Procecimiento Sancionador PS/00477/2019

El objeto de la presente nota informativa (en adelante, la «Nota») es el análisis por parte de ECIJA, de los principales criterios jurídicos apreciados por la Agencia Española de Protección de Datos (en adelante, «AEPD») en el Procedimiento Sancionador con referencia PS/477/2019, para la imposición de dos sanciones, una por valor de dos millones de Euros como consecuencia de la infracción de los artículos 13 y 14 del Reglamento 679/2016 General de Protección de Datos (en adelante, «RGPD») y otra por valor de cuatro millones, por infringir el artículo 6 del mismo Reglamento, lo que supone una sanción de seis millones de euros, la más alta impuesta hasta ahora por la AEPD.

1. ANTECEDENTES

El inicio del Procedimiento Sancionador trae causa de la agrupación de una reclamación de un cliente de una entidad financiera (en adelante, la «Entidad Sancionada») y otra reclamación contra la misma entidad por parte de la Asociación de Consumidores y Usuarios en Acción («FACUA») entre las que, si bien concurren matices que las diferencian, predomina un elemento común: el supuesto defecto en el cumplimiento de las disposiciones relacionadas con la legitimación e información proporcionada a los clientes de la Entidad Sancionada para la cesión de sus datos personales a terceras empresas.

Sin perjuicio de lo anterior, ha de señalarse que la imposición de las sanciones no es consecuencia directa de las circunstancias concretas que motivaron las reclamaciones enunciadas, sino que se deriva de la observación por parte de la AEPD de posibles infracciones que operan con carácter transversal en la organización. Así, habiendo sido conocidas las reclamaciones citadas, la AEPD considera que, con carácter general, la Entidad Sancionada estaba llevando a cabo tratamientos sin una base legitimadora adecuada, así como sin proporcionar la información adecuada a los interesados. A causa de ello, le son atribuidas a la Entidad Sancionada dos infracciones:

  • Vulneración del deber de informar, previsto en los artículos 13 y 14 del Reglamento 679/2016 General de Protección de Datos.
  • Tratamiento de datos sin base legitimadora, infringiendo el artículo 6 RGPD.

Adicionalmente, debe tenerse en cuenta que la Resolución PS/477/2019 es la segunda resolución en dos meses contra una entidad financiera por causa de la infracción tanto del deber de informar como por el tratamiento de datos personales sobre una base legitimadora inadecuada o inexistente. Es por ello que, en vista de que la AEPD está sentando sólidos precedentes sobre el cumplimiento de las obligaciones legales citadas, a lo largo de la presente Nota se hará mención de esta primera Resolución PS/70/2019, de diciembre de 2020, con fines comparativos.

2. ANÁLISIS JURÍDICO

De acuerdo con lo señalado, son dos las infracciones atribuidas, si bien cada una de ellas es analizada pormenorizadamente, de acuerdo con el esquema que se expone a continuación:

Información proporcionada al interesado

  • La información ofrecida a los clientes de la Entidad Sancionada no es uniforme

Consta probado que la Entidad Sancionada emplea distintas cláusulas informativas para informar a sus clientes sobre el tratamiento de sus datos, según el medio por el cual se recaben dichos datos. Así, por ejemplo, existen una cláusula incorporada al contrato marco, una política de privacidad para el sitio web y una cláusula informativa utilizada en el momento en que el interesado desea modificar sus consentimientos o ejercitar ciertos derechos, además de existir contratos para otras prestaciones de servicios específicas.

Tras la revisión de las distintas cláusulas informativas, señala la AEPD que entre las mismas pueden apreciarse diferencias sustanciales de contenido no justificadas, así como diferencias formales, tales como la terminología empleada o el propio título de los documentos. Todas estas distinciones dificultan la comprensión de los tratamientos que la Entidad Sancionada realizará con los datos de los clientes.

 

CONCLUSIÓN. – Cuando se utilicen distintos documentos para informar sobre el tratamiento de datos debe atenderse a la cohesión entre los mismos, poniendo especial cuidado cuando éstos son actualizados. Esta cohesión debe apreciarse no solo en cuanto a la información transmitida, sino en la forma en la que ésta se transmite, utilizando una estructura y terminología uniforme.

