Laboratorio del Interés legítimo: Sanción BBVA
Me vais a permitir un post medio en broma y medio en serio sobre mi tema favorito: el interés legítimo.
Todas las referencias en este post son literales y comprobables en la resolución sancionadora contra el BBVA y en la jurisprudencia citada.
Dicho esto, valorad como lo que son las referencias grasiosas.
O no: vosotros mismos, que ya sois mayorcitos.
Indice
- A interés legítimo, todo son pulgas
- A las barricadas, a las barricadas
- El Tribunal Supremo
- Información sobre el interés legítimo del responsable y de terceros
- 1.- Aperitivo nutritivo
- 2.- “Finalidad” versus “interés”
- 3.- Concreción del interés legítimo
- 4.- «Expectativa razonable»: Qué es -y sobre todo- qué NO ES
- 5.- Transparencia en relación con la evaluación interna o ponderación de Interés Legítimo
- Un principio…
- … y un consejo:
- 6.- Accountability
- 7.- En todo caso: ¿Qué no se debe hacer nunca pero nunca?
- 8.- Batiburrillo de finalidades y bases de legitimación que provoca confusión entre los interesados
- La «kamarrada» AEPD contra el «kapitalisti» interés legítimo
- ¿¿guaaaaat??
- “Es el contexto, estúpido”
A interés legítimo, todo son pulgas
He estado analizando distintos aspectos de las sanciones record impuestas por la AEPD a BBVA y Caixabank en este post (consentimiento y otras cosas) y en este otro (principios de la nueva normalidad sancionadora post-RGPD).
Hay un algo así como inquietante en la resolución BBVA que sobrevuela buena parte del texto, pero sólo llega a concretarse al final, y no del todo.
- Esa insistencia en oponer “finalidad” e “interés legítimo”, que no termina de llegar a ningún sitio concreto, diría yo.
- La invocación de jurisprudencia comunitaria viejuna y –poco o nada significativa en el caso- sobre el concepto de “necesidad” como “concepto autónomo comunitario”, o sobre “lo que no es necesidad”, que tampoco cuaja en nada tangible.
- Y la cosa culmina en un “plot-twist” memorable. Una afirmación que demuestra algo que nadie sospechaba:
El Tribunal Supremo es un organismo bolivariano-estalinista, y la AEPD posiblemente, su brazo ejecutor bolchevique.
A las barricadas, a las barricadas
La AEPD afirma en la resolución BBVA que:
- “La obtención de un beneficio económico a través de la actividad empresarial que BBVA desarrolla no deja de ser un interés legítimo, pero en ningún caso podrá prevalecer sobre el derecho fundamental a la protección de datos de las personas afectadas.”
- “Estos intereses económicos no pueden calificarse como apremiantes”
- “…incluso admitiendo la tesis de BBVA, que califica como interés jurídico del responsable o de terceros lo que estimamos que no es sino la finalidad del tratamiento, ese pretendido interés en ningún caso podría calificarse como necesario.”
El Tribunal Supremo
Esto es lo que declaró el Soviet Tribunal Supremo: más abajo, la referencia concreta a la sentencia y comentario:
“Los intereses comerciales de una empresa han de ceder ante el interés legítimo del titular de los datos.”
Así, sin precalentamiento, ambages ni vaselina.
Pues ya estaría. El Supremo ha hecho la ponderación así pa tó en general y a lo bestia: apaga y vámonos.
Se acabarían de cargar la vía más extendida (y en mi opinión, garantista, si entiende y aplica como Dios manda) para legitimar tratamientos de datos personales en el ámbito empresarial.
Olvídense de proteger su know-how, o de controlar la prestación laboral de sus trabajadores: sólo busca usted concretar un cochino interés en eficacia y eficiencia para, en definitiva, ganar más dinero. ¿A qué se cree usté que está jugando? AL MONOPOLY?
Nuestros “amados líderes” de la AEPD, además, rematan con esa leninista apostilla final: “Estos intereses económicos no pueden calificarse como apremiantes”. Que esta tajante valoración venga de un funcionario, lo dejamos para otro día.
En la parte final de este largo post os cuento por qué, en mi modesta opinión, todas estas bolivarianas declaraciones pueden ser un regalo de Dios para el BBVA (no por nada no se han repetido literalmente –como muchos, muchos otros pasajes- en la sanción contra Caixabank).
Si tienes prisa, salta al penúltimo apartado “La kamarrada AEPD contra el kapitalisti interés legítimo”.
Pero antes de la diversión, toca ir con lo aburrido y resumir los incumplimientos apreciados por la Agencia. Tener esto claro puede y deber servir para revisar nuestro cumplimiento en la materia en nuestra propia documentación.
Lo resumimos en ocho epígrafes:
Información sobre el interés legítimo del responsable y de terceros
Especial interés merece este punto por varias razones:
- Porque lo digo yo, que –casualmente- soy el que me he currado estos testamentos de posts.
- Porque se explican clarinetemente defectos visibles a diario en muchas políticas.
- Porque es inminente la publicación por el EDPB de las nuevas guidelines sobre el interés legítimo, que harán aún más visibles y urgentes las regularizaciones en esta materia.
1.- Aperitivo nutritivo
Para empezar una curiosidad: la sancionada alega haber optado por el consentimiento, como base de legitimación “reforzada” o “más garantista” que el interés legítimo.
La agencia da una estupenda respuesta:
2.- “Finalidad” versus “interés”
Para empezar dice la Agencia que la información suministrada identifica las finalidades del tratamiento, pero no los intereses legítimos en presencia.
Esto y todo lo que sigue, impide -a la entidad- hacer una ponderación propiamente dicha, y –a los demás: interesados y terceros- revisar su licitud o regularidad.
Por si a alguien se le queda el culete torcido, la Agencia recuerda (porque el EDPB ya lo dejó claro en las Guidelines sobre Interés legítimo de 2014) que:
- La finalidad es la razón específica, objetivo o intención del tratamiento de los datos.
- Por el contrario, el interés corporativo hace referencia a la mayor implicación del responsable concreto en el tratamiento. Normalmente, el beneficio que el responsable (y/o terceros) obtienen del mismo.
Esto se ve más claro con un ejemplo: tu tratamiento de datos de videovigilancia tiene como finalidad p. ej., mantener la seguridad de las instalaciones. O p.ej., el control de la prestación laboral de tus trabajadores.
Pero tu interés corporativo es evitar o reducir las pérdidas derivadas de los delitos cometidos en las instalaciones, proteger la integridad o salubridad de tu producto, proteger la integridad de tus propios trabajadores, proteger tu propiedad, incrementar la seguridad en el trabajo, agilizar la rapidez de respuesta frente a riesgos graves como incendios o robos de terceros.
Si no ves clara la diferencia, no lo dudes: deberías revisar tus evaluaciones internas de interés legítimo.
“El interés legítimo debe estar articulado también con la claridad suficiente y debe ser lo suficientemente específico para permitir que la evaluación interna se realice en contraposición a los intereses y los derechos fundamentales del interesado. Debe también representar un interés real y actual, es decir, no debe ser especulativo.”
3.- Concreción del interés legítimo
Además, la Agencia critica específicamente los siguientes puntos:
Primero: En vez de citarse “intereses legítimos” propiamente dichos, se hace referencia a finalidades abstractas e inconcretas como “conocer mejor al cliente” y “mejorar los productos y servicios de BBVA”, algo que, de acuerdo con lo anterior, resulta insuficiente.
Recomiendo chequear el catálogo completo de “expresiones indeseables en una política de privacidad que te pueden costar una buena multa”®, que transcribíamos en el primer post.
4.- «Expectativa razonable»: Qué es -y sobre todo- qué NO ES
La AEPD recuerda que los tratamientos con base en interés legítimo han de ser previsibles para sus destinatarios, teniendo en cuenta sus expectativas razonables. Y lo hace para afear la conducta del Banco que interpreta y pone por escrito lo que considera que es esa “expectativa razonable”.
Según la política de privacidad del Banco sancionado:
“En BBVA consideramos que, como cliente, tienes una expectativa razonable a que se utilicen tus datos para que podamos mejorar los productos y servicios y puedas disfrutar de una mejor experiencia como cliente”. “Además, estimamos que también tienes una expectativa razonable a recibir felicitaciones con motivo de tu aniversario. Desearte un buen día o felices fiestas”.
Y según la AEPD:
“Esta “expectativa razonable” del cliente se tiene que deducir por sí misma, sin que sea necesario que la información ofrecida por el responsable al interesado o cliente defina o concrete dicha expectativa, por cuanto ello supone que el Banco suplanta al cliente, intentando aclararle la expectativa que puede esperar, precisamente, porque no se desprende por sí sola de la información que ofrece ni de la relación que une a responsable e interesado. Se intenta, con ello, transmitir una apariencia de expectativa razonable y desplazar al interesado en esta deducción.”
La Agencia aquí es contundente.
Y creo que tiene razón: el responsable necesita valorar la legítima expectativa del interesado, sí, pero tiene que hacerlo objetivamente.
Y normalmente eso servirá para restringir o atemperar el tratamiento con salvaguardias ad hoc, no para hacer una interpretación extensiva y buenista, favorable a sus intereses. Dejando el tratamiento tal cual se planteaba al principio.
Peeero otra cosa es poner su interpretación “en boca” del interesado.
¿Se pueden poner ejemplos para justificar su posición en cuanto al beneficio que el interesado obtiene o podría obtener de tratamientos basados en su interés legítimo?.
Sin duda. Peeeero repitamos todos juntos: Esos ejemplos nunca deberían insultar la inteligencia del interesado. Ni del regulador.
Como dice la Agencia, las consecuencias del perfilado por parte de un Banco de sus usuarios siempre van a ser más graves que el ejemplo mencionado: “poder felicitar el cumpleaños al cliente, desearte un buen día o felices fiestas”.
Este ejemplo y el de muchas políticas de privacidad invocando demencialmente ignotos intereses vitales del interesado, son y seguirán siendo objeto de cachondeo en el sector. Por no decir también de sanción.
Con perdón, el papel lo soporta todo, y puedes alcanzar “con pleno rigor” la conclusión de que las corridas de toros deben seguir celebrándose en interés legítimo de la especie del toro de lidia: en concreto su supervivencia.
O cualquier otra chorrada que se te ocurra.
Todo esto lo hacemos por ti, torito guapo.
5.- Transparencia en relación con la evaluación interna o ponderación de Interés Legítimo
Una de las preguntas del millón de dólares: ¿la evaluación del interés legítimo hay que publicarla o no?.
La incertidumbre sobre esta base de legitimación es especialmente visible en este punto: desde la reticencia general a publicar algo que quizá no cumpla debidamente, a la duda sobre aspectos concretos de la evaluación que la organización necesite legítimamente mantener reservados.
Incertidumbre que, comprensiblemente, ha devenido en un “acojone-over-the-top” al contemplar esa pedrea de once millones en sanciones en el último mes.
Es claro y notorio que ni el 13 ni el 14 del Reglamento imponen la publicación completa de la evaluación de interés legítimo.
Pero también es claro y notorio el deber del responsable de informar al interesado de la existencia de estos tratamientos que, por definición, se hacen sin su consentimiento, y de permitirle oponerse a los mismos, antes de empezar.
Y parece razonable que, para que el interesado pueda (i) comprender en qué medida el interés legítimo de la organización prevalece sobre su circunstancia, y –es la misma cosa- (ii) decidir oponerse al tratamiento, necesita información suficiente y comprensible.
Un principio…
Si no te sientes cómodo publicando tu ponderación de interés legítimo, siquiera los aspectos fundamentales, seguramente tienes buenas razones. Y es que esta es la importancia del principio de transparencia. Base del «Trust but verify» de Madam Cavoukian.
… y un consejo:
Elaborar y presentar esta información al interesado será tanto más fácil cuanto más le hayamos tenido en cuenta al ponderar.
Si únicamente ponemos por escrito nuestras razones para justificar que podemos hacer exactamente aquello que queremos hacer, o ya veníamos haciendo, cualquier contratiempo (solicitud de información sobre la evaluación, oposición, esto… denuncia) nos hará descarrilar.
Merece la pena ponerse (pero de verdad) la gorra del interesado. En especial la del “interesado peleón”: porque este tiene los mismos derechos e intereses a ponderar, y al final del día es el que te busca las vueltas y te denuncia.
Es este frente al que hay que estar preparado, y si lo estás, le despacharás rápida y limpiamente el día que aparezca. Sabes qué responderle porque ya has tenido en cuenta su problemática.
Que así es como se ganan bien los partidos: sin bajar del autobús.
6.- Accountability
Dicho esto… ¿¿En qué lugar queda la accountability de un responsable que se niega a revelar una evaluación (o su resumen) incluso cuando un interesado la solicita??
La Agencia recuerda las Guidelines sobre Transparencia:
- El interés específico en cuestión debe identificarse en beneficio del interesado.
- Como cuestión de buenas prácticas, el responsable del tratamiento también puede facilitar al interesado la información resultante del “examen de ponderación”.
- En cualquier caso, la información dirigida al interesado debe dejar claro que puede obtener información sobre el examen de ponderación previa petición. «Esto resulta fundamental para que la transparencia sea efectiva cuando los interesados duden de si el examen de ponderación se ha llevado a cabo lealmente o desean presentar una reclamación ante la autoridad de control”.
7.- En todo caso: ¿Qué no se debe hacer nunca pero nunca?
Todo lo que tenía que decir la entidad sancionada en relación con este tema, lo deja bien claro aquí:
Memorable.
¿Es posible (i) argumentar la imposibilidad de probar hechos negativos haciendo que se vuelva en tu contra, y además –en el mismo párrafo- (ii) quedar como Cagancho en las Ventas en términos de transparencia al cliente?
Es posible.
Y si en otro momento de la defensa toca alegar la transparencia a ultranza para justificar lo de “interpretar la expectativa razonable” en el sentido de “felicitar el cumpleaños”, no pasa nada: se tenía que hacer y se hizo:
8.- Batiburrillo de finalidades y bases de legitimación que provoca confusión entre los interesados
La Agencia se harta a repetir que no puede admitirse un tratamiento de datos basado en el interés legítimo similar a otros llevados a cabo sobre la base del consentimiento del cliente, el cual, además no se presta de un modo válido.
En las páginas 101 a 103, la agencia resume todo lo que se ha hecho mal o no se ha hecho en relación con el IL por la entidad sancionada.
La «kamarrada» AEPD contra el «kapitalisti» interés legítimo
Pero volvamos con nuestra Agencia Estalinista de Protección de Datos.
La Agencia en su sanción contra el BBVA culmina con una declaración digna del Che Guevara ebrio de furia revolucionaria: “la obtención de un beneficio económico a través de la actividad empresarial … en ningún caso podrá prevalecer sobre el derecho fundamental a la protección de datos de las personas afectadas”.
Ojo a esto, que nos vamos todos a la cárcel.
Es tan increíble que hay que poner la captura:
¿¿guaaaaat??
La Agencia invoca la sentencia del TS sobre el caso Juaspp (la STS de 20/06/2020 -R Casación 1074/2019-), un asunto de un incumplimiento manifiesto e indefendible. Y claro, la defensa tenía que ser muy pero que muy loca: se alega de forma conjunta (y desesperada) la excepción doméstica, el “no trato dato” y el interés legítimo.
El asunto es tan evidente y la defensa tan lamentable (que también las cartas que les tocó jugar a los compañeros defensores eran las peores posibles), que da vergüenza ajena resumirlo. Dejo el enlace a la sentencia.
Por descontado, al Supremo le da la risa floja y desestima tan insensato recurso.
Pero quedémonos con lo relevante.
Ignoremos que el texto de la sentencia trata reiteradamente al interés legítimo como una “excepción” al consentimiento.
Ignoremos también que la sonora declaración de interés casacional incluye una sorprendente referencia a aquello del “fichero de datos”.
La afirmación del Supremo, citada por la Agencia, sólo tiene sentido en el contexto de lo fallado, pero no fuera de él. Por mucho que la declaración citada se haya elevado a “doctrina de interés casacional”. Porque sí, así se ha hecho.
“Es el contexto, estúpido”
El tema es bastante elemental:
La ponderación de intereses, -como el mismo concepto de privacidad- es rabiosa e indomablemente contextual: depende de las circunstancias.
La ponderación del interés legítimo aplicada a un bicho tan general y variable como el «ánimo de lucro empresarial», por su esencia casuística, combina fatal con juicios de valoración de aspiraciones generales (en sentido técnico: que pretenden ser aplicables todos los responsables de tratamiento o interesados) o abstractas (en sentido igualmente técnico: ser aplicables a todos los supuestos de hecho «idénticos»).
Que me se entienda bien: todos los bancos de España pueden compartir y de hecho comparten los mismos intereses «comerciales» en relación con sus clientes: desplumarles al máximo sin que se vayan a la competencia. Pero sólo las concretas circunstancias concurrentes y el perímetro concreto que resulte aceptable legitimarán o no, en cada caso, los tratamientos personales de datos pretendidos en cada caso.
No una declaración a favor o en contra del Tribunal Supremo.
Por eso nunca el EDPB declarará válidas (o inválidas) in genere categorías de “intereses legítimos”, como el “interés comercial” o cualquier otro. Hay que evaluarlas caso a caso.
Y por eso, salvo que el supuesto sea indiscutiblemente subsumible en una presunción o habilitación legal de las que pueblan nuestro ordenamiento, siempre hay que respaldar el tratamiento sobre interés legítimo con una evaluación concreta y circunstanciada.
Porque valorar y acreditar que un interés legítimo comercial sea o no directo, lícito, apremiante y que prevalezca sobre derechos e intereses de los titulares de datos objeto de tratamiento es algo que corresponde ponderar al responsable, bajo su responsabilidad, y de acuerdo con las circunstancias concurrentes en el caso.
Y responderá de su objetividad y rigor en dicho análisis.
Por eso tampoco la Agencia puede extraer conclusiones generales en uno u otro sentido sobre algo tan general y abstracto como el “interés comercial”.
Ni lo hace, pues ella misma protagoniza un «Chiquito de la Calzada» en toda la regla, caminando hacia atrás y hacia adelante en los siguientes párrafos:
Todo buenas noticias, en cualquier caso, para el Banco Azul: procede recordar aquí el zasca mayúsculo que propinó en diciembre pasado el Tribunal supremo holandés a su Autoridad nacional de protección de datos, precisamente por un caso parecido a este.
La autoridad holandesa había zumbado medio kilo a una empresa bajo la idea de que el interés legítimo sólo puede ser impetrado cuando ha sido previamente “consagrado” por la ley.
Sobre este tema, recomiendo el hilo explicativo en el twitter de Elena Gil.
Edit de octubre de 2024: como guinda al pastel, reseño que los señores del TJUE vinieron a borrar de un plumazo todas estas zarandajas hispano-holandesas en el caso C-621/22 (Royal Dutch Lawn Tennis Association (KNLTB) vs Dutch DPA).
Y ya.
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de datos