Sanción BBVA: anatomía de una resolución récord (I)

 

 

 

El día 12 de diciembre de 2020 la AEPD sancionó a BBVA con -ni más ni menos- que cinco millones de euros.

¿Qué pasó?

Al banco le calzan dos millones de euros por defectos en la información al interesado (que traen consigo la ilicitud de sus tratamientos sobre interés legítimo (profiling), y determinadas cesiones de datos de clientes intragrupo, entre otros).

Y como segundo plato, tres millones más por múltiples defectos al recabar el consentimiento del interesado para tratamientos no indispensables para el cumplimiento del contrato.

¿Podría haber pasado algo más?

Ya lo creo, Joe. Vean, vean…

 

La resolución no sólo deja explícitamente fuera de lo investigado y sancionado las decisiones automatizadas del art. 22, sino muchas otras cosas.

 

Puntos fuertes y debilidades de la resolución

Entre las segundas, la más clara es la de la longitud: 134 páginas. Este año he leído novelas más cortas y todas acababan bien. No como esta.

Como pasa con políticos y tertulianos, si hablas demasiado sobre cualquier cosa, es difícil no equivocarte. Y esta resolución contiene boquetes formales y materiales.

Tan útiles ante la Audiencia Nacional.

Pero esa parte sólo es importante, amiga del dato, cuando ya te han hincado la lanza entre quijada y quijada.

Aquí la idea es aprender. Estamos hablando de evitar el derramamiento de sangre. En especial, de la propia.

Por eso nos vamos a centrar, en dos posts separados, en lo que considero más valioso de la resolución: la aplicación al caso de algunos mantras repetidos hasta la saciedad desde EDPB y Agencia, e ignorados por no pocas organizaciones en sus políticas de privacidad.

¿No me creen? Un búsqueda en google de un par de expresiones demonizadas de las que veremos luego arroja miles de resultados…

 

 

En este post resumiremos las contingencias sobre información en general y consentimiento, dejando la parte más suculenta para la próxima semana: interés legítimo, profiling y cesión de datos de cliente intragrupo.

Lo confieso: son como 6.000 palabras y no me daba tiempo a rematar todo para hoy.

 

Pero vamos con los pecados observados por la Agencia.

Empleo de una terminología imprecisa y formulaciones vagas

No es lícito emplear expresiones aparentemente claras, pero que dicen poco o nada sobre los tratamientos de datos sobre los que supuestamente informan.

Según la Agencia, precisamente un banco y precisamente este banco por su peso en el mercado, protagoniza tratamientos masivos, especialmente complejos, combinando datos de diversas fuentes (empresas de su grupo y terceros –ya llegaremos a eso-) y perfilando a los usuarios.

Y está dicho y redicho que cuanto más complejo el tratamiento, mayores explicaciones requiere el pobrecico interesado para entender y controlar el uso que se hace de sus datos.

Estas son las expresiones vagas e imprecisas a evitar que señala la Agencia, de las que resalto en negrita las más sangrantes (por más repetidamente desaconsejadas).

“Conocerte mejor y mejorar tu experiencia”.

 “Ofrecerte productos y servicios… personalizados para ti”.

 “Mejorar la calidad de los productos y servicios”.

“Tus datos son tuyos y los controlas tú”.

“… que tu experiencia sea más personalizada”.

 “Productos y precios más ajustados a ti”.

“Gestionar adecuadamente los productos y servicios que nos solicites y contrates”.

 “Seguir la relación que mantenemos contigo y tu evolución financiera”.

 “En BBVA tratamos tus datos personales para atenderte siempre con el mismo nivel de calidad, y así poder ofrecerte un mejor trato y servicio adecuado a tu condición de cliente”.

“Si quieres agilizar el proceso de solicitud, necesitaremos”.

“En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una relación personalizada lo más adaptada a tu perfil de cliente y a tus necesidades. Para lograrlo tenemos que conocerte mejor…”.

 “Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti… así como ofertas personalizadas con precios más ajustados para ti”.

“Nos gustaría mantenerte al día sobre nuevos productos y servicios de BBVA, así como darte consejos recomendaciones para gestionar mejor tu situación financiera. También podemos enviarte información sobre productos y servicios de BBVA con precios más ajustados a tu perfil, informándote de aquello que te pueda interesar como cliente”.

“Si quieres que las sociedades del Grupo BBVA… te puedan ofrecer productos y servicio personalizados en características y precio, necesitamos que nos autorices a comunicarles datos relativos a tu perfil de cliente… Esa información se tratará para intentar mejorar las características y precios de la oferta de productos y servicios”.

“… para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción”.