 

 

  • Empleo de una terminología imprecisa y formulaciones vagas

Al igual que en la Resolución PS/70/2019, la AEPD señala la utilización de expresiones generales, tales como «conocerte mejor y mejorar tu experiencia», «mejorar la calidad de los productos y servicios», «relación personalizada» u otras semejantes, que no permiten cumplir el principio de transparencia establecido en RGPD (ex art. 12). A estos efectos, considera que se tratan de expresiones imprecisas y poco claras, que limitan al interesado la decisión a la hora de prestar su consentimiento.

Ahondando en ello, la AEPD considera que, en este caso, la información debe ser especialmente concreta y detallada, dada la variedad y complejidad de las finalidades de los tratamientos realizados por una entidad financiera. Además, la Entidad Sancionada debía ser capaz de demostrar con apreciaciones objetivas que la información podía entenderse sin dificultad por un cliente medio.

 

CONCLUSIÓN. – La utilización de fórmulas genéricas relativas a la realización de perfilados o la mejora de la experiencia del usuario no es válida. Debe ajustarse a motivaciones específicas y exponerse de modo que cualquier usuario medio, sin necesidad de cualificación específica en la materia, pueda conocer el alcance de la información proporcionada.

 

 

  • Información sobre los tratamientos de datos personales basados en la relación contractual

En opinión de la AEPD, la descripción de las finalidades basadas en la relación contractual, así como de los datos tratados para alcanzarlas, no es lo suficientemente detallada y no permite valorar y determinar con certeza si los tratamientos reseñados pueden ampararse en esta base jurídica.

En particular, señala la falta de transparencia de expresiones como «datos derivados de las relaciones comerciales o confeccionados a partir de ellos». Asimismo, las expresiones como «relaciones comerciales» o «finalidades comerciales» producen confusión cuando no se definen adecuadamente.

 

CONCLUSIÓN. – La información otorgada debe ser lo suficientemente detallada como para permitir que un usuario medio comprenda por qué el tratamiento puede realizarse sobre la base legitimadora de la relación contractual.

 

 

  • Información sobre las categorías de los datos personales sometidos a tratamiento y sobre las categorías de datos personales concreta que se tratarán para cada una de las finalidades específicas

 Al igual que en la Resolución PS/70/2019, determina la AEPD que la ausencia de información clara sobre las categorías de datos que son tratadas limita considerablemente la capacidad del interesado de otorgar su consentimiento.

En particular, es necesario informar sobre las categorías de datos personales utilizados cuando el tratamiento se base en el consentimiento, tal y como se recoge en las Directrices sobre el consentimiento en virtud del Reglamento 2016/679 del Grupo de Trabajo del Artículo 29. Lo mismo sucede con los datos empleados para tratamientos basados en el interés legítimo cuando tales datos puedan ser utilizados posteriormente para finalidades basadas en el consentimiento.

También será necesario informar sobre las categorías de datos no facilitadas directamente por los interesados, esto son, los datos generados durante el desarrollo de la relación comercial o inferidos a partir de los datos facilitados por el interesado, así como los datos que son facilitados a la Entidad Sancionada por terceras empresas, lo cual adquiere especial relevancia en tratamientos como la creación de perfiles y enriquecimiento de los mismos.

Considera la AEPD que expresiones como «todos los datos que se generen en la contratación y operativas de productos y servicios» concurren en un déficit informativo, así como los ejemplos de categorías precedidos por la expresión «tales como» y finalizando con la expresión «etc.».

Tampoco son suficientemente descriptivas expresiones como «movimientos», «recibos», «nóminas», «siniestros» o «reclamaciones», en tanto que tales conceptos podrían integrar datos sensibles o categorías especiales de datos personales, por ejemplo, cuotas sindicales o cuotas abonadas a partidos políticos, o a entidades de carácter religioso, o por uso de servicios prestados por entidades sanitarias o religiosas.

El aspecto fundamental que pretende ser destacado por la Autoridad, es que siendo considerada como insuficiente la información que se proporcionaba, el interesado desconocería la tipología de tratamientos y datos que serían realmente tratados.

Así, a la luz de la información proporcionada, considera la AEPD que la información suministrada no es suficiente para que el interesado conozca con exactitud cuáles son los tratamientos efectuados.

 

CONCLUSIÓN. – Las cláusulas informativas deben contemplar un listado tasado de los datos recabados y utilizados, así como establecer con exactitud cuáles de dichos datos son tratados para cada finalidad. Lo anterior adquiere especial relevancia en aquellos casos en los que el tratamiento esté basado en el consentimiento del interesado y cuando los datos no hayan sido proporcionados por el propio interesado.

 

 

  • Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento

 Como ya hizo en la Resolución PS/70/2019, la AEPD rechaza, aquellas expresiones vagas que revelen de forma explícita la finalidad del tratamiento, recurriendo en su argumento a la autoridad del Grupo de Trabajo del Artículo 29, quien, en su Dictamen 03/2013 sobre limitación de los fines, establece que deben evitarse fórmulas tales como «mejorar la experiencia de los usuarios», «propósitos de comercialización» o «investigación futura».

En este Dictamen se indica que cuanto más complejo sea el tratamiento de los datos personales, los fines deberán especificarse de manera más detallada y exhaustiva incluyendo, entre otras cosas, la forma en que se tratan los datos personales y, en su caso, los criterios de decisión utilizados para la elaboración de perfiles.

Por tanto, considera la AEPD que no existe una definición explícita de los fines del tratamiento, existiendo una vulneración del principio de limitación de la finalidad del artículo 5 RGPD (ello, sin perjuicio, de que la infracción identificada sea la relativa al deber de información del art. 13 RGPD).

 

CONCLUSIÓN. – La definición de las finalidades debe ser clara, empleando para ello fórmulas informativas que permitan al consumidor medio distinguir, sin esfuerzos desproporcionados, qué motiva el tratamiento, cómo son tratados los datos y, en su caso, los criterios para la elaboración de perfiles.

 

 

  • Información sobre el interés legítimo del responsable

 Las consideraciones de la AEPD en lo que a este punto se refiere, de nuevo sigue la línea marcada en la Resolución PS/70/2019, poniendo especial énfasis en el hecho de que la mención de la finalidad no describe por sí misma el interés legítimo alegado.

Al respecto, se hace mención del Dictamen 6/2014 del Grupo de Trabajo del Artículo 29, de fecha 9 de abril de 2014, relativo al Concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, en el cual se define la «finalidad» como la razón específica por la que se tratan los datos, siendo el «interés», por su parte, el beneficio que el responsable o la sociedad obtendrían del tratamiento. Así, reitera la AEPD que las expresiones «conocerte mejor» y «mejorar los productos y servicios», no suponen un fundamento suficiente para entender correctamente informado cuál es el interés perseguido.

En el caso que nos ocupa, la AEPD considera que el interés legítimo alegado no se expresa en las cláusulas analizadas, por cuanto la información es insuficiente para justificar esta habilitación legal y para realizar el juicio de ponderación que permita determinar si dichas razones prevalecen sobre los intereses y derechos del interesado, limitando la posibilidad de que el cliente pueda sopesar correctamente los tratamientos realizados por la entidad en base a dicho interés.

 

CONCLUSIÓN. – La información proporcionada al interesado debe exponer con claridad cuál es el interés legítimo perseguido, no cabiendo la posibilidad de que se indique que este es la misma finalidad del tratamiento. Asimismo, la descripción del interés legítimo debe ser suficientemente clara como para permitir que el interesado pueda determinar si considera que las razones del responsable efectivamente prevalecen sobre sus propios intereses y derechos.

 

 

  • Información sobre elaboración de perfiles

 La elaboración de perfiles basada sobre el interés legítimo debe cumplir con las exigencias arriba mencionadas, es decir, estar suficiente y claramente informado y razonado el interés legítimo de la entidad que hay detrás de esta tipología de tratamiento.

Por otro lado, no se explica a los interesados de forma clara y sencilla en que se basa y como se realiza la citada elaboración de perfiles ni se advierte sobre la posible adopción de decisiones sobre la base del perfil generado, independientemente de si entran en el ámbito de las disposiciones del artículo 22.

Añade la AEPD que no se enuncia de forma expresa el hecho de que se elaboran perfiles, tal y como establece el artículo 11 de la LOPDGDD, sino que tal cuestión se puede deducir de expresiones como «conocerte mejor» o «estudiar tus necesidades».

 

CONCLUSIÓN. – La realización de perfilados debe ser expresamente enunciada y concretada de forma que permita al interesado conocer la tipología y funcionamiento del mismo. Además, en los casos en los que se trate de un perfilado sujeto a lo dispuesto en el artículo 22 RGPD, deberán atenderse los requisitos definidos en el mismo.

 

 

  • Información sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos y sus datos de contacto y plazos de conservación

Con respecto a esta cuestión, la AEPD señala la falta de referencia e información con respecto a la existencia del delegado de protección de datos en algunas cláusulas, y los datos de contacto del mismo.

Además, la AEPD indica que debe informarse al interesado de qué derechos podrá ejercitar frente a cada tipología de tratamiento. Así, por ejemplo, en la política de privacidad no se mencionaba que el derecho de oposición puede emplearse cuando el tratamiento está basado en el interés legítimo.

 

CONCLUSIÓN. – Cada uno de los derechos de los interesados sobre sus datos personales debe ser mencionado expresamente, junto a los tratamientos frente a los cuales puede ser ejercitado, y con una descripción de los efectos derivados de su ejercicio

 

 

  • Información sobre plazos de conservación de los datos personales

En cuanto a los plazos de conservación, la AEPD apercibe a la Entidad Sancionada por no motivar adecuadamente el plazo de conservación de los datos. Así ,en el denominado “Contrato de Consentimientos” y en el “Contrato Marco” por su parte, se indicaba que los datos serían tratados mientras permanecieran vigentes las autorizaciones de uso otorgadas o las relaciones contractuales o de negocio establecidas, pero sin advertir sobre la utilización durante los seis meses posteriores a la finalización de dichas relaciones contractuales.

Así, en ninguno de los casos se motiva la conservación de los datos durante los seis meses posteriores a las relaciones contractuales o de negocio.

 

CONLUSIÓN. – El interesado deberá ser informado de las razones por las que el responsable ha considerado que los datos no serán conservados durante más tiempo del necesario para los fines del tratamiento.

 

 

Licitud del tratamiento y condiciones para el consentimiento

  • Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el «Contrato Marco» […] y «Contrato de Consentimientos»

En relación con este aspecto, la AEPD diferencia cuatro finalidades independientes que la Entidad Sancionada legitima por medio del consentimiento de los interesados: (i) análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil del cliente: (ii) oferta comercial de productos y servicios de las empresas del grupo; (iii) cesión de datos a terceros y, (iv) tratamiento de datos biométricos.

Si bien es cierto que cada una de estas autorizaciones solicitadas, se configuran como actos afirmativos, la AEPD no los considera manifestaciones de voluntad libre, específica, informada e inequívoca, «prestada con garantías suficientes para acreditar que es consciente del hecho de que da su consentimiento y de la medida en que lo hace». El órgano instructor considera que los mismos no pueden considerarse libres por estar incluidos en el contrato en el cual se imponen determinados tratamientos al cliente, como puede ser el intercambio de información realizado con las empresas del Grupo, puesto que el mismo, se somete a ciertos tratamientos e impide que se pueda considerar un acto libre.

Por otra parte, se ha considerado que el mecanismo utilizado por la Entidad Sancionada para la prestación de los consentimientos no permite que el interesado exprese su autorización para cada una de las finalidades indicadas, sino que se presta para todas ellas, siendo las mismas finalidades independientes y por tanto requieren de autorizaciones individuales. Así, no puede considerarse que existe un consentimiento específico por no haber diferenciado y separado las solicitudes de cada uno de los consentimientos suficientemente, permitiendo autorizar una única de las finalidades, varias o todas ellas a voluntad del interesado.

Adicionalmente, y en relación con las tres primeras finalidades indicadas, en el mismo documento informativo facilitado al interesado, se añade que las mismas podrán ser realizados de manera automatizada y conllevar la elaboración de perfiles, sosteniendo la AEPD que, para ello, se requiere un consentimiento explícito y diferenciado del cliente, el cual no se viene recabando en el supuesto analizado.

A ello hay que añadir que, para la AEPD, el consentimiento no se considera válidamente informado, aspecto ya analizado en anteriormente en la presente Nota. Así, se hace alusión de nuevo a la falta de accesibilidad de la información, así como al «lenguaje empleado, la información poco clara e indeterminada sobre los tratamientos de datos personales y la falta de una formulación clara e inteligible de las finalidades para las que serán utilizados, así como la falta de información sobre las categorías concretas de datos que se tratarán para cada una de las finalidades especificadas». De todo ello se deriva que el interesado no conozca «el sentido y significado real de las indicaciones facilitadas y el alcance real del consentimiento que pudieran prestar, haciéndolo inválido al no tratarse de un consentimiento informado».

Por otra parte, la AEPD mantiene que la falta de información se da en los diferentes procesos y medios de obtención de los consentimientos existentes en la entidad y, concretamente, en el que tiene lugar presencialmente en las instalaciones de la compañía. En tal proceso, los clientes manifiestan verbalmente su voluntad de prestar los diferentes consentimientos o de no prestarlos y, posteriormente, una vez el empleado de la compañía ha cumplimentado los mismos, se procede a la firma de tal documento por parte del cliente, no existiendo en este momento de la firma ningún acceso o enlace a la totalidad de la información en materia de protección de datos. Ante este procedimiento, la AEPD ha valorado que «las manifestaciones verbales del cliente expresando sus opciones sobre los tratamientos y fines indicados, así como la firma del documento, se llevan a cabo sin que el mismo haya tenido acceso a la información que consta en el «Contrato Marco». Esto podría evitarse, a juicio de la autoridad sancionadora, por ejemplo, facilitando la información completa y la opción de ratificar o no (volviendo atrás) las voluntades previamente manifestadas por el interesado en el momento de la firma del documento.

Como consecuencia de todo ello, los consentimientos resultan inválidos a juicio de la AEPD y, por lo tanto, no se podrían legitimar los tratamientos identificados en base al consentimiento.

Por último, el órgano sancionador aprecia tratamientos adicionales realizados por la Entidad Sancionada, que deberían estar basados en el consentimiento y que, sin embargo, no se obtiene un consentimiento / autorización específica para ello, a lo que hay que añadir la falta de información acerca de tales tratamientos de acuerdo con las exigencias del RGPD. Esto, hace que los interesados desconozcan estos tratamientos y por tanto se vean limitadas las expectativas que puedan tener acerca de los derechos que les asisten.

 

CONCLUSIÓN.- No se consideran manifestaciones de voluntad del interesado válidamente otorgados, a pesar de tratarse de actos afirmativos, los consentimientos que: (i) vengan impuestas por un contrato al que el cliente se adhiera; (ii) no se encuentren informados debidamente de acuerdo con las exigencias del RGPD; (iii) no se presten con garantías suficientes para acreditar que es consciente del hecho de que da su consentimiento y de la medida en que lo hace; (iv) no se soliciten consentimientos separados para cada una de las finalidades independientes que lo requieran y no se encuentren agrupadas; (v) no permita la aceptación de algunas finalidades y exclusión de todas o algunas de ellas.

 

 

  • Otros tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el «Contrato de Consentimientos»

Al analizar el presente punto, la AEPD destaca dos aspectos relevantes:

  • El texto utilizado para recabar los consentimientos contiene menos información que la incluida en el contrato marco que se facilita a los clientes, por lo que los textos que recogen e informan sobre las mismas finalidades, no son uniformes.
  • La segunda de las cuestiones está relacionada con el tratamiento de datos de terceros respecto de los cuales el cliente tenga algún tipo de «vínculo, familiar o social al efecto de analizar posibles interdependencias económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos». A este respecto, la AEPD manifiesta que el consentimiento para el tratamiento de los mismos no depende de la autorización del cliente, puesto que éste no es el titular de tales datos.
 

CONCLUSIÓN. – Los textos facilitados a los interesados, en tanto en cuanto informen de las mismas finalidades, deberán ser uniformes independientemente del medio por el que se haga entrega de tal información. Por otra parte, no será posible el tratamiento de datos de terceros basados en el pronunciamiento de una persona que no es el titular de estos.

 

 

  • Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el «Contrato de redes sociales»

Con la finalidad de tratar datos personales procedentes de redes sociales, la entidad en cuestión informa por varios medios, entre ellos, desde la aplicación puesta a disposición de los clientes, sobre los tratamientos y distintas finalidades. Así, a través de este canal (App), el cliente autoriza el acceso y tratamiento de tal información mediante la elección de la red concreta y presionando un check de «Aceptar y continuar».

En línea con el anterior análisis, mediante esta única acción de aceptación, se autoriza por el cliente diferentes tratamientos, que se basan en el consentimiento, si bien para estos tratamientos serían precisos consentimientos expresos e independientes, por tratarse de finalidades diferenciadas.

Es relevante mencionar, entre estas finalidades, la comunicación de datos a «empresas y entidades en cuyo capital fundacional participe directa o indirectamente» la entidad. Ya no se hace alusión, como en el resto de textos informativos a Grupo de empresas y, por lo tanto, no se detallan el listado de entidades a las que se refiere, lo cual puede llevar a confusión, debiendo tener en cuenta además, que en este caso, se precisa un consentimiento independiente para tal comunicación.

 

CONCLUSIÓN. – Es necesario un consentimiento diferenciado y específico en relación a la aceptación del tratamiento de datos relativos a las redes sociales de los interesados, así como para la comunicación de datos personales a empresas del Grupo, sin que se puedan entender prestados conjuntamente al tratarse de dos finalidades diferentes.

 

 

  • Tratamientos de datos personales basados en el consentimiento de los interesados contemplados en el «Contrato del servicio de agregación»

Al igual que sucede en los supuestos anteriores, con el acto de la firma del contrato se presta el consentimiento para diversas finalidades que, no son el objeto estricto del contrato, sino que suponen finalidades adicionales e independientes del mismo y, por tanto, precisan consentimientos expresos e independientes. A diferencia de los documentos anteriores analizados, en el supuesto del «Contrato de agregación», no se menciona la comunicación a entidades del Grupo, por lo que tal comunicación no puede llevarse a cabo.

Así, el objeto del contrato de este servicio concreto es «la gestión y visualización de información sobre posiciones y movimientos de productos que el interesado mantenga en otras entidades». A pesar de que la entidad niega tal aspecto en sus alegaciones por entender que la legislación sectorial que le es de aplicación permite esta actividad, la AEPD considera que el servicio prestado por esta entidad no permite realizar operaciones sobre productos de entidades ajenas o terceras, por lo que «podría entenderse que el servicio de agregación más bien parece que estaba diseñado para la recogida de información por la entidad responsable».

 

CONCLUSIÓN. – La aceptación y firma de un contrato, no se puede entender como la autorización o consentimiento para finalidades diferentes que no sean las propias y necesarias para el desarrollo del mismo.

 

 

  • Otros tratamientos de datos personales sin base jurídica

En colación con lo anterior, la AEPD ha considerado que existen ciertos tratamientos que realiza la Entidad Sancionada que se encuentran contenidos en la información facilitada a sus clientes, que no cuentan con una base legitimadora.

Concretamente, se refiere al tratamiento de datos que no se obtienen directamente del interesado («Todos los que se generen en la contratación y operativas de productos y servicios […] con las Empresas del Grupo […] o con terceros») para los cuales, según el criterio del organismo de control, la entidad no tiene legitimación alguna ya que no es considerado el responsable del tratamiento, sino que lo serían tales terceras entidades.

 

CONCLUSIÓN. – No es posible tratar datos personales con finalidades propias por una entidad que no está configurada como responsable del Tratamiento de los mismos.

 

 

  • Tratamiento de datos personales basados en el interés legítimo del responsable

 En cuanto a la realización de tratamientos basados en el interés legítimo, la AEPD ha considerado que existen diferentes incumplimientos contrarios a la normativa aplicable en materia de protección de datos. El primero de ellos, que la Entidad Sancionada incluye en la información proporcionada determinados tratamientos basadas en el interés legítimo, pero no la totalidad de ellos, por lo que existen ciertos tratamientos no informados correctamente y, por consiguiente, no conocidos por el cliente.

Por otra parte, la AEPD ha considerado que el tratamiento con «finalidades comerciales» realizado por la compañía basados en el interés legítimo, es muy similar a los amparados en el consentimiento del cliente en otros documentos de la propia entidad. Esta situación, podría llevar a confusión a los interesados ya que podrían llevarse a cabo tratamientos en base a tal interés legítimo para los que el interesado no ha facilitado el consentimiento a pesar del hecho que sí se le solicita el mismo. En colación con esta «finalidad comercial», la compañía incluye en la información que registra datos de los clientes «de Relaciones Comerciales, o de Relaciones Comerciales […] y las empresas del Grupo […] con terceros» lo cual, de acuerdo con el criterio de la AEPD, no deja claro a los clientes si el envío de las comunicaciones comerciales se refiere a productos del cliente, de empresas del Grupo o de terceras entidades.

Del mismo modo y como se ha venido señalando con anterioridad, no se concreta, en la información destinada a los interesados, la justificación de este interés legítimo de forma suficiente en la que se demuestre la ponderación realizada por el responsable del tratamiento. A ello, la AEPD añade la falta de precisión de los términos empleados, junto con la falta de información relativa a este tratamiento basado en el interés legítimo en relación con otros aspectos, como pueden ser los usos específicos que se darán a esta información o la categoría de datos tratados. Esto último (categorías de datos) , indica la AEPD que deberá tenerse en cuenta a la hora de realizar el juicio de ponderación requerido por parte del responsable del tratamiento para habilitar el citado interés legítimo.

Es por ello por lo que la AEPD sujeta que el tratamiento no resulta «previsible para un ciudadano medio» y no es posible que se pueda valorar si tal tratamiento es necesario. En este supuesto, «se lleva a cabo una combinación de datos cuyo alcance no se ha definido y se realizan operaciones de perfilado para ofrecer productos y servicios que se ajusten a dicho perfil, para aplicarle beneficios y promociones», teniendo estos tratamientos efectos que pueden resultar muy intrusivos e incluso negativos para los interesados.

Para la AEPD, en el caso analizado, no se acredita «la idoneidad (si la medida permite conseguir el objetivo propuesto); necesidad (que no exista otra medida más moderada); y proporcionalidad en sentido estricto (más beneficios o ventajas que perjuicios), de los tratamientos de datos…».

A todo ello, en este supuesto concreto, se le añade: la falta de transparencia en relación con la forma de elaborar los perfilados, el elevado número de afectados y datos, así como la posición dominante del responsable del tratamiento.

En esta misma línea, la AEPD aprecia una falta de aplicación de medidas o garantías adicionales no obligatorias, que suponen una buena práctica «que favorece la apreciación del interés legítimo del responsable cuando en el juicio de ponderación no quedara claro cómo alcanzar el equilibrio». Entre ellas, cita la AEPD como ejemplo el aumento de la transparencia y habilitación de mecanismos de exclusión voluntaria. Así, en relación con el aumento de transparencia, desde el punto de vista de la AEPD, se incluye la puesta a disposición de los interesados del juicio de ponderación realizado, así como de las correspondientes evaluaciones de impacto.

Por lo tanto, a pesar de alegar la entidad que no es posible probar la idoneidad, necesidad y proporcionalidad de tales tratamientos, la AEPD concluye que no queda demostrado que prevalezca el interés legítimo de la compañía y, por ello, no puede ser utilizado como base legitimadora.

 

CONCLUSIÓN. – Para la utilización del interés legítimo como base para la realización de un tratamiento, el responsable del tratamiento deberá realizar un juicio de ponderación que pruebe la idoneidad, necesidad y proporcionalidad del mismo, así como prestar garantías suficientes para salvar el desequilibrio frente a los derechos y libertades de los interesados. Para realizar el juicio de proporcionalidad mencionado se deberán tener en cuenta los aspectos específicos de cada tratamiento. En relación con la información a facilitar sobre estos tratamientos, además de suministrar la información exigible de acuerdo con el deber de información, deberá incluir información relativa al juicio de proporcionalidad realizado. Adicionalmente, se deberán adoptar medidas adicionales con el fin de reducir los efectos intrusivos en los interesados.

 

 

  • Otros tratamientos de datos personales sin base jurídica. Comunicación de datos a empresas del Grupo

En lo que respecta a las comunicaciones a empresas del Grupo, la AEPD considera que no se solicita el consentimiento o autorización para la comunicación a las mismas, a pesar del hecho de que se incluye la referencia «y de las empresas del Grupo» tanto en las finalidades comerciales, así como en la aceptación de las condiciones generales. Esta referencia se reitera a lo largo de todo el contrato marco.

Si bien es cierto que la AEPD reconoce que la comunicación de datos personales de clientes puede realizarse «para fines administrativos internos» y no niega que se puedan realizar en base a un interés legítimo, en el presente supuesto considera que tal comunicación no podría realizarse con finalidades comerciales basadas en el interés legítimo.

A la reiteración de la falta de información facilitada a los clientes en este aspecto, la AEPD destaca, del mismo modo, que en ningún momento se solicita al cliente un consentimiento expreso y separado para la cesión de datos a las entidades del Grupo y, a su criterio, ninguno de los consentimientos solicitados cubre esta acción específicamente. Así, la firma del contrato no se considera, por parte de la AEPD, como un acto suficiente que justifique esta comunicación de datos.

La cesión de datos a las empresas del Grupo debería autorizarse mediante un acto afirmativo, claro, diferenciado, expreso y granular y, adicionalmente, «este consentimiento explícito y separado exigiría posibilitar la selección de la empresa o empresas concretas a las que se refiere el consentimiento para la cesión que pudiera prestarse».

Así, el hecho de que una entidad incluya en sus diferentes finalidades de tratamiento, que la misma se llevará a cabo por todas las entidades del Grupo, no implica una autorización del cliente, aun aceptando los términos de ese contrato o texto informativo.

La propia entidad, a este respecto, alega que esta configuración se debe a que todas estas entidades operan bajo un concepto de marca, actuando la entidad en cuestión como «eje» de ese Grupo de empresas. La compañía sostiene que cada entidad del Grupo cuenta con su propia base de datos, pero que todas ellas ostentan «una suerte de responsabilidad compartida, son responsables conjuntas del tratamiento, por lo que no hay una finalidad propia en la cesión que justifique la prestación de un consentimiento separado». Adicionalmente, la entidad afirma que esta integración en las bases de datos es una exigencia regulatoria aplicable al sector financiero, lo cual es desechado por la AEPD, quien exige que se diferencie entre «el riesgo del grupo empresarial que deba cuantificarse con finalidades regulatorias, del riesgo individual, que solamente deberá valorarse por la entidad con la que el interesado mantenga una relación contractual».

Sin embargo, para la AEPD no se entiende prestado el consentimiento para esta comunicación de datos entre las empresas del Grupo y no se podría llevar a cabo la misma por falta de legitimación para ello.

En otro orden de asuntos, tampoco considera fundada la corresponsabilidad para estas finalidades comerciales, como justificación de la comunicación de los datos incluidos en los sistemas, entre las empresas del Grupo por diferentes razones:

(i) no se traslada en la información al interesado esta configuración de corresponsabilidad entre varias empresas;

(ii) no existe un acuerdo que regule los aspectos necesarios entre esta figura de corresponsabilidad, documento que debería ponerse a disposición de los interesados;

(iii) no se incluyen en el Registro de Actividades tratamientos realizadas en calidad de corresponsables, y

(iv) no se disponen elementos suficientes fácticos que justifique esta configuración de corresponsabilidad.

Independientemente de ello, la relación contractual se establece con una única entidad, lo que impediría tal corresponsabilidad global entre todas ellas y, más aun, teniendo en cuenta además el objeto de negocios de cada una de las entidades que también es diferente. En cualquier caso, deberá analizarse cada supuesto para determinar si es posible establecer en cada tratamiento una corresponsabilidad o la misma no tiene cabida y, en el supuesto concreto al que nos referimos, la AEPD considera que no tiene cabida la misma.

A este respecto, la AEPD señala que no constituye el objeto de la resolución a la que nos venimos refiriendo, sin embargo, independientemente de que exista un repositorio común de los sistemas entre las empresas del grupo, ese intercambio de información constituye una irregularidad y, aún más, teniendo en cuenta la concreta actividad mercantil que cada una de las entidades lleva a cabo.

 

CONCLUSIÓN. – Es preciso contar con un consentimiento expreso para la cesión de datos personales a terceras entidades, incluso cuando formen parte del mismo grupo empresarial, siempre que no se cuente con otra base que legitime esta comunicación (como pudieran ser los fines administrativos). En lo que respecta a la corresponsabilidad de dos o más entidades, no basta con cumplir con las formalidades en cuanto a información a los interesados y firma del acuerdo entre tales empresas corresponsables, sino que es preciso que exista un fundamento de fondo justificable y demostrable que sujete esta figura de corresponsabilidad.

 

 

  • Decisiones individuales automatizadas, entre ellas, elaboración de perfiles

En la política de privacidad analizada por la AEPD, así como el resto de textos informativos a disposición de los clientes, la compañía objeto de sanción hace alusión a la elaboración de perfiles o perfilados, los cuales podrán ser realizados de manera automatizada y con «finalidades comerciales» y de «diseño de productos y servicios ajustados al perfil del cliente». La base legitimadora en la que basa tal tratamiento es el consentimiento del cliente.

Si bien es cierto que la AEPD ha considerado que sí se realizan actividades de perfilado de los clientes, no se ha podido corroborar que la entidad tome decisiones basadas únicamente en tratamientos automatizados y que produzcan efectos significativos o jurídicos en los interesados, en el sentido de las previsiones del artículo 22 del RGPD. Por lo tanto, no se aprecia infracción alguna.

 

CONCLUSIÓN. – La toma de decisiones individuales automatizadas, es decir, que se adopten decisiones basada únicamente en el tratamiento automatizado y que produzcan efectos jurídicos en el interesado o le afecten significativamente de modo similar, implica cumplir con lo establecido en el artículo 22 del RGPD.

 

________

Área IT, Privacidad y Seguridad

+ 34 917 81 61 60

info@ecija.com

download-pdf DESCARGA PDF