✔ La Agencia Española de Protección de Datos (AEPD), ha impuesto el pasado viernes la multa más alta de su historia, 5 millones de euros, a la entidad bancaria BBVA (PS/00070/2019, https://www.aepd.es/es/documento/ps-00070-2019.pdf) con ocasión de cinco reclamaciones en los que los afectados alegaban haber recibido comunicaciones comerciales cuando se habían negado previamente a la recepción de las mismas y a que el consentimiento para el tratamiento de sus datos no se prestaba de forma libre e informado.
¿En qué consistía cada una de las denuncias?
- 1º denuncia: el reclamante explica que se le envió a su línea de teléfono móvil un SMS promocional, sin haber autorizado el envío de tales mensajes y figurando inscrito en Lista Robinson.
- 2º denuncia: el reclamante alega que la App BBVA para sistemas Android no cumple los requisitos legales relativos al consentimiento libre e informado. Al respecto, explica que, mediante una pantalla emergente, la App requirió la prestación de un consentimiento cuyo alcance debía conocerse mediante un enlace a otra página, en la que aparecía activada por defecto la opción de cesión de datos a terceros.
- 3º denuncia: el reclamante señala que para el desbloqueo de su cuenta fue necesario suscribir el documento de protección de datos personales, que le fue remitido telemáticamente, y que no tuvo posibilidad de marcar las opciones sobre el tratamiento de la información.
- 4º denuncia: el reclamante denuncia que, con el pretexto de haber sido informado mediante un documento que no ha firmado, BBVA le remite comunicaciones comerciales que no ha solicitado ni autorizado. Añade que le informó sobre la adopción de medidas para impedir que continuara recibiendo comunicaciones comerciales, que cesaron los envíos de correos electrónicos, pero continuó recibiendo SMS, en los que no se facilitan mecanismos de baja.
- 5º denuncia: el reclamante confirma que recibió llamadas telefónicas y envío de SMS publicitarios, para ofrecer seguros, tarjetas de crédito y financiación de recibos, a pesar de que ejerció el derecho de oposición a la cesión de sus datos con fines promocionales y que el mismo fue atendido por BBVA.
¿Qué artículos entiende infringidos la AEPD?
La AEPD no impone la multa a BBVA con base en cada una de las denuncias presentadas, sino que se centra en analizar el formulario de recogida de tratamiento de datos personales utilizados por BBVA con posterioridad al 25 de mayo de 2018 (fecha de obligatoria aplicación del RGPD) denominado “Declaración de actividad económica y política de protección de datos personales”. La razón es que el tratamiento de datos de los 5 denunciantes (y del resto de clientes de BBVA) se basa en este documento; es decir, a través de este documento BBVA da a conocer los términos aplicables a la protección de datos personales y la forma en que el consentimiento de los interesados se presta.
Tras analizar el contenido de la “declaración de actividad económica y política de protección de datos personales (puede ver su contenido en las páginas 117 y ss del PS/00070/2019), la AEPD impone dos multas, cuya cuantía total asciende a 5 millones de euros, por infracción de los siguientes artículos:
- Multa de 2 millones de euros, por infracción de los artículos 13 y 14 RGPD (información que debe facilitarse al interesado sobre el tratamiento de sus datos) tipificada en el artículo 83.5.b) RGPD y calificada como leve a efectos de prescripción en el artículo 74.a) LOPDGDD. Los motivos son:
- Empleo de una terminología imprecisa para definir la política de privacidad.
- Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento, especialmente, en relación con los datos que BBVA dice obtener del uso por el cliente de productos, servicios y canales; los datos económicos y de solvencia obtenidos de productos contratados con BBVA o de los que BBVA es comercializador; y los datos personales que se cederán a empresas del Grupo BBVA.
- Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales que BBVA basa en el interés legítimo.
- Insuficiente información sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.
- Multa de 3 millones de euros por infracción del artículo 6 RGPD (licitud del tratamiento), tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b). Los motivos son:
- Inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales. Las opciones del interesado se limitan a la marcación de una casilla mediante la cual deja constancia de su oposición a los tratamientos de datos.
- Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado.
¿Qué solicita la AEPD a BBVA en su resolución?
La AEPD insta a BBVA a que en el plazo de 6 meses adecúe a la normativa de protección de datos personales a las operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.
¿BBVA podría recurrir la resolución?
La resolución de la AEPD puede ser recurrida por la vía contenciosa administrativa ante la Audiencia Nacional en el plazo de 2 meses a contar desde el día siguiente a la notificación de la misma y, según ha informado BBVA, pretenden hacerlo. En el caso que sea recurrida, no es previsible que sea anulada, pero sí que se reduzca considerablemente el importe de la sanción.
▸Estimado lector, ¡¡gracias por su tiempo!!