sanciones AEPD

“Nueva normalidad sancionadora” BBVA y Caixabank (II)

 

 

 

Sanción BBVA. Episodio II

La semana pasada empezamos a analizar la sanción record impuesta por la AEPD al BBVA de diciembre de 2020.

Por el camino, hemos visto caer otra sanción más grande y en una resolución aún más larga (aunque copia partes enteras de la primera, a veces con escasa fortuna), sobre Caixabank: seis millones de euros. Los incumplimientos apreciados son parcialmente coincidentes y ya que me ponía, los comentamos brevemente.

Eso hará que independice el análisis de la parte de interés legítimo, que tiene de sobra como para comentar y, sobre todo, chistecitos, así que habrá un tercer post.

En esta parte seguiremos comentando contingencias detectadas relacionadas con el profiling, y la cesión de datos de clientes intragrupo. En el primer post tratamos cuestiones más obvias, insuficiencia en la información suministrada y captación del consentimiento del interesado.

Esto en realidad era un solo texto, pero quedaba tan largo que lo he dividido: recomiendo la lectura conjunta (y sosegada) de los tres posts.

¿Te parece largo? ¿Aburrido? Prueba con las novelas originales: sanción BBVA y sanción Caixabank. Y me cuentasss…

Las Reglas del «Club de la Hucha» o la «nueva normalidad sancionadora»

O lo que es lo mismo, los highlights comunes a estas dos importantes resoluciones serían, en mi humildísima opinión, y por orden de importancia:

  • La Agencia no casca a los Bancos por lo que hacen, sino por lo que dicen que hacen. Porque está mal dicho, o no se entiende, porque falta información, porque esa información no es coherente en distintos canales y documentos, porque se citan tratamientos para los que no se encuentra una base de legitimación.

Si me hubieran preguntado en noviembre por el “cogollo de riesgo” en una entidad bancaria (y me lo preguntaron), hubiera señalado (y señalé) sin pestañear al profiling y decisiones automatizadas del art. 22. Bien, será por lo que sea, pero el profiling sólo se sanciona en su parte informativa, y el art. 22 sólo se ataca en el caso Caixabank desde el punto de vista de la recogida del consentimiento explícito necesario. En ambos casos, como veremos, la agencia acaba descartando seguir esa senda.

  • Esto último me parece relevante, y lo llevamos viendo mucho tiempo: con independencia de lo denunciado, la Agencia siempre elige (limita) sus batallas.
  • El que calla no otorga: no te creas, como hicieron los bancos sancionados, que si la Agencia no contesta a tus escritos significa que los valida o acepta tus argumentos en alguna medida: no es así.
  • Vísteme despacio que tengo prisa: La Agencia interpreta que puede admitir a trámite una denuncia y dejarla en standby, e incoar procedimiento sancionador en cualquier momento anterior a la prescripción de la infracción apreciada.
  • Se sigue poniendo cara larga (por decirlo finamente) al interés legítimo. Esto alcanza niveles extremos (hasta divertidos) en el caso del BBVA. Lo dejo para un tercer post, que va a ser de muchas risas.
  • La Agencia encadena y superpone incumplimientos: «esto y esto lo sanciono por falta de información y como no había información suficiente, tampoco hay base de legitimación».

Vamos con esto último.

 

Elige tus batallas: “the road not taken”

Recordemos, porque es relevante, que la Agencia hizo como el policía de mi historia, quien, teniendo tanto donde elegir, decidió pasar de esa pegatina toda churretosa. Entre otras cosas, que ya vimos la semana pasada.

Los caminos que explícitamente no transita en el caso BBVA los enumera la agencia en la pg. 48 de su resolución (de la versión original al menos: ahora esa resolución tiene como veinte páginas más que la versión original).

En el caso Caixabank, la página relevante es la 75.

 

Incumplimientos encadenados

La Agencia sitúa bien arriba el estándar de información en relación con tratamientos que se suelen despachar de forma cuasimecánica en muchas políticas de privacidad. Esto va a cambiar, claro.

