Scroll to top
© 2017, Norebro theme by Colabr.io

Nota informativa | Análisis de la resolución CaixaBank

Con motivo del procedimiento sancionador de la Agencia de Protección de Datos (AEPD) a CaixaBank analizamos, a continuación, los elementos más importantes recogidos en la resolución.

También puedes descargar la nota informativa aquí

 

Nota informativa Caixabank

 

Las actuaciones inspeccionadas por la Agencia Española de Protección de Datos tienen por objeto analizar la información ofrecida con carácter general por parte de CAIXABANK en materia de protección de datos personales, a través de todos los canales empleados por la entidad (“Contrato Marco” y del “Contrato de Consentimientos” –“Autorización revocación para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank”-, la “Política de Privacidad” accesible a través de la web de la entidad y la información ofrecida en relación con los datos personales de redes sociales y servicio de agregación); los distintos tratamientos de datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación con clientes o personas que mantengan cualquier otra relación con la misma, incluido el análisis de los mecanismos empleados para recabar la prestación del consentimiento de los interesados; así como el cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento establecidos en el artículo 5 del RGPD.

En relación con dicha inspección procedemos a realizar un análisis de los elementos más importantes recogidos en la resolución:

 

1. Consentimiento informado y requisito de transparencia

En cuanto al deber de información y la validez del consentimiento otorgado, la Agencia considera que existe falta de homogeneidad y dispersión documental en la recogida de los consentimientos, que se sucede mediante la aceptación de (I) la política de privacidad, (II) el Contrato Marco y (III) las cláusulas específicas en los distintos productos susceptibles de contratación, de forma que la información que se entrega al usuario no coincide. Por otro lado, la AEPD hace hincapié en el uso, por parte de CAIXABANK, de terminología imprecisa y formulaciones vagas pues no se informa de manera clara y sistemática ni sobre lo tratamientos, ni sobre las finalidades ni sobre las categorías de datos que se utilizan. Respecto a este último punto, deja constancia de que la información es defectuosa en la medida en que no se permite al usuario conocer todas las categorías de datos, ni de si se tratan datos especialmente sensibles ni de donde proceden dichos datos (fuentes externas, terceros, datos inferidos….). Finalmente pone de manifiesto el uso expresiones que hay que evitar, entre ellas “tales como o etc..” Por todo ello, la AEPD considera que existe desinformación e inexactitud en la información proporcionada, incumpliéndose el principio de transparencia, así como los requisitos exigidos para obtener un consentimiento válido (libre, informado, específico e inequívoco). En definitiva, se sugiere que el consentimiento no es específico en tanto no es exhaustivo, no proporciona suficiente información sobre las categorías de datos ni sobre los usos concretos a que se van a destinar, incluida la información sobre el tipo de perfiles que elaboran, lo que deriva en la obtención de un consentimiento viciado.

En relación con la exigencia, por parte de la AEPD, de la necesidad de indicar el detalle de las categorías de datos que se utilizan, nos surge la duda sobre si lo que realmente se está exigiendo es un mayor detalle de las categorías o por el contrario, es un listado de cada uno de los datos que se van a utilizar, lo que a nuestro entender excede de lo requerido por el RGPD.

El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad con el artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales, estrechamente relacionado con los principios de lealtad y licitud. Facilitar información a los interesados antes de obtener su consentimiento es esencial para que puedan tomar decisiones informadas, comprender qué es lo que están autorizando y, por ejemplo, ejercer su derecho a retirar su consentimiento. Si el responsable no proporciona información accesible, el control del usuario será ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.

En este sentido, se exige una total uniformidad y un detalle más profundo de la información facilitada a los interesados para la obtención del consentimiento.

 

2. Cesión de datos a empresas del grupo

Al parecer, la “Política de Privacidad” de CAIXABANK alude al “intercambio de información comercial entre las empresas del Grupo CaixaBank”.

El concepto de “Grupo empresarial” se define como grupo constituido por una empresa que ejerce el control y sus empresas controladas.

Sobre el alcance que debe atribuirse a este concepto desde el punto de vista del RGPD, es necesario considerar lo señalado en los Considerandos 37 y 48 de dicho Reglamento:

“(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial»”.

“(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados”.

El Grupo CaixaBank, en principio, puede entenderse dentro de este concepto, con la entidad CAIXABANK como empresa que ejerce el control.

Pero el intercambio de información que lleva a cabo CAIXABANK a favor de las empresas del Grupo CaixaBank, a juicio de la AEPD no tiene cabida en las acciones que pueden basarse en el interés legítimo a las que se refiere el Considerando 48, referidas a la transmisión de datos personales dentro del grupo empresarial “para fines administrativos internos”. Nada que ver con las cesiones de datos referidas en el “Contrato Marco” y las finalidades para las que están previstas.

Con ello, no se excluye que pudieran admitirse otras comunicaciones de datos personales, con otras finalidades, que pudieran justificarse en el concepto de grupo empresarial, incluso basadas en el interés legítimo.

Esta falta de diseño o habilitación de un mecanismo específico para recabar el consentimiento de sus clientes en orden a la cesión de datos a empresas del Grupo no se considera subsanado con la firma por el cliente del “Contrato Marco”, que se produce sin recibir la información precisa y no supone un pronunciamiento del cliente sobre la utilización de sus datos personales por parte de las empresas del Grupo CaixaBank. Esa utilización conlleva la cesión previa de los datos por parte de CAIXABANK a las empresas del Grupo sin que el interesado se haya manifestado al respecto, es decir, sin el consentimiento del interesado.

Se insiste además en el hecho de que el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines y, cuando el tratamiento tenga varios fines, debe darse el consentimiento mediante una manifestación de voluntad expresada para cada uno de los fines de forma separada o diferenciada, permitiendo al interesado optar por elegir todos, una parte o ninguno de ellos.

La AEPD concluye que no puede entenderse libremente prestado el consentimiento al no haberse permitido “autorizar por separado las distintas operaciones de tratamiento de datos personales”, exigiendo el llamado consentimiento granular y tacha de ilícitas todas las cesiones realizados por CAIXABANK a empresas del Grupo CaixaBank.

De la misma forma, considera irregulares o ilícitos todos los tratamientos de datos personales que lleva a cabo CAIXABANK, cuyos datos le son facilitados por las entidades pertenecientes al Grupo CaixaBank, relativos a clientes de estas últimas.

 

3. Eventual régimen de Corresponsabilidad

En relación con lo expresado en el punto anterior, CAIXABANK alega la existencia de un régimen de corresponsabilidad entre las empresas del Grupo CaixaBank remarcando que estas operan bajo el mismo concepto de marca, siendo CAIXABANK el eje vertebrador del Grupo, de modo que el cliente interactúa con todas las entidades a través de los distintos canales de CAIXABANK, como comercializadora de todos los productos.

Este esquema se traslada a las diversas facetas del tratamiento de datos, incluida la gestión de los consentimientos para tratamientos con finalidades comerciales, que se realiza de forma centralizada. Entiende la entidad financiera que no sería operativo gestionar separadamente los consentimientos para tratamientos que van a llevarse a cabo de forma conjunta en el contexto de las actividades del Grupo para un mismo fin con los mismos medios, en relación con datos de los que las entidades del Grupo son corresponsables.

CAIXABANK advierte de que se trata, además, de una necesidad regulatoria exigida por el Banco Central Europeo y necesaria igualmente para cumplir obligaciones legales que deben apoyarse en la capacidad del Grupo de gestionar información de sus clientes de forma coordinada, establecida en normas como la Ley de Economía Sostenible, de Contratos de Crédito al Consumo o de Prevención del Blanqueo de Capitales y de la financiación del Terrorismo.

Sin embargo, la AEPD rebate este argumento y señala que no puede haber corresponsabilidad de todas las empresas del Grupo CaixaBank en relación con el tratamiento de datos que conlleve el contrato, del tipo que fuera, que formalice un cliente con una de ellas. En todo caso, podrían ser consideradas corresponsables aquellas empresas que participaran de alguna forma en el contrato, pero en ningún caso el resto de empresas.

A la AEPD le basta con examinar las entidades que integran el Grupo CaixaBank y el objeto de sus negocios, para concluir que no puede darse esa corresponsabilidad global, que supondría admitir que todas actúan como responsable en el tratamiento de los datos de clientes de una de esas empresas, aunque no participen en la concreta relación contractual formalizada por el cliente.

Otro motivo en el cuál la AEPD fundamenta la cesión ilícita de datos personales a empresas del Grupo CaixaBank es la perpetuada motivación comercial a la que atienden las cesiones. Considera que de la información ofrecida a los clientes, se desprende que el intercambio de toda la información entre todas las empresas que lo integran responde más a propósitos “comerciales”, ajenos a la relación contractual, como son la realización de impactos comerciales y el diseño de nuevos productos o servicios, para lo que se emplean todos los datos relativos al cliente disponibles en todas las empresas del Grupo, los facilitados por el interesado y los que “se generen en la contratación y operativas de productos y servicios”, con CaixaBank y con las Empresas del Grupo CaixaBank, incluyendo los perfilados realizados a partir de tales datos.

Finalmente, la AEPD estima oportuno citar las Directrices 07/2020, sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, adoptado por el CEPD el 2 de septiembre de 2020, en el que se rechaza como supuesto de corresponsabilidad la utilización para fines publicitarios de una base de datos compartida por un grupo de empresas:

“También puede excluirse el control conjunto en caso de que varias entidades utilicen una base de datos compartida o una infraestructura común, si cada entidad determina de forma independiente sus propios fines.

Ejemplo: operaciones de marketing en un grupo de empresas que utilizan una base de datos compartida.

Un grupo de empresas utiliza la misma base de datos para la gestión de clientes y clientes potenciales. Dicha base de datos está alojada en servidores de la empresa matriz que, por lo tanto, es un encargado del tratamiento de las empresas con respecto al almacenamiento de los datos. Cada entidad del grupo introduce los datos de sus propios clientes y clientes potenciales y los trata únicamente para sus propios fines. Además, cada entidad decide independientemente sobre el acceso, los períodos de retención, la corrección o supresión de sus clientes y de los datos de los clientes potenciales. No pueden acceder o utilizar los datos de los demás. El mero hecho de que estas empresas utilicen una base de datos de grupos compartidos no implica como tal un control conjunto. En estas circunstancias, cada empresa es por lo tanto un responsable del tratamiento”.

En síntesis, la AEPD ha señalado a todas luces, que CAIXABANK no ha cumplido las previsiones para el intercambio de información relativa a sus clientes con las empresas que integran el Grupo, y tampoco se cumplirían en relación con estos supuestos tratamientos conjuntos, sobre los que no ha informado a los clientes debidamente y para los que no dispone de base jurídica.

 

4. Interés legítimo

La AEPD aprecia incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales con finalidades comerciales basados en el interés legitimo.

En relación con el tratamiento de datos con finalidades comerciales en base al interés legítimo, CAIXABANK aclara que el tratamiento en base al interés legitimó queda reducido a casos marginales de carácter transitorio entre regulaciones distintas. Además, expone que elaboró una evaluación de impacto y decidió no enviar el “Contrato de Consentimientos” a aquellos clientes pre-RGPD que, sin tener firmado el “Contrato Marco”, ya habían expresado el “No”.

CAIXABANK señala que ha realizado una evaluación de impacto sobre todos los tratamientos que realiza con esta base legitimadora y, dentro de esa evaluación, ha realizado el juicio de ponderación entre el interés legítimo de la entidad y los derechos de los interesados; en segundo lugar, aclara que la política descrita evita que puedan realizarse tratamientos en base al interés legitimó que hubiesen sido negados por el titular de los datos. Equipara la revocación del consentimiento a la oposición al tratamiento para aquellos casos en los que CAIXABANK puede realizar tratamientos en base a su interés legítimo.

Asimismo, CAIXABANK alega que es suficiente la información facilitada sobre el tratamiento de datos de movimientos, recibos, nominas, siniestros y reclamaciones, considerando que se trata de productos y operativas del cliente, que conoce la información que incluyen. Añade que esa información no incluye datos sensibles y advierte al respecto que la AEPD no puede exigir que se informe sobre lo que no se hace, en base a una sospecha. Aun así, en la nueva “Política de Privacidad” se indica expresamente, al definir la categoría de datos observados de la operativa de los productos contratados, que no se tratará ningún dato de esta naturaleza.

CAIXABANK alega que la AEPD pretende aplicar unos estándares de información que la normativa no prevé cuando señala que el hecho de no informar sobre las categorías de datos personales que se tratan en base al interés legítimo (lo cual no es obligatorio bajo el RGPD, ni lo menciona el CEPD en sus directrices) invalida los posteriores consentimientos que se puedan solicitar para finalidades comerciales.

No obstante, la entidad financiera reconoce que la información proporcionada podría ser mejorable en relación con su presentación, pero manifiesta que en ningún caso la misma era incompleta, por lo que entiende como desproporcionado la sanción que refleja la Propuesta de Resolución.

CAIXABANK concluye que en la Nueva Política de Privacidad se mejora la exposición de la información, detallando en un apartado específico las concretas categorías de datos y su desglose. Concretamente ha excluido el tratamiento basado en el interés legítimo para fines comerciales, evitando las posibles divergencias entre interés legítimo y consentimiento.

Aún así, la AEPD concluye que “no es posible determinar la idoneidad (…), necesidad (…) y proporcionalidad…” de los tratamientos basados en el interés legítimo y que la intrusión en la privacidad del interesado puede ser alta, pudiendo los efectos repercutir negativamente sobre los mismos. Sin embargo, no se concluye que el interés legítimo no concurra, sea invalido o insuficiente.

Sobre medidas o recomendaciones adicionales para reforzar el interés legítimo, señala CAIXABANK que su ausencia no invalida del interés legítimo. Ni el RGPD ni la LOPDGDD prevén la puesta a disposición del interesado de las evaluaciones de impacto o el informe de ponderación de interés legítimo, o mecanismos reforzados de oposición.

 

5. Caducidad y prescripción en el Procedimiento Sancionador

Por otro lado, resulta interesante profundizar en los términos de caducidad y prescripción que nos ocupan en la sanción de la AEPD objeto de análisis.

La entidad bancaria alega que mediante resolución de fecha 01/02/2019, de la Directora de la Agencia Española de Protección de Datos E/01475/2018, se declaró la caducidad de las actuaciones previas reseñadas, por el transcurso del plazo de doce meses contados desde que tuvo entrada a denuncia (24/01/2018), conforme a lo establecido en el artículo 122 del RD 1720/2007, de 21 de diciembre (en adelante el RLOPD), por el que se aprueba el Reglamento de desarrollo de la LOPD.

A este respecto, CAIXABANK se remite a las alegaciones ya realizadas sobre el deber de información y la validez del consentimiento otorgado y alega que la Agencia ni siquiera ha probado que efectivamente CAIXABANK esté llevando a cabo estos tratamientos. Subsidiariamente, alegan la nulidad del Acuerdo de Inicio por caducidad de las actuaciones previas número E/01475/2018 y porque sanciona infracciones que estarían prescritas conforme a la LOPD.

La AEPD se sirve de unas actuaciones previas iniciadas en enero de 2018 que fueron archivadas por caducidad, las cuales se incorporan a otras nuevas mediante un simple “encadenamiento” que convierte las actuaciones de la AEPD en perennes, en contra de lo perseguido por el artículo 122 RLOPD.

A efectos aclaratorios reproducimos el contenido del artículo 122 RLOPD destacando los puntos más relevantes:

“Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se orientarán a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso. 2. Las actuaciones previas se llevarán a cabo de oficio por la Agencia Española de Protección de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano. 3. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano, la Agencia Española de Protección de Datos acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador. 4. Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada a las que se refiere el apartado 2 hubieran tenido entrada en la Agencia Española de Protección de Datos o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones. El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.

En relación con lo anterior, el Reglamento General de Protección de Datos no hace referencia a los plazos de prescripción de las infracciones y sanciones, por lo que es preciso recurrir a la LOPDGDD para esclarecer este asunto. Normativa que aún no era de aplicación en la fecha en que tuvo entrada la denuncia.

Si bien, la normativa española, regula los supuestos de interrupción de la prescripción partiendo del principio de tutela judicial efectiva.

Los plazos de prescripción de las infracciones son los siguientes:

  • Las infracciones consideradas muy graves prescribirán a los 3 años.
  • Las infracciones consideradas graves prescribirán a los 2 años.
  • Las infracciones consideradas leves prescribirán al año.

Estos plazos se interrumpen con la iniciación del procedimiento sancionador reiniciándose dicho plazo si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

En definitiva, lo que aquí se cuestiona es la función de la prescripción del procedimiento en tanto la caducidad no se adquiere con la mera prescripción del expediente.

 

6. Alegato de vulneración de tutela judicial efectiva

Al parecer, puede extraerse del contenido de la sanción que un día antes de la presentación de las primeras alegaciones de CAIXABANK, la directora de la AEPD, señaló públicamente la existencia de dos o tres sanciones de alto impacto mediático en relación con el sector financiero en un acto de ISMS Fórum celebrado en Madrid.

En este sentido, los funcionarios que ejerzan la inspección de actuaciones previas llevadas a cabo de oficio por la Agencia Española de Protección de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano, tendrán la consideración de autoridad pública en el desempeño de sus cometidos, estando obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

De las declaraciones de la Directora, CAIXABANK deduce la vulneración de la presunción de inocencia, si quien instruye el expediente o quien lo va a resolver no tienen la capacidad de valorar dichas pruebas de manera imparcial, sin ningún tipo de pre-juicio, o si han formado su voluntad antes de tener a su vista todos los elementos probatorios.

Parece que el proceder de la directora de la Agencia Española de Protección de Datos pone de manifiesto un posible defecto de tutela judicial efectiva. Aquí cabe preguntarse si dicho proceder genera indefensión a la entidad financiera y, si, en consecuencia, es anulable una actividad ausente de contradicción.

 

7. Conclusiones

Los motivos que fundamentan las investigaciones son, sucintamente, los siguientes:

a) La Infracción de los artículos 13 y 14 del RGPD en los siguientes extremos:

  • La información ofrecida en los distintos documentos y canales no es uniforme.
  • Empleo de una terminología imprecisa para definir la política de privacidad.
  • Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento.
  • Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales basados en el interés legitimo.
  • Insuficiente información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.
  • La información facilitada sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es uniforme.

b) La Infracción del artículo 6 del RGPD en los siguientes extremos:

  • Insuficiente justificación de la base jurídica del tratamiento de datos personales, especialmente en relación con los basados en el interés legítimo.
  • Incumplimiento de los requisitos establecidos para la prestación de un consentimiento válido, manifestación de voluntad específica, libre, inequívoca e informada.
  • Deficiencias en los procesos habilitados para recabar el consentimiento de los clientes para el tratamiento de sus datos personales.
  • Cesión ilícita de datos personales entre empresas del Grupo CaixaBank.

 

Descarga el PDF aquí

 

Teresa Miquel - MetricsonTeresa Miquel Romera

Directora general Metricson y especialista en privacidad y protección de datos

teresa@metricson.com

 

 

Related posts

Post a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *