AEPD PS/00070/2019

Descarga el PDF.

El objeto de la presente nota informativa (en adelante, la “Nota”) es el análisis por parte de ECIJA, de los principales criterios jurídicos apreciados por la Agencia Española de Protección de Datos (en adelante, “AEPD”) en el Procedimiento Sancionador con referencia PS/00070/2019, para la imposición de dos sanciones, una por valor de dos millones de Euros y otra por valor de tres millones, como consecuencia de la infracción, respectivamente, de los artículos 13, 14 y 6 del Reglamento 679/2016 General de Protección de Datos (en adelante, “RGPD”).

ANTECEDENTES

 El inicio del Procedimiento Sancionador trae causa de la agrupación de cinco reclamaciones de clientes de una entidad financiera (en adelante, la “Entidad Sancionada”) entre las que, si bien concurren matices que las diferencian, predomina un elemento común: el supuesto defecto en el cumplimiento de las disposiciones relacionadas con la legitimación e información proporcionada a los interesados (Clientes de la Entidad Sancionada) para el envío de comunicaciones comerciales.

En particular, el detalle de las reclamaciones se resume en lo siguiente:

  • Cliente que recibe un SMS promocional a pesar de no haber aceptado el envío de información comercial.
  • Cliente que se ha dado de alta a través de la aplicación móvil de la entidad, que señala que nunca autorizó expresamente la recepción de comunicaciones comerciales.
  • Cliente que formula reclamación por considerar que al desbloquear la cuenta debió firmar de nuevo la política de privacidad, volviendo a recibir comunicaciones comerciales, a las que ya se había opuesto.
  • Cliente al que se le remite SMS promocional a pesar de manifestar haberse opuesto.
  • Cliente que continúa recibiendo SMS promocionales a pesar de manifestar haberse opuesto.

Sin perjuicio de lo anterior, ha de señalarse que la imposición de las sanciones no es consecuencia directa de las circunstancias concretas que motivaron las reclamaciones enunciadas, sino que se deriva de la observación por parte de la AEPD de posibles infracciones que operan con carácter transversal en la organización. Así, habiendo sido conocidas las reclamaciones citadas, la AEPD considera que con carácter general, la Entidad Sancionada estaba llevando a cabo tratamientos sin una base legitimadora adecuada, así como sin proporcionar la información adecuada a los interesados. A causa de ello, le son atribuidas a la Entidad Sancionada dos infracciones:

  • Vulneración del deber de informar, previsto en los artículos 13 y 14 del Reglamento 679/2016 General de Protección de Datos.
  • Tratamiento de datos sin base de legitimación, en infracción del artículo 6 RGPD.

ANÁLISIS JURÍDICO

De acuerdo con lo señalado, son dos las infracciones atribuidas, si bien cada una de ellas es analizada pormenorizadamente, de acuerdo con el esquema que se expone a continuación:

1. Información proporcionada al interesado

  • “Empleo de una terminología imprecisa y formulaciones vagas”

Entre los aspectos destacados, señala la AEPD que la utilización de expresiones generales, tales como “conocerte mejor y mejorar tu experiencia”, “mejorar la calidad de los productos y servicios”, “relación personalizada” u otras semejantes, no permiten cumplir el principio de transparencia establecido en RGPD (ex art. 12). A estos efectos, considera que se tratan de expresiones imprecisas y poco claras, que limitan al interesado la decisión a la hora de prestar su consentimiento.

Si bien fue alegado por la Entidad Sancionada que estas expresiones son contempladas en la Guía para el cumplimiento del deber de informar de la propia Agencia, se señala por la AEPD que esta es meramente orientativa, por lo que atendiendo a las características del tratamiento llevado a cabo por la Entidad Sancionada, no resultarían válidas para el caso concreto.

 CONCLUSIÓN. – La utilización de fórmulas genéricas relativas a la realización de perfilados o la mejora de la experiencia del usuario no es válida. Debe ajustarse a motivaciones específicas y exponerse de modo que cualquier usuario medio, sin necesidad de cualificación específica en la materia, puede conocer el alcance de la información proporcionada.
  • “Información sobre las categorías de los datos personales sometidos a tratamiento; y sobre las categorías de datos personales concreta que se tratarán para cada una de las finalidades específicas”

 Respecto a esta cuestión, determina la AEPD que la ausencia de información clara sobre las categorías de datos que son tratadas limita considerablemente la capacidad del interesado de otorgar su consentimiento.