Muchas de estas expresiones ya fueron etiquetadas como de “malas prácticas” en las Directrices sobre transparencia del 17 por el GT29.

Mención aparte merecen estas tres del final, que también destaca la Agencia, y las que se dedican páginas enteras de la resolución, por poner como ejemplo de algo complicado (profiling) un ejemplo notoriamente estúpido y que insulta la inteligencia del cliente –“tenemos interés legítimo en felicitarte tu aniversario”- y por intentar el Banco interpretar y poner por escrito cuál es la expectativa razonable del interesado, en términos igualmente arbitrarios y dolorosos.

Entiendo que el instructor (o para el caso, cualquier cliente) se “harrankara los hojos” después de leer semejante mojón.

“… para ser un banco cercano a ti como cliente y poder acompañarte durante nuestra relación contractual, podríamos felicitarte por tu aniversario, desearte un buen día o felices fiestas”.

“En BBVA consideramos que, como cliente, tienes una expectativa razonable a que se utilicen tus datos para que podamos mejorar los productos y servicios y puedas disfrutar de una mejor experiencia como cliente”.

“Además, estimamos que también tienes una expectativa razonable a recibir felicitaciones con motivo de tu aniversario. desearte un buen día o felices fiestas”.

“Para poder prestarte un servicio adecuado y gestionar la relación que mantenemos contigo como cliente…”.

Last but not least, la Agencia hace hincapié en el efecto atontonador que produce sobre el interesado la repetición de estas mismas expresiones en primera y segunda capa, “para fundamentar diferentes distintas actuaciones tratamientos, finalidades y legitimaciones”.

El Banco replica hábilmente que algunas de estas expresiones se leen en la propia “Guía para el cumplimiento del deber de informar”.

Frente a esto, la Agencia machaca. No en vano se han hartado a repetir la necesidad de erradicar expresiones vacías de contenido. En especial, en materia de avisos de cookies.

Pero ¡ay! después–a mi particular y limitadísimo juicio- patina … ¿cómo puede decir esto otro?:

“Complementariamente, debe tenerse en cuenta que las orientaciones de la guía no pueden tomarse como definitivas, ya que la guía antes citada advierte expresamente que el único objetivo específico que cubre es orientar sobre las mejores prácticas y añade que debe ser completada con otras guías que las Autoridades de Protección de Datos puedan emitir, en relación con la aplicación del Reglamento General de Protección de Datos.”

Si de verdad creyera esto la Agencia sobre sus propias guías (espoiler: NO), ¿habría separado su criterio del de las demás Autoridades europeas en materia de consentimiento tácito al uso de cookies?. ¿necesitaba rectificar su criterio y por tanto, su guía?. ¿Facilita el acceso a esas otras interesantes guías del resto de las DPAs, traduciéndolas al castellano?. ¿Valen todas lo mismo?.

No.

La competencia para interpretar y coordinar la aplicación del Reglamento General de Protección de Datos en el ámbito administrativo la tiene el EDPB. Y cada autoridad nacional en su propio territorio, porque las normas aplicables son distintas en cada uno.

 

Información incompleta: el problema con los “tipos de datos”

La AEPD se remite, no al 11 de la ley sino a… ¿lo adivinan? las directrices de transparencia del EDPB, para tasar la información mínima necesaria para interpretar que el consentimiento que se solicita está suficientemente informado y resulta, por tanto, válido.

3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»

Para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos que son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al menos, la información siguiente para obtener el consentimiento válido:

i) la identidad del responsable del tratamiento,

ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento,

iii) qué (tipo de) datos van a recogerse y utilizarse,

iv) la existencia del derecho a retirar el consentimiento,

v) información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo 22, apartado 2, letra c), cuando sea pertinente, e

vi) información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo 46.

El resaltado es mío. Cuidadín con ese (vi) sobre las transferencias internacionales de datos también, que no sé por qué, pocos cumplen hoy.

La Agencia incide en la falta de información sobre los tipos de datos en los tratamientos sometidos al consentimiento de los interesados.

 

“Esta insuficiencia se observa en relación con la finalidad “Mejorar la calidad de los productos y servicios”, donde se indica nuevamente que: “Dicha información se obtiene a partir del uso de productos, servicios y canales de BBVA”). Todo ello se refiere a los datos tratados por razón de los productos y servicios contratados, de modo que, aunque éstos sean conocidos por el usuario, no puede conocer los que se seleccionarán a partir del uso de tales productos y servicios. Lo mismo puede decirse respecto del uso de canales de BBVA.”

“esta información es defectuosa en la medida en que no permite al destinatario de la información conocer con certeza todas las categorías de datos personales que se utilizarán por aquella entidad y que, incluso, la repetida información, por su falta de concreción, podría estar dando cobertura a una recogida y tratamiento de datos personales inaceptable”.

Este tema está enlazado con otro muy relevante que trataremos in extenso en el segundo post: la mezcolanza de datos personales captados de la propia entidad, de otras sociedades del grupo y de terceros cuyos productos y servicios se comercializan.

Por resumir esta parte:

EDPB:

“Una consideración fundamental del principio de transparencia esbozado en estas disposiciones es que el interesado debe poder determinar de antemano el alcance y las consecuencias derivadas del tratamiento, y que no debe verse sorprendido en un momento posterior por el uso que se ha dado a sus datos personales.”

AEPD

“No cabe admitir que toda la información se destine a todos los usos, que todos los datos
recabados o inferidos puedan utilizarse para todas las finalidades
, sin delimitar.”

 

Información sobre finalidades

La AEPD, en el contexto de la calificación de la información suministrada por BBVA como opaca e insuficiente, añade el batiburrillo de expresiones repetidas en relación con bases de legitimación distintas, consentimiento e interés legítimo en este caso.

 

 

A estos efectos, la Agencia recuerda el principio de limitación de finalidad

Descripción legal: (Los datos personales serán: b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines).

Doctrina del EDPB aplicable específicamente al caso (guidelines 3/2013)

Cuanto más complejo sea el tratamiento de los datos personales, los fines deben especificarse de manera más detallada y exhaustiva, “incluyendo, entre otras cosas, la forma en que se procesan los datos personales. También deben revelarse los criterios de decisión utilizados para la elaboración de perfiles de clientes”

Y es aplicable, dice la Agencia, a la vista de la ingente cantidad de datos personales objeto de tratamiento y los complejos procesos técnicos a los que son sometido, sobre todo para la elaboración de perfiles, con los diversos propósitos descritos en la política de privacidad.

 

 

Consentimiento granular mediante (¡ay!) “casillas de exclusión voluntaria”

Tres millones de sanción para esto.

El BBVA, excepción hecha de los tratamientos de perfilado y cesión intragrupo, que reconduce al interés legítimo, y a los propios del contrato, apela al consentimiento del interesado para todo lo demás.

Pero lo hace solicitando una sola firma en el malhadado documento “«DECLARACIÓN DE ACTIVIDAD ECONÓMICA Y POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES“ que contiene unas casillas que, atención, están configuradas de modo que sólo permiten oponerse a los siguientes tratamientos:

“Te informamos que, si no estás de acuerdo con la aceptación de alguna de las siguientes finalidades, puedes seleccionarlas a continuación.

Productos y precios más ajustados a ti

[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí.

[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan ofrecer productos y servicios propios personalizados para mí. Mejora de calidad

[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y existentes.

Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que hacemos de tus datos”

 

Esta parte de la resolución es la menos interesante por lo manifiestamente chungo del incumplimiento, que se venía denunciando en redes sociales por el gremio:

  • El primer problema con estas casillas es que, sin intervención activa del interesado, se habilitan los tratamientos descritos. Poco compatible con una acción afirmativa e inequívoca del interesado.
  • El segundo es que, si no abres el documento, te las comes directamente, con una sola firma. El “consentimiento” no es granular, cuando debería haberlo sido, al referirse a tratamientos no necesarios para el cumplimiento del contrato.
  • El “consentimiento” no es demostrable (cuando el interesado no marca el “no quiero” no puede concluirse con certeza absoluta si actuó deliberadamente o no al no marcar las casillas incluidas).
  • Tampoco es informado (y la Agencia recuerda aquí todas las tachas descritas anteriormente).

 

A continuación, la Agencia hace un “remix” de varios Considerandos del RGPD consiguiendo un breve pero gran resumen de los nuevos requisitos del consentimiento post-RGPD.

“El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento. Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las condiciones generales o cuando se impone la obligación de estar de acuerdo con el uso de datos personales adicionales a los estrictamente necesarios. Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento.”

Y cita al EDPB en las guidelines sobre consentimiento, a cuyo tenor:

“El RGPD no permite que los responsables del tratamiento ofrezcan casillas marcadas previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para evitar el acuerdo (por ejemplo, “casillas de exclusión voluntaria”)…”

Y en consecuencia hace ni más ni menos que la siguiente acusación:

“La entidad responsable no diseñó un mecanismo específico para recabar el consentimiento de sus clientes en orden a la utilización de los datos personales con las finalidades 3), 4) y 5), habiendo estimado BBVA que la aceptación sin más de la política de privacidad, mediante la firma por el cliente del repetido formulario, conlleva la prestación de ese consentimiento.”

No sé si era eso, o otra cosa.

 

La próxima semana, el segundo post.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos