Recientemente se ha hecho Publica una Resolución dictada por la Agencia Española de Protección de datos que va a dar mucho que hablar, ya que en la misma se impone a la entidad CAIXABANK, S.A., dos sanciones : una por infracción leve de los artículos 13 y 14 del RGPD, imponiendo una multa por importe de 2.000.000 euros, y otra por una infracción del artículo 6 del RGPD, calificada como muy grave, con una multa por importe de 4.000.000 euros, si bien todavía no es firme y puede ser recurrida por la entidad sancionada.
Señala la Resolución, dicta en el Procedimiento sancionador 477/2019, que ha quedado acreditado el incumplimiento del principio de trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del mismo Reglamento.
El procedimiento instruido por la Agencia Española de Protección de Datos, cuyo comienzo data de enero de 2018 tras denuncia a la entidad CAIXABANK por imponerle la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo, según consta en el apartado II de las “nuevas condiciones LOPD” establecidas por la entidad.
El denunciante añadía que para cancelar dicha cesión debe dirigir un escrito a cada una de las empresas, lo que califica de desproporcionado considerando que la cesión se acepta en un solo acto.
Por su parte en sus respuestas la entidad CAIXABANK informó a la Agencia como sigue: (…) Aprovechando los cambios contractuales que se iban a implantar para la adaptación al RGPD, en 2016 se decidió seguir dos principios en las relaciones a establecer con los clientes: la base para la actividad comercial (tratamiento) sería el consentimiento inequívoco del cliente; y los consentimientos se recabarían a nivel de “grupo”, para simplificar las relaciones cruzadas, solicitando a los clientes autorización para tratamientos con finalidad comercial de manera conjunta para todas las sociedades del “grupo”. (…) A los clientes se les solicita autorización para realizar tratamientos de análisis de datos y tratamientos de publicidad para un conjunto de diez entidades, permitiendo evaluar en común la información de todos los productos del cliente asociados al “Grupo CaixaBank”.
Se centralizan los consentimientos en un repositorio, de manera que cualquier entrada de información en el mismo, ya sean apuntes de consentimientos otorgados como denegados, sustituye la anotación anterior, permitiendo que un cliente revoque el consentimiento desde cualquier empresa del “grupo”, y a la inversa. Cualquier empresa del grupo es un punto de entrada donde el cliente puede otorgar consentimientos, o retirar los mismos, con efectos a la totalidad. (…) La revocación del consentimiento con finalidad comercial tiene efectos automáticamente para todas ellas, de modo que el derecho puede ser ejercido indistintamente ante cualquiera y por cualquier canal. En cambio, respecto de la cancelación y rectificación, cada una de las empresas es responsable de las relaciones comerciales que mantiene con sus clientes y por tanto de los datos que trata en el ámbito de la relación contractual. Sin perjuicio de que el dato cancelado o rectificado, si era susceptible de ser utilizado por las otras empresas, dejará de serlo en caso de cancelación o será actualizado, en caso de rectificación. Adicionalmente, CAIXABANK informa que se ha implementado un sistema de atención de derechos centralizado, a nivel de grupo, en un servicio supervisado por el DPD, siendo esta entidad canal de entrada, sin perjuicio de que todas las empresas dispongan de un canal propio para la recepción de ejercicios de derechos, incluida la revocación.
Consultada por la recogida de datos de redes sociales, CAIXABANK aclara que dispone un servicio para que los clientes que así lo consientan a través de la banca por internet puedan vincular sus datos de identificación en redes (Facebook, Twitter y Linkedin) con este servicio, para poder identificarlos cuando utilizan estos canales para contactar con la entidad. (…) En todos los casos, el cliente debe aceptar su uso y los términos y condiciones.
El resultado ya hemos visto cual es al principio, dos sanciones millonarias, y además se le requiere a la entidad para que en el plazo de seis meses, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI.
En sus 177 folios la resolución desgrana porque considera que se incumple lo establecido en la normativa, y sin duda los profesionales de la materia van a tener que estudiar con detenimiento que fundamentos tienen que corregir las empresas en lo sucesivo y que opciones tienen los consumidores para poder accionar responsabilidad por los daños y perjuicios causados por los incumplimientos.
Para más información se puede descargar la resolución en el siguiente enlace: https://www.aepd.es/es/documento/ps-00477-2019.pdf
Esperamos que les haya parecido la noticia de interés, en caso de que tengan dudas de que sistema utilizar para la recogida de los consentimientos de los clientes al tratamiento de sus datos, no duden en concertar una cita con nuestros compañeros del despacho, un saludo
Alberto Picón Cintas. Abogado MICAP 1496