En relación con la información que ha de ser proporcionada, considera que la mención efectuada de las tipologías de datos resulta insuficiente, al ser estos enunciados de forma general y no exhaustiva, toda vez que se enumeran como meros ejemplos, pero no se detallan cuáles de esos datos serán tratados para cada fin concreto.

Por ello, considera la AEPD que concurre un déficit informativo en tanto no se detalla si tratan datos de terceros, sobre los datos concretos asociados a cada categoría, así como no se conoce tampoco si, incluso, pudieran contemplarse categorías especiales de datos (por ejemplo, asociadas a pagos de cuotas sindicales). El aspecto fundamental que pretende ser destacado por la Autoridad, es que siendo considerada como insuficiente la información que se proporcionaba, el interesado desconocería la tipología de tratamientos y datos que serían realmente tratados.

Asimismo, la cuestión anterior adquiere especial relevancia en relación con otros dos tratamientos de interés: la comunicación de los datos y el perfil generado a partir del mismo a entidades del grupo al que la Entidad Sancionada pertenece; y la realización del enriquecimiento a partir de productos en los que intermedia (por ejemplo, la comercialización de seguros), pero en cuya gestión no actúa en calidad de responsable del tratamiento.

Así, a la luz de la información proporcionada, considera la AEPD que la información suministrada no es suficiente para que el interesado conozca con exactitud cuáles son los tratamientos efectuados.

 CONCLUSIÓN. – Las cláusulas informativas deben contemplar un listado tasado de los datos recabados y utilizados, así como establecer con exactitud cuáles de dichos datos son tratados para cada finalidad. Lo anterior adquiere especial relevancia en aquellos casos en los que el tratamiento esté basado en el consentimiento del interesado, puesto que es requisito indispensable para la validez del mismo, que haya sido prestado atendiendo a los criterios de especificidad e información requeridos por RGPD.
  • “Información sobre las finalidades a que se destinarán los datos personales de los clientes y la base jurídica del tratamiento”

 La Política de Privacidad de la Entidad Sancionada contemplaba referencias a tratamientos con la finalidad de realizar ofertas personalizadas y utilizar los mismos para la mejora de los productos y servicios sobre la base de dos legitimaciones distintas, como es el interés legítimo y el consentimiento. Es decir, que aun siendo posible que se trate de dos finalidades diferenciadas, la AEPD centra el reproche en la consideración de que la información proporcionada a los interesados no permite discernir con certeza las diferencias entre un tratamiento y otro.

Así, mientras que en los tratamientos basados en el interés legítimo de la Entidad Sancionada menciona como finalidad “conocerte mejor y personalizar tu experiencia”, “ofertas personalizadas con precios más ajustados para ti”, “mejorar la calidad de productos y servicios”, en aquellos amparados en el consentimiento del interesado se emplean fórmulas semejantes, tales como “ofrecerte productos y servicios (…) personalizados para ti”, “mejorar la calidad de productos y servicios existentes”, “atender tus expectativas”, entre otras.

Por tanto, considera la AEPD que no existe una definición explícita de los fines del tratamiento, existiendo una vulneración del principio de limitación de la finalidad del artículo 5 RGPD (ello, sin perjuicio, de que la infracción reprochada sea la relativa al deber de información, del art. 13 RGPD).

 CONCLUSIÓN. – La definición de las finalidades debe ser clara, empleando para ello fórmulas informativas que permitan al consumidor medio distinguir, sin esfuerzos desproporcionados, qué motiva el tratamiento, cómo son tratados y, en su caso, los criterios para la elaboración de perfiles.
  • Información sobre el interés legítimo del responsable y de terceros”

 En relación con esta cuestión, en primer lugar, estima la AEPD que la indicación del interés legítimo no resulta suficiente para determinar que este interés existe y, en su caso, prevalece sobre los derechos de los interesados. Así, reitera la AEPD que las expresiones “conocerte mejor” y “mejorar los productos y servicios”, no suponen un fundamento suficiente para entender informado cuál es el interés perseguido.

En segundo lugar, considera la AEPD que la consideración de que existe una expectativa razonable del interesado de que el tratamiento, no es tal, puesto que es necesario que sea deducida por sí misma, sin necesidad de que el responsable del tratamiento conduzca al interesado a dar por hecho dicha finalidad. En este sentido, considera la AEPD que si el interés legítimo estuviera debidamente justificado, esta expectativa podría preverse por el interesado con mayor claridad.