Pero lo más interesante es que “trenza” en los mismos hechos, distintas calificaciones jurídicas. Algo que jurídicamente puede tener distintos «nombres» (y claro, distintas reglas que hay que cumplir).

1.- Falta info

La Agencia sanciona la omisión de información sobre tratamientos realizados con base:

  1. en el consentimiento, por falta de la información obligatoria para considerarlo informado y por tanto, válido, y
  2. en el interés legítimo, (las concretas categorías de datos personales tratados) en la medida en que los datos tratados provienen de fuentes distintas del interesado, incumpliéndose por tanto el 14.1.d) del Reglamento.

Además, vincula esta falta de información con otras dos áreas de incumplimiento:

 

2.- Elaboración de perfiles

BBVA afirma basarse en su interés legítimo únicamente para la elaboración de perfiles.

Pero dichos perfiles:

  1. son posteriormente utilizados para la oferta de productos y servicios (finalidad 3) a los clientes que presten su consentimiento para ello, y que
  2. se comunican al resto de las sociedades del Grupo BBVA, también en base al consentimiento del interesado.

Por eso, los defectos en la información en relación con el tratamiento de datos en base al interés legítimo contaminan a los basados en el consentimiento.

 

3.- Cesiones intra-grupo

La mezcolanza de datos personales provenientes de la propia entidad, de otras sociedades del grupo y de terceros cuyos productos y servicios se comercializan.

Porque se dice que BBVA hace lo que un encargado de tratamiento (comercializador de servicios de terceros) no puede hacer, erigiéndose en responsable de tratamiento por la vía de hecho.

“Interesa destacar también, además, que la información ofrecida sobre los datos sometidos a tratamiento por BBVA a la que se ha hecho referencia incluye “los relativos a todos los productos y servicios… de los que BBVA es comercializador”. Esta Agencia cuestiona la utilización de estos datos por parte de la citada entidad y con las finalidades que se señalan, considerando que no se trata de productos propios, sino productos de terceros comercializados por la misma. BBVA interviene en la comercialización de esos productos bajo la condición de encargado del tratamiento, lo que limita la posibilidad de utilizar la información de que se trate con fines propios.”

Hombre, uno diría que la condición de encargado no es que la limite, es que la excluye, por definición.

“Con la información facilitada, como se ha indicado anteriormente, no queda claro qué datos personales económicos y de solvencia son tratados o qué datos registrará BBVA por cada transacción.”

 

Cesiones intra-grupo en Caixabank

En el caso de Caixabank, la cosa es distinta.

Esta entidad parte de un concepto tan equivocado como frecuente: considerar al grupo de sociedades como una sola entidad para lo que interesa, y como compartimentos estancos en caso contrario.

La filosofía de la entidad, de acuerdo con la resolución es que “el Grupo Caixabank opera bajo un mismo concepto de marca con la entidad bancaria como eje”.

Y por eso se gestionan unificadamente los consentimientos para tratamientos de datos con la misma finalidad, y se centralizan los datos de clientes, accesibles desde cualquiera de las entidades del Grupo.

Y por eso no se hace referencia, dice la AEPD, a base de legitimación alguna que legitime estos tratamientos unificados (en realidad, “cesiones” si es que se puede seguir utilizando el término) y centralizaciones de datos.

La entidad hace lo que buenamente puede trata de defenderse apelando a exigencias regulatorias y a una corresponsabilidad conjunta sobre los datos centralizados.

Aquí la Agencia entra al trapo y…

 “Obviamente, no puede haber corresponsabilidad de todas las empresas del Grupo
CaixaBank en relación con el tratamiento de datos que conlleve el contrato, del tipo que fuera, que formalice un cliente con una de ellas. Si en el contrato interviniera más de una empresa, el resto de empresas, que no participan en forma alguna en ese contrato, no pueden ser consideradas corresponsables
.”

Lo cierto es que justificar y documentar una centralización de datos intragrupo no es difícil si se tienen claras cuatro cosas.

Que son cuatro cosas y llevo dos años dando la tabarra con esto, pero bueno…

Lo difícil es rectificar sobre la marcha errores pasados.

 

Tratamiento de datos procedentes de ficheros de solvencia patrimonial y crédito y de CIRBE:

La Agencia considera legítimos estos tratamientos, pero en su justa medida (la determinada por el ámbito de aplicación la Ley 5/2019, y la información disponible en la política de privacidad).

Desde aquí, se aprecian extralimitaciones –utilización de esos mismos datos, adicionalmente, para otras finalidades basadas en el interés legítimo en el caso de BBVA (elaboración de perfiles con finalidad comercial, para ofrecer productos y servicios) y basadas en el consentimiento, en el de Caixabank.

Y remata:

 

Información: elaboración de perfiles sobre interés legítimo

De nuevo, la AEPD tira de pedagogía y recuerda algunos greatest hits, esta vez de las guidelines wp251 del Grupo de trabajo del 29 sobre decisiones automatizadas:

“La elaboración de perfiles suele ser invisible para el interesado.”

“…cuando el tratamiento implique la toma de decisiones basada en la elaboración de perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22), debe aclararse al usuario el hecho de que el tratamiento tiene fines tanto de:

  1. a) elaboración de perfiles como de
  2. b) la adopción de una decisión sobre la base del perfil generado…”

(Que igual hay que recordar que no es lo mismo perfiles no automatizados, profiling y decisiones automatizadas del art. 22. Sobre esto, se puede mirar algo por aquí).

Y en esta parte la Agencia es que se afila los dientes con el pobre banco.

BBVA afirma restringir el ámbito del interés legítimo a dos tipos de tratamientos: el perfilado de clientes -la “personalización de ofertas y productos”- y la comunicación “intra grupo” de dichos perfiles con finalidad comercial.

El banco afirma además, que el uso de los datos resultantes del perfilado se basa en el consentimiento de los interesados.

Pues bien, la Agencia rechaza la licitud, tanto de la elaboración de perfiles, como del uso o aplicación posterior de los mismos, esté consentida o no, y lo hace con dos argumentos:

  • La falta de justificación del interés legítimo antes comentada,
  • La insuficiencia de la información suministrada, denunciando la falta de información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o la posibilidad de que el interesado pueda ejercer su derecho de oposición.

Yo añadiría que también falta información sobre las consecuencias del perfilado para el interesado.

Y todo ello con independencia de que aplique o no (y, sobre todo: se cumpla) el famoso art 22 del RGPD. Que ya hemos visto que era la churretosa pegatina en el parabrisas no investigada en todo este tinglado.

 

Reflexión personal: “personalización de precios”

Cada vez que me topo con este tipo de expresiones –“personalización del producto” o sobre todo “del precio”-, echo de menos alguna tranquilizadora referencia que excluya esa desagradable sensación certeza de que ese rollo sólo significa que la empresa aplicará todo su knowhow sobre el cliente y las circunstancias concurrentes en cada momento para imponer el precio más alto o las condiciones más onerosas posibles.

¿Quieren ustedes conseguir clientes y cero litigiosidad de una tacada con una sola frase en su política de privacidad?

“Sólo trataremos sus datos personales para personalizar el servicio/producto/precio en la forma más favorable a sus intereses”.

Soy consciente de que no siempre querer es poder, pero ahí lo dejo, porque además, es verdad.

Cliffhanger

Y en la season finale de esta serie de miedo hablaremos de la demonización del interés económico por parte de nuestra querida Agencia ¿comunista-bolivariana? de protección de datos, quien con afirmaciones de este calibre,  parece querer llevarse por delante de un plumazo, el 6.1.f) RGPD junto con buena parte de los tratamientos de datos que se llevan a cabo a diario en cualquier empresa.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos