Descuentos personalizados belgas vs RGPD
Interesante decisión de la Autoridad de Control Belga sobre la legalidad de la práctica de un Banco que trata los datos de las transacciones de sus clientes para crear “modelos de descuentos personalizados” aplicables a productos de terceros.
El tratamiento de datos del Banco se hace sin consentimiento explícito, alegando que se trata de un tratamiento secundario compatible con el primario (transacciones ordinarias basadas en el contrato Banco-cliente).
Un cliente denuncia al Banco con tres argumentos:
- El entrenamiento de modelos no tiene base legítima.
- El Banco mezcla dos bases legales (consentimiento/interés legítimo) donde sólo sería aplicable el consentimiento (aplicación de inferencias -modelo- a clientes específicos).
- Aunque el interés legítimo fuera válido, el derecho de oposición ejercitado se resuelve en un plazo superior a un mes, tiempo en el que la entidad puede entrenar “a placer” sus modelos con los datos del denunciante. Por tanto, la satisfacción de este derecho es ficticia.
La resolución sólo tiene 16 páginas y os recomiendo que la leais, porque es clara y pedagógica.
También es interesante porque pisa de lleno dos charcos relevantes. Muy muy llenos de barro.
Si no podéis o queréis, tendréis que conformarsus con mi resumen.
Ni que decir tiene que esta resolución será tratada en nuestra formación “Aplicando el RGPD a la IA en la práctica, hoy”.
Aunque no diga absolutamente nada nuevo.
(I) Tratamiento Secundario de Datos
La discusión se centra en si el tratamiento secundario de datos personales por parte del Banco para crear modelos para descuentos personalizados es compatible con los propósitos originales para los cuales se recopilaron los datos.
El denunciante sostiene que este tratamiento secundario constituye un propósito completamente diferente y no compatible, que va más allá de la gestión y registro de cobros y pagos y entra en el ámbito del marketing directo a terceros, algo que no fue transparentemente comunicado ni consentido por los sujetos de datos al inicio de su relación con el Banco.
La Autoridad Belga decide que el tratamiento secundario del Banco, orientado a desarrollar modelos para descuentos personalizados, no era compatible con los propósitos originales para los cuales se recopilaron los datos.
Estos son sus argumentos:
- Incompatibilidad con la finalidad Original: El tratamiento de datos para modelar descuentos personalizados no se alineaba con las finalidades para los que los datos fueron inicialmente recabados, es decir, la gestión de transacciones bancarias y el cumplimiento de las obligaciones contractuales con el cliente.
- Ausencia de Objetivos de Investigación Científica: La autoridad enfatizó que el procesamiento en cuestión no tenía como fin la investigación científica o histórica, ni propósitos estadísticos, que podrían haber aprovechado el régimen flexible del RGPD.
- Falta de Información al Interesado: El Banco no informó adecuadamente a los clientes sobre este tratamiento secundario de sus datos personales al inicio de la relación contractual: la información se limita a finalidades de marketing.
- Descabello: Los clientes no podían tener una legítima expectativa de que sus datos iban a tratarse para esas otras finalidades, ni posibilidad, por tanto, posibilidad de ejercer efectivamente su oposición.
Comentario
Y como no hay compatibilidad entre finalidades, dice la Autoridad Belga, hace falta una base legal. Esta afirmación es, hoy por hoy, polémica y traerá cola. Verán, verán.
La segunda cosa polémica para mi gusto que hace la Autoridad es, muy al modo al que nos tiene acostumbrado la AEPD o algunos tribunales, “hacer la evaluación de intereses” por su cuenta, a ver si hay o no interés legítimo.
En mi opinión, y también a la Dra. Elena Gil también le duele la boca de decirlo, la evaluación interna de intereses sólo la puede hacer el responsable de tratamiento que la valora, documenta y la pone encima de la mesa. A partir de ahí las autoridades y otros terceros podrán estar de acuerdo con ella o no, denunciarla o atacarla.
Pero nadie, repito nadie, puede sustituir al responsable en esa labor, porque cualquiera que lo intente va a realizar un ejercicio teórico y abstracto, que no necesariamente será válido ante las circunstancias del caso concreto.
(II) Interés Legítimo
Aquí se discute la interpretación del Banco sobre el interés legítimo como base legal para procesar datos personales sin el consentimiento explícito para el propósito de descuentos personalizados.
El Banco argumenta que tiene un interés legítimo en desarrollar modelos de datos para ofrecer descuentos personalizados, lo que le permite competir eficazmente en el mercado y ofrecer servicios valorados por sus clientes.
Esta posición se basa en la idea de que el interés comercial del Banco en ofrecer descuentos constituye un interés legítimo bajo el GDPR.
Por otro lado, el denunciante argumenta que ese tratamiento, especialmente cuando implica datos financieros detallados, requiere un consentimiento explícito, dada la sensibilidad de la información y el potencial impacto en los derechos y libertades fundamentales de los sujetos de datos.
Resolución
- La Autoridad concluye que el interés legítimo del Banco cumple los requisitos en relación con el tratamiento de datos realizado.
- Argumentos:
- Aplicando el añejo método del “triple salto” de la sentencia Rigas del TJUE:
El interés legítimo del Banco existe y es claro: el estudio de las transacciones de clientes para personalizar descuentos forma parte de la estrategia de posicionamiento en el mercado del Banco y se basa también en sus intereses comerciales básicos.
Minipunto para Bélgica. No olvidemos que desde la AEPD hasta el Tribunal Supremo hemos visto múltiples declaraciones podemitas-bolivarianas desechando el ánimo de lucro, sin más, como interés legítimo.
El tratamiento es necesario. En la medida en que las transacciones estudiadas y los descuentos que se pretende ofrecer bucean ambas en el mismo líquido amniótico digital, nada parece indicar que la elaboración de modelos intermedios no sea necesaria. Bien, es posible que la autoridad no utilizara la expresión “nadar en líquido amniótico” pero simplemente me parece una imagen perdurable en la memoria.
La ponderación propiamente dicha: Como en cualquier proyecto de Big data, se distingue entre la fase de estudio y extracción de inferencias, susceptible de basarse en el interés legítimo, y la oferta en la práctica de los descuentos a personas concretas que requiere consentimiento previo.
La Autoridad considera que, a la vista de las circunstancias y medidas aplicadas, el impacto sobre el denunciante es, por tanto, reducido y el tratamiento de sus datos personales es mínimo en el sentido de que se reutilizan sus datos pero ello no da lugar a la oferta de descuentos personalizados en la fase de construcción de los modelos: sólo se da si el propio denunciante lo consiente activa y previamente.
(III) Plazo de Satisfacción del Derecho del Denunciante
- Decisión de la Autoridad: La Autoridad Belga considera razonable el plazo empleado por el Banco para satisfacer el derecho del reclamante a objetar el tratamiento de sus datos personales.
- Argumentos:
- Se reconoce que, aunque hubo un retraso en la implementación de la objeción del sujeto de datos al procesamiento de sus datos personales, este retraso estaba justificado por la complejidad y los requisitos técnicos involucrados en ajustar los modelos de datos.
- La decisión subrayó la importancia de que las entidades procesadoras de datos actúen de manera oportuna al responder a las objeciones de los sujetos de datos, pero también reconoció que deben considerarse plazos realistas en el contexto de procesos técnicamente complejos.
- Se enfatizó que el derecho a objetar del sujeto de datos fue respetado y que el Banco tomó medidas adecuadas para asegurar que los datos del reclamante ya no se utilizaran para el propósito objetado una vez procesada su objeción.
Muuy felices vacaciones.
Jorge García Herrero
Abogado y Delegado de protección de datos