En el presente número de Breves de Regulación Digital, analizamos la resolución del procedimiento sancionador PS/00070/2019 licitada por al AEPD contra una entidad financiera, que impone una multa de 2 millones de euros por infracción de los artículos 13 y 14 del RGPD, calificada como leve; una multa de 3 millones de euros por infracción del artículo 6 del RGPD y calificada como muy grave; un requerimiento para que en el plazo de seis meses adecúe a la normativa de protección de datos personales las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
La resolución no es firme y contra la misma cabe recurso.
De la lectura de la resolución, podréis observar que la reclamada planteó durante el curso del procedimiento sancionar distintas cuestiones procesales relativas a la tramitación del procedimiento, fijación de la sanción en el acuerdo de apertura, potestad de acordar una fase previa de investigación inactividad procesal (etc.), cuya valoración no será objeto del presente análisis, porque lo que nos interesa valorar es la cuestión de fondo relativa a los argumentos esgrimidos por la Agencia para determinar la existencia del incumplimiento de los arts. 6, 13 y 14 de RGPD.
El inicio del procedimiento sancionador trae causa de la presentación ante la AEPD de varias reclamaciones, 5 concretamente, de personas distintas pero contra la misma entidad, a las que la AEPD da traslado a la entidad reclamada para que proceda al análisis de las mismas y a dar respuesta en el plazo de un mes.
El resultado de dicho traslado no fue satisfactorio para la AEPD que acuerda admitir a trámite las reclamaciones e incoar el correspondiente procedimiento sancionador, cuya resolución es la que hoy es objeto de análisis.
De las actuaciones practicadas en el procedimiento sancionador y la documentación aportada quedan probados a juicio de la AEPD los siguientes hechos (reclamaciones que tuvieron entrada en la Agencia):
Frente a la solicitud de la entidad sancionada de archivo de las actuaciones que acumula las cinco reclamaciones, por falta de vinculación entre las mismas, la AEPD sostiene que sí existe tal vinculación al referirse todas ellas a la política de privacidad de la sancionada, así como que la resolución analiza cada una de las reclamaciones y realiza una valoración de la prueba practicada en cada caso, pero sin olvidar que estas conductas trascienden de las cinco reclamaciones presentadas.
Motiva además esta acumulación en que la reclamación de un particular puede dar lugar a dos tipos de procedimientos, uno relativo a infracciones del RGPD, con carácter general, y otro por vulneración de sus derechos.
Añade la AEPD que cuando una actuación que se considera incorrecta deriva de una política general adoptada por el responsable del tratamiento, de manera que no se trata de un error puntual, denota que la infracción no reside exclusivamente en los cinco casos examinados, sino en la propia política de privacidad adoptada por el responsable.
Dado que todas las reclamaciones recibidas guardan relación con la operativa de la política de privacidad y la forma de obtener el consentimiento, que tales deficiencias tienen alcance general que afecta a todos los clientes de la entidad y que, a criterio de la AEPD, la adopción de oficio del acuerdo de inicio del procedimiento no está constreñido por la reclamación del particular, se analizan las cinco reclamaciones recibidas en un único procedimiento.
En los Fundamentos de Derechos III, superadas las manifestaciones relativas a las posibles vulneraciones procesales, la resolución centra el análisis en la revisión del formulario de recogida de datos personales utilizado por la entidad financiera, para determinar el alcance de dicho documento y las posibles irregularidades que puedan apreciarse desde el punto de vista de la normativa de protección de datos personales, desde el 28 de mayo de 2018, fecha en el que RGPD era plenamente aplicable.
Concretamente, el análisis se centra en:
A. Principio de transparencia
La recogida de datos personales a través de formularios habilitados al efecto constituye un tratamiento de datos, respeto del cual el responsable del tratamiento ha de dar cumplimiento al principio de transparencia.
Analizada la información ofrecida por la entidad financiera a sus clientes en relación con los artículos 13 y 14 del RGPD, la AEPD comprueba que la misma es incompleta o inadecuada por los siguientes motivos:
B. De los distintos tratamientos de datos personales de sus clientes que lleva a cabo la entidad conforme a la información ofrecida.
Observa asimismo la Agencia que la información ofrecida es incompleta.
En este sentido, la entidad reclamada justificaba en el interés legítimo la finalidad de “conocerte mejor y personalizar tu experiencia” en tratamientos relativos al análisis de la evolución financiera del interesado, la de los productos o servicios contratados, sus operaciones (pagos, ingresos, adeudos…) usos de productos y servicios y canales, así como la posibilidad de aplicar métodos estadísticos y de clasificación para ajustar su perfil.
La infracción de los arts. 13 y 14 RGPD, calificada como leve a efectos de prescripción, ha supuesto un a multa a la entidad financiera de 2 millones de euros.
C. Licitud del tratamiento y Condiciones para el Consentimiento
La entidad responsable no diseñó un mecanismo específico para recabar el consentimiento de sus clientes para las finalidades relativas a:
Y entendía que la mera aceptación de la política de privacidad, mediante la firma por el cliente del formulario de recogida de datos, conllevaba la prestación de ese consentimiento, dando la opción al cliente de marcar la casilla redactada en sentido negativo, si no estaba de acuerdo con alguna de las finalidades.
En ese sentido, y tal como argumenta la resolución, la formula escogida por la entidad no daba al interesado la opción para prestar el consentimiento a los distintos tratamientos, sino que el consentimiento se recaba mediante la inacción del interesado al no seleccionar las casillas (“no quiero”), en contra de lo establecido en el Considerando 32 del RGPD.
Abunda el análisis de incumplimientos que recoge la resolución, en el de la aceptación operada mediante una acción única (¿deberíamos entender que es una acción por inacción?) de todos los tratamientos contenidos en la política de privacidad, al recoger la misma finalidades distintas a la ejecución del contrato o relación negocial mantenida por el interesado y la entidad responsable, y que por tanto deviene inválido respecto de los tratamientos que requieren de un consentimiento diferenciado y granular.
Resalta asimismo la Agencia, que el consentimiento así prestado (únicamente permite al interesado no autorizar), no se considera suficientemente informado.
La resolución contiene también razonamientos de rechazo a la utilización del interés legítimo del responsable o de terceros, con la finalidad de elaborar el modelo de negocio de la entidad, valorar nuevas funcionalidades o remitir felicitaciones a los clientes.
Y hace especial hincapié, en algo que desde nuestro departamento hemos ido recomendando, que es la necesidad de realizar los ejercicios de ponderación del interés legítimo, de forma meticulosa, de los derechos e intereses en juego.
En definitiva, sostiene que dados los defectos expresados en relación con el principio de transparencia, la indefinición de las finalidades, el lenguaje empleado, y la dificultad para conocer claramente las finalidades del tratamiento, difícilmente pueden asociarse a intereses legítimos del responsable, que puedan prevalecer sobre los derechos de los interesados.
Recuerda lo establecido en la STEDH 25/3/1983 sobre el juicio de proporcionalidad, relativo a idoneidad, necesidad y proporcionalidad en sentido estricto.
Para rechazar los argumentos expuestos por la reclamada, la AEPD ha tenido en cuenta además:
Concluyendo, la Agencia destaca la ausencia de medidas o garantías adicionales, así como que en cuanto a la transparencia, la entidad no pone a disposición de los interesados el informe de ponderación del interés legítimo ni las evaluaciones de impacto.
Como consecuencia de la concurrencia de los distintos incumplimientos, la Agencia acuerda imponer a la entidad reclamada:
La resolución no es firme y contra la misma cabe interponer recurso de reposición ante la propia Agencia o directamente recurso contencioso administrativo.
Tras la lectura de la resolución, y el análisis pormenorizado que realiza la Agencia, recuerda la necesidad de tomar conciencia de contar con el debido asesoramiento y conocimiento de los requerimientos de RGPD, y la necesidad de realizar las siguientes acciones:
Artículo de Periscopio Fiscal & Legal : https://periscopiofiscalylegal.pwc.es/sancion-de-la-aepd-por-incumplir-el-rgpd-5-millones-de-euros-por-infraccion-de-los-articulos-6-13-y-14/
Socia responsable de Regulación Digital