Acaba de comenzar un nuevo año y con él nuevos retos para las empresas, en materia de protección de datos. La Agencia Española de Protección de Datos (AEPD) despidió el 2020 imponiendo a una de las principales entidades financieras españolas una sanción de 5 millones de euros, su mayor sanción hasta la fecha, superándose tan solo un mes después con una sanción aún más cuantiosa, 6 millones de euros a otra entidad del sector financiero.
Ambas sanciones marcan un cambio de rumbo drástico en la trayectoria de la AEPD. Así, desde la plena aplicación del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la sanción de mayor cuantía impuesta por la AEPD se establecía en unos lejanos 250.000 euros. De esta manera, la autoridad española sigue la estela de otras autoridades de control europeas en materia de protección de datos, tales como la británica (ICO), francesa (CNIL) e italiana (Garante), las cuales cuentan con numerosas sanciones millonarias en su haber.
Las infracciones identificadas por la AEPD en relación con los tratamientos realizados por ambas entidades financieras se refieren a dos principios fundamentales del RGPD: el principio de transparencia o deber de información, y el principio de licitud. En el presente artículo nos centraremos en el deber de información: ¿a qué deben atenerse las empresas?
Antes de sumergirnos en el análisis, es importante mencionar que ambas resoluciones son recurribles tanto frente a la propia AEPD como en vía contencioso-administrativa ante la Audiencia Nacional, por lo que la interpretación está sujeta a refrenda o anulación.
¿Qué cuestiones debe tener en cuenta una empresa a la hora de informar para cumplir con el criterio esgrimido por la AEPD en sus resoluciones?
(i) Deberá prestarse especial atención a la coherencia entre los distintos documentos que se utilicen para informar a clientes, trabajadores, etc. A modo de ejemplo, si se utiliza un texto para informar como parte del contrato con el cliente y asimismo se cuenta con una política de privacidad disponible online destinada a clientes, ambos textos deberán estar alineados. En este sentido, se deberá extremar el cuidado a la hora de actualizar los documentos aportados por diferentes canales, evitando decalajes. Esta cohesión debe apreciarse no solo en cuanto a la información transmitida, sino en la forma en la que ésta se transmite, utilizando una estructura y terminología uniforme.
(ii) Evitar el uso de expresiones poco claras e imprecisas, o formulaciones vagas, con significados ambiguos. Pues bien, la AEPD entiende que expresiones tan habituales en la práctica, tales como “conocerte mejor”, “personalizar su experiencia”, “finalidades comerciales”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, adolecen de falta de transparencia y dificultan la comprensión por parte de cualquier interesado, que no entenderá qué va a hacer la entidad con sus datos personales.
(iii) Informar de las categorías de datos personales que se someterán a tratamiento. Este requisito se recoge en el RGPD de manera expresa únicamente en para aquellos supuestos en los que la empresa no ha obtenido los datos del propio titular de estos. Sin embargo, la AEPD se sirve del criterio manifestado por el Comité Europeo de Protección de Datos para afirmar que debe proporcionarse información sobre las categorías de datos, asimismo cuando el tratamiento se ampare en el consentimiento, así como cuando se base en el interés legítimo y tales datos puedan ser utilizados posteriormente para finalidades basadas en el consentimiento. Adicionalmente, a juicio de la AEPD se deben incluir dentro de las categorías conceptos que sean lo suficientemente descriptivos, y evitar indicar los ejemplos de categorías precedidos por la expresión “tales como” y finalizando con la expresión “etc.”.
(iv) Indicar de manera diferenciada las finalidades del tratamiento en relación con su base legitimadora. Para alcanzar este objetivo, se deberá evitar el uso de expresiones vagas que no revelen de forma explícita la finalidad del tratamiento, tales como “mejorar la experiencia de los usuarios”, “propósitos de comercialización” o “investigación futura”. La definición de las finalidades debe ser clara, empleando para ello fórmulas informativas que permitan al consumidor medio distinguir, sin esfuerzos desproporcionados, qué motiva el tratamiento, cómo son tratados y, en su caso, los criterios para la elaboración de perfiles.