En relación con ambos aspectos, considera la AEPD que la definición efectuada por la Entidad Sancionada del interés legítimo, coincide con la finalidad. Debiendo existir una clara distinción entre ellos. Por tanto, no puede identificarse la finalidad del tratamiento con el interés perseguido (por ejemplo, no puede ser identificado que la finalidad es la mejora del producto y que este sea el interés perseguido).

 CONCLUSIÓN. – La información proporcionada al interesado debe exponer con claridad cuál es el interés legítimo perseguido, no cabiendo la posibilidad de que se indique que este es la misma finalidad del tratamiento. Asimismo, la expectativa razonable del interesado es una vía para determinar que la legitimación aplicable puede ser el interés legítimo, pero no puede ser argumentado que esta expectativa concurre, por el mero hecho de que haya sido informada en la política de privacidad.

La información proporcionada en relación con posibles perfilados, carece del detalle pormenorizado de las características del mismo. A estos efectos, señala la AEPD que son realizados tratamientos que parecen contemplar dicho perfilado, sobre la base del interés legítimo del responsable. Sin embargo, a la luz de lo expresado en los puntos previos, no cabe considerar que este interés pueda ser alegado, toda vez que no se facilita información detallada sobre el mismo.

  • Información sobre elaboración de perfiles”

Igualmente, señala la AEPD la ausencia de información específica sobre los perfilados llevados a cabo, sin que se aprecie mención alguna a la existencia de decisiones automatizadas con efectos jurídicos sobre el interesado, ni sobre la lógica aplicada, las consecuencias del mismo, ni la posibilidad de oponerse o impugnar la decisión. En todo caso, esta apreciación se establece como mera advertencia, no siendo objeto de sanción.

 CONCLUSIÓN. – La realización de perfilados debe ser concretada de forma que permita al interesado conocer la tipología del mismo. Así, en los casos en los que se trate de un perfilado sujeto a lo dispuesto en el artículo 22 RGPD, deberán atenderse los requisitos definidos en el mismo.

2. Base de legitimación del tratamiento

  • Tratamientos de datos personales basados en el consentimiento de los interesados” y “Otros tratamientos de datos personales sin base jurídica”

El mecanismo de obtención de los consentimientos empleados por la Entidad Sancionada establecía tres finalidades, a las que el cliente debía oponerse, siendo planteadas en sentido negativo [“No quiero que (…)  trate mis datos para ofrecerme productos y servicios (…)”,No quiero que comunique mis datos a sociedades del grupo (…)”]. Estas casillas se completaban con la firma de la política, en la que se identificaba que la introducción de la clave de firma suponía una aceptación de la declaración de actividad económica y la política de protección de datos.

Considera la AEPD que esta vía para la obtención del consentimiento no puede ser válida, toda vez que no sigue la línea definida por RGPD, cuya premisa para la considerar que el consentimiento es válido es la realización de una clara acción afirmativa. Indica la AEPD, con total claridad, que no puede ser considerado como un consentimiento inequívoco y matiza que “normalmente cuando marcas algo es porque lo quieres, no porque no lo quieres; puede no haber entendido la doble negación; puede no haber prestado la atención debida al leer rápidamente las indicaciones en cuestión”.

Por ello, se concluye que la posibilidad de marcar su oposición no supone para el interesado un verdadero poder de disposición sobre sus datos, debiendo ser él mismo quien determine, mediante una acción afirmativa, el destino de los mismos.

Igualmente, la aceptación mediante la firma del documento relativo al tratamiento de datos no puede ser entendido como un consentimiento para aquellos tratamientos que no estén estrechamente vinculados con la firma del contrato. Ello deviene en el incumplimiento de la exigencia de granularidad, a la hora de exponer al interesado las distintas finalidades que deben ser consentidas.

Por último, ha de señalarse que el déficit informativo apreciado (señalado en el epígrafe “(A)” de la presente Nota Informativa), limita la validez del consentimiento prestado, máxime al apreciar que la fórmula escogida para recoger la autorización del interesado no cumple con los requisitos determinados por la normativa.

 CONCLUSIÓN. – La legitimación de tratamientos sobre la base del consentimiento requiere, ineludiblemente, que el usuario manifieste su aceptación expresa. La utilización de otras vías, como la posibilidad de oponerse, no constituye un medio válido para ello.
  • “Tratamientos de datos personales basados en el interés legítimo del responsable o de terceros”

La evaluación sobre la concurrencia de los intereses legítimos, parte de la premisa relativa a la ausencia de información adecuada en relación con los citados intereses. Ahondando en la ponderación de esta base legitimadora, la AEPD recuerda con detalle cuáles son los criterios que permiten considerar que este interés legítimo es de aplicación. Así, hace especial hincapié en que su utilización requiere una evaluación meticulosa de la misma, cuya ponderación resulta imprescindible para entender que opera como fundamento jurídico para llevar a cabo el tratamiento.

La ponderación indicada requiere, necesariamente, la evaluación de los aspectos que se enumeran a continuación:

  • La evaluación del interés legítimo, su naturaleza y fuente, así como si este es necesario para el ejercicio de un derecho fundamental, si impacta en el interés público;
  • El impacto sobre los interesados y la expectativa razonable de estos de que se produzca, así como las categorías de los datos tratamientos y el modo en que son tratados;
  • El equilibrio provisional; y
  • Las garantías adicionales que podrían limitar el impacto (minimización de los datos, las tecnologías de protección de la intimidad, la transparencia, la exclusión voluntaria, entre otros).

A estos efectos, se establece una clara vinculación entre la información proporcionada al interesado y la concurrencia del interés legítimo como causa legitimadora. Así, la ausencia de información clara y concisa sobre los intereses legítimos aducidos supone que los tratamientos no sean esperados por el interesado (esto es, deviene una ausencia de expectativa razonable del cliente).

De igual modo, la AEPD profundiza en su resolución en el hecho de que un interés económico de la Entidad Sancionada no puede ser, per se, motivación para considerar la aplicación de esta base legitimadora, pues aun siendo cierto que este interés existe, este debe ceder ante los derechos y libertades de los interesados.

En la casuística analizada, se expone por parte de la AEPD criterios que conducen a determinar que no son de aplicación las circunstancias previstas por la normativa para determinar que los tratamientos están amparados en un interés legítimo. Así, considera significativas las siguientes circunstancias:

  • El modo de obtener los datos, cuya información considera deficiente para el interesado, así como el empleo de datos de terceros sin conocimiento del interesado, tales como los relativos a ficheros de solvencia o de productos de terceros a la Entidad Sancionada;
  • La técnica utilizada y la falta de transparencia para llevar a cabo perfilados, con la consecuente discriminación que pudiera ocasionarse, derivado de una modificación de los precios y la repercusión potencial financiera que puede tener carácter de excesiva.
  • El elevado número de afectados, el volumen de datos y la combinación con información de terceros. A ello se le suma la ausencia de medios para el usuario para entender que goza de un verdadero derecho de disposición de sus datos.
  • La posición dominante del responsable frente al interesado.

De igual modo, respecto al empleo del interés legítimo, como causa legitimadora para la realización de ofertas comerciales, no se aprecia por parte de la AEPD que se den los requisitos que en su día se señalaron en su Informe 195/2017. En el mismo se partía de la premisa de que la interpretación efectuada se refería a comunicaciones comerciales de productos propios, similares a los contratados y remitidos a clientes idóneos, cuyo perfil fuera efectuado a partir de datos obtenidos de la relación mantenida con la entidad. Por tanto, y habida cuenta que se prevé un enriquecimiento con fuentes de terceros, la casuística derivada de la actividad de la Entidad Sancionada no puede entenderse análoga a la analizada en el citado Informe y por lo tanto, los escenarios conformes a la normativa, previstos en el meritado informe, no resultarían aplicables a los hechos investigados por la AEPD y, a resultas, motivadores de la sanción interpuesta.

 CONCLUSIÓN. – La realización de tratamientos basados en un interés legítimo requiere la ejecución de una prueba de sopesamiento que permita acreditar la prevalencia de este sobre los derechos y libertades de los interesados. Dicha prueba deberá atender los requisitos enunciados por los distintos supervisores en la materia (necesidad, idoneidad y proporcionalidad).

De igual modo, deberá informarse debidamente a los interesados, de acuerdo con lo mencionado en el epígrafe “(B)” de la presente Nota Informativa.

3. Resumen de conclusiones

conclusiones-300x191 Resolución | Análisis de criterios jurídicos apreciados por la AEPD en el PS/00070/2019

download-pdf DESCARGA PDF