La AEPD impone 5 millones de euros de sanción al BBVA por vulnerar tres artículos del RGPD: la más alta de la historia de la Autoridad

La AEPD impone 5 millones de euros de sanción al BBVA por vulnerar tres artículos del RGPD: la más alta de la historia de la Autoridad

|
14/12/2020 01:00
|
Actualizado: 30/11/2021 14:34
|

La Agencia Española de Protección de Datos (AEPD) ha impuesto al BBVA una multa de 5 millones de euros por dos infracciones. Una muy grave, de 3 millones de euros, por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), en cuanto a la fórmula utilizada para obtener el consentimiento de sus clientes. Y otra leve, de 2 millones de euros, por los datos obtenidos del interesado, que suponen una vulneración de los artículos 13 y 14 del RGPD.

Al mismo tiempo, en dicha resolución la propia AEPD impone una serie de medidas coercitivas que obliga al BBVA a reformular, en seis meses, su sistema de gestión de protección de datos en relación con el deber de información y obtención del consentimiento.

Es la sanción más alta jamás impuesta en la historia de la AEPD. 

La resolución de la AEPD, de más de 120 páginas, da cabida a las alegaciones de dicha entidad financiera en su contenido.

Al superar el millón de euros de cuantía también aparecerá en los próximos días en el Boletín Oficial del Estado.

El BBVA puede interponer recurso de reposición ante la AEPD y  acudir a la Audiencia Nacional en vía contenciosa y recurrir esta sanción.

Hasta el momento la sanción más importante que había puesto la Agencia Española era la que impuso a Facebook en el 2017 por un importe de 1,2 millones de euros al  constatar que dicha rede social recopilaba , almacenaba  y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento.

Con esto se acabaron las treguas. Desde hace algún tiempo, las autoridades de protección de datos de diferentes países han empezado a imponer sanciones de gran cuantía a las empresas siguiendo las directrices del RGPD.

LA AEPD SE ALINEA CON OTRAS AUTORIDADES EUROPEAS

Francisco Javier Sempere, abogado experto en protección de datos, recuerda que “la semana pasada la CNIL [Commission Nationale de l’Informatique et des Libertés, de Francia (Comisión Nacional de Informática y Libertades)] ha impuesto sendas multas de 100 millones de euros a Google (60 a Google LLC y 40 a Google Ireland Limited) y 35 millones a Amazon Europe Core por vulneraciones relacionadas con las ‘cookies'».

Sempere recuerda que la Information Commissioner’s Office (ICO) [Oficina del Comisionado de Información], autoridad británica equivalente a la AEPD, “ha sido bastante mediáticas las multas impuestas tanto a British Airways como a Hoteles Marriots de 20 y 18,4  de millones de euros respectivamente por mala gestión de brechas de seguridad . No obstante, la propuesta era de haberlas sancionadas con 204 y 110 millones, por lo que se ha producido una considerable rebaja”.

Sempere también recalca que “siguiendo con las sanciones mediáticas, otra de tal carácter y también bastante reciente ha sido la impuesta por la Autoridad de Protección de Datos de Hamburgo a H & M con 35 millones de euros por falta de legitimación, ya que en su sede de Nuremberg se recabaron datos de sus empleados de salud, relacionados con sus familiares o incluso creencias religiosas”.

Por su parte, “el Garante italiano ha impuesto dos bastante altas también: a una empresa de telecomunicaciones (más de 27 millones), o a Vodafone Italia (con más de 12 millones). Ambas por la vulneración de diversos preceptos del RGPD”, destaca.

Este experto en privacidad también señala que “cuando era de aplicación la Ley Orgánica de Protección de Datos, cuyo límite estaba fijado en 600.000 euros para las infracciones tipificadas como muy graves, ahora con el RGPD marca hasta 20 millones o ek 4% del volumen de negocio total anual. El pódium lo forman Facebook (1.200.000 euros), Zeppelin Television S.A (1.081.821) y Google Inc (900.000)”.

“Todas ellas han sido multadas por la comisión de varias infracciones, de ahí que superen ese límite de 600.000″, aclara Sempere.

No obstante, lo anterior, habrá que ver si los tribunales confirman o no estas multas, o las rebajan.

«Hace unos días conocimos que se ha declarado nula por el tribunal correspondiente la multa impuesta de 18 millones de euros por la autoridad de protección de datos de Austria a su servicio de correos por la venta de los datos de sus usuarios”.

Francisco Javier Sempere, abogado experto en protección de datos.

LA MAYOR SANCIÓN DE LA HISTORIA DE LA AEPD

Por su parte, José Leandro Núñez, socio del despacho Audens y miembro de la Junta Directiva de la asociación de Expertos Nacionales de Abogacía TIC (ENATIC), subraya que el riesgo normativo de la protección de datos es muy elevado con la aplicación del RGPD que ha subido de forma elevada las cuantías de las multas.

«No va a ser un hecho aislado esta sanción que ha recibido el BBVA y que en estos momentos es la más cuantiosa de la historia de la AEPD. Las empresas deben extremar sus precauciones”, subraya.

Núñez señala que las resoluciones de la AEPD tienen tres partes. “Hay una, de antecedentes. Otra, de hechos probados y de fundamentos. Y la sanción. En resoluciones de este tipo, la AEPD se hace eco de las alegaciones de la entidad demandada para así poder analizar tanto aspectos formales como de fondo del procedimiento a efecto de posterior recurso que pudiera interponerse”.

De ese fondo del asunto, Núñez subraya que, en lo que al BBVA respecta, “hay dos sanciones principales que se juntan en una. Hay una primera por vulnerar el deber de información. Según la AEPD la política de privacidad del banco no era clara”.

“Y una segunda que vulnera el principio de legitimación. En opinión del regulador el BBVA no estaba captando bien los consentimientos y que las bases jurídicas utilizadas para determinados tratamientos no eran correctas”, destaca.

Para este experto, “si este caso hubiera tenido una cuantía más baja no hubiera generado tanta polémica como está produciendo. Las cuantías que se venían imponiendo eran mucho más bajas. Pero ahora el margen que da el RGPD para sancionar es más elevado que el que daba la antigua LOPD. Ahora puede llegar a 20 millones de euros o el 4% del volumen global anual de negocio de la empresa en todo el mundo”.

Sobre la resolución, Núñez explica que “hay cuestiones en las que, aparentemente, la AEPD tiene razón, porque el banco daba por hecho que los clientes le otorgaban el consentimiento si no marcaban una casilla. Eso, con el RGPD no puede hacerse. Es una cuestión de diferencia de criterios entre la AEPD y la asesoría jurídica de esta entidad bancaria”.

Respecto a otras cuestiones, reconoce que le generan más preocupación “hay uno importante y que tiene que ver con que el banco utiliza el interés legítimo como base jurídica. Ese interés permite tratar unos datos y que puede ser prevalente sobre el derecho de los interesados”.

Leandro Núñez, socio del despacho Audens.

EL BBVA UTILIZÓ EL INTERÉS LEGÍTIMO PARA ELABORAR PERFILES PUBLICITARIOS Y EXTRAER INFORMACIÓN

En esta resolución el banco ha utilizado el interés legítimo, según este experto, “para la elaboración de perfiles publicitarios, extraer información basada en cómo te relacionas con la entidad y operaciones que se realiza para recibir productos adecuados a sus necesidades. Para la AEPD no está bien justificado. Alega que lo que dice el banco son las finalidades para tratar esos datos, pero no es un interés”.

Para Nuñez, “la duda con esta resolución de la AEPD es como se define realmente ese interés y cuál es la fórmula que debe entender el regulador para utilizar estos casos. A nivel general se utiliza la fórmula de la finalidad. Se tratan los datos para enviarte publicidad. Pero la AEPD dice que asi no se informa del interés”, apunta.

LA SANCIÓN PUEDE RECURRIRSE

Para Francisco González, Lead Advisor Internacional de la consultora Govertis, “la doble sanción impuesta por la AEPD a BBVA bate un récord en España. Incluso por separado, 2 millones y 3 millones continúa siendo un récord”.

A su juicio, “debemos tener presente que era de esperar antes o después una gran sanción de la AEPD puesto que la aplicación uniforme del RGPD prevista en el mecanismo de coherencia también implica una graduación uniforme de las sanciones impuestas ante incumplimientos similares”.

En lo que respecta a la sanción a BBVA, «no es previsible que en el caso de ser recurrida sea anulada en un contencioso administrativo, pero si que se reduzca considerablemente el importe de la sanción”.

González explica que “por un lado, tenemos una actuación contraria al RGPD por parte de BBVA en la manera de obtener el consentimiento. El sistema utilizado por BBVA consistente en casilla en la que el cliente se opone a determinados tipo de tratamiento de datos personales para los que el BBVA ha entendido que no puede tratarlos sino es con consentimiento expreso no puede ser considerado como clara acción afirmativa puesto que si el cliente no las marca entonces se entendería prestado ese consentimiento”.

El BBVA debería haber optado «por otros sistemas como incluir doble casilla, una con un Sí y otra con un No o bien dejar una sola casilla, pero en sentido positivo, en la que el cliente marque un Sí consiento y en caso de no marcarla el consentimiento no se entendería otorgado”, apunta.

Por ello, «la sanción de 3 millones de euros por incumplimiento del artículo 6 del RGPD es complicado que se anule en un contencioso administrativo”.

El Lead Advisor Internacional de Govertis cree que “la sanción de 2 millones de euros por incumplimiento de los artículos 13 y 14 sí que nos plantea serias dudas que resista a un contencioso administrativo por distintos motivos.

En primer lugar, señala que “parece exagerado una sanción de 2 millones de euros por una información de protección de datos con frases y expresiones genéricas a juicio de la AEPD” .

González opina que “en este caso en concreto habría sido más apropiado instar a una nueva redacción de estas cláusulas de información puesto que BBVA había tomado como referente las guía para del deber de informar y la guía de cookies de la AEPD”.

En segundo lugar, “y más importante, la AEPD entiende erróneamente a nuestro juicio que debería haberse informado no sólo con respecto al artículo 13 (datos obtenidos directamente del interesado), sino también con respecto al artículo 14 (datos obtenidos por otras vías diferentes al interesado)”, indica este jurista.

La consecuencia práctica es que «BBVA además debería haber indicado todas las categorías de datos tratados. Si bien es cierto que BBVA informa de estas categorías a su entender de manera voluntaria, la AEPD estima que no se han recogido todas las categorías de datos tratados según su criterio”.

Este jurista considera que “de ahí viene el principal motivo que sustenta esta sanción. La AEPD se basa en la cláusula de protección de datos en la que BBVA hacer referencia a datos personales que pueden ser tratados en calidad de comercializador”.

Para Francisco González, “la AEPD a nuestro juicio erróneamente interpreta que esa condición de comercializador es en calidad de encargado de tratamiento y de ahí estima que aplica el artículo 14 del RGPD a BBVA».

Francisco González, Legal and Privacy Advisory Leader de la consultora Govertis.

A juicio de este experto la interpretación es errónea por dos motivos principales.

“El deber de información en primera instancia siempre corresponde al responsable del tratamiento. Corresponderá al encargado si en el contrato de acceso a datos se ha estipulado que esta obligación se traslada al encargado. Y esta circunstancia no queda acreditada en la Resolución de la AEPD”.

También este experto en privacidad señala que la AEPD se olvida «que el comercializador puede actuar en determinados casos y para determinadas finalidades como responsable del tratamiento”.

“Si bien es cierto que al comercializar productos contratas con otra entidad y por ello tienes que firmar todo con esa tercera entidad, BBVA puede realizar tratamientos previos para analizar que clientes serían más propensos a contratar una vez que fueran informados de esos productos”, comenta.

En su opinión, “en tercer lugar se achaca a BBVA que no informa sobre la ponderación del interés legítimo cuando el artículo 13 del RGPD no lo impone dentro del contenido mínimo del deber de información. Ofrecer esa información es en todo caso una buena práctica y su ausencia no puede ser sancionable”.

Desde su punto de vista, “entendemos que esta sanción es la que tiene probabilidades de ser anulada o reducida considerablemente en un contencioso administrativo”.

Noticias Relacionadas:
Lo último en Tribunales