordado posteriormente, sin que deba incluirse en este principio de confianza legítima una mera convicción psicológica del particular.
En este caso, consta que XXXXXXXXX remitió diversos correos electrónicos a “Adjunto Director AEPD”, a modo de consulta, acompañando copia del “Contrato Xxxxx” dispuesto por esa entidad como formulario de recogida de datos personales y con el clausulado informativo en materia de protección de datos personales, así como un programa sobre las acciones emprendidas, en los que, además, solicitó la celebración de una reunión con el propósito de que comentar tales documentos y acciones. Consta, asimismo, que esta reunión no llegó a celebrarse.
Consta que esos correos electrónicos fueron respondidos por el destinatario, por la
misma vía, con los mensajes siguientes:
. Correo electrónico de 27/07/2016:
“Asunto: Reunión
Buenos días…, con el fin de valorar la posibilidad de celebrar una reunión remíteme una breve explicación sobre la política que habéis adoptado y el texto de las cláusulas informativas. Hablaremos en septiembre”.
. Correo electrónico de 11/09/2017:
“Asunto: RE: Presentación RGPD en CaixaBank
Buenos días, le agradecería si es posible, me enviase la presentación en un formato que pueda imprimir ya que me es imposible hacerlo”.
En este caso, CAIXABANK no dispone de hechos externos anteriores (“signos innegables externos”) que puedan considerarse favorables a dicha entidad de forma concluyente y suficientes para haber inducido a la misma a pensar que la AEPD validó las acciones emprendidas por la entidad para adecuar su actuación al RGPD.
Más allá de la critica que pudiera hacer CAIXABANK a esta AEPD por haber sido desatendidas sus consultas o sus solicitudes de reunión para analizar la documentación que estaba elaborando, lo cierto es que las respuestas de esta Agencia contenidas en los correos aportados por la interesada no tienen ningún contenido jurídicamente vinculante ni contienen pronunciamiento alguno sobre las cuestiones a las que se refieren las alegaciones. En definitiva, no representan unos actos externos propios de la Administración de los que pudiera derivarse una futura vulneración del principio de la "confianza legítima del administrado", ahora invocado.
La actuación de esta Agencia no ha influido en modo alguno en la conducta de CAIXABANK determinante de las infracciones analizadas, ni esta Agencia ha realizado actuación alguna que haya permitido a dicha entidad concluir que en la documentación de protección de datos formalizada por la misma o en sus procesos de recogida y tratamiento de datos personales no existiera ningún elemento que contraviniera lo establecido en el RGPD y LOPDGDD. CAIXABANK no puede aportar ningún pronunciamiento o actuación de esta Agencia que le llevase a esa presunta confusión, simplemente porque no existe actuación alguna en ese sentido.
En definitiva, proyectando la doctrina del Tribunal Supremo al caso presente, y en los términos de la STS de 18 de diciembre de 2007, resulta que no concurren circunstancias que permitan entender que CAIXABANK se ha visto sorprendida por la actuación de la Administración.
Finalmente, se estima oportuno señalar, en primer lugar, que los correos electrónicos a los que se refiere CAIXABANK no pertenecen ni integran ninguna actuación reglada de la Administración y, en segundo lugar, que la AEPD tiene habilitados canales de consulta para que los ciudadanos y los responsables de tratamientos de datos personales puedan plantear sus dudas en la materia de su competencia, pero estos canales no pueden utilizarse para que esta Agencia supervise y valide en su integridad las actuaciones emprendidas por esos responsables, salvo que una norma así lo prevea expresamente.
Además, sorprende que CAIXABANK pretenda fundar la quiebra del principio de confianza legítima en la remisión de dos correos electrónicos al Adjunto a la Dirección de la
AEPD, en los que se solicitaba una reunión sobre los textos que se adjuntaban.
En primer lugar, desde una perspectiva formal, debe señalarse que las alegaciones destacan en negrita el destinatario de los correos, al que describen incorrectamente denominándolo como “Director Adjunto de la AEPD”, a pesar de que dicho puesto de trabajo no existía en la relación de puestos de trabajo de la Agencia, como es plenamente conocido por CAIXABANK cuando en el documento número 3 que aporta en relación con esta argumentación se dirige al “Adjunto AEPD”. Lo que podría sugerir, más allá de un mero error material, una voluntad intencionada de dar en este momento más trascendencia a la remisión de los citados correos atendiendo a la relevancia del puesto al que se dirigieron.
Y, lo que es materialmente más relevante, es que se pretenda fundar dicha alegación en el cumplimiento del principio de responsabilidad proactiva, regulado en el RGPD como un elemento esencial del nuevo modelo de cumplimiento que diseña dicha norma. Interpretación qué es justamente la contraria a la previsión del Reglamento, en el que el principio de responsabilidad proactiva remite a los responsables del tratamiento la exigencia de realizar los análisis de riesgo para los derechos y libertades de los afectados y adoptar autónomamente las medidas que permitan garantizarlos a través de las medidas que en el mismo se describen.
Xxxxxx cuando en relación con dichas medidas la única previsión del RGPD sobre consultas a la autoridad de control es la relacionada con las Evaluaciones de Impacto en la Protección de Datos, cuando la misma muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, conforme al artículo 36 de dicha norma.
A lo que se añade que, sin haber procedido al análisis de la documentación remitida ni manifestarse sobre ella, se comunicó a CAIXABANK que no se celebrarían las reuniones argumentando, precisamente, que la responsabilidad proactiva exige al responsable del tratamiento realizar sus propios análisis y adoptar autónomamente las medidas que garanticen y permitan demostrar el cumplimiento de sus obligaciones.
Por todo ello, debe rechazarse la alegación de vulneración del principio de confianza legítima y, de contrario, reafirmar la plena responsabilidad de CAIXABANK en el análisis de los riesgos asociados a las iniciativas desarrolladas para cumplir y demostrar el cumplimiento del RGPD.
- 3. Caducidad de las actuaciones previas.
En sus alegaciones a la apertura del procedimiento, CAIXABANK invocó la caducidad de las actuaciones previas de investigación señaladas con el número E/01475/2018, iniciadas por razón de la reclamación presentada en fecha 24/01/2018, y cuya documentación fue incorporada a las nuevas actuaciones de investigación iniciadas con el número E/01481/2019.
En base a ello, considera que las posibles infracciones analizadas en las actuaciones previas que se declararon caducadas mediante resolución de 01/02/2019 habrían prescrito, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Posteriormente, en sus alegaciones a la propuesta de resolución, CAIXABANK alega una posible conculcación del artículo 24 de la CE por la indefensión que produce la extensión artificial y antijurídica de las actuaciones previas de investigación, ignorando además su caducidad. Fundamenta esta alegación de acuerdo con las consideraciones siguientes:
. Las actuaciones previas de investigación suplantaron la actividad instructora, por cuanto se utilizaron como un verdadero procedimiento sancionador, lo que constituye un posible vicio de desviación de poder en la utilización de los mecanismos de instrucción. Por este mismo motivo, el procedimiento sancionador debe considerarse caducado por el transcurso del plazo previsto para su resolución, contado desde el inicio de las actuaciones previas de investigación.
. Entiende que solo se atribuye tal consideración a las actuaciones que permiten reunir datos e indicios sobre los hechos cometidos y sus responsables, debiendo iniciarse el procedimiento tan pronto se tiene certeza sobre la comisión de los hechos y su autor. Según CAIXABANK, en este caso no se atienen a la finalidad prevista en la normativa aplicable.
. Las actuaciones previas desarrolladas (una primera caducada, que llevó a la apertura de una segunda) no respetaron ninguna garantía esencial del procedimiento sancionador, tales como informar de la imputación, recordar el derecho a no declarar contra uno mismo, etc.
. Dado que la Propuesta de Resolución descansa de facto, única y exclusivamente, en los elementos de convicción y prueba recabados durante la fase de actuaciones previas, la imposibilidad de utilización de los mismos hace que la propuesta carezca de los elementos necesarios para enervar la presunción de inocencia.
. No es aceptable el traspaso en bloque del expediente caducado, y tampoco cabe que lo actuado en las actuaciones previas pase íntegramente al expediente sancionador.
. No es aceptable la utilización de las actuaciones previas sin limitación de tiempo, más allá de la propia de la prescripción.
Esta alegación de CAIXABANK se articula en base a distintos pronunciamientos de nuestro Tribunal Supremo, pero contiene manifestaciones que resultan contradictorias en unos casos o se refieren a supuestos de hechos distintos al que nos ocupa en otros.
Así, por ejemplo, CAIXABANK alega que las actuaciones previas desarrolladas no respetaron ninguna garantía esencial del procedimiento sancionador, tales como informar de la imputación, recordar el derecho a no declarar contra uno mismo, etc. Sin embargo, basa esta alegación en lo expresado por el Tribunal Supremo en Sentencia de 09/06/2006, referida a un supuesto disciplinario de las Fuerzas Armadas.
En otro orden, no se entiende que, por un lado, se diga que la propuesta de resolución descansa en su integridad en elementos de cargo recogidos durante la fase de actuaciones previas de investigación y, por otro lado, se defienda que las actuaciones previas desarrolladas se desnaturalizaron y no se atuvieron “a la finalidad que deben cubrir conforme al designio del legislador”, cuando, precisamente, el propósito de llevar a cabo tales investigaciones no es otro que obtener esas evidencias que justifiquen la tramitación de un procedimiento sancionador. Por la misma razón, tampoco se entiende que se defienda la
apertura inmediata del procedimiento sancionador, aunque no se haya acreditado totalmente la infracción.
Igualmente, siendo aquella finalidad el fundamento para la realización de la investigación previa, esta Agencia no comparte la afirmación contenida en las alegaciones de CAIXABANK sobre la “imposibilidad” de utilización en la propuesta de resolución de los elementos de convicción y prueba recabados durante la fase de actuaciones previas.
Por otro lado, se argumenta que las actuaciones propias de un procedimiento caducado no pueden surtir efecto en el nuevo expediente sancionador que pueda iniciarse cuando la infracción no haya prescrito (STS de 24/02/2004). Sin embargo, en este caso, la caducidad se produjo respecto de las actuaciones previas E/01475/2018, y no del procedimiento sancionador.
Sobre esta cuestión relativa al traspaso o utilización de la documentación integrante de las actuaciones previas que se declararon caducadas, no se entienden algunas de las afirmaciones que contiene el escrito de alegaciones a la propuesta de resolución. En concreto, en dicho escrito se indica que “existen muy divergentes principios que impiden que lo actuado en las actuaciones previas pase íntegramente al expediente sancionador”, o que “a estas pseudo actuaciones previas, en realidad verdadera instrucción del procedimiento sancionador, no debían haber llegado las actuaciones surgidas y documentadas en éste a raíz de su incoación”. En este caso, no se ha producido ningún traspaso de documentación del procedimiento sancionador a las actuaciones previas, sino al contrario, como es normal; y tampoco se ha traspasado documentación de un procedimiento caducado a otro nuevo procedimiento, sencillamente porque la caducidad del procedimiento sancionador no se ha producido.
Asimismo, se dice por CAIXABANK que las actuaciones previas no se atuvieron “a la finalidad que deben cubrir conforme al designio del legislador”, pero no se dice que otro “designio” persiguió la AEPD con la realización de esas actuaciones, que no fuese lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación de un procedimiento sancionador.
Alega incluso “un posible vicio de desviación de poder en la utilización de los mecanismos de instrucción”, entendida como <<“una contravención del sentido teleológico de la actividad administrativa desarrollada” (STS de 7-4-86), “una distorsión de la normal finalidad del acto” (STS de 11-4-89), una “no utilización de la potestad administrativa de forma objetiva, acorde con la finalidad perseguida” (STS de 12-5-86). Dicha desviación procesal puede acaecer “no sólo cuando se acredita que la Administración persigue una finalidad privada o un propósito inconfesable, extraño a cualquier defensa de los intereses generales, sino también puede concurrir esta desviación teleológica cuando se persigue un interés público ajeno y, por tanto, distinto al que prevé el ordenamiento jurídico para el caso” (Sentencias del Tribunal Supremo de 18 xx xxxxx de 2011 y 11 xx xxxx de 2012)”>> (citas incluidas por CAIXABANK en sus alegaciones a la propuesta).
Argumenta al respecto que las repetidas actuaciones previas de investigación “suplantaron la actividad instructora”. Sin embargo, no explica CAIXABANK cómo se ha utilizado en este caso la potestad administrativa sancionadora de forma no acorde con la finalidad perseguida, o qué contravención del sentido teleológico de la actividad administrativa se ha producido o cómo se ha distorsionado la finalidad del acto administrativo,
ni tampoco qué finalidad privada o interés público ajeno al previsto en el ordenamiento persigue en este caso la Administración.
Sobre esta cuestión, el Tribunal Supremo, en Sentencia de 13/05/2013, ha declarado:
“Al respecto, procede significar que, conforme es jurisprudencia de esta Sala jurisdiccional, la concurrencia de desviación de poder no puede fundarse en meras presunciones o conjeturas, siendo necesario acreditar hechos o elementos suficientes para formar en el Tribunal la convicción de que la Administración, aunque acomodó su actuación a la legalidad, lo hizo con finalidad distinta a la pretendida por la norma aplicable, lo que, en este proceso, no ha acontecido”.
En este caso, no solo no se acreditan hechos o elementos suficientes para formar la convicción de que la Administración actuó con una finalidad distinta a la pretendida por la norma, sino que ni tan siquiera se han expuesto presunciones o conjeturas sobre la concurrencia de la desviación de poder alegada.
De la misma forma, tampoco explica CAIXABANK qué trámite concreto realizado en el marco de las actuaciones previas de investigación es en realidad un trámite administrativo que debió celebrarse en el seno del procedimiento sancionador, qué trámite o trámites concretos del procedimiento sancionador han sido suplantados por las actuaciones previas, o qué tramites del procedimiento han sido evitados a causa de las actuaciones previas realizadas, o qué indefensión todo ello ha generado a la entidad interesada.
Al contrario, se llevaron a cabo actuaciones previas de investigación perfectamente justificadas, con el propósito de lograr una mejor determinación de los hechos y circunstancias (artículo 67 LOPDGDD), durante las cuales se recabó información necesaria para la determinación de los hechos, sin realizar durante el transcurso de las mismas trámite alguno propio del procedimiento sancionador, el cual se inició en base a las evidencias obtenidas y con el único fin de aplicar las previsiones normativas establecidas.
Se recibió una primera reclamación, con fecha 24/01/2018, en la que se denunció la obligación de aceptar las nuevas condiciones en materia de protección de datos personales implementadas por CAIXABANK (aportó copia), y se decidió la realización de actuaciones previas de investigación, señaladas con el número E/01475/2018, para el esclarecimiento de los hechos denunciados y determinar si concurrían circunstancias que justificasen la iniciación de un procedimiento sancionador.
En el marco de estas actuaciones previas se cursaron a CAIXABANK dos requerimientos para que por dicha entidad se facilitase información esencial para valorar las cláusulas informativas ofrecidas por la entidad a sus clientes. Entre otra información, se solicitó a dicha entidad que aportara detalles sobre la arquitectura y funcionamiento del “repositorio común”; procedimiento de ejercicio de derechos; obtención de datos personales de redes sociales, del servicios de agregación y de terceras entidades; sobre el enriquecimiento de datos; detalle sobre el mecanismo implementado para recabar el consentimiento inequívoco del cliente para el tratamiento de sus datos y mecanismo para revocarlo; e información proporcionada al cliente en el momento de la obtención del consentimiento en relación a los tratamientos de datos personales realizados por las sociedades del Grupo CaixaBank y su finalidad.
Posteriormente, tuvo entrada en la Agencia una nueva reclamación relativa al “Contrato Marco”, que fue sometida al proceso previo de admisión a trámite, siguiendo el
mecanismo previsto en el artículo 65.4 de la LOPDGDD, que consiste en dar traslado de las mismas a los delegados de protección de datos designados por los responsables o encargados del tratamiento, a los efectos previstos en el artículo 37 de la citada norma, o a éstos cuando no los hubieren designado, para que procedan al análisis de dichas reclamaciones y a darles respuesta en el plazo de un mes. Se trata de un trámite potestativo, de modo que este traslado se lleva a cabo si la Agencia así lo estima.
El resultado de dicho traslado no fue satisfactorio, por lo que, a los efectos previstos en su artículo 64.2 de la LOPDGDD, se acordó admitir a trámite la reclamación presentada mediante acuerdo que fue debidamente notificado al reclamante, y no a CAIXABANK, conforme a lo establecido en el artículo 65.5 de la LOPDGDD.
Conforme a lo establecido en el artículo 67 de la LOPDGDD, se acordó el inicio de nuevas actuaciones previas de investigación, señaladas con el número E/01481/2019, y la incorporación a las mismas de la segunda reclamación recibida y la documentación que integra la fase de admisión a trámite de la ésta. Se incorporó, asimismo, toda la documentación correspondiente a las actuaciones previas señaladas con el número E/01475/2018, incluida la reclamación que dio lugar a las mismas.
Se determinó como objeto de estas nuevas actuaciones previas de investigación el análisis de la información ofrecida con carácter general por CAIXABANK en materia de protección de datos personales, a través de todos los canales empleados por la entidad (cumplimiento por parte de CAIXABANK del principio de transparencia establecido en los artículos 5, 12 y siguientes del RGPD, y preceptos relacionados); los distintos tratamientos de datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación con clientes o persona que mantengan cualquier otra relación con la misma, y en el marco de la nueva normativa aplicable desde el 25/05/2018, incluido el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados; así como el cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento establecidos en el artículo 5 del RGPD.
Durante el curso de esta nueva fase previa de investigación se cursó un requerimiento de información a CAIXABANK (se solicitó copia de todas las versiones del “Contrato Marco” y posibles adendas, información sobre los canales y metodología para aceptar la política de privacidad y granularidad de los consentimientos, así como los procedimientos habilitados para dar a conocer la política de privacidad actualizada a clientes anteriores a su vigencia y mecanismos de aceptación) y se realizó una visita de inspección para verificar el proceso de alta presencial en oficina, a través de la web y aplicación móvil, y para la verificación del proceso de modificación de los consentimientos, entre otras cuestiones.
No puede decirse, a la vista de lo expuesto, que en este caso las actuaciones previas no eran necesarias o que no se realizaron para reunir datos e indicios sobre los hechos cometidos y sus responsables.
Efectivamente, las actuaciones previas número E/01475/2018 fueron declaradas caducadas mediante resolución de 01/02/2019, por el transcurso del plazo de doce meses previsto en el artículo 122 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. En dicha resolución se advertía sobre lo dispuesto en el artículo 95.3 de la LPACAP, en el que se establece que la caducidad no producirá por sí sola la prescripción de las acciones de la Administración, y se admite la apertura de un nuevo
procedimiento cuando no se haya producido la prescripción.
Esta caducidad no tiene el efecto pretendido por CAIXABANK. Nada impide, por tanto, la apertura de nuevas investigaciones, con incorporación a las mismas de la documentación que integra las actuaciones caducadas. A ello debe sumarse la recepción de una nueva reclamación en fecha 29/03/2019, lo que motivo que esas nuevas actuaciones de investigación que debían iniciarse tuvieran por objeto ambas reclamaciones, la que dio lugar al expediente de investigación E/01475/2018 y esta otra recibida el 29/03/2019.
Ninguna consecuencia jurídica puede atribuirse a este hecho, más allá de la regla de la prescripción y los efectos que se le atribuyen.
Procede, por otra parte, responder a la alegación sobre la caducidad del procedimiento sancionador manifestada por CAIXABANK. Partiendo de la consideración mantenida por esta entidad en cuanto a la suplantación de la actividad instructora por las actuaciones previas de investigación, que, como ya se ha dicho, no tiene base alguna, entiende que el procedimiento sancionador debe considerarse caducado por el transcurso del plazo previsto para su resolución, contado desde el inicio de las actuaciones previas de investigación.
Esta alegación debe ser igualmente rechazada. El planteamiento que CAIXABANK realiza sobre esta cuestión en sus alegaciones a la apertura no se ajusta a Derecho. Debe señalarse que el plazo de caducidad del presente procedimiento, establecido en nueve meses, se computa desde la fecha en que se acuerda su inicio, resultando improcedente añadir a ese cómputo, a efectos de medir la duración del expediente administrativo, ningún otro período, tal como el tiempo de las actuaciones previas de investigación, o el tiempo que transcurra entre la finalización de esas actuaciones y la apertura del procedimiento, ni el tiempo correspondiente a la fase de admisión a trámite de las reclamaciones presentadas.
Así lo ha declarado repetidamente nuestro Tribunal Supremo. En Sentencia de 21/10/2015 se cita la Sentencia de 26/12/2007 (recurso 1907/2005), que declara lo siguiente:
“[…] el plazo del procedimiento […] se cuenta desde la incoación del expediente sancionador, lo que obviamente excluye del cómputo el tiempo de la información reservada";" […] la mayor o menor duración de la fase preliminar no lleva aparejada la caducidad del procedimiento ulterior".
También en Sentencia del Tribunal Supremo de 13/10/2011 (recurso 3987/2008) que examina un motivo de casación relativo al cómputo del plazo de caducidad del procedimiento, se declara lo siguiente:
“No podemos compartir el razonamiento que expone la Sala de instancia para fijar un dies a quo diferente al establecido por la Ley, señalando como fecha inicial del cómputo el día siguiente a la finalización de las diligencias previas informativas.
[…]
Pues bien, una vez realizadas esas actuaciones previas, el tiempo que tarde la Administración en acordar la incoación del procedimiento […] podrá tener las consecuencias que procedan en cuanto al cómputo de la prescripción (extinción del derecho); pero no puede ser tomado en consideración a efectos de la caducidad, pues esta figura lo que pretende es asegurar que una vez iniciado el procedimiento la Administración no sobrepase el plazo de que dispone para resolver. En el fundamento tercero de la sentencia recurrida la Sala de instancia realiza una interpretación de la norma que no es acorde con la naturaleza de la institución de la caducidad, pues a diferencia de la prescripción, que es causa de extinción del derecho o de la responsabilidad de que se trate, la caducidad es un modo de
terminación del procedimiento por el transcurso del plazo fijado en la norma, por lo que su apreciación no impide, si no ha transcurrido el plazo establecido para la prescripción de la acción de restablecimiento de legalidad urbanística por parte de la Administración, la iniciación de un nuevo procedimiento”.
Finalmente, en cuanto a la prescripción de las infracciones invocada por CAIXABANK conforme a lo establecido en la LOPD, basta señalar que no es esta norma la que tipifica las infracciones analizadas en este procedimiento.
El objeto del procedimiento sancionador, al igual que el de las actuaciones previas de investigación, ya señalado, que está perfectamente definido en el Fundamento de Derecho siguiente, tiene relación con la información ofrecida con carácter general por parte de CAIXABANK en materia de protección de datos personales; los distintos tratamientos de datos personales que lleva a cabo la entidad conforme a la información ofrecida, incluido el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados; así como el cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento.
Todo ello, en el marco de la nueva normativa, constituida por el RGPD, aplicable desde el 25/05/2018, y la LOPDGDD, en vigor desde el día siguiente al de su publicación en el Boletín Oficial del Estado, que tuvo lugar el 06/12/2018.
Las dos reclamaciones que dan lugar al procedimiento, incluida la primera de ellas, recibida en fecha 24/01/2018, tienen relación con los cambios implementados por CAIXABANK para su adaptación al RGPD, y así lo ha reconocido la propia entidad interesada.
Se analiza la actuación desarrolla por CAIXABANK a partir de la aplicación del RGPD, es decir, a partir del 25/05/2018, en relación con los extremos que constituyen el objeto del procedimiento, y se imputan las presuntas infracciones apreciadas según el régimen sancionador regulado en el RGPD y la LOPDGDD. Siendo así, la prescripción de las infracciones deberá valorarse conforme a lo establecido en este régimen sancionador y no en el establecido en la Ley Orgánica 15/1999 (LOPD).
En el presente procedimiento sancionador, se imputan las siguientes infracciones:
1. Infracción por incumplimiento de lo establecido en los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD.
2. Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) y
c) de la LOPDGDD.
De acuerdo con lo establecido en los artículos 72.1 y 74.1 de la LOPDGDD, las Infracciones consideradas muy graves prescribirán a los tres años y las infracciones leves prescribirán en un año, contados desde la comisión de la infracción y hasta la apertura del procedimiento con conocimiento del interesado.
En este caso, todas las circunstancias de hecho que se ponen de manifiesto en los Fundamentos de Derecho siguientes, que fundamentan la comisión de las infracciones que se declara en este acto, tuvieron lugar dentro del año anterior a la apertura del procedimiento,
en el caso de la infracción leve, y dentro de los tres años anteriores, en el caso de la infracción muy grave; con el límite en este último caso de la fecha de aplicación del RGPD (25/05/2018), atendiendo al objeto del expediente antes indicado.
Siendo así, ninguna de las dos infracciones cometidas había prescrito en el momento en que tuvo lugar la notificación a CAIXABANK de la apertura del procedimiento.
- 4. La enumeración de los criterios de graduación en el acuerdo de apertura, sin motivación alguna y sin especificar si se aplican como agravantes o atenuantes, es causa de indefensión.
A juicio de esta Agencia, el acuerdo de inicio del procedimiento se ajusta a lo previsto en el artículo 68 de la LOPDGDD, según el cual bastará con que concrete los hechos que motivan la apertura, identifique la persona o entidad contra la que se dirige el procedimiento, la infracción que hubiera podido cometer y su posible sanción (en este caso, de los distintos poderes correctivos que contempla el artículo 58.2 del RGPD, la Agencia estimó procedente la imposición de multa, además de la adopción de medidas para ajustar su actuación a la normativa, sin perjuicio de lo que pudiera resultar de la instrucción del procedimiento).
En el mismo sentido se expresa el artículo 64.2 de la LPACAP, que establece expresamente el contenido mínimo de acuerdo de iniciación. Según este precepto, entre otros detalles, deberá contener “los hechos que motivan la incoación del procedimiento, su posible calificación jurídica y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción”.
En este caso, no solo se cumplen sobradamente las exigencias mencionadas, sino que se va más allá ofreciendo razonamientos que justifican la posible calificación jurídica de los hechos valorada al inicio e, incluso, se mencionan las circunstancias que pueden influir en la determinación de la sanción.
De acuerdo con lo expuesto, no puede decirse que señalar la posible sanción que pudiera corresponder por las infracciones imputadas, con mención de las circunstancias que influyen es su determinación, sea causa de indefensión. CAIXABANK, en este caso, ha visto respetadas todas las garantías del interesado que prevé la normativa procesal y no puede decirse que la enumeración de las circunstancias o factores de graduación de la multa suponga ninguna merma de dichas garantías causante de indefensión.
El artículo 68 de la LOPDGDD citado regula el contenido que debe incluir el acuerdo de inicio del procedimiento sancionador. Sin embargo, se trata del contenido mínimo exigible, de los elementos que deben detallarse en el mencionado acuerdo para determinar su validez. Pero nada impide que, como se ha indicado anteriormente, se mencionen las circunstancias que pueden influir en la determinación de la sanción, lo que sin duda redundará en beneficio del interesado, que ve reforzado y favorecido su derecho de defensa.
III
Las actuaciones reseñadas en los Antecedentes de este acto tienen por objeto
analizar la información ofrecida con carácter general por parte de CAIXABANK en materia de protección de datos personales, a través de todos los canales empleados por la entidad (cumplimiento por parte de CAIXABANK del principio de transparencia establecido en los artículos 5, 12 y siguientes del RGPD, y preceptos relacionados); los distintos tratamientos de datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación con clientes o persona que mantengan cualquier otra relación con la misma, incluido el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados; así como el cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento establecidos en el artículo 5 del RGPD.
Todo ello, en el marco de la nueva normativa, constituida por el RGPD, aplicable desde el 25/05/2018, y la LOPDGDD, en vigor desde el día siguiente al de su publicación en el Boletín Oficial del Estado, que tuvo lugar el 06/12/2018.
La entidad CAIXABANK ha informado que inició su adaptación al RGPD en el año 2016, y que la misma se llevó a cabo, principalmente, mediante la implementación del documento denominado “Contrato Marco” en junio de 2016, del que se han elaborado seis versiones desde entonces, fechadas el 20/06/2016, 22/11/2016, 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019, según aquella entidad ha informado a esta Agencia. También ha declarado que el “Contrato Marco” regula toda la relación de los clientes con CAIXABANK y las empresas del Grupo cuyos productos comercializa aquella, informa de todos los tratamientos derivados de la relación contractual y solicita los consentimientos necesarios para el tratamiento de los datos de carácter personal a nivel Grupo. Este documento, que sirve como formulario de recogida de datos personales y que el cliente suscribe con su firma, es el empleado por CAIXABANK de forma prioritaria para dar cumplimiento a las exigencias de transparencia y manifestación de consentimientos por parte de los clientes para el tratamiento de sus datos personales.
De las seis versiones, serán revisadas en el presente procedimiento la versión 4ª (Anexo I), fechada por CAIXABANK el 12/11/2018, y las dos posteriores que la modifican levemente (la versión 5ª presenta algunas modificaciones en el apartado 6.4 “Suscripción de documentos y contratos mediante firma electrónica”, y suprime el apartado 7.2, referido a “Tratamiento de datos biométricos en la firma electrónica de documentos”; y la versión 6ª presenta cambios en el apartado 4 “Cumplimiento de obligaciones normativas en materia tributaria”, pero sin modificaciones significativas en materia de protección de datos personales), por cuanto son estas versiones las que aparecen con una mayor adaptación al RGPD y, además, por razones temporales.
Las tres primeras versiones (1, 2 y 3) aluden a la LOPD y no hacen referencia a cuestiones específicas reguladas en el RGPD, tales como la base jurídica del tratamiento (obligación legal, interés legítimo o consentimiento); derechos de supresión, limitación y portabilidad; derecho a presentar una reclamación ante la Agencia Española de Protección de Datos; existencia de un delegado de protección de datos y medios habilitados para contactar con el mismo.
En la propuesta de resolución se indicó que la versión 3ª del “Contrato Xxxxx” constituía la información ofrecida por CAIXABANK a fecha 25/05/2018 y que la misma muestra las carencias expresadas, entre otras.
En relación con esta cuestión, CAIXABANK ha alegado que la versión 4ª se
implementó en junio de 2018 y no en noviembre de ese año, y aporta copia de un “Contrato Xxxxx” suscrito por un cliente en fecha 08/06/2018, cuyo contenido coincide con el correspondiente a esta versión 4ª, reseñado en Anexo I.
Debe señalarse al respecto que fue la propia entidad CAIXABANK la que fechó la versión 4ª de este documento en noviembre de 2019, según consta en la documentación aportada a los servicios de inspección. En cualquier caso, esta circunstancia no modifica ninguna de las conclusiones expresadas en la propuesta de resolución ni en el presente acto sobre los defectos de información apreciados y en relación con el tratamiento de los datos, basadas en el contenido de esta versión 4ª y las elaboradas seguidamente por CAIXABANK. Ya se ha dicho que los cambios producidos en las versiones 5 y siguientes respecto de la versión 4ª afectan únicamente al tratamiento de datos biométricos en la firma electrónica de documentos y al cumplimiento de obligaciones normativas en materia tributaria.
La citada versión 4ª, fechada por CAIXABANK el 12/11/2018, es la primera versión que hace referencia a cuestiones específicas reguladas en el RGPD, tales como la base jurídica del tratamiento (obligación legal, interés legítimo o consentimiento); derechos de supresión, limitación y portabilidad; derecho a presentar una reclamación ante la Agencia Española de Protección de Datos; existencia de un delegado de protección de datos y medios habilitados para contactar con el mismo. El contenido completo de esta versión, en lo relativo a protección de datos personales, consta en Anexo I.
Este “Contrato Marco”, según consta en su apartado 2, establece las normas básicas que regularán las relaciones comerciales, negociales y contractuales que se formalicen entre el cliente y CAIXABANK. Así, dicho documento dedica los apartados 3 a 6 a informar y regular acerca de cuestiones esenciales que rigen las Relaciones Comerciales, tales como las relativas a la prevención del blanqueo de capitales y de la financiación del terrorismo, el cumplimiento de obligaciones normativas en materia tributaria, la aplicación de sanciones económico-financieras internacionales y la lucha contra el fraude o los aspectos generales de la contratación de productos y servicios, las cuales no serán objeto de las actuaciones, salvo las menciones a los tratamientos que derivan de estas cuestiones contenidas en los apartados siguientes del contrato.
Los siguientes apartados del “Contrato Marco” se ocupan de la “Política de Privacidad”, el uso y tratamiento de los datos de carácter personal y de las autorizaciones para el uso de los datos que se llevan a cabo para el desarrollo de la actividad comercial propia de CaixaBank y de las empresas del Grupo CaixaBank, que interesan a los efectos del presente procedimiento sancionador.
Interesa también analizar en este expediente la información en materia de protección de datos ofrecida con carácter general por CAIXABANK y los mecanismos de prestación del consentimiento habilitados por otro medios, vías o canales, a los que se hace referencia en los antecedentes de este acuerdo, en base a que el “Contrato Marco” contiene una remisión específica a estos otros medios. Concretamente, nos referimos a los documentos siguientes:
. “Política de Privacidad” disponible en la web de la entidad: el apartado 7 del “Contrato Marco” contiene indica “Usted puede encontrar información complementaria a la que se le facilita en el presente contrato, relativa al tratamientos de sus datos de carácter personal en xxx.XxxxxXxxx.xxx/xxxxxxxxxx”.
. Contrato de redes sociales: en el apartado 8 del “Contrato Marco” se detallan los datos
personales utilizados con las finalidades descritas en ese mismo apartado. Entre ellos se mencionan “los datos obtenidos de redes sociales que el firmante autorice a consultar”. Dicha autorización se presta en el denominado Contrato de Redes Sociales.
. Contrato de servicio de agregación: en el apartado 8 del “Contrato Xxxxx” se detallan los datos personales utilizados con las finalidades descritas en ese mismo apartado. Entre los datos utilizados con las finalidades descritas en el mismo apartado 8 del “Contrato Marco” se mencionan “los datos obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el firmante”. Dicha solicitud se formaliza mediante el denominado Contrato de Servicio de Agregación.
Además del citado “Contrato Marco”, para ofrecer información en materia de protección de datos personales y recabar el consentimiento de sus clientes para el tratamiento de datos con finalidades “comerciales” y cesión de datos a terceros, CAIXABANK emplea el documento denominado por dicha entidad “Contrato de Consentimientos”. Según consta en el rótulo de este documento, mediante el mismo se solicita al cliente “Autorización para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank,
S.A. y empresas del grupo CaixaBank”.
De este “Contrato de consentimientos” constan incorporadas a las actuaciones tres versiones (la aportada por el reclamante en fecha 24/01/2018, reseñada en el Hecho Primero
-Versión 1; la aportada por CAIXABANK en fecha 10/07/2018, reseñada en el Hecho Segundo y transcrita en Anexo II -Versión 2; y la adjunta al Acta de Inspección de fecha 28/11/2019, reseñada en el Hecho Cuarto, cuyos detalles se incluyen igualmente en Anexo II
-Versión 3).
Por razones temporales, se prescinde en el procedimiento del examen del documento aportado por el reclamante, anterior a la fecha de aplicación del RGPD.
Por otra parte, considerando el objeto de las actuaciones previas de investigación antes expresado, no será objeto de análisis la información ofrecida en esta materia en los formularios empleados para la contratación de productos o servicios que, por su especialidad, incluyen sus propias cláusulas de protección de datos, según ha informado la entidad CAIXABANK. Salvo lo relacionado con los contratos antes citados, por los que el cliente consiente el acceso a datos personales en redes sociales y “servicio de agregación”.
Y tampoco se examina la actuación que puedan desarrollar las empresas que integran el denominado “Grupo CaixaBank” para el cumplimiento del principio de transparencia o los procedimientos específicos que hayan habilitado para recabar el consentimiento de sus clientes para los tratamientos de datos personales que lleven o pretendan llevar a cabo, o en relación con los otros aspectos reseñados.
Se excluye igualmente el análisis de los procedimientos establecidos por CAIXABANK para la gestión de los derechos de los clientes, interesando únicamente los mecanismos dispuestos para que el cliente pueda revocación los consentimientos que hubiera prestado, en la medida en que este mecanismo se emplea también para la modificación de dichos consentimientos, y por ello puede conllevar la prestación de otros nuevos.
Asimismo, aunque se tiene en cuenta parte de la información contenida en las Evaluaciones de Impacto aportadas por CAIXABANK, que ha quedado reseñada en los Antecedentes, no se realiza análisis alguno sobre la seguridad de los datos.
De acuerdo con lo expuesto, las conclusiones que pudieran derivarse del presente procedimiento no supondrán ningún pronunciamiento respecto de los aspectos anteriores descartados, ni en relación con las entidades del Grupo CaixaBank.
IV
De acuerdo con la delimitación expresada en el Fundamento de Derecho anterior, a los efectos del presente procedimiento interesa el contenido relativo a protección de datos de carácter personal del “Contrato Marco” y del “Contrato de Consentimientos” (“Autorización revocación para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”), la “Política de Privacidad” accesible a través de la web de la entidad y la información ofrecida en relación con los datos personales de redes sociales y servicio de agregación. El contenido de estos documentos consta reproducido en Anexos.
El “Contrato Marco”, que sirve como formulario de recogida de datos y que es el documento utilizado prioritariamente para facilitar información en materia de protección de datos personales, se presenta como de suscripción obligatoria para el cliente, estableciendo expresamente que la firma del documento supone que éste “conoce, entiende y acepta su contenido”. Se establece, asimismo, que los términos y condiciones son de aplicación general a todas las “relaciones comerciales” del interesado “con CaixaBank y las empresas del Grupo CaixaBank, y por ello, la suscripción y vigencia del presente Contrato, respetando los correspondientes derechos de elección que para el Firmante otorgue el clausulado, es necesaria para la contratación y mantenimiento de contratos de productos o servicios”.
Las opciones o “elección” a las que se refiere el párrafo anterior tienen que ver con consentimientos recogidos en el clausulado del “Contrato Xxxxx” sujetos a su efectiva aceptación por parte del cliente, que han de prestarse durante el proceso de contratación y que se incorporan, una vez expresadas esas opciones por el cliente, al apartado de datos personales y socioeconómicos de la cabecera. Se trata de los consentimientos para el tratamiento de datos personales que se solicitan al interesado en la cláusula 8 (perfilados y segmentados, recepción de impactos comerciales y cesión a terceros).
La información que se facilita al interesado en este documento en relación con la protección de datos personales se estructura según la base jurídica que legitima el tratamiento de los datos, dedicando el apartado 7 a los tratamientos “basados en la ejecución de los contratos, obligaciones legales e interés legítimo y política de privacidad”, el apartado 8 al “tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas del grupo CaixaBank basados en el consentimiento”.
El citado apartado 7 incluye un subapartado relativo al “tratamiento de datos biométricos en la firma electrónica de documentos” y facilita la información sobre los “tratamientos basados en interés legítimo”, incluida como uno de los epígrafes del subapartado que informa sobre los tratamientos de datos “con finalidades regulatorias”.
Por su parte, el apartado 8 informa sobre los tratamientos basados en el “consentimiento”, que CAIXABAN agrupa en las tres finalidades siguientes, y también informa sobre los “datos” que se tratarán para las dos primeras finalidades de las mencionadas a
continuación:
“(i) los tratamientos de análisis y estudio de datos con finalidad comercial por CaixaBank y empresas del grupo CaixaBank
(ii) los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las empresas del grupo CaixaBank
(iii) la cesión de datos a terceros”.
A lo indicado, se añaden los apartados 9 “Ejercicio de derechos en materia de protección de datos” y 10 “Delegado de Protección de Datos”, así como un subapartado dedicado al “Plazo de conservación de los datos”, insertado en el apartado 11 referido a la duración, resolución y modificación del contrato.
El apartado 11 no tiene relación con el procedimiento (legislación y fuero aplicables). Y el apartado 13 corresponde a la firma del documento. Tiene como rótulo “Digitalización de la firma y de la documentación identificativa del cliente” y ofrece la información siguiente:
“La rúbrica que el Firmante estampa al pie del presente Contrato, además de tener la finalidad de aceptación del contenido del presente Contrato, se utilizará para su digitalización y registro, al objeto de servir como base para la comprobación de firmas que se estampen en cualquier documento que se presente a CaixaBank…”.
“[…] para la identificación del cliente por los empleados de la entidad, el Firmante autoriza a CaixaBank, de forma expresa, la digitalización y registro de su documento oficial de identificación, lo que incluye la digitalización de su imagen contenida en la fotografía que el mismo incorpore”.
En los Fundamentos de Derecho que siguen no se detallará el contenido del documento denominado por CAIXABANK “Contrato de Consentimientos” (“Autorización/Revocación”), por cuanto su estructura y contenido coincide casi literalmente con la Cláusula 8 del “Contrato Marco” (las referencias que en estos Fundamentos de Derecho se realizan a esta cláusula 8 o apartado 8 sirven por igual al “Contrato de Consentimientos”, salvo que se especifique otra cosa). Se precisarán, no obstante, las diferencias que se aprecian entre ambos documentos.
Asimismo, el documento “Política de Privacidad” disponible en la web de CAIXABANK, que se incorpora como Anexo V, con trece apartados, informa de modo genérico sobre la identidad del responsable (sin hacer referencia a la existencia de un “repositorio común” a CAIXABANK y las empresas del Grupo), datos recabados, información obtenida de navegación por la web y aplicaciones móviles, finalidades, base jurídica que ampara los tratamientos de datos, seguridad, conservación de datos, cesiones, transferencias internaciones, delegado de protección de datos y derechos del interesado. Interesa destacar que esta “Política de Privacidad”, al referirse a los usos basados en el consentimiento, advierte al interesado que podrá utilizar “todos los datos que tenemos sobre ti”; y en el apartado “¿A quién se comunican mis datos?” se informa sobre el intercambio de información con empresas del Grupo CaixaBank.
Finalmente, en relación con la obtención y utilización de datos personales del interesado en redes sociales u obtenidos del servicio de agregación, se informa sobre datos, finalidades, tratamientos basados en el consentimiento y derechos del interesado. En el último caso, además, se informa sobre tratamientos de datos basados en el interés legítimo y conservación de datos.
El contenido íntegro de esta información (excepto los apartados excluidos de análisis) consta reproducido en Anexos.
V
El artículo 5 “Principios relativos al tratamiento” del RGPD establece:
“1.Los datos personales serán:
a) tratados de manera lícita, xxxx y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.
En relación con los citados principios, se tiene en cuenta lo señalado en el Considerando 39 del citado RGPD:
“39. Todo tratamiento de datos personales debe ser lícito y xxxx. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento xxxx y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de
conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento”.
VI
El artículo 4 del RGPD, bajo la rúbrica “Definiciones”, dispone lo siguiente:
“2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
De acuerdo con dichas definiciones, la recogida de datos de carácter personal a través de formularios habilitados al efecto constituye un tratamiento de datos, respecto del cual el responsable del tratamiento ha de dar cumplimiento al principio de transparencia, establecido en el artículo 5.1 del RGPD, según el cual los datos personales serán “tratados de manera lícita, xxxx y transparente en relación con el interesado (licitud, lealtad y transparencia)”; y desarrollado en el Capítulo III, Sección 1ª, del mismo Reglamento (artículos 12 y siguientes).
El artículo 12.1 del citado Reglamento establece la obligación del responsable del tratamiento de tomar las medidas oportunas para “facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida a un niño”.
En el mismo sentido se expresa el artículo 7 del RGPD para supuestos en los que el consentimiento del interesado se preste en el contexto de una declaración escrita, como ocurre en el presente caso. Según este artículo, dicha solicitud del consentimiento “se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo”. Se añade en este precepto que ninguna parte de la declaración que constituya infracción del presente Reglamento será vinculante.
El artículo 13 del citado texto legal detalla la “información que deberá facilitarse cuando los datos personales se obtengan del interesado” y el artículo 14 mencionado se refiere a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”.
En el primer caso, cuando los datos personales se recaben directamente del interesado, la información deberá facilitarse en el momento mismo en que tiene lugar esa recogida de datos. El artículo 13 del RGPD detalla esa información en los términos siguientes:
1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos xxxx y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información”.
El artículo 14 regula la información que deberá facilitarse en relación con los datos que no se recaban directamente del interesado:
“1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la
Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos xxxx y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden xx xxxxxxx de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación xx xxxxxxx profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación xx xxxxxxx de naturaleza estatutaria”.
Por su parte, el artículo 11.1 y 2 de la LOPDGDD dispone lo siguiente:
“Artículo 11. Transparencia e información al afectado
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679”.
En relación con este principio de transparencia, se tiene en cuenta, además, lo expresado en los Considerandos 32, 39, reproducido en el Fundamento de Derecho anterior, 42, 47, 58, 60, 61 y 72 del RGPD. Se reproduce a continuación parte del contenido de estos Considerandos:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (LCEur 1993, 1071), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y
apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior… El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice…
(60) Los principios de tratamiento xxxx y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento xxxx y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran…
(61) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso…
(72) La elaboración de perfiles está sujeta a las normas del presente Reglamento que rigen el tratamiento de datos personales, como los fundamentos jurídicos del tratamiento o los principios de la protección de datos…
CAIXABANK, según consta en hechos probados, realiza tratamientos de datos personales obtenidos de los clientes, de forma directa o “indirectamente”, así como de datos personales obtenidos de otras fuentes distintas a los interesados o inferidos por la propia entidad. Viene por ello, obligada a facilitar información en los términos establecidos en el RGPD y la LOPDGDD.
- La información ofrecida a los clientes de CAIXABANK no es uniforme.
Analizada la información en materia de protección de datos personales ofrecida por CAIXABANK, considerando los diversos documentos y canales mediante los que se ofrece, se comprueba que no es uniforme, ni si quiera en la terminología, no se ofrece con la misma amplitud a todos los clientes y en todas las situaciones (en unos casos se emplea el “Contrato Marco”, en otros el “Contrato de Consentimientos” y para otros clientes únicamente la “Política de Privacidad”), y no se actualiza de la misma forma en cada caso.
CAIXABANK ha alegado que el deber de información se cumple con el “Contrato Xxxxx” y no con el resto de documentos, que son meramente complementarios de aquél, que se utilizan en momentos y escenarios distintos, y no de forma simultánea, y que no tienen por
objeto cumplir lo mandado por el artículo 13 de dicho Reglamento, ya que se dirigen a clientes ya informados.
Sin embargo, esta alegación no coincide con las comprobaciones realizadas. Es cierto que el “Contrato Xxxxx” es el documento utilizado prioritariamente, el cual sirve, además, como formulario de recogida de datos personales y para la prestación de los consentimientos recabados por CAIXABANK con fines comerciales. Pero ha quedado acreditado que la información en materia de protección de datos se facilitó a algunos clientes únicamente mediante el “Contrato de Consentimiento” y la “Política de Privacidad”, sin que éstos hubiesen suscrito el “Contrato Marco”.
El “Contrato de Consentimientos”, aunque se ha utilizado y utiliza en la actualidad como documento para revocar y modificar los consentimientos, se concibió como un documento para “autorizar” los tratamientos de datos basados en esta base jurídica, al igual que el “Contrato Marco”, y no ha perdido ese carácter (su denominación inicial fue “Autorización para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del Grupo CaixaBank”; y la actual “Autorización/Revocación para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank,
S.A. y empresas del Grupo CaixaBank”). Consta acreditado que no siempre se ha utilizado el “Contrato Xxxxx” para la recogida de los consentimientos, no en el caso de todos los clientes.
La propia entidad CAIXABANK, en su respuesta a los Servicios de Inspección de la Agencia de fecha 17/07/2018, manifestó que el “Contrato de Consentimientos” se emplea, no solo para modificar los consentimientos prestados, sino también para recogerlos. El reclamante es un ejemplo de cliente que no ha suscrito el “Contrato Xxxxx” y prestó sus consentimientos mediante el “Contrato de Consentimientos”, suscrito el 24/01/2018 y modificado en mayo de 2018, según pudo comprobarse en la inspección realizada en fecha 28/11/2019 (a esta fecha, el reclamante no había suscrito el “Contrato Marco”)
Lo mismo puede decirse de la “Política de Privacidad” disponible en la web de la entidad. Aunque se indica en el “Contrato Marco” que incluye “información complementaria a la que se le facilita en el presente contrato”, la Política de Privacidad también se ha sido la única información sobre protección de datos personales que algunos clientes han recibido, los cuales no suscribieron el “Contrato Xxxxx” ni el “Contrato de Consentimientos”.
CAIXABANK fue consultada al respecto por los Servicios de Inspección de la Agencia sobre los procedimientos habilitados para dar a conocer la “Política de Privacidad” actualizada al RGPD a clientes anteriores a la aplicación de esta norma y los mecanismos para recabar su aceptación. En su respuesta de 20/11/2019, CAIXABANK informó que dicha “Política de Privacidad” tiene la finalidad de dar información completa a los clientes que en mayo de 2018 no hubieran firmado el contrato marco; y distingue desde mayo de 2018 las situaciones siguientes:
. La correspondiente a los clientes “preexistentes” que firmaron el “Contrato Xxxxx” o que recibieron la “Política de Privacidad”.
. La de los nuevos clientes, que en su primera relación suscriben el “Contrato Xxxxx”.
En relación con la “Política de Privacidad”, ha facilitado los detalles sobre su traslado a los clientes existentes x xxxx de 2018, en concreto, el envío de 15.917.507 comunicaciones, de los cuales 5.663.683 se realizaron por correo postal y 10.253.824 a través de la banca a
distancia con un pop up de aviso (“Si quieres conocer más sobre nuestro compromiso con tus datos y tu privacidad, tienes un comunicado disponible en tu MailBox -Acceder a MailBox”).
También en su escrito de alegaciones a la apertura del procedimiento, la citada entidad se refiere a los clientes anteriores x xxxx de 2018, distinguiendo entre los que han firmado el “Contrato Marco”, los que han firmado el “Contrato de Consentimientos” y aquellos otros a los que preguntó y no contestaron.
Por otra parte, tampoco esos documentos son uniformes en cuanto a su contenido, como se describirá en los apartados y Fundamentos de Derecho siguientes.
Como muestra de esas diferencias, pueden destacarse en este momento las apreciadas entre el “Contrato Xxxxx” y el “Contrato de Consentimientos”, siendo la más significativa que este último documento ofrece información equivalente, básicamente, a la Cláusula 8 del “Contrato Marco”, de forma que los clientes que suscriben este documento lo hacen sin disponer de información esencial. Pero no esta la única diferencia en cuanto al contenido de la información:
. La versión 2 del “Contrato de Consentimientos” (Anexo II) hacía referencia a la gestión de los datos “desde un repositorio común de información de las Empresas del Grupo CaixaBank” que no figura en el “Contrato Marco” (esta indicación desaparece en la Versión 3 de aquel documento).
. Diferencias en cuanto al ejercicio de derechos, existencia de un Delegado de Protección de Datos y el plazo de conservación de los datos, que se detallan en los dos últimos apartados del presente Fundamento de Derecho.
. La Versión 3 del “Contrato de Consentimientos”, en la autorización (ii) del apartado correspondiente a la finalidad 1 (“Tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente”) se añade la posibilidad de asociar los datos del firmante con los de otros clientes, que no consta en el “Contrato Marco”.
Como puede verse, la diferente información que reciben los clientes tiene que ver con el documento empleado en cada caso para facilitar la información, además de su diferente contenido, más allá de los procesos de actualización de esos documentos alegada por CAIXABANK para justificar esta deficiencia.
Nada dice CAIXABANK sobre aquellas circunstancias en su escrito de alegaciones a la propuesta, en el que solo señala que dicha propuesta parece dejar traslucir que todos los clientes acceden a todos los documentos y, singularmente, que todos los clientes tienen tanto el “Contrato de Consentimientos” como el “Contrato Xxxxx”, cosa que no coincide con lo expuesto.
Niega CAIXABANK esta falta de uniformidad, pero, al mismo tiempo, alega que el proceso de mejora que ha desarrollado ha supuesto una cohonestación de todos los documentos.
-
Empleo de una terminología imprecisa y formulaciones vagas
De acuerdo con lo expuesto, en el momento de la recogida de los datos personales el responsable del tratamiento debe suministrar a los interesados la información establecida en las normas citadas, “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.
En ocasiones, la información sobre aspectos claves como las categorías de los datos personales tratados, las finalidades o la base legal que habilita el tratamiento, emplea expresiones poco claras e imprecisas, o formulaciones vagas, con significados ambiguos en algunos casos, y cuyo verdadero alcance no se desarrolla; expresiones que se repiten y que CAIXABANK utiliza para fundamentar diferentes actuaciones, tratamientos, finalidades o legitimaciones.
Además, con algunas de esas expresiones, la política de protección de datos se muestra como un beneficio para el cliente, dando a entender que su no aceptación supondrá la pérdida de ventajas como cliente.
Pueden destacarse como ejemplo expresiones como “conocerte mejor”, “personalizar su experiencia”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, “información generada de los propios productos”, “análisis y estudio”, “estudiar productos y servicios” o “diseñar productos y servicios”, “para nuestra propia gestión”, “darte un mejor servicio”, “comunicar tus datos a terceros con los que tengamos acuerdo”, “expectativa razonable de recibir”, “necesidades de gestión”, “análisis, estudio y seguimiento para la oferta y diseño de productos y servicio ajustados al perfil”.
Tampoco el interesado puede deducir claramente el significado de esas expresiones a partir del contexto en el que se ofrece la información y se recaba la manifestación de voluntad del interesado, o a partir del contexto mismo de la relación contractual que vincula al interesado con la entidad responsable. Sobre esta base contextual o contexto fáctico, el cliente no es capaz de entender los datos que serán registrados o el significado de las finalidades perseguidas por CAIXABANK con el tratamiento, cuando estás no se especifican claramente, especialmente considerando la variedad y complejidad de las finalidades de los tratamientos de datos personales que realiza CAIXABANK en su condición de entidad financiera que ocupa una relevante posición en el mercado, que demanda un esfuerzo adicional a la hora de concretar la información sobre los aspectos mencionados.
De todo ello se deriva que la información ofrecida en esta materia es indeterminada en los aspectos señalados y difícil de entender por cualquier interesado, con independencia de su cualificación, y demuestra hasta qué punto es necesario ser un experto para comprender dicha información y su alcance.
CAIXABANK, en sus alegaciones a la apertura del procedimiento, se limita calificar estos argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que comprenden o no los clientes, añadiendo que se ha realizado trabajos externos para verificar que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los cuales no aporta.
Sin embargo, a juicio de esta Agencia, la falta de claridad de aquellas fórmulas o expresiones es evidente y objetiva, como se demuestra por la dificultad que supone concluir su alcance real y concreto.
Las expresiones tan repetidas por CAIXABANK en los documentos reseñados se incluyen como ejemplos de malas prácticas en el documento del Grupo de Trabajo del Artículo 29 “Directrices sobre la transparencia en virtud del Reglamento 2016/679”, adoptadas el 29/11/2017 y revisadas el 11/04/2018.
En estas Directrices se analiza el alcance que debe atribuirse a los elementos de transparencia establecidos en el artículo 12 del RGPD, según el cual el responsable del tratamiento tomará las medidas oportunas para “facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”, que ha de ponerse en relación con lo expresado en el Considerando 39 del citado Reglamento. De lo expuesto en dichas Directrices, cabe destacar en este momento lo siguiente:
“El requisito de que la información sea “inteligible” quiere decir que debe resultar comprensible al integrante medio de la audiencia objetivo. La inteligibilidad está estrechamente vinculada al requisito de utilizar un lenguaje claro y sencillo. Un responsable del tratamiento que actúe con responsabilidad proactiva conocerá a las personas sobre las que recopila información y puede utilizar este conocimiento para determinar lo que dicha audiencia es susceptible de comprender…”.
<<Lenguaje claro y sencillo
En el caso de la información “escrita”» (y cuando la información escrita se comunique verbalmente, o mediante métodos auditivos o audiovisuales, también para interesados con problemas de visión), han de seguirse las mejores prácticas para escribir con claridad. El legislador de la UE ya ha utilizado previamente un requisito lingüístico similar (apelando al uso de “términos claros y comprensibles”) y también aparece explícitamente mencionado en el contexto del consentimiento en el considerando 42 del RGPD. La obligación de utilizar un lenguaje claro y sencillo implica que la información debe facilitarse de la forma más simple posible, evitando oraciones y estructuras lingüísticas complejas. La información debe ser concreta y categórica; no debe formularse en términos abstractos o ambivalentes ni dejar margen para distintas interpretaciones. En concreto, los fines y la base jurídica del tratamiento de los datos personales deben ser claros.
Ejemplos de prácticas deficientes
Los siguientes enunciados no son suficientemente claros con respecto a la finalidad del tratamiento:
. “Podremos utilizar sus datos personales para desarrollar nuevos servicios” (ya que no queda claro de qué “servicios” se trata ni cómo ayudarán los datos a desarrollarlos);
. “Podremos utilizar sus datos personales para fines de investigación” (ya que no queda claro a qué tipo de “investigación” se refiere); y
. “Podremos utilizar sus datos personales para ofrecerle servicios personalizados” (ya que no queda claro qué implica esta “personalización”).
Ejemplos de buenas prácticas
. “Conservaremos su historial de compra y utilizaremos detalles de los productos que ha comprado anteriormente para sugerirle otros productos que creemos podrían interesarle también” (está claro qué tipos de datos se tratarán, que el interesado será objeto de publicidad de productos personalizada y que se utilizarán sus datos en este sentido);
. “Conservaremos y evaluaremos información sobre sus visitas recientes a nuestro sitio web y cómo navega por las distintas secciones del mismo con el fin de analizar y comprender el uso que las personas hacen de nuestro sitio web y poder hacerlo más intuitivo” (queda claro qué tipo de datos se tratarán y el tipo de análisis que el responsable va a realizar); y
. “Mantendremos un registro de los artículos de nuestro sitio web en los que ha pulsado y utilizaremos esa información para personalizar, a partir de los artículos que ha leído, la publicidad que le mostramos en este sitio web para que se ajuste a sus intereses” (queda claro lo que conlleva la personalización y cómo se han identificado los intereses que se atribuyen al interesado)>>.
Lo expuesto debe interpretarse, en todo caso, teniendo en cuenta los principios establecidos en el artículo 5 del RGPD, en especial el principio de lealtad. El Considerando 42 del mismo texto refiere también que el formulario en el que se ofrece la información en materia de protección de datos personales no debe contener términos no leales.
- Información sobre los tratamientos de datos personales basados en la relación contractual.
En el apartado dedicado a la finalidad 1 “Gestión de las relaciones comerciales”, CAIXABANK informa sobre el tratamiento de los siguientes datos personales:
. Los datos de carácter personal aportados por el cliente.
. Datos personales que se deriven de las relaciones comerciales.
. Datos de carácter personal que se deriven de relaciones comerciales de CAIXABANK y empresas del Grupo CaixaBank con terceros (no se refiere en este epígrafe a la relación negocial del interesado/cliente con CAIXABANK, sino a relaciones de esta entidad y las que integran el Grupo con terceros; sin explicar la naturaleza de estas relaciones con terceros y sin detallar qué datos de estas relaciones son necesarios para la ejecución del contrato suscrito por el interesado/cliente, ni quién es el titular de esos datos).
. Datos personales “confeccionados a partir de ellos” (sin especificar si se refiere a los últimos señalados o a todos los anteriores).
. Digitalización y registro de los documentos identificativos y la firma.
Se estima que la información incluida en este apartado debe ser rectificada y completada convenientemente de modo que permita valorar y determinar con certeza si los tratamientos reseñados pueden ampararse en esta base jurídica (la ejecución del contrato) o, por el contrario, su recogida y posterior tratamiento exige el consentimiento del interesado. Es necesario conocer qué entiende CAIXABANK por datos derivados de las relaciones comerciales o datos “confeccionados a partir de ellos” y qué uso se da a los mismos para el cumplimiento de la relación contractual.
Asimismo, es preciso señalar la confusión que produce sobre la base jurídica del tratamiento (tratamientos para la ejecución del contrato o basados en el consentimiento) la mención que se realiza en este apartado a “Relaciones comerciales” y a lo que CAIXABANK denomina “finalidades comerciales”. En el rótulo del subapartado se indica “Tratamientos de datos de carácter personal con la finalidad de gestionar las relaciones comerciales”, dentro de
un apartado más general relativo a tratamientos “basados en la ejecución del contrato”, mientras que en el texto se hace referencia también a los tratamientos que el firmante acepte para finalidades comerciales. El texto dice así: “Los datos de carácter personal del firmante… se incorporarán… para ser tratados con la finalidad de dar cumplimiento y mantener las mismas (las relaciones comerciales), verificar la corrección de la operativa y las finalidades comerciales que el firmante acepte en el presente contrato”.
- Información sobre las categorías de los datos personales sometidos a tratamiento; y sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades específicas.
La información ofrecida es incompleta en relación con aspectos claves, como las categorías de los datos personales tratados.
De acuerdo con los criterios manifestados por el Comité Europeo de Protección de Datos, esa información sería necesaria en relación con aquellos tratamientos de datos cuya base legal venga determinada por el consentimiento del interesado. Así lo entendió el Grupo de Trabajo del Artículo 29 en su documento “Directrices sobre el consentimiento en virtud del Reglamento 2016/679”, adoptado el 28/11/2017, revisadas y aprobadas el 10/04/2018 (estas Directrices han sido actualizadas por el Comité Europeo de Protección de Datos el 04/05/2020 mediante el documento “Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679”, el cual mantiene literalmente idénticas las parte que se transcriben a continuación).
El Grupo de Trabajo del Artículo 29 obtiene sus conclusiones a partir de la definición del “consentimiento” recogida en el artículo 4 del RGPD, que se expresa en los términos siguientes:
“11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
A partir de esta definición, se concretan como elementos necesarios para la validez del consentimiento los siguientes:
. Manifestación de voluntad libre
. específica
. informada e
. inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
En relación con el elemento “manifestación de voluntad específica” se dice:
“3.2. Manifestación de voluntad específica (…)
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el requisito de que los responsables faciliten información clara”.
Además, el consentimiento, para ser válido, debe ser informado. Este elemento se analiza en las mencionadas “directrices” como sigue:
3.3. Manifestación de voluntad informada
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad con el artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales, estrechamente relacionado con los principios de lealtad y licitud. Facilitar información a los interesados antes de obtener su consentimiento es esencial para que puedan tomar decisiones informadas, comprender qué es lo que están autorizando y, por ejemplo, ejercer su derecho a retirar su consentimiento. Si el responsable no proporciona información accesible, el control del usuario será ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el consentimiento no será válido y el responsable podrá estar incumpliendo el artículo 6 de RGPD.
3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos que son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al menos, la información siguiente para obtener el consentimiento válido:
i) la identidad del responsable del tratamiento,
ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento,
iii) qué (tipo de) datos van a recogerse y utilizarse,
iv) la existencia del derecho a retirar el consentimiento,
v) información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo 22, apartado 2, letra c), cuando sea pertinente, e
vi) información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo 46>>.
La información que se facilita en el “Contrato Marco” sobre los tipos de datos personales de clientes que se someten a tratamiento no se contiene, con carácter general, en un apartado específico, sino que se incluye en cada uno de los apartados reseñados al detallar la estructura del documento, articulada en torno a las bases jurídicas, finalidades y tratamientos de datos pretendidos.
A la vista de los criterios interpretativos sobre la noción de “consentimiento informado” que ofrece el Comité Europeo de Protección de Datos, se considera que CAIXABANK no proporciona información suficiente sobre la tipología de los datos que serán sometidos a tratamientos cuya base jurídica sea el consentimiento de los interesados.
Esta insuficiencia se observa en el “Contrato Marco” y en el “Contrato de Consentimientos” en relación con las finalidades de “análisis y estudio de datos” y “para la oferta comercial de productos y servicios”, sobre las que se informa en el apartado 8 “Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas del Grupo CaixaBank basados en el consentimiento”. En este apartado se indica que se tratarán, entre otros, los datos siguientes:
“b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank, con las Empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro, reclamaciones, etc.”.
“g) Los obtenidos de las navegaciones del firmante por el servicio de banca digital y otras webs de CaixaBank y las Empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank y las Empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación establecida entre las partes”.
Todo ello se refiere a los datos tratados por razón de los productos y servicios contratados, de modo que, aunque éstos sean conocidos por el usuario, no puede conocer los que se seleccionarán a partir del uso de tales productos y servicios. Lo mismo puede decirse respecto de los datos de navegación y los obtenidos de las comunicaciones que se establezcan entre el cliente y la entidad.
En esta información se advierte al interesado que CAIXABANK podrá tratar “todos” los datos que “se generen en la contratación y operativas de productos y servicios”. Seguidamente pone algunos ejemplos, precedidos de la expresión “tales como” y finalizando con la expresión, “etc.”, cuyo empleo debe evitarse al ofrecer información en materia de protección de datos.
Tampoco los ejemplos que se indican son lo suficientemente descriptivos como para entender las categorías de datos que serán tratados (“movimientos”, “recibos”, “nóminas”, “siniestros” y “reclamaciones”). En relación con los “recibos domiciliados” se indica que se tratarán los “detalles” de los mismos; y respecto de todos esos ejemplos se indica, como ya se ha dicho, que se tratarán “todos” los datos.
A la vista de dicha información queda claro que CAIXABANK tratará datos personales generados en la contratación y operativa de productos y servicios contratados con esa entidad.
Con esa información no queda claro qué datos personales registrará CAIXABANK por cada “movimiento”, “recibo”, “nómina”, “siniestro” o “reclamación” (¿registrará el concepto y emisor correspondiente al pago de una cuota sindical?). Podría ocurrir, incluso, que la información recabada por la entidad responsable a partir de los productos y servicios contratados estuviera integrada por datos sensibles o categorías especiales de datos personales, por ejemplo, la cuota sindical ya mencionada o cuotas abonadas a partidos políticos, o a entidades de carácter religioso, o por uso de servicios prestados por entidades sanitarias o religiosas.
No se concluye que CAIXABANK realice tratamientos de datos personales como los indicados en el párrafo anterior. Se dice aquí, simplemente, en un fundamento que analiza la información ofrecida por CAIXABANK a sus clientes, que esta información es defectuosa en la medida en que no permite al destinatario de la información conocer con certeza todas las categorías de datos personales que se utilizarán por aquella entidad y que, incluso, la repetida información, por su falta de concreción, podría estar dando cobertura a una recogida y tratamiento de datos personales inaceptable.
La “Política de Privacidad” hace referencia, igualmente, a la utilización de datos personales generados de los productos y servicios contratados (“Básicamente, son tus datos identificativos y de detalle de la actividad profesional o laboral, tus datos de contacto y los datos financieros y socioeconómicos, tanto los que nos has facilitado como los que se generan de los productos o servicios contratados. También… podremos tratar datos que obtengamos de la prestación de servicios a terceros cuando seas el destinatario del servicio…”).
También al referirse a los datos personales que se utilizarán para tratamientos de datos basados en el interés legítimo de la entidad, el “Contrato Marco” informa sobre el uso de información “generada de los propios productos contratados durante el último año”. En este apartado del “Contrato Xxxxx” relativo al interés legítimo se dice:
“También trataremos su información (movimientos de cuenta, movimientos de tarjeta, préstamos, etc.) para personalizar su experiencia comercial en nuestros canales en base a anteriores usos, para ofrecerle productos y servicios que se ajusten a su perfil, para aplicarle beneficios y promociones que tengamos vigentes y a los que tenga derecho, y para evaluar si podemos asignarle límites de crédito pre concedidos que pueda utilizar cuando lo considere más oportuno.
En estos tratamientos utilizaremos únicamente información facilitada por usted, o generada de los propios productos contratados durante el último año”.
En este caso, la insuficiente información sobre las categorías de datos a tratar no está relacionada con la necesidad de que el consentimiento sea informado, dado que se trata de tratamientos basados en el interés legítimo de la entidad. Sin embargo, se tiene en cuenta la posible relación existente entre estos tratamientos de datos personales basados en el interés legítimo y los tratamientos basados en el consentimiento de los interesados. La utilización de datos personales en base al interés legítimo da lugar a la elaboración de perfiles, que pueden ser posteriormente utilizados para tratamientos con finalidades comerciales basados en el consentimiento de los interesados; y dichos datos personales, incluidos los perfilados se comunican a las sociedades del Grupo CaixaBank. Siendo así, los defectos en la información en relación con el tratamiento de datos en base al interés legítimo afectan por igual a la validez del consentimiento.
La obligación de informar sobre la categoría de los datos que se someterán a tratamiento se incumple también en relación con los datos que no son facilitados al responsable por el interesado, sino que se obtienen por éste xx xxxxxxx externas o son inferidos por la propia entidad. Facilitar información sobre las tipologías de datos personales sometidas a tratamiento que no se recaben directamente de los interesados se exige expresamente en el artículo 14.1 d) del RGPD.
Según lo detallado anteriormente, CAIXABANK no solo utiliza datos personales generados en la contratación y operativa de productos y servicios contratados con esa entidad, sino también los generados de productos y servicios contratados por el interesado con terceros (“Todos los que se generen en la contratación y operativas de productos y servicios… con las Empresas del Grupo CaixaBank o con terceros”). En relación con estos datos, se detallan los mismos ejemplos mencionados anteriormente (“movimientos”, “recibos”, “nóminas”, “siniestros” y “reclamaciones”), sobre los que sirven los reparos antes señalados respecto de los mismos.
Se deduce de ello que CAIXABANK, bajo la condición de responsable del tratamiento, recaba y utiliza datos personales que no obtiene directamente de los interesados. Se trata de
datos personales procedentes de terceros que CAIXABANK utiliza con las finalidades expresadas en la información facilitada a los interesados.
No es esta la única alusión a datos personales obtenidos de terceros, fuentes externas o inferidos por la propia entidad CAIXABANK contenida en el “Contrato Marco”:
. En relación con los tratamientos necesario para la ejecución del contrato, se informa sobre la incorporación a los ficheros de la entidad de datos que se deriven de las relaciones comerciales de CAIXABANK y las empresas del Grupo con terceros; y datos confeccionados a partir de los anteriores.
. En el apartado que informa sobre “Tratamientos de datos de carácter personal con finalidades regulatorias”, se incluyen las referencias siguientes:
“(ii) Se realizarán comprobaciones de la información facilitada por el Firmante contrastándola con fuentes externas, tales como las bases de datos de la Tesorería General de la Seguridad Social u otros organismos públicos, Registros Públicos, Boletines Oficiales, o empresas prestadoras de servicios de información”.
“(iv) Se intercambiará (cederá y recibirá) la información de que disponga relativa al Firmante con las empresas del Grupo CaixaBank
(v) Se verificará el desempeño, actual o pasado de cargos de responsabilidad pública por parte del firmante.
(vi) Se verificará, con fuentes internas y externas, la relación del Firmante con sociedades y, en su caso, su posición de control en la estructura de propiedad de las mismas.
(vii) Se clasificará al Firmante en diferentes grados de conformidad con la Política de Admisión de Clientes, en función de la información facilitada y de la que resulte de la operativa efectuada por el Firmante”.
. En el mismo subapartado relativo a los tratamientos de datos con finalidades regulatorias también se informa sobre la consulta de datos registrados en ficheros de cumplimiento o incumplimiento de obligaciones dinerarias (erróneamente incluido en este subapartado) y a la Central de Información de Riesgos del Banco de España, CIRBE (erróneamente incluidos en este subapartado):
“7.3.3 Comunicación con ficheros de cumplimiento o incumplimiento de obligaciones dinerarias.
Se informa al Firmante que CaixaBank, en el estudio del establecimiento de Relaciones Comerciales, podrá consultar información obrante en ficheros de cumplimiento o incumplimiento de obligaciones dinerarias”.
“7.3.4 Comunicación de datos a la Central de Información de Riesgos del Banco de España
Se informa al Firmante del derecho que asiste a CaixaBank S.A. para obtener de la Central de Información de Riesgos del Banco de España (CIR) informes sobre los riesgos que pudiera tener registrados en el estudio del establecimiento de Relaciones Comerciales”.
. En el apartado 8, relativos a los tratamientos de datos basados en el consentimiento (y también en el “Contrato de Consentimientos”) se añade expresamente que los datos del cliente “podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos xx xxxxxxx públicas, así como por datos estadísticos, socioeconómicos (en adelante, “Información Adicional”) siempre verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos”, sin facilitar ningún detalle sobre las categorías de datos personales que se obtendrán de estas fuentes externas.
Asimismo, la Política de Privacidad” incluye información sobre tratamientos de datos de salud “en la comercialización de determinados productos de seguro (salud, vida…)”. Sobre estos datos personales, se aclara que el responsable es la compañía aseguradora:
“Cuando comercializamos estos productos, el responsable de los datos de salud es la compañía aseguradora, por ello queremos que sepas que todas las compañías aseguradoras cuyos productos comercializamos respetan y cumplen estrictamente la normativa de protección de datos”.
Con la información facilitada, como se ha indicado anteriormente, no queda claro qué datos personales son tratados o qué datos registrará CAIXABANK.
La utilización por CAIXABANK de datos personales procedentes de productos y servicios de terceros, xx xxxxxxx externas o inferidos por la propia entidad, requiere que se facilite a los interesados la información adecuada y disponer de una base jurídica que ampare el tratamiento.
Cabe precisar que no se cuestiona en este caso la obtención de datos personales procedente de ficheros de cumplimiento de obligaciones dinerarias y de CIRBE para gestionar los productos y servicios contratados, siempre que resulte necesaria para la ejecución del contrato. Este es el fundamento que determina el acceso a esta información.
Sin embargo, la utilización de estos datos personales por parte de CAIXABANK no se limita a comprobar la situación del interesado para la formalización de una operación de riesgo, sino también con las finalidades basadas en el consentimiento. Teniendo en cuenta que en la cláusula o apartado 8 se informa sobre el tratamiento de “todos” los datos facilitados en el establecimiento o mantenimiento de relaciones comerciales o de negocio, se estima procedente que CAIXABANK informe sobre las categorías concretos de datos personales que se obtendrán de los ficheros de cumplimiento o incumplimiento de obligaciones dinerarias y de la CIRBE.
Por otro lado, en el caso de datos personales procedentes de productos y servicios de terceros, la responsabilidad sobre estos datos personales corresponde a la entidad titular del producto adquirido por el interesado o prestadora del servicio contratado por el mismo.
Cuando se trata de productos o servicios de terceros comercializados por CAIXABANK, como en el caso de los productos de seguros, esta entidad accede a tales datos bajo la condición de encargada de tratamiento, por su intervención mediadora. Esta Agencia cuestiona la utilización de estos datos por parte de aquella entidad y con las finalidades que se señalan, considerando que no se trata de productos propios. La condición de encargada del tratamiento bajo la que intervine CAIXABANK en estos casos limita la posibilidad de utilizar la información de que se trate con fines propios.
En definitiva, se recogen y tratan datos personales sin que los titulares de los mismos sean conscientes de que CAIXABANK está accediendo a los mismos para registrarlos en sus sistemas de información, los somete a tratamientos sobre los que el cliente no es informado de forma clara, precisa y sencilla, y con finalidades no explícitas e indeterminadas, en contra de los principios relativos al tratamiento establecidos en el artículo 5 del RGPD (lealtad, limitación de la finalidad y minimización de datos), por cuanto, a partir de la información facilitada, considerando su inconcreción, el interesado no puede conocer, como señala el Tribunal Constitucional, “a qué uso lo está destinando y, por otro lado, el poder oponerse a esa posesión y usos”. Esta falta de precisión convierte en ineficaz la información facilitada
sobre los tratamientos de datos que se pretenden.
Lo indicado anteriormente contrasta con la información facilitada a través de la web de la entidad sobre los datos personales recabados de redes sociales:
. Twitter: Nombre, nombre de usuario, tweets e información del perfil de usuario, incluyendo biografía e información de ubicación.
. Facebook: Identificador de usuario, dirección de correo electrónico, sexo, fecha de nacimiento, ciudad actual, y preferencias manifestadas por Usted mediante el click en "Me gusta" (o Likes).
. Linkedin: Usuario registrado, nombre y apellidos, dirección de correo electrónico, URL de perfil, información del perfil y Grupos.
Y no solo no especifica qué datos someterá a tratamiento, sino que tampoco se informa debidamente en todos los casos sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades especificadas.
La necesidad de completar la información que se ofrece a los clientes en el sentido expresado resulta especialmente relevante cuando se trata de datos no facilitados por el cliente, sino inferidos por la propia entidad a partir del uso de productos, servicios y canales. No cabe admitir que toda la información se destine a todos los usos, que todos los datos recabados, del interesado o de terceros, o inferidos puedan utilizarse para todas las finalidades, sin delimitar.
Esto ocurre en relación con la finalidad expresada en el apartado 8 del “Contrato Marco” y en el “Contrato de Consentimientos” relativa a la “cesión de datos a terceros” con el consentimiento como base jurídica. Con la información que se ofrece no es posible que el interesado tenga una idea clara sobre los datos personales que se cederán a las entidades de los sectores que se indican.
A este respecto, El Dictamen del Grupo de Trabajo del Artículo 29 antes citado, “Directrices sobre el consentimiento en virtud del Reglamente 2016/679”, adoptadas el 28/11/2017, revisadas y aprobadas el 10/04/2018, y revisadas nuevamente en mayo de 2020, al referirse a la obligación de informar sobre los datos que se recogerán y utilizarán, remite al Dictamen 15/2011 sobre la definición del consentimiento, en tanto que “manifestación de voluntad específica”:
“Para ser válido, el consentimiento debe ser específico. En otras palabras, el consentimiento indiscriminado sin especificar la finalidad exacta del tratamiento no es admisible.
Para ser específico, el consentimiento debe ser comprensible: referirse de manera clara y precisa al alcance y las consecuencias del tratamiento de datos. No puede referirse a un conjunto indefinido de actividades de tratamiento. Esto significa, en otras palabras, que el consentimiento se aplica en un contexto limitado.
El consentimiento debe darse en relación con los diversos aspectos del tratamiento, claramente identificados. Esto implica saber cuáles son los datos y los motivos del tratamiento. Este conocimiento debería basarse en las expectativas razonables de las partes. Por tanto, el “consentimiento específico” está intrínsecamente relacionado con el hecho de que el consentimiento debe estar informado. Existe un requisito de precisión del consentimiento con respecto a los diferentes elementos del tratamiento de datos: no puede pretenderse que abarque “todos los fines legítimos” perseguidos por el responsable del tratamiento. El consentimiento debe referirse al tratamiento que es razonable y necesario en relación con la finalidad”.
En General, como se ha dicho, el principio de transparencia debe entenderse como un aspecto fundamental de los principios de tratamiento lícito y xxxx. Interesa reiterar lo expresado en los Considerandos 39 y 60 y las referencias que contienen a la necesidad de facilitar información para garantizar un tratamiento xxxx y transparente:
“39. Todo tratamiento de datos personales debe ser lícito y xxxx. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dicho datos son o serán tratados… Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento xxxx y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales”.
“60. Los principios de tratamiento xxxx y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento xxxx y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales”.
Y en el también citado documento del Grupo de Trabajo del Artículo 29 “Directrices sobre la transparencia en virtud del Reglamento 2016/679”, adoptadas el 29/11/2017 y revisadas el 11/04/2018, que analiza el alcance que debe atribuirse al principio de transparencia, se indica:
“Una consideración fundamental del principio de transparencia esbozado en estas disposiciones es que el interesado debe poder determinar de antemano el alcance y las consecuencias derivadas del tratamiento, y que no debe verse sorprendido en un momento posterior por el uso que se ha dado a sus datos personales”.
En relación con la información sobre la categoría de datos personales que son recabados y utilizados por CAIXABANK, alega que el artículo 13 del RGPD no exige proporcionar a los interesados esta información de forma obligatoria, si bien, no obstante, ofrece un listado suficientemente descriptivo de los tipos de datos que se tratan en base al consentimiento, de conformidad con lo establecido en las Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679, del Comité Europeo de Protección de Datos (CEPD).
Asimismo, alega (i) que es suficiente la información que facilita sobre el tratamiento de datos de movimientos, recibos, nominas, siniestros y reclamaciones, considerando que se trata de productos y operativas del cliente, que conoce la información que incluyen; y (ii) que esa información no incluye datos sensibles.
Advierte al respecto que la obligación que pretende imponer la AEPD supondría, por un lado, la necesidad de informar sobre datos concretos, que implicaría una fatiga informativa difícil de vencer; y, por otro lado, supondría también informar sobre lo que no se hace, en base a una sospecha de tratamiento de datos sensibles.
Esta alegación no puede ser estimada, de acuerdo con los argumentos ya expuestos en este apartado. Considera esta Agencia que la reseña de aquellos conceptos (movimientos, recibos, nominas, siniestros y reclamaciones), sin incluir el detalle de las categorías de datos
que incluyen, es insuficiente para entender cumplida la obligación de informar sobre las categorías de datos personales que son recabados y sometidos a tratamiento y, en definitiva, para que el interesado pueda tener la información esencial y necesaria para la toma de sus decisiones y comprender lo que está autorizando, así como para el ejercicio de sus derechos.
Sin olvidar que aquellos conceptos se incluyen como ejemplos, precedidos de la expresión “tales como” y seguidos del término “etc.”.
En cuanto a la sospecha de esta Agencia sobre la posibilidad de que CAIXABANK pudiera estar amparando, con la información ofrecida, la recogida y tratamiento de categorías especiales de datos, debe reiterarse que la misma resulta de la propia información ofrecida en los documentos objeto de las actuaciones. Por un lado, se dice que podrán obtenerse datos de productos y servicios contratados por el cliente, “tales como movimientos de cuentas o tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas…, etc.”, y, por otro lado, se indica también que se recabarán “todos los datos que se generen en la contratación y operativas” de esos productos y servicios. Luego, nada impide entender que pudieran recabarse por CAIXABANK categorías de datos como emisor y concepto de los recibos domiciliados, que podrían estar referidos al pago de una cuota sindical, pagos a una entidad de atención sanitaria, cuotas a un partido político o donaciones a una entidad religiosa, asociaciones de la sociedad civil o a grupos de activismo político, que podrían servir para vincular al interesado con determinadas posiciones ideológicas, raza, religión, etc.
En cualquier caso, esta cuestión no ha determinado ninguna imputación a CAIXABANK por tratamiento de datos de esta naturaleza, si bien se incluye esta circunstancia, como se ha dicho, en la medida en que la información proporcionada es defectuosa y podría servir de cobertura para una recogida y tratamiento de datos personales inaceptable.
Lo expresado anteriormente sirve tanto para la obtención de datos personales generados en la contratación de productos y servicios con CAIXABANK, como los generados en la contratación de productos y servicios con terceros.
Por otra parte, en relación con la información sobre la categoría de datos personales que no se obtienen del interesado, CAIXABANK alega que cumple con esta obligación informando en la Cláusula 8 del “Contrato Marco” cuando se indica que “los datos del firmante podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos xx xxxxxxx públicas, así como por datos estadísticos, socioeconómicos (en adelante, “Información Adicional”) siempre verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos”.
Sin embargo, con esta información el interesado no tiene detalle sobre los tipos de datos que se recabarán de esas fuentes externas o como serán complementados y enriquecidos. No resulta suficiente a tales efectos con indicar que se recabarán datos xx xxxxxxx externas, de empresas proveedoras x xxxxxxx públicas, que no son categorías de datos personales; y tampoco resulta suficiente con indicar que los datos del cliente se complementarán con datos estadísticos y socioeconómicos sin más detalle que delimite las categorías que se tratarán en realidad.
Nada se indica tampoco por CAIXABANK en sus alegaciones sobre los datos
confeccionados a partir de todos los anteriores.
También se alega por parte de CAIXABANK que no puede exigirse esta información en relación con las categorías de datos que se tratan en base al interés legítimo. Sin embargo, esta Agencia no exige esta información tal y como la expresa CAIXABANK. Lo que se defiende es la necesidad de informar en tales casos cuando la información tratada en base al interés legítimo, incluido los perfiles elaborados con esta base jurídica, se emplee también para tratamientos basados en el consentimiento.
Del mismo modo, en caso de tratamientos de datos personales basados en intereses legítimos realizados con datos personales que no se obtuvieron del interesado, la obligación de informar sobre las categorías de datos personales utilizados en ese tratamiento viene determinada, también, por lo establecido en el artículo 14 del RGPD.
También en relación con la información sobre las categorías de datos personales advierte CAIXABANK que mejora la información en su nueva Política de Privacidad. No hay más que ver la información sobre categorías de datos que CAIXABANK ha incluido en este nuevo documento, aportada a las actuaciones junto con sus alegaciones a la propuesta de resolución, para entender que la información analizada no puede entenderse satisfactoria, que no es suficiente con hacer referencia a movimientos de cuentas o tarjetas, recibos, nóminas, siniestros y reclamaciones. Sirven algunos ejemplos tomados de esta nueva Política de Privacidad para ilustrar sobre categorías de datos que no detalla CAIXABANK en los documentos objeto de las presentes actuaciones, ni el interesado podía deducir a partir de la información que se facilita: unidad o círculo familiar; datos fiscales; datos tributarios; información sobre inversiones realizadas y su evolución; o agrupación de clientes en categorías y segmentos en función de edad, patrimonio, operativa, hábitos de consumo, preferencias, demografía.
Finalmente, considera CAIXABANK que la incorporación de toda aquella información relativa a la tipología de datos daría lugar a un documento excesivamente extenso, susceptible de ocasionar fatiga informativa en los interesados. Las Directrices del GT29 sobre Transparencia recomiendan evitar esa consecuencia, pero tal propósito no puede tomarse como una justificación para omitir información necesaria. Obliga a estructurar la información adecuadamente, pero no a limitarla.
Esas Directrices exigen a los responsables del tratamiento demostrar responsabilidad proactiva en el desarrollo y utilización de métodos para dar cumplimiento a los requisitos de transparencia que eviten la fatiga del interesado. Aunque ofrecen numerosas recomendaciones y ejemplos de distintas modalidades para facilitar la información, se advierte que son los responsables del tratamiento los que deciden las herramientas de información de las que se sirven.
- Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.
En cuanto a las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento, la entidad CAIXABANK, en el “Contrato Marco” refiere tratamientos similares en relación con finalidades distintas, amparadas en el interés legítimo
en unos casos y en el consentimiento en otros. Xxxx puede suponer que un tratamiento no consentido por el interesado se lleve finalmente a cabo al amparo del interés legítimo del responsable, desvirtuando la capacidad de los clientes de decidir sobre el destino de sus datos personales.
En relación con los tratamientos basados en el interés legítimo se facilita información sobre las finalidades en los términos siguientes:
. “le remitiremos actualizaciones e información acerca de productos o servicios similares a los que ya tenga contratados”.
. “personalizar su experiencia comercial en nuestros canales en base a anteriores usos”
. “ofrecerle productos y servicios que se ajusten a su perfil”.
. “aplicarle beneficios y promociones que tengamos vigentes y a los que tenga derecho”
. “evaluar si podemos asignarle límites de crédito pre concedidos”.
En relación con los tratamientos basados en el consentimiento se facilita información sobre las finalidades en los términos siguientes:
. “Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”
. “efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias”
. “Diseñar nuevos productos o servicios”
. “definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo CaixaBank”.
. “Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o telemáticos, relativas a los productos y servicios que, en cada momento: a) comercialice CaixaBank o cualquiera de las Empresas del Grupo CaixaBank b) comercialicen otras empresas participadas por CaixaBank y terceros”.
La información ofrecida puede provocar confusión, a un ciudadano medio, sobre la base jurídica que justifica el tratamiento, en el sentido expresado.
En este caso, vista de la Evaluación de Impacto, de 29/04/2019, que analiza el tratamiento de datos derivados del perfilado, junto con el informe de interés legítimo correspondiente a este tratamiento, aportada por CAIXABANK en la fase de prueba del presente procedimiento, se desprende que esta entidad era consciente de las deficiencias antes descritas, apreciadas en relación con la información sobre la base jurídica del tratamiento.
Los tratamientos de datos a los que se refiere esta Evaluación de Impacto consisten en la “Selección de público objetivo previo a la realización de campañas por distintos canales y elaboración de listados o informes no agregados con finalidad comercial” y el posterior “Impacto publicitario al público objetivo por distintos canales”. Para ambas finalidades, en esta evaluación se expresa, como “título habilitante”, el “consentimiento o interés legítimo, según corresponda”.
En concreto, sobre el “título habilitante” o base jurídica del tratamiento de datos personales consistente en la selección de público objetivo previo a la realización de campañas comerciales, se dice expresamente lo siguiente:
“2.1 (…) El primer tratamiento analizado responde a la necesidad de analizar y seleccionar de forma previa a cualquier impacto comercial el público objetivo de una potencial campaña...
A los efectos de determinar el título habilitante del tratamiento de este tratamiento de datos, resulta
necesario discriminar entre aquellos clientes a los cuales se les haya facilitado los formularios de consentimiento de tratamientos de datos adaptado a los requerimientos del RGPD (clientes remediados) de aquellos clientes que no hayan recibido aún estos formularios actualizados.
Así, en referencia a aquellos clientes que hubieran consentido expresamente el tratamiento de sus datos con finalidades de perfilado previo al envío de comunicaciones comerciales, no cabría duda de que este tratamiento quedaría amparado.
Por otra parte, respecto de aquellos clientes que aún no hubieran prestado su consentimiento de forma expresa en los términos previstos en el contrato marco remediado al RGPD, sólo podría englobarse este tratamiento dentro del interés legítimo perseguido por el responsable del tratamiento, y únicamente para aquellos clientes que no se hubieran opuesto expresamente al perfilado de sus datos o al envío de comunicaciones comerciales, lo cual, por lógica, debería ser una oposición a su inclusión en procesos de selección previa de público objetivo para la recepción de unas comunicaciones comerciales que, en última instancia, no podrán enviarse (lo anterior por cuanto el cliente no tendría expectativa razonable de que sus datos sean utilizados para dicha finalidad).
Respecto del tratamiento consistente en el “Impacto publicitario al público objetivo por distintos canales” se dice lo siguiente:
“Por último, respecto al tercer tratamiento, consistente en la ejecución práctica del resultado de los dos tratamientos antes analizado (perfilados para la selección del público objetivo de las campañas y realización de informes no agregados sobre los mismos), nuevamente nos encontramos ante un tratamiento que responde al mismo análisis jurídico que se ha descrito en el apartado 2.1 anterior.
Así, como regla general, y siguiendo el criterio refrendado por el Comité de Privacidad en fecha 15 xx xxxx de 2018, los tratamientos con finalidad comercial que no se basen en el consentimiento expreso del interesado, sólo podrán ampararse en el interés legítimo en caso de que se cumplan los requisitos descritos en el acta del referido Comité”.
Por otra parte, en el documento mediante el que el cliente suscribe el alta en el servicio de agregación se incluye como objeto del contrato la personalización de ofertas comerciales ajustadas al perfil y situación del contratante por parte de CAIXABANK y la mejora del análisis de riesgos e idoneidad para la contratación de productos y servicios solicitados por el contratante y la mejora de la gestión de impagos e incidencias derivadas de los productos y servicios contratados; y entre los tratamientos que se citan con la finalidad de gestionar el servicio se incluye la mejora de la gestión de impagos e incidencias y el seguimiento de los productos; mientras que en el “Contrato Marco” se requiere el consentimiento del cliente para llevar a cabo tratamientos de datos personales con estas finalidades (la mención a los tratamientos indicados en el objeto del contrato del servicio de agregación y en relación con la gestión del servicio ha sido suprimida en la nueva versión de este contrato aportada por CAIXABANK con su escrito de alegaciones).
La información sobre los fines, en general, está muy ligada al principio de limitación de la finalidad, regulado en el artículo 5.1 b) del RGPD, que establece lo siguiente:
“1. Los datos personales serán:
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»)”.
La importancia de este principio viene determinada por su objeto, que no es otro que establecer los límites dentro de los cuales los datos personales pueden ser tratados y la medida en que pueden utilizarse, además de determinar los datos que podrán recopilarse.
Para ser “explícito”, un fin deberá ser inequívoco y expresarse claramente, con el detalle suficiente para que el interesado, cualquier interesado, conozca de forma cierta cómo serán o no tratados los datos y favoreciendo el ejercicio de sus derechos y la evaluación del cumplimiento de la normativa. Para ser “explícita”, la finalidad también deberá ser revelada, lo que debe tener lugar en el momento en que se recaban los datos personales
Sobre esta cuestión, el Grupo de Trabajo del Artículo 29 se pronunció en su Dictamen 03/2013, sobre limitación de los fines. En este trabajo, se consideró que deben rechazarse, por inespecíficas, las finalidades expresadas con fórmulas vagas o demasiado generales, tales como “mejorar la experiencia de los usuarios”, “propósitos de comercialización” o “investigación futura”.
En este Dictamen se indica que cuanto más complejo sea el tratamiento de los datos personales, los fines deben especificarse de manera más detallada y exhaustiva, “incluyendo, entre otras cosas, la forma en que se procesan los datos personales. También deben revelarse los criterios de decisión utilizados para la elaboración de perfiles de clientes”.
De acuerdo con lo expuesto, las finalidades para las que se tratarán los datos personales sobre las que CAIXABANK informa a sus clientes, no se ajustan a los mencionados requisitos de transparencia, especialmente si consideramos la ingente cantidad de datos personales que somete a tratamiento, individual o globalmente considerada, y los complejos procesos técnicos a los que son sometidos, sobre todo para la elaboración de perfiles, que son utilizados con todos los propósitos descritos en la información que ofrece a sus clientes:
. “personalizar su experiencia comercial en nuestros canales”.
. “ofrecerle productos y servicios que se ajusten a su perfil”.
. “tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente”.
. “Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”.
. “ofertas comerciales ajustadas a sus necesidades y preferencias”.
. “definir o mejorar las experiencias de los usuarios”.
En las alegaciones de CAIXABANK se niegan, una vez más, las conclusiones obtenidas por esta Agencia del análisis de los documentos en cuestión, esta vez en relación con la confusión que provoca la información sobre los tratamientos de datos realizados en base al interés legítimo y en el consentimiento, antes destacadas, y, de nuevo, otra vez más, advierte que la Nueva Política de Privacidad “reconfigura las divergencias entre los tratamientos basados en el interés legítimo y en el consentimiento”.
Y tampoco en este caso ofrece ninguna explicación sobre las deficiencias anteriores, a las que CAIXABANK no se refiere.
- Información sobre el interés legítimo del responsable
Asimismo, los preceptos citados establecen la obligación del responsable de informar sobre los intereses legítimos en los que basa el tratamiento de los datos personales (los artículos 13 y 14 del RGPD establece la obligación de informar sobre “los intereses legítimos del responsable o de un tercero”). Sin embargo, la información ofrecida por CAIXABANK
queda indefinida en cuanto a la base del tratamiento, de modo que no fundamenta debidamente esta habilitación para el tratamiento de los datos, resultando, por ello, contraria al principio de transparencia.
El Considerando 47 del RGPD resulta especialmente clarificador en la tarea de precisar el contenido y alcance de esta base legitimadora del tratamiento, descrita en la letra f) del artículo 6.1 del RGPD. De lo expuesto en este Considerando, interesa destacar como criterio interpretativo, que la aplicación de esta base legitimadora ha de ser previsible para sus destinatarios, teniendo en cuenta sus expectativas razonables.
El Grupo de Trabajo del Artículo 29 elaboró el Dictamen 6/2014 relativo al “Concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE”, de fecha 09/04/2014. Aunque este Dictamen 6/2014 se emitió para favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente, derogada por el RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del RGPD, y habida cuenta de que las reflexiones que el Dictamen ofrece son exponente y aplicación de principios que inspiran también el RGPD -como el principio de proporcionalidad- o de principios generales del Derecho comunitario –el principio de equidad y de respeto a la ley y al Derecho- muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual, el RGPD.
El Dictamen mencionado se refiere al “Concepto de interés” en los siguientes Términos:
“El concepto de “interés” está estrechamente relacionado con el concepto de “finalidad” mencionado en el artículo 6 de la Directiva, aunque se trata de conceptos diferentes. En términos de protección de datos, “finalidad” es la razón específica por la que se tratan los datos: el objetivo o la intención del tratamiento de los datos. Un interés, por otro lado, se refiere a una mayor implicación que el responsable del tratamiento pueda tener en el tratamiento, o al beneficio que el responsable del tratamiento obtenga -o que la sociedad pueda obtener- del tratamiento.
Por ejemplo, una empresa puede tener un interés en garantizar la salud y seguridad del personal que trabaje en su central nuclear. Por consiguiente, la empresa puede tener como finalidad la aplicación de procedimientos de control de acceso específicos que justifique el tratamiento de determinados datos personales específicos con el fin de velar por la salud y la seguridad del personal.
Un interés debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado. Además, el interés en juego debe también ser “perseguido por el responsable del tratamiento”. Esto exige un interés real y actual, que se corresponda con actividades presentes o beneficios que se esperen en un futuro muy próximo. En otras palabras, los intereses que sean demasiado vagos o especulativos no serán suficientes.
La naturaleza del interés puede variar. Algunos intereses pueden ser apremiantes y beneficiosos para la sociedad en general, tales como el interés de la prensa en publicar información sobre la corrupción gubernamental o el interés en llevar a cabo investigación científica (sujetos a las garantías adecuadas). Otros intereses pueden ser menos apremiantes para la sociedad en su conjunto o, en cualquier caso, el impacto de su búsqueda en la sociedad puede ser más dispar o controvertido. Esto puede, por ejemplo, aplicarse al interés económico de una empresa en aprender tanto como sea posible sobre sus potenciales clientes con el fin de orientar mejor la publicidad sobre sus productos y servicios”.
En el apartado conclusiones de este Dictamen se añade:
“El concepto de “interés” es la implicación más amplia que el responsable del tratamiento pueda tener
en el tratamiento, o el beneficio que este obtenga, o que la sociedad pueda obtener, del tratamiento. Este puede ser apremiante, claro o controvertido. Las situaciones a las que hace referencia el artículo 7, letra f), pueden variar, por tanto, del ejercicio de derechos fundamentales o la protección de intereses personales o sociales importantes a otros contextos menos obvios o incluso problemáticos.
…Debe estar articulado también con la claridad suficiente y debe ser lo suficientemente específico para permitir que la prueba de sopesamiento se realice en contraposición a los intereses y los derechos fundamentales del interesado. Debe también representar un interés real y actual, es decir, no debe ser especulativo”.
El “interés” va más allá que la “finalidad”. En términos del GT29 representa “una mayor implicación que el responsable del tratamiento pueda tener en el tratamiento, o el beneficio que el responsable del tratamiento obtenga”; mientras que “finalidad”, en términos de protección de datos, “es la razón específica por la que se tratan los datos: el objetivo o la intención del tratamiento de los datos.
En este caso el “interés” no se expresa. La entidad CAIXABANK no informa en el “Contrato Marco” ni en la “Política de Privacidad” sobre ningún interés específico al referirse a los tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica. Se limita a señalar los tratamientos que realiza con esta base jurídica y las finalidades, principalmente comerciales, para las que son tratados los datos personales, pero ningún interés legítimo de CAIXABANK en el sentido expresado.
Esta Agencia considera que estos tratamientos de los datos personales, tal como aparecen fundamentados en los documentos mediante los que se informa a los interesados en materia de protección de datos, no pueden ampararse en la base jurídica del interés legítimo, que exige una evaluación para determinar los intereses o derechos que prevalecen. Esta ponderación ha de tener en cuenta “las expectativas razonables de los interesados basadas en su relación con el responsable”, entendidas como lo que el interesado puede percibir o deducir como razonable por sí mismo en base a las circunstancias específicas que se dan en cada caso, lo que pudo prever en el momento de la recogida de datos de forma razonable.
El concepto “expectativa razonable” debe utilizarse siempre con moderación, atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de la relación o servicio que les vincula, que podrían dar lugar al uso posterior de los datos personales de éste. Se tiene en cuenta el contexto para poder delimitar, en base a todo ello, el tratamiento ulterior de los datos que el interesado puede esperar que se realice. Esta “expectativa razonable” del cliente se tiene que deducir por sí misma.
La información que ofrece CAIXABANK sobre utilizaciones de datos basadas en el interés legítimo resulta contraria al planteamiento anterior, por cuanto dicha información es insuficiente para justificar esta habilitación legal y para realizar el juicio de ponderación que permita determinar si dichas razones prevalecen sobre los intereses y derechos del interesado, limitando la posibilidad de que el cliente pueda sopesar correctamente la actuación de la entidad. La determinación específica del interés de CAIXABANK, articulado con claridad suficiente, permitirá al interesado contraponer sus propios intereses. Posibilita, asimismo, un mejor análisis sobre la realidad y actualidad de dicho interés.
Todo ello sin olvidar lo ya indicado en relación con la utilización de términos imprecisos y formulaciones vagas en la información facilitada, en particular en lo relativo a la definición
de las finalidades.
Sobre el interés legítimo del responsable y la prueba de ponderación, el documento del Grupo de Trabajo del Artículo 29 “Directrices sobre la transparencia en virtud del Reglamento 2016/679”, adoptadas el 29/11/2017 y revisadas el 11/04/2018, ofrece los siguientes criterios:
“El interés específico en cuestión debe identificarse en beneficio del interesado. Como cuestión de buena práctica, el responsable del tratamiento también puede facilitar al interesado la información resultante del “examen de ponderación” que debe llevarse a cabo para poder acogerse a lo dispuesto en el artículo 6, apartado 1, letra f), como base lícita para el tratamiento, con anterioridad a cualquier recogida de los datos personales de los interesados. Para evitar la fatiga informativa, esto puede incluirse dentro de una declaración/aviso de privacidad estructurado en niveles (véase el apartado 35). En cualquier caso, la posición del GT29 es que la información dirigida al interesado debe dejar claro que este puede obtener información sobre el examen de ponderación previa petición. Esto resulta fundamental para que la transparencia sea efectiva cuando los interesados duden de si el examen de ponderación se ha llevado a cabo lealmente o desean presentar una reclamación ante la autoridad de control”.
Por otra parte, en cuanto a los tratamientos de datos realizados en base al interés legítimo, tanto el “Contrato Xxxxx” como la “Política de Privacidad” señalan los siguientes:
. Envío de “actualizaciones e información acerca de productos o servicios similares a los que ya tenga contratados”.
. Tratamiento de la información “personalizar su experiencia comercial en nuestros canales en base a anteriores usos”.
. Oferta de productos y servicios “que se ajusten a su perfil”
. Tratamientos de datos “para aplicarle beneficios y promociones que tengamos vigentes y a los que tenga derecho”
. Tratamientos de datos “para evaluar si podemos asignarle límites de crédito pre concedidos”.
Sin embargo, se ha comprobado que CAIXABANK realiza otros tratamientos de datos personales en base al interés legítimo sobre los que no informa en ningún momento a los interesados. Así resulta del examen del Registro de las actividades de tratamiento de datos personales y evaluaciones de impacto aportadas por CAIXABANK durante la fase de pruebas, a requerimiento del instructor del procedimiento. En estos documentos se especifican, entre otros, los tratamientos basados en el interés legítimo siguientes:
. Seguimiento de la actividad comercial y del cumplimiento de los retos de empleados.
. Utilización de la base de datos de INFORMA EMPRESAS comprados por CaixaBank detallando los accionistas y administradores de empresas para cruzarla con información de CaixaBank para la realización de informes agregados.
. Estructuración de información de servicios informativos en Datapool.
. Monitorización de las actividades de los usuarios registradas en los sistemas y del tráfico de red para la protección frente a ciberataques, y la prevención del fraude en canales electrónicos.
. Monitorización de las actividades y relaciones de los usuarios para prevenir el fraude y el mal uso de los sistemas de información de CaixaBank.
. Realización de estudios por parte de CaixaBank cuyo resultado final es agregado y/o estadístico con la finalidad de profundizar en el conocimiento del comportamiento de la economía española o de sectores de la misma.
. Comunicación de datos entre CaixaBank y las empresas participadas por ésta con la finalidad de
realizar informes internos (sin datos de carácter personal), que nos permitan, entre otros aspectos, realizar estudios xx xxxxxxx y modelos matemáticos para establecer la estrategia de negocio del Grupo CaixaBank” (entre estas operaciones de tratamiento se incluye la realización de estadísticas de consumo y comercio para ponerla a disposición de terceros).
. Seguimiento del sector turístico a partir de los datos internos disponibles ((i) datos procedentes de la operativa de TPVs Comercia: PAN encriptado de las tarjetas, geolocalización del TPV, importe y hora de la transacción, sector de actividad asociado al comercio y país de emisión de la tarjeta); (ii) datos de operativa de tarjetas de clientes de CaixaBank Payments: porcentaje del gasto de clientes de CaixaBank Payments en TPV de Comercia sobre el total del gasto total de las tarjetas de clientes en TPV de terceras entidades, calculado a nivel de código postal).
Algunos de estos tratamientos, y otros más, también se mencionan en el documento denominado “Tratamientos de datos de carácter personal en base al interés legítimo”, al que puede accederse a través de la web “xxxxxxxxx.xx”, incorporado a las actuaciones por los Servicios de Inspección de la Agencia con fecha 07/01/2020, el cual consta reproducido en Anexo VI:
. Seguimiento del cumplimiento de los objetivos, incentivos o premios fijados a nuestros empleados.
. Comunicación de datos entre CaixaBank y las empresas participadas por ésta con la finalidad de realizar informes internos (sin datos de carácter personal), que nos permitan, entre otros aspectos, realizar estudios xx xxxxxxx y modelos matemáticos para establecer la estrategia de negocio del Grupo CaixaBank.
. Creación de modelos estadísticos (sin datos de carácter personal) que ayuden a la Entidad a conocer mejor las preferencias y gustos de nuestros clientes, colaborando en la mejora del diseño y ejecución de acciones comerciales, así como realizando informes agregados sobre el resultado de los modelos para llevar a cabo el seguimiento del comportamiento de los clientes.
. Estructuración y perfilado de la información tratada por la Entidad para mantener los recursos y sistemas técnicos preparados para atender de manera eficiente las necesidades de gestión.
. Control y supervisión de la actividad de la Entidad mediante muestreos y autoevaluaciones con la finalidad de identificar y valorar posibles riesgos en la comercialización de productos, controles y evaluar el cumplimiento de normas y reglamentos internos.
. Control y supervisión de operativas con la finalidad de prevenir fraudes, tanto a clientes como a la propia Entidad.
Sin embargo, este documento no se facilita a los interesados ni consta ninguna referencia al mismo en el “Contrato Marco”, el “Contrato de Consentimientos” o en la “Política de Privacidad”, de modo que CAIXABANK no puede tener certeza sobre el acceso de los clientes a esta información ni está en situación de poder acreditar este acceso.
Sobre este documento denominado “Tratamientos de datos de carácter personal en base al interés legítimo” interesa destacar, asimismo, que la relación de tratamientos basados en el interés legítimo que contiene se presenta como un listado abierto que “será actualizado de forma permanente para incluir nuevos tratamientos, o dar de baja los que se dejen de realizar”. Este planteamiento de CAIXABANK debe rechazarse por cuanto podría dar lugar a la realización de tratamientos de datos sobre los que no se informa puntualmente a los interesados en los documentos que suscriben sobre protección de datos de carácter personal, como así ocurre en los ejemplos señalados.
Si no se informa debidamente a los interesados sobre los tratamientos, y menos aún sobre el concreto interés perseguido por el responsable con estos tratamientos sobre los que no se informa, difícilmente pueden éstos enfrentar los intereses legítimos de CAIXABANK a sus propios intereses y derechos, ni tienen oportunidad si quiera de ejercer el derecho de oposición.
En su escrito de alegaciones a la propuesta de resolución, CAIXABANK no hace ninguna mención a esta falta de información sobre el interés legítimo perseguido, que supone un incumplimiento de los dispuesto en el artículo 13.1.d) del RGPD, ni tampoco a las demás circunstancias expresadas en el presente apartado.
- Información sobre elaboración de perfiles
Otro aspecto importante relativo al asunto analizado tiene que ver con la utilización de los datos personales para la elaboración de perfiles de los clientes, entendida como cualquier forma de tratamiento de datos personales que evalúe aspectos personales relativos a una persona física. Según el art. 13.1.c) del RGPD, el responsable debe informar al interesado de los fines del tratamiento, así como de su base jurídica, lo que supone que deberá informarle sobre la elaboración de perfiles cuando el responsable haya previsto tal finalidad y precisar la base jurídica que ampara el tratamiento con ese fin.
El artículo 11 de la LOPDGDD establece el contenido mínimo de la información básica que debe facilitarse al interesado:
“2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: (…)
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia”.
El Considerando 60 del RGPD también se refiere a la obligación de “informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración”.
Sobre los principios relativos al tratamiento de datos personales, cuando estos consistan en la elaboración de perfiles, las Directrices del Grupo de Trabajo del Artículo 29 sobre decisiones individuales automatizadas y elaboración de perfiles a efectos del Reglamento 2016/679, adoptadas el 03/10/2017 y revisadas el 06/02/2018, señalan lo siguiente:
“La transparencia del tratamiento es un requisito fundamental del RGPD.
El proceso de elaboración de perfiles suele ser invisible para el interesado. Funciona creando datos derivados o inferidos sobre las personas (datos personales «nuevos» que no han sido directamente facilitados por los propios interesados). Las personas tienen distintos niveles de comprensión y les puede resultar difícil entender las complejas técnicas de los procesos de elaboración de perfiles y decisiones automatizadas”.
“Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los responsables del tratamiento deben garantizar que explican a las personas de forma clara y sencilla el funcionamiento de la elaboración de perfiles o las decisiones automatizadas.
En particular, cuando el tratamiento implique la toma de decisiones basada en la elaboración de perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22), debe aclararse al usuario el hecho de que el tratamiento tiene fines tanto de a) elaboración de perfiles como de b) adopción de una decisión sobre la base del perfil generado
El considerando 60 establece que facilitar información acerca de la elaboración de perfiles forma parte de las obligaciones de transparencia del responsable del tratamiento según el artículo 5, apartado 1,
letra a). El interesado tiene derecho a ser informado por el responsable del tratamiento, en determinadas circunstancias, acerca de su derecho de oposición a la «elaboración de perfiles» independientemente de si se han producido decisiones individuales basadas únicamente en el tratamiento automatizado sobre la base la elaboración de perfiles”.
“El responsable del tratamiento debe mencionar explícitamente al interesado detalles sobre el derecho de oposición según el artículo 21, apartados 1 y 2, y presentarlos claramente y al margen de cualquier otra información (artículo 21, apartado 4).
Según el artículo 21, apartado 1, el interesado puede oponerse al tratamiento (incluida la elaboración de perfiles) por motivos relacionados con su situación particular. Los responsables del tratamiento están específicamente obligados a ofrecer este derecho en todos los casos en los que el tratamiento se base en el artículo 6, apartado 1, letras e) o f)”.
La información objeto de las actuaciones se refiere a la elaboración de perfiles en numerosas ocasiones al describir las finalidades para las que se utilizarán los datos, o bien las finalidades que se detallan conllevan estas operaciones de perfilado. Así puede entenderse, por ejemplo, en relación con la personalización de ofertas o de la experiencia del cliente o la finalidad de “conocerte mejor”.
Por tanto, CAIXABANK realiza tratamientos de datos personales de sus clientes para proceder a su perfilado, que posteriormente utiliza. En la mayor parte de los supuestos en los que se refiere a la elaboración de perfiles o a la utilización de datos que sean resultado de actividades de perfilado, el fundamento de su acción está basado, conforme a la información que facilita a los interesados, en el consentimiento de éstos (Cláusula 8 del Contrato Marco); salvo en lo que se refiere a la “personalización de la experiencia” del cliente o envío de información en la que éste pueda tener interés, que CAIXABANK ampara en el interés legítimo, sobre el que ya se ha indicado que la información es insuficiente.
Por las razones ya expresadas en relación con la falta de justificación del interés legítimo, han de rechazarse las operaciones de tratamiento que incluyan la elaboración de perfiles o que estén basadas en estos perfiles y que tengan base legal en el interés legítimo del responsable.
Además, en relación con las operaciones de perfilado no se cumplen, a juicio de esta Agencia, las exigencias de información descritas. CAIXABANK se limita a informar sobre actuaciones que puede desarrollar adaptadas al “perfil de cliente” o “personalizadas”, pero no ofrece una información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o la posibilidad de que el interesado pueda ejercer el derecho de oposición en aplicación del artículo 21.2 RGPD, cuando el perfilado esté relacionado con actividades de mercadotecnia directa.
En los términos del GT29, no se “explican a las personas de forma clara y sencilla el funcionamiento de la elaboración de perfiles” ni se les advierte sobre la adopción de decisiones “sobre la base del perfil generado”, independientemente de si entran en el ámbito de las disposiciones del artículo 22.
El concepto de perfilado no se trata de forma sistematizada por CAIXABANK. De hecho, en la Política de Privacidad solo se habla de “conocerte mejor, es decir, estudiar tus necesidades para saber qué nuevos productos y servicios se ajustan a tus preferencias y analizar la información que nos permita tener determinado por anticipado cuál es tu capacidad crediticia”, omitiendo la elaboración de perfiles, a pesar de que esta finalidad,
según aparece enunciada, precisa hacer un perfilado previo.
Esto supone un incumplimiento de lo establecido en el artículo 11 de la LOPDGDD.
En este caso, además, las operaciones de tratamiento basadas en el perfilado del cliente van más allá de la mejora de la experiencia o del envío de ofertas comerciales ajustadas a las necesidades y preferencias del cliente, hasta el punto de que dicho perfilado se utiliza por CAIXABANK para el diseño de productos y servicios o mejorar el diseño y usabilidad de los existentes, es decir, para su propio negocio.
CAIXABANK dedica un subapartado de sus alegaciones a la elaboración de perfiles, pero sin ofrecer ninguna explicación sobre las deficiencias apreciadas, a las que no se refiere.
En relación con las operaciones de perfilado, en sus alegaciones a la apertura del procedimiento advierte CAIXABANK que se incluyeron tratamientos en la cláusula redactada en 2016 (se refiere a la Cláusula 8 del “Contrato Marco”, la relativa a los tratamientos basados en el consentimiento del cliente), cuando no se disponía de criterios claros, que podrían ampararse en otra base jurídica distinta al consentimiento, como las obligaciones legales (control de fraudes y gestión de riesgos) o la relación contractual (seguimiento y adopción de medias recuperatorias). Añade que lo que se ha producido es un exceso de información.
Posteriormente, en sus alegaciones a la propuesta de resolución reitera esta alegación indicando que en esa cláusula se cometía el error (subsanado en la Nueva Política de Privacidad), de listar operaciones de tratamiento que no tenían que ver con el consentimiento para perfilado. Y enumera los concretos tratamientos que, a su juicio, pueden ampararse en otra base jurídica distinta al interés legítimo (el listado de los tratamientos a los que se refiere esta alegación consta reseñado en el Fundamento de Derecho siguiente).
Sin embargo, esta alegación no guarda relación con las deficiencias apreciadas en la información ofrecida sobre la elaboración de perfiles, antes expresadas, y es objeto de análisis en el Fundamento de Derecho siguiente, en el apartado que examina los tratamientos de datos basados en el consentimiento de los interesados. Cabe aclarar ahora que ha sido la propia entidad CAIXABANK la que decidió amparar los perfilados en el consentimiento.
Por otra parte, procede añadir que las conclusiones expresadas no enjuician la información ofrecida por su amplitud (CAIXABANK alega un exceso de información y aporta un ejemplo de cláusula reducida), sino que se valora si es suficiente y adecuada a la norma.
En relación con esta cuestión de los perfilados, CAIXABANK alega que en la Cláusula
8 del “Contrato Marco”, se informa sobre las finalidades indicando que se pide el consentimiento para el “análisis, estudio y seguimiento para la oferta y diseño de producto ajustados a su perfil de cliente”, y se informa sobre la elaboración de perfiles al explicitar las operaciones de tratamientos que comprenden esta finalidad (“Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta”).
Ya se ha dicho anteriormente que la información ofrecida se refiere en ocasiones a la elaboración de perfiles al describir las finalidades para las que se usarán los datos personales. Pero esa información contenida en la Cláusula 8 del “Contrato Xxxxx” no salva aquellas otras informaciones sobre finalidades que conllevan operaciones de perfilado sobre
las que no se advierte al cliente. Además, CAIXABANK no explica la falta de información, en general, sobre los tipos de perfiles y los usos a los que se van a destinar, de modo que el interesado tenga conocimiento claro del funcionamiento de esos perfilados y, sobre todo, de las consecuencias de su elaboración. Estas circunstancias no se mencionan por CAIXABANK en sus alegaciones, y nada se dice en las mismas para justificar que no se informe al interesado acerca de la posibilidad de ejercer el derecho de oposición, cuando así procede.
- Información sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto y plazos de conservación.
Por otra parte, la información facilitada por CAIXABANK sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto no es uniforme en todos los documentos analizados.
El “Contrato Xxxxx” y la “Política de Privacidad” de CAIXABANK informan sobre los derechos que corresponden al interesado en materia de protección de datos personales, incluido el de revocación de los consentimientos otorgados, así como sobre los canales para ejercitarlos. Informan, asimismo, sobre la posibilidad de interponer una reclamación ante la Agencia Española de Protección de Datos y sobre la existencia de un Delegado de Protección de Datos del Grupo de empresas CaixaBank, con indicación de los medios para contactar con el mismo.
El “Contrato de Consentimientos” o documento de “Autorización/Revocación de consentimientos”, en cambio, en su versión 2, informaba sobre la posibilidad de ejercer los derechos, pero sin mencionar los que se establecen en la normativa aplicable, y tampoco hacía referencia a la existencia de un Delegado de Protección de Datos; si bien, estas deficiencias fueron subsanadas en la versión 3 del documento.
A referirse a la utilización de los datos en base al interés legítimo, el “Contrato Xxxxx” advierte expresamente sobre la posibilidad de oponerse. En la Política de Privacidad no se menciona el derecho de oposición, pero se indica “… si prefieres que no lo hagamos, solo tienes que decírnoslo, en…”. También se informa sobre el derecho de oposición en el documento insertado en la web de CAIXABANK relativo al “Tratamiento de datos de carácter personal en base al interés legítimo”.
La información que se ofrece para el acceso a datos personales de los clientes en redes sociales informa sobre los derechos recogidos en la LOPD, no en el RGPD:
“Usted podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición de acuerdo con la normativa de protección de datos. Para ejercitar estos derechos deberá dirigirse al domicilio de CaixaBank…”.
Asimismo, el contrato que regula el servicio de agregación informa sobre los derechos y canales para su ejercicio, la posibilidad de contactar con el Delegado de Protección de Datos y de reclamar ante esta Agencia, pero no menciona expresamente la posibilidad de revocar el consentimiento y sobre el derecho de oposición se indica lo siguiente:
“La no aceptación o la posterior oposición al tratamiento de sus datos, con las finalidades más adelante detalladas, implica que CaixaBank no podrá o (en su caso) deberá dejar de ofrecerle el servicio de agregación”.
Esta información se modifica en las nuevas estipulaciones del Contrato del Servicio de Agregación, en el que la información sobre el ejercicio de derechos queda como sigue:
“Ejercicio de Derechos
El titular de los datos podrá ejercer los derechos de acceso, rectificación, oposición, supresión, limitación y portabilidad, de acuerdo con la normativa, en las oficinas de CaixaBank, en el Apartado de Correos 209-46080 Valencia, en xxx.XxxxxXxxx.xxx/xxxxxxxxxxxxxxxxxxx, o en las opciones habilitadas a tal efecto en su banca digital o móvil”.
- Información sobre plazos de conservación de los datos personales
Al igual que se indicó en relación con las cuestiones indicadas en el apartado anterior, la información facilitada sobre los plazos de conservación de datos tampoco es uniforme en los documentos objeto de las actuaciones.
En cuanto a la conservación de datos, el “Contrato Marco” incluye un apartado específico sobre esta cuestión (11.3) con el contenido siguiente:
“Sus datos serán tratados mientras permanezcan vigentes las relaciones contractuales o de negocio establecidas o las autorizaciones de uso comercial otorgadas.
Una vez revocadas las autorizaciones de uso, o bien a los seis meses de finalizadas las relaciones contractuales o de negocio establecidas, no siendo sus datos necesarios para los fines para los que fueron recogidos o tratados, sus datos dejarán de tratarse.
De acuerdo con la normativa, los datos serán conservados a los únicos efectos de cumplir aquellas obligaciones legales impuestas a CaixaBank y/o Empresas del Grupo, y para la formulación, ejercicio o defensa de reclamaciones, durante el plazo de prescripción de las acciones derivadas de las relaciones contractuales o de negocio suscritas”.
Sin embargo, en el apartado 7.1 “Tratamientos de datos de carácter personal con la finalidad de gestionar las Relaciones Comerciales” se indica que los datos se cancelarán con el cese de todas las relaciones comerciales, sin hacer mención al plazo de seis meses posterior a las relaciones comerciales:
“… en el momento de cancelación por el Firmante de todas las Relaciones Comerciales, los mencionados tratamientos de datos cesarán, siendo sus datos cancelados conforme a lo establecido en la normativa aplicable, conservándolos CaixaBank debidamente limitado su uso hasta que hayan prescrito las acciones derivadas de los mismos”.
Por otra parte, el denominado “Contrato de Consentimientos” o “Autorización/revocación para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”, por su parte, indicaba en su versión 2 que los datos serían tratados mientras permanecieran vigentes las autorizaciones de uso otorgadas o las relaciones contractuales o de negocio establecidas, pero sin advertir sobre la utilización durante los seis meses posteriores a la finalización de dichas relaciones contractuales. Ese período de utilización de los datos de seis meses fue añadido en la versión 3 de este documento, con un alcance similar al reseñado en el
“Contrato Marco”:
“Las autorizaciones que usted otorgue permanecerán vigentes hasta su revocación o, en ausencia de esta, hasta transcurridos seis meses desde que usted cancele todos sus productos o servicios con CaixaBank o cualquier empresa del Grupo CaixaBank”.
Similar contenido contiene el apartado de la “Política de Privacidad” relativo a la conservación de datos personales.
En ninguno de los casos se motiva la conservación de los datos durante los seis meses posteriores a las relaciones contractuales o de negocio.
La información relativa al acceso a datos personales de los clientes en redes sociales no contiene ninguna indicación sobre la conservación de datos personales; mientras que el contrato que regula el servicio de agregación, aunque informa que los datos se tratarán mientras permanezcan vigentes las relaciones contractuales, advierte que, en el caso de que los datos se traten de acuerdo con su consentimiento, podrán ser tratados mientras no lo retire, aun finalizada la relación. En el clausulado del contrato de este servicio de agregación se indica:
“Los datos serán tratados mientras permanezcan vigentes las relaciones derivadas de las relaciones contractuales, y serán conservados (durante el plazo de prescripción de las acciones derivadas de dichas relaciones) a los únicos efectos de cumplir las obligaciones legales requeridas, y para la formulación, ejercicio o defensa de reclamaciones. Sin embargo, en el caso de que los datos se traten de acuerdo con su consentimiento, podrán ser tratados mientras no lo retire.
Sin perjuicio de lo anterior, CaixaBank le informa que procederá a eliminar de sus sistemas los datos recabados por el servicio de agregación:
(i) en el supuesto de eliminación de una entidad financiera, CaixaBank procederá a la eliminación de los datos de la entidad financiera eliminada.
(ii) en el supuesto que el contratante nos comunique su baja del Servicio, CaixaBank procederá a la eliminación de los datos de todas las terceras entidades financieras”.
(En el nuevo clausulado del Contrato del Servicio de Agregación se modifica la información sobre conservación de datos personales en relación con los tratamientos con finalidad comercial, indicando que serán tratados hasta la revocación del consentimiento o hasta transcurridos doce meses desde la finalización de la relación contractual).
CAIXABANK ha alegado que el plazo de conservación de seis meses posterior a la relación contractual es una medida autoimpuesta, que no existe obligación legal de motivar ese plazo y que la indicación de un plazo de seis meses en uno casos y doce en otros responde a que cada cliente tiene un contrato, por lo que no existe un plazo único de conservación.
Sobre esta cuestión conviene aclarar que no se juzga aquí la oportunidad y regularidad de esos plazos, si cumplen o no el principio establecido en el artículo 5 del RGPD, sino la información ofrecida, que no es uniforme en la información que se ofrece a los interesados. La propia entidad imputada ha resaltado en su escrito de alegaciones la conveniencia de regularizar esta información.
Estas diferencias en cuanto al plazo de conservación no pueden justificarse por el contrato que vincula al cliente con la entidad, dado que el plazo en cuestión no se refiere a la
conservación de los datos vinculados a la relación negocial, sino que se refiere a las autorizaciones de uso.
A lo largo del presente Fundamento de Derecho se han descrito las deficiencias apreciadas en relación con el cumplimiento del deber de información en materia de protección de datos por parte de CAIXABANK, que pueden resumirse, sucintamente, como sigue:
. La información ofrecida a los clientes de CAIXABANK no es uniforme. Los documentos dispuestos por CAIXABANK para informar a los clientes emplean una terminología diferente para referirse a las mismas cuestiones y no tienen el mismo contenido, por lo que no se ofrece la información con la misma amplitud en todos los casos.
. Se emplea una terminología imprecisa y formulaciones vagas, con significados ambiguos en algunos casos, y cuyo verdadero alcance no se desarrolla, dificultando que el destinatario de la información pueda concluir su alcance real y concreto.
. La información ofrecida sobre los tratamientos de datos personales basados en la relación contractual no permite valorar si todos los tratamientos incluidos en este apartado pueden ampararse en esa base jurídica.
. Información sobre las categorías de datos personales sometidos a tratamiento; y sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades específicas. No se cumple esta exigencia en relación con:
. Los tratamientos de datos cuya base jurídica venga determinada por el consentimiento del interesado, para los que se utilizan datos personales obtenidos a partir del uso de los productos y servicios contratados por el cliente, datos de navegación y los obtenidos de las comunicaciones que se establezcan entre el cliente y la entidad.
. Los tratamientos de datos cuya base legal venga determinada por el interés legítimo de CAIXABANK y que tengan por objeto la elaboración de perfiles que posteriormente se emplean para la realización de tratamientos de datos basados en el consentimiento del interesado.
. Los datos personales obtenidos por CAIXABANK xx xxxxxxx externas o inferidos por la propia entidad. Entre ellos se incluyen los datos obtenidos por CAIXABANK de productos y servicios contratados por los interesados con terceros, incluidos los de aquellos productos y servicios de terceros comercializados por CAIXABANK; así como los datos que deriven de las relaciones comerciales de la propia CAIXABANK con terceros y los datos confeccionados a partir de los anteriores.
. No se informa debidamente en todos los casos sobre las categorías de datos personales concretas que se tratarán para cada una de las finalidades especificadas.
. Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.
. El “Contrato Xxxxx” refiere tratamientos similares en relación con finalidades distintas, amparadas en el interés legítimo en unos casos y en el consentimiento en otros.
. El documento que suscribe el cliente para el alta en el servicio de agregación informa sobre finalidades ligadas al objeto del contrato que en el “Contrato Marco”, en cambio, se asocian a tratamientos para los que se requiere el consentimiento del cliente.
. Información sobre el interés legítimo del responsable:
. El “interés” no se expresa. La entidad CAIXABANK no informa en el “Contrato Marco” ni en la “Política de Privacidad” sobre ningún interés específico al referirse a los tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica.
. La información es insuficiente para justificar esta habilitación jurídica y para realizar el juicio de ponderación que permita determinar si dichas razones prevalecen sobre los intereses y derechos del interesado, limitando la posibilidad de que el cliente pueda sopesar correctamente la actuación de la entidad.
. CAIXABANK realiza tratamientos de datos personales en base al interés legítimo sobre los que no informa en ningún momento a los interesados.
. El documento denominado “Tratamientos de datos de carácter personal en base al interés legítimo” incluye una relación de tratamientos basados en el interés legítimo que se presenta como un listado abierto.
. Información sobre elaboración de perfiles
. No se especifica el interés legítimo de CAIXABANK en la elaboración de perfiles para la “personalización de la experiencia” del cliente o envío de información en la que éste pueda tener interés.
. No se ofrece información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o su funcionamiento y las consecuencias de su elaboración.
. No se informa sobre el ejercicio del derecho de oposición, cuando el perfilado esté relacionado con actividades de mercadotecnia directa.
. En la Política de Privacidad se omite la elaboración de perfiles en relación con la finalidad de “conocerte mejor, es decir, estudiar tus necesidades para saber qué nuevos productos y servicios se ajustan a tus preferencias y analizar la información que nos permita tener determinado por anticipado cuál es tu capacidad crediticia”.
. Información sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto y plazos de conservación.
. El “Contrato de Consentimientos” informaba sobre la posibilidad de ejercer los derechos, pero sin mencionar los que se establecen en la normativa aplicable.
. En la Política de Privacidad no se menciona el derecho de oposición.
. La información que se ofrece para el acceso a datos personales de los clientes en redes sociales informaba sobre los derechos recogidos en la LOPD, no en el RGPD.
. El contrato que regula el servicio de agregación no mencionaba expresamente la posibilidad de revocar el consentimiento y de ejercer el derecho de oposición.
. La información sobre plazos de conservación de los datos personales no es uniforme:
. Según el apartado 11.3 del “Contrato Xxxxx”, los datos personales dejarán de tratarse a los seis meses de finalizadas las relaciones contractuales; mientras que en el apartado
7.1 del mismo documento no se menciona dicho plazo y se informa que los tratamientos cesarán con la cancelación de las relaciones contractuales.
. El denominado “Contrato de Consentimientos”, en su versión 2, no advertía sobre la utilización de los datos personales durante los seis meses posteriores a la finalización de dichas relaciones contractuales. Ese período de utilización de los datos de seis meses fue añadido en la versión 3.
. La información relativa al acceso a datos personales de los clientes en redes sociales no contiene ninguna indicación sobre la conservación de datos personales.
. El contrato que regula el servicio de agregación informaba que los tratamientos de datos basados en el consentimiento del cliente podrán llevarse a cabo mientras no lo retire, aun finalizada la relación. En el nuevo clausulado de este contrato se indica que serán tratados hasta la revocación del consentimiento o hasta transcurridos doce meses desde la finalización de la relación contractual.
CAIXABANK, en sus alegaciones, se limita a afirmar de manera genérica que cumple las exigencias establecidas en la normativa aplicable, en los artículos 13 y 14 del RGPD, o bien a negar las conclusiones expuestas, sin ofrecer en ningún caso justificación alguna sobre las irregularidades observadas, que ni siquiera menciona.
En muchas ocasiones, simplemente califica esos defectos o incumplimientos como un mero error al que no puede atribuirse ningún efecto. En otras ocasiones, al mismo tiempo que niega aquellos incumplimientos, admite los defectos y alega que el proceso de mejora desarrollado los ha subsanado. Llega a afirmar que no sostiene que la información fuera perfecta o que no hubiera errores, pero que eso no quiere decir que se haya producido incumplimiento alguno.
Así ocurre, por ejemplo, en relación con la falta de uniformidad de la información ofrecida; la confusión sobre las bases jurídicas que genera la información ofrecida de los tratamientos de datos realizados en base al interés legítimo y en el consentimiento; información sobre el interés legítimo perseguido y los tratamientos de datos personales realizados con finalidad comercial amparados en esta base jurídica; en relación con la elaboración de perfiles; o en relación con la información facilitada sobre el ejercicio de derechos y el plazo de conservación de datos.
En general, CAIXABANK presenta esa supuesta regularización como suficiente para impedir que se le exija cualquier tipo de responsabilidad, sin considerar que se trata de incumplimientos sustantivos o de fondo que afectan a la validez de la información y a
principios básicos de la protección de datos de carácter personal.
Por otra parte, en sus alegaciones a la propuesta de resolución, CAIXABANK se refiere de forma prioritaria a la cuestión relativa a la compresión del texto, en relación con el empleo de una terminología imprecisa y formulaciones vagas, a pesar de que solo es uno de los muchos aspectos destacados en el resumen anterior. Alega la citada entidad que no se ha probado que las expresiones utilizadas no sean claras y comprensibles para el “integrante medio de la audiencia objetivo” (Directrices sobre Transparencia), conculcando el principio de presunción de inocencia, y aporta el resultado de una encuesta y un test de usuarios realizado por una empresa externa e independiente que, según CAIXABANK, acreditan que los clientes entienden perfectamente la información facilitada (los detalles de estos trabajos externos constan reseñados en el Antecedente Decimosegundo). A este respecto, aclara que con la aportación de estas pruebas está asumiendo una inversión de la carga de la prueba conculcadora de sus derechos fundamentales.
Estos estudios externos se realizaron mediante encuestas telefónicas a 171 clientes, la primera, y a 100 usuarios no clientes, la segunda.
La primera de esas encuestas consistió en leer al encuestado un extracto de la Cláusula 8 del “Contrato Marco”, para realizarles posteriormente unas preguntas sobre la misma y verificar si entendieron que CAIXABANK y las empresas del Grupo CaixaBank analizarán sus datos personales, su historial de productos contratados y sus visitas a las Apps y sitios web para sugerirle otros productos y/o servicios adaptados al cliente; y si el cliente, a partir de ese texto, esperaría que esas entidades le enviarán publicidad por los canales que haya indicado.
En el segundo trabajo se trasladaron a los usuarios las pantallas de recogida de consentimiento, su dinámica y contexto, así como la integridad de la cláusula 8 del “Contrato Marco”, simulando la experiencia de un firmante de este documento en una oficina. A continuación, se les realizaron las mismas preguntas indicadas y otras relativas al análisis por CAIXABANK de los saldos de sus cuentas y edad para ofrecerle productos de inversión
-como fondos o planes de pensiones- o el importe de sus compras con tarjeta para ofrecerle la financiación o el pago aplazado de los artículos que ha comprado; o que CAIXABANK y las empresas aseguradoras de su grupo analizarán conjuntamente los datos de su extracto para ofrecerle seguros alternativos a los que esté pagando; o si ha entendido el usuario que podrá recibir por correo electrónico publicidad de un seguro de vida de VidaCaixa de una tarjeta emitida por CaixaBank Payments & Consumer.
Aporta, también, CAIXABANK un informe de una empresa especializada en lingüística sobre el análisis realizado de dos cláusulas del “Contrato Marco”, una de ellas la Cláusula 8, en el que las recomendaciones realizadas son mínimas.
Con el resultado este estudio y de aquellas encuestas, según los cuales un porcentaje medio superior al 90% había entendido que la información ofrecida en la citada Cláusula 8 incluía el contenido de las preguntas, CAIXABANK pretende dar respuesta, no solo a la cuestión relativa al empleo de terminología imprecisa, sino también a otros muchos incumplimientos reseñados en el presente Fundamento de Derecho, como son la falta de concreción de las categorías de datos personales tratados, la falta de información sobre las finalidades y confusión de bases jurídicas.
Esta Agencia no comparte los planteamientos expresados por CAIXABANK en sus alegaciones. En los apartados que preceden se ha demostrado con rigor y detalle suficiente que CAIXABANK no cumple las exigencias de información establecidas y que los incumplimientos constatados no resultan de meros errores, por lo que debe rechazarse la exoneración de responsabilidad a CAIXABANK en base a la supuesta regularización de esos errores, cometidos por quien los invoca.
En cuanto a la falta de prueba sobre la no comprensión por los clientes de los textos analizados, alegada por CAIXABANK, se entiende que esta Agencia ha probado el uso de las expresiones que se citan en el apartado correspondiente de este Fundamento de Derecho y ha fundamentado suficientemente los motivos por los que la terminología y expresiones utilizadas deben ser rechazadas.
Se basa esta conclusión en criterios consolidados, como los expresados por el Grupo de Trabajo del Artículo 29 en sus “Directrices sobre la transparencia en virtud del Reglamento 2016/679”, que son conocidas por CAIXABANK. El Grupo de Trabajo del artículo 29 se estableció en virtud de la Directiva 95/46/CE con carácter consultivo e independiente, y cuyos dictámenes y recomendaciones sirven como elemento interpretativo en la materia que nos ocupa, admitido por la jurisprudencia. En la actualidad es el Comité Europeo de Protección de Datos el órgano con competencia para emitir directrices, recomendaciones y buenas prácticas a fin de promover la aplicación coherente del RGPD.
Por otra parte, el empleo de esas expresiones indeterminadas se produce a lo largo de todo el texto de los documentos que se analizan, y no solo en la Cláusula 8 del “Contrato Marco”, a la que se refieren los estudios aportados por CAIXABANK. Por tanto, las conclusiones de esos estudios nada acreditan en contrario respecto de la indefinición de la información ofrecida, en general.
No se dice aquí que la información ofrecida no sea comprensible en su totalidad, ya que, obviamente, las dificultades para la compresión de las expresiones ambiguas o indeterminadas afectan a las partes del texto en las que se emplean. Pero si puede decirse que la comprensión por el cliente de una parte del texto de un documento no significa que se entienda todo el texto de todos los documentos.
Y también cabe precisar que la información no es válida por el solo hecho de que resulte comprensible. Los estudios aportados no se refieren a aspectos importantes que son cuestionados en esta resolución, cuya comprensión por los clientes no modifica las conclusiones de esta Agencia y las consecuencias que conllevan los incumplimientos respectivos. Así puede decirse, como ejemplo, (i) en relación con los defectos apreciados sobre la falta de información de la base jurídica de los tratamientos: aunque los interesados entiendan que sus datos serán facilitados a las empresas del Grupo, esta circunstancia no salva la falta de información sobre la base jurídica de esa cesión de datos; o (ii) respecto de la utilización de datos personales obtenidos de “la contratación y operativas de productos y servicios con terceros”: el hecho de que el cliente entienda que se utilizarán estos datos no salva la falta de información sobre las categorías de datos personales que se recaban y someten a tratamiento; o (iii) sobre las tratamientos de datos que se citan en la Cláusula 8 que tienen finalidad distinta de las tres señaladas en la repetida Cláusula 8: aunque el cliente entendiera estas actividades de tratamiento, no resuelve que se llevan a cabo sin base jurídica (como se verá en el Fundamento de Derecho siguiente).
Desde el punto de vista técnico, los trabajos realizados nada indican sobre la selección de la muestra de clientes a los que se realizó la entrevista (solo se indican que se han seleccionado personas que firmaron el “Contrato Xxxxx” en el último año); los enunciados de las preguntas son esquemáticos, no precisos y aclaratorios del contenido de la información, y no tienen como objeto aspectos esenciales, como los relativos a los perfilados, su elaboración y utilización; y no resulta aceptable que la encuesta se realice sobre un extracto de la información, cuyo contenido, además, no coincide exactamente con el de la Cláusula 8 del “Contrato Marco”. Se trata, en definitiva, de una encuesta mínima en comparación con los fines y tratamientos de datos que se contemplan en la información facilitada por CAIXABANK a sus clientes en materia de protección de datos.
En consecuencia, de conformidad con las evidencias expuestas, los hechos descritos en el presente Fundamento de Derecho suponen una vulneración del principio de transparencia regulado en los artículos 13 y 14 del RGPD, que da lugar a la aplicación de los poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia Española de Protección de datos.
Artículo 6 del RGPD.
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo
IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización”.
“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato”.
En relación con lo establecido en los artículos reseñados, se tiene en cuenta lo expresado en los considerandos 32 (ya reseñado), 40, 41, 42 (ya reseñado), 43, 44 y 47 (ya citado en el Fundamento de Derecho anterior) del RGPD. De lo expresado en estos considerandos, cabe destacar lo siguiente:
(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el
consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.
(44) El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato.
Procede tener en cuenta, igualmente, lo establecido en el artículo 6 de la LOPDGDD:
“Artículo 6. Tratamiento basado en el consentimiento del afectado
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”.
En el presente caso, CAIXABANK contempla en el “Contrato Marco” que suscriben los clientes la utilización de sus datos personales con las finalidades siguientes (excluidas las finalidades denominadas por dicha entidad como “regulatorias”):
1. Gestionar las relaciones comerciales: dar cumplimiento y mantener las mismas, verificar la corrección de la operativa, verificar la identidad del firmante, establecimiento y mantenimiento de las relaciones comerciales.
2. Envío de información y actualizaciones acerca de productos o servicios similares a los que ya tenga contratados; personalizar la experiencia comercial del cliente en los canales de la entidad en base a anteriores usos, para ofrecerle productos y servicios que se ajusten a su perfil, para aplicarle beneficios y promociones que tengamos vigentes y a los que tenga derecho, y para evaluar si podemos asignarle límites de crédito preconcedidos que pueda utilizar cuando lo considere más oportuno.
3. Finalidades comerciales:
. Oferta y diseño de productos y servicios ajustados al perfil de cliente.
. Oferta comercial de productos y servicios de CaixaBank y las Empresas del Grupo CaixaBank.
. Cesión de datos a terceros.
4. Cesión de datos personales a las empresas del Grupo CaixaBank.
5. Gestionar la firma del cliente y, en su caso, verificar la identidad del firmante en sucesivas operaciones, mediante la utilización de métodos de contraste de patrones. Esta finalidad se persigue mediante el tratamiento de datos biométricos.
En relación con estas finalidades, CAIXABANK se refiere al cumplimiento de la relación contractual como base legitimadora de las finalidades señaladas en el número 1
anterior; al interés legítimo como base legal para el uso de los datos con la finalidad señalada en el apartado 2 anterior; y al consentimiento en relación con finalidades señaladas en el apartado 3.
CAIXABANK no informa sobre ninguna base jurídica que habilite las cesiones de datos a las empresas del Grupo CaixaBank.
La información sobre el tratamiento de datos biométricos se incluyó inicialmente en el “contrato marco” como un subapartado del apartado 7 (“Tratamientos de datos de carácter personal basados en la ejecución de los contratos, obligaciones legales e interés legítimo y política de privacidad), pero sin especificar claramente la base jurídica del tratamiento; y actualmente se amparan en el consentimiento de los interesados.
- Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el “Contrato Xxxxx” (cláusula 8) y “Contrato de Consentimientos”.
De acuerdo con lo expresado, el tratamiento de datos requiere la existencia de una base legal que lo legitime, como el consentimiento del interesado prestado válidamente, necesario cuando no concurra alguna otra base jurídica de la mencionadas en el artículo 6.1 del RGPD o el tratamiento persiga un fin compatible con aquel para el que se recogieron los datos.
El artículo 4 del RGPD) define el “consentimiento” como sigue:
“11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
El consentimiento se entiende como un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con garantías suficientes para que el responsable pueda acreditar que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. Y debe darse para todas las actividades de tratamiento realizadas con el mismo o mismos fines, de modo que, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos de manera específica e inequívoca, sin que pueda supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de sus datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación negocial. A este respecto, la licitud del tratamiento exige que el interesado sea informado sobre los fines a que están destinados los datos (consentimiento informado).
El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento. Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las
condiciones generales o cuando se impone la obligación de estar de acuerdo con el uso de datos personales adicionales a los estrictamente necesarios.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento.
El Grupo de Trabajo del Artículo 29 analizó estas cuestiones en su documento “Directrices sobre el consentimiento en virtud del Reglamente 2016/679”, adoptado el 28/11/2017, revisadas y aprobadas el 10/04/2018.
Estas Directrices han sido actualizadas por el Comité Europeo de Protección de Datos el 04/05/2020 mediante el documento “Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679” (mantiene literalmente idénticas las parte que se transcriben a continuación). En este documento 5/2020 se dice expresamente que los dictámenes del Grupo de Trabajo del artículo 29 (WP29) sobre el consentimiento siguen siendo pertinentes, siempre que sean coherentes con el nuevo marco jurídico, declarando que esas directrices no sustituyen los dictámenes previos, sino que los amplían y completan.
De lo indicado en el documento del GT29 anteriormente citado, interesa ahora destacar algunos de los criterios relacionados con la validez del consentimiento, en concreto sobre los elementos “específico”, “informado” e “inequívoco”:
“3.2. Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para el tratamiento de sus datos debe darse «para uno o varios fines específicos» y que un interesado puede elegir con respecto a cada uno de dichos fines. El requisito de que el consentimiento deba ser «específico» tiene por objeto garantizar un nivel de control y transparencia para el interesado. Este requisito no ha sido modificado por el RGPD y sigue estando estrechamente vinculado con el requisito de consentimiento
«informado». Al mismo tiempo, debe interpretarse en línea con el requisito de «disociación» para obtener el consentimiento «libre». En suma, para cumplir con el carácter de «específico» el responsable del tratamiento debe aplicar:
i) la especificación del fin como garantía contra la desviación del uso,
ii) la disociación en las solicitudes de consentimiento, y
iii) una clara separación entre la información relacionada con la obtención del consentimiento para las actividades de tratamiento de datos y la información relativa a otras cuestiones.
Ad. i): De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención del consentimiento válido va siempre precedida de la determinación de un fin específico, explícito y legítimo para la actividad de tratamiento prevista. La necesidad del consentimiento específico en combinación con la noción de limitación de la finalidad que figura en el artículo 5, apartado 1, letra b), funciona como garantía frente a la ampliación o difuminación gradual de los fines para los que se realiza el tratamiento de los datos una vez que un interesado haya dado su autorización a la recogida inicial de los datos. Este fenómeno, también conocido como desviación del uso, supone un riesgo para los interesados ya que puede dar lugar a un uso imprevisto de los datos personales por parte del responsable del tratamiento o de terceras partes y a la pérdida de control por parte del interesado.
Si el responsable del tratamiento se basa en el artículo 6, apartado 1, letra a), los interesados deberán siempre dar su consentimiento para un fin específico para el tratamiento de los datos. En consonancia con el concepto de limitación de la finalidad, con el artículo 5, apartado 1, letra b), y con el considerando 32, el consentimiento puede abarcar distintas operaciones, siempre que dichas operaciones tengan un mismo fin. Huelga decir que el consentimiento específico solo puede obtenerse cuando se informa expresamente a los interesados sobre los fines previstos para el uso de los datos
que les conciernen.
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el consentimiento debe ser específico para cada fin. Los interesados darán su consentimiento entendiendo que tienen control sobre sus datos y que estos solo serán tratados para dichos fines específicos. Si un responsable trata datos basándose en el consentimiento y, además, desea tratar dichos datos para otro fin, deberá obtener el consentimiento para ese otro fin, a menos que exista otra base jurídica que refleje mejor la situación…
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el requisito de que los responsables faciliten información clara, tal y como se ha expuesto anteriormente en la sección 3.3”.
“3.3. Manifestación de voluntad informada…” (este apartado 3.3 ya reseñado en el Fundamento de Derecho anterior).
“3.4. Manifestación de voluntad inequívoca
El RGPD establece claramente que el consentimiento requiere una declaración del interesado o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación concreta de tratamiento de datos…
Una «clara acción afirmativa» significa que el interesado debe haber actuado de forma deliberada para dar su consentimiento a ese tratamiento en particular. El considerando 32 ofrece orientación adicional sobre este punto…
El uso xx xxxxxxxx de aceptación ya marcadas no es válido con arreglo al RGPD. El silencio o la inactividad del interesado, o simplemente continuar con un servicio, no pueden considerarse como una indicación activa de haber realizado una elección…
Un responsable del tratamiento debe tener también en cuenta que el consentimiento no puede obtenerse mediante la misma acción por la que el usuario acuerda un contrato o acepta los términos y condiciones generales de un servicio. La aceptación global de los términos y condiciones generales no puede considerarse una clara acción afirmativa destinada a dar el consentimiento al uso de datos personales. El RGPD no permite que los responsables del tratamiento ofrezcan casillas marcadas previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para evitar el acuerdo (por ejemplo, “casillas de exclusión voluntaria”)...”.
Los responsables del tratamiento deben diseñar los mecanismos de consentimiento de manera que sean claros para los interesados. Deben evitar la ambigüedad y garantizar que la acción mediante la cual se presta el consentimiento se distinga de otras acciones…”.
En este documento se cita el Dictamen 15/2011 del GT29, sobre la definición del consentimiento. Sobre el consentimiento como manifestación de voluntad inequívoca, en este último Dictamen se indica:
“Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su obtención y otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado al dar su consentimiento. En otras palabras, la manifestación mediante la cual el interesado consiente no debe
dejar lugar a ningún equívoco sobre su intención. Si existe una duda razonable sobre la intención de la persona se producirá una situación equívoca.
Como se describe a continuación, este requisito obliga a los responsables del tratamiento a crear procedimientos rigurosos para que las personas den su consentimiento…”.
“Este ejemplo ilustra el caso de la persona que permanece pasiva (por ejemplo, inacción o «silencio»). El consentimiento inequívoco no encaja bien con los procedimientos para obtener el consentimiento a partir de la inacción o el silencio de las personas: el silencio o la inacción de una parte es intrínsecamente equívoco (la intención del interesado podría ser de asentimiento o simplemente no realizar la acción)”.
“… el comportamiento individual (o más bien, la falta de acción), plantea serias dudas sobre la voluntad de acuerdo de la persona. El hecho de que la persona no realice una acción positiva no permite concluir que ha dado su consentimiento. Por tanto, no cumple el requisito de consentimiento inequívoco”. Además, como se ilustra a continuación, también será muy difícil para el responsable del tratamiento de datos aportar la prueba que demuestre que la persona ha consentido”.
La Cláusula 8 del “Contrato Marco” está dedicada al “Tratamiento y cesión de datos con finalidades comerciales por CAIXABANK y las empresas del grupo CaixaBank basados en el consentimiento”. Es lo que CAIXABANK denomina genéricamente “finalidades comerciales”, entre las que incluye: (i) análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente; (ii) oferta comercial de productos y servicios de CaixaBank y las Empresas del Grupo CaixaBank; (iii) y cesión de datos a terceros.
El consentimiento del interesado es la base legal para el tratamiento de sus datos personales con tales finalidades.
La mencionada Cláusula 8 describe estos tratamientos como sigue:
“El detalle de los usos que se realizará conforme a sus autorizaciones es el siguiente:
(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente.
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas y de segmentación de clientes, con una triple finalidad: 1) Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias, 2) Realizar el seguimiento de los productos y servicios contratados,3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados.
b) Asociar sus datos con los de sociedades con las que tenga algún tipo de vínculo, tanto por su relación de propiedad como de administración, al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos.
c) Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los productos y servicios contratados.
Los tratamientos indicados en los apartados (i), (ii) y (iii) podrán ser realizados de manera automatizada y conllevar la elaboración de perfiles, con las finalidades ya señaladas. A este
efecto, le informamos de su derecho a obtener la intervención humana en los tratamientos, a expresar su punto de vista, a obtener una explicación acerca de la decisión tomada en base al tratamiento automatizado, y a impugnar dicha decisión.
d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar los servicios recibidos.
e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo CaixaBank.
(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios de CaixaBank y las Empresas del Grupo CaixaBank.
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o telemáticos, relativas a los productos y servicios que, en cada momento: a) comercialice CaixaBank o cualquiera de las Empresas del Grupo CaixaBank b) comercialicen otras empresas participadas por CaixaBank y terceros cuyas actividades estén comprendidas entre las bancarias, de servicios de inversión y asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de servicios de consultoría, ocio y benéfico-sociales.
El firmante podrá elegir en cada momento los diferentes canales o medios por los que desea o no recibir las indicadas comunicaciones comerciales a través de su banca digital, mediante el ejercicio de sus derechos, o mediante su gestión en la red de oficinas de CaixaBank”.
“(iii) Cesión de datos a terceros
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a ceder sus datos a empresas con las que CaixaBank y/o las Empresas del Grupo CaixaBank tenga/n acuerdos, cuyas actividades estén comprendidas entre las bancarias, de servicios de inversión y asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de servicios de consultoría, ocio y benéfico-sociales, con la finalidad de que estas empresas le hagan ofertas comerciales de productos por ellas comercializados.
En todo caso, producida una cesión de datos en virtud de su autorización, la empresa receptora de la comunicación informaría al firmante del tratamiento de sus datos y de su procedencia”.
Se detallan, asimismo, los datos personales de los clientes que se someten a los tratamientos citados:
“a) Todos los facilitados en el establecimiento o mantenimiento de relaciones comerciales o de negocio.
b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank, con las Empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro, reclamaciones, etc.
c) Todos los que CaixaBank o las Empresas del Grupo CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio tenga como destinatario al firmante, tales como la gestión de trasferencias o recibos.
d) Su condición o no de accionista de CaixaBank según conste en los registros de la entidad, o de las entidades que de acuerdo con la normativa reguladora xxx xxxxxxx de valores hayan de llevar los registros de los valores representados por medio de anotaciones en cuenta.
e) Los obtenidos de las redes sociales que el firmante autorice a consultar
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el firmante
g) Los obtenidos de las navegaciones del firmante por el servicio de banca digital y otras webs de CaixaBank y las Empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank y las
Empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación establecida entre las partes.
Los datos del firmante podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos xx xxxxxxx públicas, así como por datos estadísticos, socioeconómicos (en adelante, “Información Adicional”) siempre verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos”.
En base a dicha información, CAIXABANK limita las opciones del cliente a la prestación de su consentimiento, por separado, para cada una de las tres finalidades (i), (ii) y
(iii) indicadas. El resumen de lo manifestado por el cliente en relación con estas “autorizaciones” se traslada al encabezado del “Contrato Marco”, al apartado relativo a los datos personales y económicos del cliente, en el epígrafe “Autorizaciones para el tratamiento de datos”. A continuación, se reseña un ejemplo:
“Autorizaciones para el tratamiento de los datos
En los términos establecidos en la cláusula 8 y 9 del presente Contrato, sus autorizaciones para el tratamiento de los datos son las siguientes:
Finalidades comerciales:
. Finalidad de estudios y perfilado: Usted ha manifestado su no aceptación y consentimiento al tratamiento de sus datos.
. Finalidad de comunicación de ofertas de productos, servicios y promociones: Usted ha manifestado su no aceptación y consentimiento al contacto con finalidades comerciales por cualquier canal o medio, incluidos los medios electrónicos.
. Cesión de datos a terceros: Usted ha manifestado su no aceptación a la cesión a terceros de sus datos”.
Posteriormente, de las comprobaciones realizadas en la inspección desarrollada en fecha 28/11/2019 y de la documentación aportada por CAIXABANK con su escrito de 20/11/2019, se constata que se ha añadido un cuarto consentimiento, relativo al tratamiento de datos biométricos:
“4. Uso de mis datos biométricos (imagen facial, huella dactilar, etc.) con la finalidad de verificar mi identidad y firma: Esta autorización se complementará en cada caso con el registro de los datos biométricos a utilizar en cada momento. Para poder verificar la identidad/firma de sus clientes, Caixabank utiliza métodos de reconocimiento biométrico como sistemas de reconocimiento facial, lectura de huella dactilar y similares. Actualmente, algunos de nuestros cajeros ya permiten realizar operaciones utilizando estos métodos.
( ) Sí, acepto el uso de mis datos biométricos ( ) No”.
Estima esta Agencia que dichos consentimientos (cuatro) no cumplen las condiciones para que la manifestación de voluntad del interesado se considere válidamente prestada, lo que convierte en ilegales los tratamientos de datos que realiza CAIXABANK en base al consentimiento del interesado.
La manifestación que realiza el cliente para prestar esos consentimientos puede considerarse un acto afirmativo, pero no una manifestación de voluntad libre, específica, informada e inequívoca de aceptar los tratamientos de datos de carácter personal que le conciernan, prestada con garantías suficientes para acreditar que es consciente del hecho de que da su consentimiento y de la medida en que lo hace.
En este caso, el consentimiento no puede considerarse libre porque con la firma del contrato se imponen al cliente aspectos esenciales relativos al tratamiento de sus datos personales, mermando su capacidad de elección; como es el intercambio de información que CAIXABANK realiza con las entidades que integran el Grupo CaixaBank, que será analizado más adelante.
Por otra parte, tal como aparece configurado el mecanismo para la prestación del consentimiento, no se ha previsto que el interesado exprese su opción sobre todos los fines para los que se tratan los datos. CAIXABANK lleva a cabo tratamientos de datos que figuran agrupados en una de las finalidades indicadas, pero que persiguen una finalidad distinta a aquellas sobre las que el interesado se pronuncia. La enumeración de los tratamientos que la citada entidad realiza para cada uno de los fines sobre los que se ofrece al cliente la opción de consentir o no, en realidad supone una ampliación de los fines, por lo que el consentimiento prestado no puede considerarse específico al no haberse disociado suficientemente las solicitudes de consentimiento.
CAIXABANK considera que la agrupación de consentimientos incluidas en la cláusula 8 es adecuada y que todos los tratamientos incluidos en la misma son matices de una mismo perfilado, como puede comprobarse con las depuraciones convenientes.
Esta Agencia no comparte esa opinión. Se habla en el apartado (i) de tratamientos para “la oferta y diseño de productos y servicios ajustados al perfil de cliente”, sobre los que el cliente se pronuncia. Sin embargo, se añaden después finalidades como “ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados”, “analizar posibles interdependencias económicas en solicitudes de riesgo y contratación de productos”, “valorar los servicios recibidos” o “diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo CaixaBank”.
El apartado (ii) agrupa en una sola manifestación de voluntad del interesado el envío de comunicaciones comerciales relativas a productos y servicios de CAIXABANK, las empresas del Grupo CaixaBank y de terceros.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines y, cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos, si bien mediante una manifestación de voluntad expresada para cada uno de los fines de forma separada o diferenciada, permitiendo al interesado optar por elegir todos, una parte o ninguno de ellos. Según lo expresado en el Considerando 43, no puede entenderse libremente prestado el consentimiento al no haberse permitido “autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto”. En el considerando 32 se afirma que "el consentimiento debe abarcar todas las actividades de tratamiento realizadas con el mismo fin o fines. Cuando el procesamiento tenga múltiples propósitos, debe darse el consentimiento para todos ellos”.
“Cuando el tratamiento de datos se realiza con varios fines, la solución para cumplir con las condiciones de consentimiento válido reside en la granularidad, es decir, la separación de estos fines y la obtención de consentimiento para cada fin” (Directrices del GT29).
Entender que la prestación del consentimiento para aquellas finalidades supone la aceptación de todos los tratamientos que se incluyen dentro de tales finalidades, cuando en realidad algunos de estos tratamientos persiguen finalidades distintas, como se ha dicho, no cumple esta exigencia de separación de los fines y prestación del consentimiento para cada uno de ellos.
En relación con la incorrecta agrupación de consentimientos, una mención separada requiere la indicación que se contiene en la Cláusula 8 en relación con los tres primeros tratamientos que se enumeran en el apartado (i), según la cual esos tratamientos podrán ser realizados de manera automatizada y conllevar la elaboración de perfiles. Es obvio que estos tratamientos automatizados requieren un consentimiento del cliente explícito que no se recaba en legal forma.
El consentimiento prestado, además, no se considera informado. Ya se ha dicho aquí la importancia de facilitar información a los interesados antes de obtener su consentimiento, esencial para que puedan tomar decisiones habiendo comprendido qué está autorizando. Si el responsable no proporciona información accesible, el control del usuario será ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.
Lo expuesto en el Fundamento de Derecho IV, sobre los reparos observados en la información que CAIXABANK facilita en materia de protección de datos de carácter personal, afectan por igual al consentimiento que hubiera podido prestarse. Sirven, a tales efectos, las observaciones o reparos realizados en dicho Fundamento de Derecho sobre el lenguaje empleado, la información poco clara e indeterminada sobre los tratamientos de datos personales y la falta de una formulación clara e inteligible de las finalidades para las que serán utilizados, así como la falta de información sobre las categorías concretas de datos que se tratarán para cada una de las finalidades especificadas.
Estas deficiencias impiden a los interesados conocer el sentido y significado real de las indicaciones facilitadas y el alcance real del consentimiento que pudieran prestar, haciéndolo inválido al no tratarse de un consentimiento informado, en relación con las operaciones de recogida de datos o tratamientos de datos respecto de los cuales se apreciaron aquellos defectos en la información, incluido el tratamiento de aquellos datos que no hayan sido facilitados directamente por el interesado o que no sean necesarios para el cumplimiento de la relación contractual que le vincule con la entidad.
La falta de información es evidente si se tiene en cuenta el proceso habilitado por CAIXABANK para recabar los consentimientos de los clientes para el tratamiento de sus datos personales, ya sea de forma presencial en oficinas de la entidad, a través del portal web (para nuevos clientes o a través del área personal habilitada en la web) o de la aplicación móvil. Estos procedimientos constan reseñados en detalle en los Antecedentes de este acto y en los Hechos Probados.
Cabe destacar la recogida de consentimientos llevada a cabo de forma presencial en las oficinas de la entidad, que se formaliza con la firma del “Contrato Marco”. CAIXABANK ha introducido varias modificaciones en este mecanismo desde la entrada en vigor del RGPD.
En mayo de 2018 (así consta en la respuesta de CAIXABANK de 16/05/2018), las respectivas manifestaciones de voluntad del interesado se expresaban de forma verbal en una entrevista dirigida por el empleado, que cumplimenta las opciones marcando las casillas
correspondientes en la pantalla respectiva, las cuales se hacen constar en el documento (“Contrato Marco”) que se imprime posteriormente, cuando el cliente ya se ha pronunciado. Consta acreditado que las manifestaciones verbales del cliente expresando sus opciones sobre los tratamientos y fines indicados, así como la firma del documento, se llevan a cabo sin que el mismo haya tenido acceso a la información que consta en el “Contrato Marco”.
Posteriormente, según informó CAIXABANK, se dotó a toda la red de oficinas de tabletas digitalizadoras, posibilitando que el “Contrato Marco” y el “Contrato de Consentimientos” se firmen, no en papel, sino en la propia tableta. El “Contrato Xxxxx” se suscribe por el cliente sin tener acceso al documento, lo que equivale a decir que presta su consentimiento sin que CAIXABANK le facilite información alguna.
La respuesta, de 03/05/2019, efectuada por CAIXABANK al traslado de la reclamación presentada por FACUA acompaña un Anexo referido a la formación impartida a los empleados de CAIXABANK, en relación con la solicitud del consentimiento, en el que se indica:
“En oficinas recogeremos el consentimiento de nuestros clientes en el contrato marco. En el proceso de alta de nuestro contrato marco, te aparecerá la pantalla siguiente que deberás cumplimentar de acuerdo con las respuestas del cliente.
(pantalla)
Tras haber cumplimentado esta pantalla y haberse firmado digitalmente el documento, el contrato marco que se imprimirá recogerá las preferencias de tu cliente en la cláusula 8”.
En la inspección realizada a CAIXABANK en fecha 28/11/2019, se comprobó un nuevo cambio en el proceso antes descrito, consistente en disponer la entrega de una tableta digital al cliente para que él mismo marque las opciones de consentimientos correspondientes, pero no modifica las circunstancias anteriores.
El sistema guía al gestor en todo el proceso, advirtiéndole que debe consultar al cliente sus preferencias y facilitarle físicamente la tablet para que el propio cliente proceda a marcar sus opciones. Una vez marcadas las preferencias, el propio terminal le indica que dichas preferencias han sido registradas y le invita a devolver el dispositivo al gestor (una vez marcadas las opciones por el cliente, en la pantalla siguiente desaparece la indicación “Modo Tablet” y se expresa lo siguiente: “Sus consentimientos se han indicado. Gracias por su colaboración. Por favor devuelva la Tablet a su gestor”). Posteriormente, “el gestor finaliza y consolida el documento y lo facilita para su firma al cliente”.
Se comprobó que las pantallas “Modo Tablet. Cliente” no contienen ningún enlace a la información en materia de protección de datos personales contenida en el “Contrato Marco”.
En el proceso de alta a través de la web, el sistema muestra una pantalla que permite al cliente marcar las opciones “Si” o “No” para cada uno de los consentimientos que se solicitan. Esta pantalla incluye un símbolo (i) que conduce a otra pantalla con un mensaje sobre la información en materia de protección de datos y un enlace que lleva hasta la misma. Sin embargo, la información que se ofrece es insuficiente porque únicamente recoge la correspondiente a la cláusula 8 “Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y empresas del Grupo CaixaBank basados en el consentimiento” del Contrato Marco. En este caso, según informó CAIXABANK, en la pantalla de firma se incluye una casilla para marcar “He leído y acepto el contrato”.
El mismo reparo sobre la información ofrecida presenta el proceso habilitado para la prestación de los consentimientos en el espacio privado del cliente en la web de “Caixabank Now” y cuando ése utiliza la aplicación móvil, que redirige al portal Web.
Estos procesos no aseguran que el interesado acceda a la información con carácter previo a la selección de sus consentimientos y firma del documento en todos los casos, lo que ocurre tanto en relación con el “Contrato Xxxxx” como con el “Contrato de Consentimientos”.
Por tanto, devienen en ilícitos todos los tratamientos detallados cuya base legal venga determinada, conforme a lo expresado por la propia entidad CAIXABANK, por el consentimiento de los interesados.
Sobre la cuestión analizada en este apartado, relativa a los tratamientos de datos personales basados en el consentimiento de los interesados, CAIXABANK, en su escrito de alegaciones a la propuesta de resolución, se limita a afirmar que los consentimientos obtenidos son libres, específicos, inequívocos y suficientemente informados. Señala simplemente que el cliente tiene la absoluta libertad de otorgarlos o no, sin consecuencias negativas asociadas y sin condicionalidades, que no existe una combinación de diferentes finalidades bajo un mismo consentimiento, y que el interesado otorga su consentimiento mediante una acción afirmativa.
Sin embargo, omite cualquier justificación sobre las irregularidades que se han detallado y que fundamentan la conclusión sobre la falta de base jurídica de los tratamientos que CAIXABANK realiza en base al consentimiento.
Frente a los importantes reparos mencionados en relación con los tratamientos de datos que persiguen una finalidad distinta a aquellas sobre las que el interesado presta su consentimiento, manifiesta CAIXABANK que en la Cláusula 8 del “Contrato Marco” y en el “Contrato de Consentimientos” se desglosan las tres únicas actividades, tres fines, que se realizan al amparo del consentimiento (el perfilado de datos para ofrecer a los clientes productos que puedan ser de su interés; la elección del canal de comunicación de las ofertas; y la posibilidad de ceder los datos a terceros). Y añade que aquellos tratamientos sobre los que el cliente no tiene oportunidad de pronunciarse no se llevan a cabo (no dice cuáles), o están amparados por otra base legal, o son más sencillos y limitados de lo que la AEPD entiende.
Califica como un “error” que no rompe el principio de especificidad el hecho de incluir dentro de los ejemplos algunas operaciones de tratamiento que debían haber sido incluidas en otras bases jurídicas, entre los tratamientos que se realizan en base a la ejecución de los contratos o en cumplimientos xx xxxxx. Añade que ha sido subsanado en la Nueva Política de Privacidad incluyendo esas actividades en sus respectivos y correctos epígrafes (tratamientos en ejecución de una relación contractual o por obligación legal).
A este respecto, en su alegación cuarta, al referirse a la información sobre la elaboración de perfiles, también alega este “error” y enumera las operaciones de tratamiento que, a su juicio, no tienen que ver con el consentimiento:
“- Realizar el seguimiento de los productos y servicios contratados, que es claramente un tratamiento necesario para la ejecución de la relación contractual según se establece en el art. 6.1.b)
- Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios contratados también claramente un tratamiento necesario para la ejecución de la relación
contractual según se establece en el art. 6.1.b)
- Asociar sus datos con los de sociedades con los que tenga algún tipo de vínculo, tanto por su relación de propiedad, como de administración, al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos, que es un tratamiento necesario para la ejecución de la relación contractual según se establece en el art. 6.1.b), y obligatorio para cumplir con la Ley 10/2014, de 26 xx xxxxx, de Ordenación, Supervisión y Solvencia de Entidades de Crédito, la Ley 44/2002, de Medidas de Reforma del Sistema Financiero y demás obligaciones y principios de las normativas sobre concesión xx xxxxxxxx responsable, y de cuyo detalle se informa en las propias solicitudes de productos que los clientes suscriben al pedir su contratación.
- Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los productos y servicios contratados, que es claramente un tratamiento en base al interés legítimo de CaixaBank, según se establece en el art. 6.1.f), interés que se resume en el interés de evitar fraudes que le supongan pérdidas económicas o reputacionales.
- Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar los servicios recibidos, que es un tratamiento necesario para la ejecución de la relación contractual según se establece en el art. 6.1.b), y vinculado a la autorización para el uso del canal concreto.
- Diseñar productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo CaixaBank, que es un tratamiento que no se realiza con datos personales, si no analizando estadísticas y datos agregados tras procesos de anonimización”.
Con esta alegación se está reconociendo que estas operaciones tienen finalidades distintas a las expresadas en la Cláusula 8 del “Contrato Marco” y en el “Contrato de Consentimientos” bajo las que se agrupan los consentimientos sobre los que se pronuncia el cliente, y también que no es cierto que las actividades de tratamiento que se mencionan en aquellos documentos puedan agruparse en las tres únicas finalidades que se desglosen. Si esos tratamientos pudieran tener una base jurídica distinta al consentimiento, está claro que son tratamientos distintos y que persiguen finalidades distintas. Ello es evidente si consideramos que todos los tratamientos a los que se refiere CAIXABANK en sus alegaciones, los recogidos en la lista anterior, están ligados en la Cláusula 8 del “contrato Marco” al “Tratamiento de datos con finalidades comerciales por CAIXABANK y las empresas del Grupo CaixaBank”, y “los usos que se realizarán” se describen como “Tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil del cliente”.
Existen, además, otros tratamientos de datos a los que no se refiere CAIXABANK en sus alegaciones y que también requieren del consentimiento del interesado para que puedan llevarse a cabo, como es el intercambio de información con las empresas del Grupo.
Se trata de defectos sustantivos, que afectan al principio básico de la licitud del tratamiento. Por tanto, no puede aceptarse el planteamiento de CAIXABANK, que pretende evitar la responsabilidad que conlleva ese incumplimiento alegando un mero error no reprobable.
Por otra parte, no comparte esta Agencia que no pueda atribuirse ningún efecto a esta importante irregularidad, como pretende CAIXABANK, asumiendo que las actividades de tratamiento de datos enumeradas pudieran encontrar amparo en otra base jurídica distinta al consentimiento.
Por una parte, se estaría proporcionando información inexacta a los interesados sobre las bases jurídicas en que se legitiman los correspondientes tratamientos, lo cual,
indudablemente, afecta al conocimiento y expectativas que los interesados puedan tener respecto a los derechos que les corresponden en función de las diferentes bases jurídicas implicadas y, en definitiva, al control que pueden ejercer sobre sus datos personales. Así, por ejemplo, si un interesado no presta su consentimiento para estos tratamientos.
Por otra parte, sería necesario, como aquí se ha visto, un análisis exhaustivo de todas las circunstancias concurrentes en relación con los tratamientos pretendidos para valorar la pertinencia de la nueva base jurídica que CAIXABANK indica en sus alegaciones, de modo que no pueden darse por buenas las razones alegadas.
Esto es evidente en relación con los tratamientos que ahora, en sus alegaciones, CAIXABANK pretende fundamentar en el interés legítimo del responsable (“Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los productos y servicios contratados”). Aceptar este planteamiento sería tanto como admitir un interés legítimo sobrevenido, o a posteriori, respecto del cual no se han respetado las exigencias previstas en la normativa de protección de datos personales, en particular la obligación de ponderar los derechos e intereses en juego, y sobre el que no se informa en la Política de Privacidad.
Alega también CAIXABANK que los tratamientos que realiza para “Diseñar productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo CaixaBank”, no se realizan con datos personales, sino analizando estadísticas y datos agregados tras procesos de anonimización. Pero no tiene en cuenta que esta actividad conlleva dos tratamientos, el que dé lugar a la información anónima (la anonimización propiamente dicha), sometido a la normativa de protección de datos, y el tratamiento que se lleve a cabo con los datos ya anonimizados, excluidos de dicha normativa. Así, también en este caso es necesario disponer de base jurídica que ampare esos tratamientos de datos.
Ha sido la propia entidad CAIXABANK la que dispuso, en el diseño de sus operaciones de tratamiento, amparar en el consentimiento los tratamientos citados anteriormente y viene obligada, en consecuencia, a cumplir las exigencias que ello conlleva.
Sobre el proceso habilitado para otorgar el consentimiento presencialmente en oficina, reitera que, tras dar los consentimientos (o no), el cliente accede al texto completo del contrato para que pueda leerlo y revisarlo, de modo que puede no ratificar su elección y “volver atrás”. Por último, señala que la AEPD omite el análisis del proceso de recogida de consentimientos en el canal no presencial (la banca on line) que revisó en la misma inspección, en el que se demostró que el cliente debe acceder necesariamente a la información antes de prestar el consentimiento.
En relación con esta cuestión, CAIXABANK no tiene en cuenta que el proceso para la formalización del “Contrato Marco” o del “Contrato de Consentimientos, y con ello la prestación del consentimiento de forma presencial, ha seguido distintas operativas a lo largo del período analizado. Según ha quedado expuesto, la prestación por el cliente de los consentimientos solicitados por CAIXABANK, incluso la firma de los citados documentos, se realizaba sin que la información en materia de protección de datos personales se pusiera a disposición del cliente. Incluso durante el proceso que denomina “Modo Tablet”, al que se refieren las alegaciones, el cliente presta el consentimiento sin recibir esa información previamente.
Esto no ocurre, como se dijo anteriormente, en el proceso de recogida de consentimientos durante el proceso de alta a través de la web y en el mecanismo habilitado en el área privada del cliente en la web de “Caixabank Now”. En este caso, la información se ofrece al cliente antes de que marque las opciones dispuestas, pero solo la información correspondiente a la Cláusula 8 del “Contrato Marco”, no toda la información.
Estas conclusiones sobre el proceso de alta a través de la web y del área personal de los clientes ya fueron expuestas, en los mismos términos, en la propuesta de resolución. No se entiende, por tanto, que CAIXABANK alegue que la AEPD ha omitido el análisis de estos procesos de recogida de consentimientos.
- b) Otros tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el “Contrato de Consentimientos”.
Sobre el documento denominados “Contrato de Consentimientos” sirven todas las observaciones y reparos realizados en relación con la Cláusula 8 del “Contrato Marco”, por la similitud de sus contenidos y del proceso de recogida de los consentimientos, según ha quedado expuesto.
No obstante, interesa destacar dos cuestiones en relación con el “Contrato de Consentimientos” o documento de “Autorización/revocación para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”:
1. La información ofrecida al interesado es menor que la ofrecida en el “Contrato Marco”, puesto que sólo se da acceso a un texto similar al de la Cláusula 8 de dicho Contrato.
2. Otra cuestión de la que derivan tratamientos de datos personales sin el consentimiento de sus titulares tiene que ver con la asociación de datos de los clientes de CAIXABANK con los de otros clientes con los que aquél tenga algún tipo de vínculo, familiar o social, “al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos”. Esta vinculación de datos del cliente con datos personales de terceros, que se añadió en la versión 3ª de este documento en la autorización (ii) del apartado correspondiente a la finalidad 1 (“Tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente”), no puede llevarse a cabo sobre la base del pronunciamiento que pueda realizar el cliente, que no es el titular de los datos en cuestión (se trata de datos personales de terceros que se asocian a los datos del cliente).
- c) Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el “Contrato de redes sociales”.
En relación con el tratamiento de datos obtenidos de redes sociales, pesan las mismas objeciones sobre el consentimiento que se presta y las finalidades pretendidas con el tratamiento. Además, el cliente consiente mediante un solo acto y lo hace para tratamientos
de datos con finalidades diversas:
Desde el área personal de la banca online, el cliente consiente que CAIXABANK acceda y utilice información de redes sociales. La herramienta habilitada para ello solicita al cliente que seleccione la red (Facebook, Twitter y LinkedIn), le ofrece la información dispuesta por la entidad en una caja de texto y requiere que el interesado pulse el botón habilitado con el texto “Aceptar y continuar”. Con esta sola acción, el cliente presta su consentimiento a la recogida de los datos personales que se mencionan en esa información, a los tratamientos que se detallan y para las diferentes finalidades que se indican (esta información consta reproducida íntegramente en Anexo III):
“Al hacer click en el botón “Aceptar y continuar”, Usted consiente expresamente que CaixaBank… incorpore a ficheros los siguientes datos de carácter personal… con las finalidades de
a) contactar con Usted y remitirle comunicaciones comerciales por medios electrónicos relativas a productos y servicios y/o cualesquiera otros que actualmente o en el futuro comercialice CaixaBank, y relativas a productos y servicios de terceros cuyas actividades estén comprendidas en las que se indican en el apartado siguiente.
b) comunicar los datos por Usted proporcionados a Caixabank, S.A., con NIF…, domicilio en Xx. Xxxxxxxx 000 00000 xx Xxxxxxxxx, y a las empresas y entidades en cuyo capital fundacional participe directa o indirectamente CaixaBank, para que estas puedan dirigirle comunicaciones comerciales en papel y por medios electrónicos sobre los productos y servicios propios de sus respectivas actividades, comprendiendo las bancarias, de servicios de inversión y asegurados, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de servicios de consultoría, ocio y benéfico-sociales, así como la comunicaciones de sus datos por dichas entidades a Caixabank, con las finalidades previstas en el anterior apartado a).
c) validar, por parte del Servicio de Atención al Cliente en redes sociales, los datos identificativos que proporcione Usted al mismo, al efecto de atender las solicitudes que Usted le dirija.
d) validar sus datos identificativos cuando Usted acceda a otras aplicaciones de CaixaBank mediante su Nombre de usuario (Twitter), su Identificador de usuario (Facebook) o su Usuario registrado (Linkedin).
e) contactar con Usted en el supuesto que fuera detectado o existieran fundadas sospechas en relación a un posible fraude o suplantación de su identidad o actividad en las redes sociales, o en el uso xx xxxxxxx o aplicaciones de CaixaBank.
Asimismo, Usted consiente expresamente el acceso de CaixaBank a aquellos contenidos e información que Usted haya decidido hacer públicos en cada momento (y, en su caso, a aquellos contenidos e información cuyo acceso Usted haya permitido específicamente) en las redes sociales señaladas, así como la comunicación de la mencionada información, a las empresas y entidades indicadas en el apartado b) anterior, para su tratamiento con las siguientes finalidades:
(i) personalización de las ofertas comerciales.
(ii) elaboración de perfiles y segmentación en base a la información pública de su perfil, al objeto de recomendarle y ofrecerle los productos y servicios que más se adecuen a sus preferencias y necesidades”.
Es significativo que algunas de las finalidades son similares a las mencionadas en la Cláusula 8 del “Contrato Marco” y del “Contrato de Consentimientos”
(“Autorización/revocación”) para las que CAIXABANK dispone que el interesado preste su consentimiento específico y, en cambio, para el tratamiento de los datos personales obtenidos de redes sociales el interesado consiente todos los tratamientos y para todas las finalidades mediante una acción única, pulsando el botón habilitado con el texto “Aceptar y continuar”.
Otra cuestión relevante tiene que ver con la comunicación de datos a las empresas y entidades en cuyo capital fundacional participe directa o indirectamente CaixaBank (en este caso no se habla de Grupo de empresas CaixaBank, ni se detalla a qué empresas se refiere), que exige igualmente una manifestación específica del interesado para que CAIXABANK pueda llevarla a efecto.
Debe rechazarse, igualmente, el hecho de que el consentimiento recabado en relación con la información obtenida de redes sociales incluya las comunicaciones de datos por las entidades indicadas en el párrafo anterior a CAIXABANK.
Ningún comentario incluye CAIXABANK sobre las circunstancias anteriores en relación con el “Contrato de redes sociales”, salvo la indicación de que fue un proyecto que no tuvo éxito y se dio de baja.
- d) Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el “Contrato del servicio de agregación”.
Lo mismo puede decirse del servicio de agregación. Este servicio se presta por CAIXABANK a solicitud del interesado y se formaliza mediante la suscripción del contrato correspondiente.
En relación con el consentimiento para el tratamiento de datos que el interesado presta con la contratación de este servicio pesan las mismas objeciones. También en este caso el cliente consiente mediante un solo acto y lo hace para tratamientos de datos con finalidades diversas.
El objeto de la relación consiste en permitir al contratante la gestión y visualización sobre posiciones y movimientos de los productos y servicios que éste mantenga con otras entidades financieras. Sin embargo, de conformidad con el clausulado dispuesto en el modelo de contrato elaborado por CAIXABANK, la firma del documento conlleva la prestación del consentimiento del cliente para tratamientos de datos con finalidades distintas, algunas de las cuales se presentan como si se tratase del puro objeto del contrato, a pesar de que van más allá del objeto expresado, con el que no guardan relación.
Así, en el apartado 2 del Contrato, en el que se define su objeto, se indica que el mencionado servicio “también” tiene por objeto, en base a la información agregada, “la personalización de ofertas comerciales ajustadas al perfil y situación del contratante por parte de CaixaBank; la mejora del análisis de riesgos e idoneidad para la contratación de productos y servicios solicitados por el contratante; y la mejora de la gestión de impagos e incidencias derivadas de los productos y servicios contratados”.
Asimismo, en el apartado 11 se informa sobre dos finalidades más:
a) la personalización de ofertas comerciales ajustadas al perfil y situación del contratante por parte de CaixaBank, en relación a productos propios o de terceros comercializados por ella.
b) realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar los servicios recibidos por parte de CaixaBank”.
En este caso se advierte al interesado que se trata de finalidades adicionales que deberá consentir expresamente (se expresa así: “Adicionalmente, en el caso de que lo haya consentido expresamente, los datos obtenidos podrán ser tratados con las siguientes finalidades…”). Considerando los mecanismos habilitados por CAIXABANK para prestar el consentimiento al que se refiere esta cláusula, entendemos que se refiere a las manifestaciones de voluntad recabadas mediante el “Contrato Marco” o mediante el “Contrato de Consentimientos”, y ya se han indicado los reparos a los consentimientos recabados mediante estos documentos. Además, en relación con lo expresado en el contrato del servicio de agregación, debe añadirse que ninguno de estos dos documentos recaba el consentimiento del cliente para la personalización de ofertas comerciales ajustadas al perfil y situación del contratante por parte de CAIXABANK, en relación con productos de terceros comercializados por esta entidad. Por tanto, CAIXABANK no ha previsto la prestación del consentimiento para la finalidad a) antes indicada en relación con productos de terceros.
Por otra parte, es preciso señalar que las finalidades y tratamientos sobre los que informa el contrato del servicio de agregación no hacen referencia alguna a las empresas del Grupo CaixaBank. Por tanto, con la firma de este contrato no se puede entender prestado el consentimiento para las finalidades indicadas en el “Contrato Marco” y en el “Contrato de Consentimientos”, que incluyen la utilización por aquellas empresas de los datos recabados con motivo de este servicio. Se trata por tanto de una comunicación de datos ilícita.
Finalmente, interesa destacar una observación más sobre el objeto del servicio de agregación. Según el contrato, este servicio tiene por objeto la gestión y visualización de información sobre posiciones y movimientos de productos que el interesado mantenga en otras entidades. Sin embargo, a pesar de esta descripción del objeto y del término “gestión” que se incluye, se advierte en el mismo documento que el servicio no permite realizar operaciones o transacciones sobre los productos de entidades terceras y que la prestación del mismo se plasmará en la posibilidad del contratante de visualizar a través de la banca digital información agregada.
Considerando esa limitación del objeto, los datos que se recaban y el uso que se pretende realizar, podría entenderse que el servicio de agregación más bien parece que estaba diseñado para la recogida de información por la entidad responsable. Más aún si consideramos que el propio contrato dispone que la no aceptación o la posterior oposición al tratamiento de sus datos con las finalidades detalladas implica que CAIXABANK “no podrá o (en su caso) deberá dejar de ofrecerle el servicio de agregación” y que, en el caso de que los datos se traten con el consentimiento del interesado, podrán ser tratados mientras no retire el consentimiento, incluso habiendo finalizado la relación contractual.
CAIXABANK niega esta observación alegando que la Agencia no ha entendido la naturaleza de este servicio, que está previsto en la normativa de pagos y sirve para no desposicionar a la entidad respecto a nuevos actores. Sin embargo, aquella conclusión no resulta de analizar la naturaleza de este servicio, sino de las finalidades, especialmente comerciales o publicitarias, y la elaboración de perfiles que se imponían como objeto del contrato.
Esa misma normativa de pagos que cita CAIXABANK establece la prohibición de utilizar los datos personales para fines distintos de la prestación del servicio. El Real Decreto- ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, se refiere a las normas de acceso a la información relativa a las cuentas de pago y al uso de esa información. Concretamente, en su artículo 39.1.f) dispone lo siguiente:
1. El proveedor de servicios de pago que preste el servicio de información sobre cuentas:
f) no utilizará, almacenará o accederá a ningún dato, para fines distintos de la prestación del servicio de información sobre cuentas expresamente solicitado por el usuario del servicio de pago, de conformidad con las normas sobre protección de datos”.
En relación con el Contrato del Servicio de Agregación, y también con los Términos de Redes Sociales, CAIXABANK ha señalado que la firma de estos documentos es complementaria al “Contrato Marco”, que en estos documentos adicionales no se obtiene un nuevo consentimiento, el cual se otorga en el “Contrato Marco”.
Esto no concuerda con lo expresado en aquellos documentos y en el propio “Contrato Xxxxx”. Este contrato no requiere la prestación de ningún consentimiento para el tratamiento de estos datos, sino que se limita a informar sobre la utilización de los datos obtenidos de redes sociales y del servicio de agregación que el interesado haya autorizado. Esa autorización solo puede prestarse mediante la aceptación de los Términos de Redes Sociales y la firma del Contrato del Servicio de Agregación en la forma antes indicada. En concreto, el “Contrato Xxxxx” señala lo siguiente:
“Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la oferta comercial de productos y servicios serán:
e) Los obtenidos de las redes sociales que el firmante autorice a consultar
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos solicitadas por el firmante”.
Finalmente, interesa destacar que el nuevo Contrato del Servicio de Agregación no incluye la realización de tratamientos de datos con las finalidades indicadas. En relación con las finalidades comerciales, se remite a las autorizaciones que el cliente haya otorgado y advierte sobre la posibilidad de gestionarlas en oficina, a través de banca digital o móvil.
No se tiene constancia, en cambio, de que las referencias que contiene el “Contrato Marco” al uso de datos obtenidos de este servicio hayan sido adaptadas a los cambios del Contrato del Servicio de Agregación.
- Otros tratamientos de datos personales sin base jurídica
Por otra parte, existen otros tratamientos de datos que constan en la información que CAIXABANK facilita a sus clientes que se llevan a cabo sin ninguna base de legitimación:
Según lo detallado en el Fundamento de Derecho anterior, CAIXABANK utiliza datos
personales (“movimientos”, “recibos”, “nóminas”, “siniestros” y “reclamaciones”) generados en la contratación y operativa de productos y servicios contratados por el interesado con terceros (“Todos los que se generen en la contratación y operativas de productos y servicios… con las Empresas del Grupo CaixaBank o con terceros”).
Se deduce de ello que CAIXABANK, bajo la condición de responsable del tratamiento, recaba y utiliza datos personales que no obtiene directamente de los interesados. Se trata de datos personales procedentes de terceros que CAIXABANK utiliza con las finalidades expresadas en la información facilitada a los interesados.
No existe base jurídica que legitime la utilización de estos datos personales. CAIXABANK no es la entidad responsable de estos datos obtenidos de productos de terceros, lo que limita la posibilidad de utilizar la información de que se trate con fines propios.
También en relación con esta cuestión es necesario tener en cuenta las limitaciones sobre el uso de los datos personales que impone el Real Decreto-ley 19/2018 antes citado. En su artículo 65 se refiere expresamente a la protección de datos personales en los siguientes términos:
“Artículo 65. Protección de datos.
1. El tratamiento y cesión de los datos relacionados con las actividades a las que se refiere este real decreto-ley se encuentran sometidos a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la normativa española de protección de datos, y en la normativa nacional que lo desarrolla”.
- Tratamiento de datos personales basados en el interés legítimo del responsable
El análisis de esta cuestión debe tener en cuenta inicialmente lo dispuesto en el artículo 1.2 del RGPD, según el cual “El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales”. Para ello habrán de tenerse en cuenta todas las circunstancias que rodean la recogida y tratamiento de los datos y el modo en que se ven cumplidos o reforzados los principios, derechos y obligaciones exigidos por la normativa de protección de datos de carácter personal.
El artículo 6 del RGPD exige que el tratamiento de datos personales, para que sea lícito, pueda ampararse en alguna de las bases de legitimación que establece y que el responsable del tratamiento sea capaz de demostrar que, efectivamente, concurría en la operación de tratamiento el fundamento jurídico que invoca (artículo 5.2, principio de responsabilidad proactiva).
Las bases jurídicas del tratamiento que se detallan en el artículo 6.1 RGPD están relacionados con el principio, más amplio, de licitud, del artículo 5.1.a) del RGPD, precepto que dispone que los datos personales serán tratados de manera “lícita, xxxx y transparente en relación con el interesado”.
En relación con la base jurídica del interés legítimo, invocada por CAIXABANK para
los tratamientos descritos, el artículo 6 citado establece:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño...”.
El Considerando 47 del RGPD precisa el contenido y alcance de esta base legitimadora del tratamiento.
Los criterios interpretativos que se extraen de este Considerando son, entre otros, (i) que el interés legítimo del responsable prevalezca sobre los intereses o derechos y libertades fundamentales del titular de los datos, a la vista de las expectativas razonables que éste tenga, fundadas en la relación que mantiene con el responsable del tratamiento; (ii) será imprescindible que se efectúe una “evaluación meticulosa” de los derechos e interés en juego, también en aquellos supuestos en los que el interesado pueda prever de forma razonable, en el momento y en el contexto de la recogida de datos, que pueda producirse el tratamiento con tal fin; (iii) los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.
Debe añadirse que el interesado, en todos los casos, puede ejercer el derecho de oposición, que también supone una nueva evaluación de los intereses de responsable y titular de los datos, salvo en los casos de prospección comercial, en los que el ejercicio del derecho obliga a interrumpir los tratamientos sin ninguna evaluación (artículo 21.3 del RGPD).
Interesa destacar algunos aspectos recogidos en el Dictamen 6/2014 elaborado por el Grupo de Trabajo del Artículo 29 relativo al “Concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE”, de fecha 09/04/2014, especialmente los factores que pueden ser valorados cuando se efectúa la preceptiva ponderación de los derechos e intereses en juego. Aunque el Dictamen 6/2014 se emitió para favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente, derogada por el RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del RGPD, y que las reflexiones ofrecidas son exponente y aplicación de principios que inspiran también el RGPD, como el principio de proporcionalidad, o de principios generales del Derecho comunitario, como los principios de equidad y de respeto a la ley y al Derecho, muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual.
Según se ha indicado, para que el apartado f) del artículo 6.1. RGPD pueda constituir la base legitimadora del tratamiento de los datos personales que se efectúa, preceptivamente, y con carácter previo al tratamiento, ha de hacerse una ponderación, una “evaluación meticulosa”, de los derechos e intereses en juego: el interés legítimo del responsable del tratamiento, de una parte, y de otra, tanto los intereses como los derechos y libertades fundamentales de los afectados. Ponderación que es imprescindible, pues sólo cuando como resultado de ella prevalece el interés legítimo del responsable del tratamiento sobre los derechos o intereses de los titulares de los datos podrá operar como fundamento jurídico del tratamiento el referido interés.
Sobre la prueba de ponderación, el repetido Dictamen señala lo siguiente: