L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 5 milions d’euros a l’entitat BBVA per infringir el RGPD. Es tracta, de la sanció més elevada que fins al moment ha imposat l’AEPD. No obstant això, convé remarcar que el RGPD permet la imposició de multes administratives de fins a 20 milions d’euros o, en cas d’empreses, de quantia equivalent al 4% com a màxim del volum de negoci total anual global de l’exercici financer anterior, la que  resulti major en quantia.

Aquesta sanció de 5 milions d’euros evidencia encara més la importància del fet que les empreses adoptin les mesures tècniques i organitzatives necessàries per a donar compliment a les obligacions i responsabilitats establertes en la normativa de protecció de dades.

Origen de la sanció

L’astronòmica sanció imposada a l’entitat BBVA té el seu origen en cinc reclamacions que van ser presentades davant l’AEPD, per diferents persones, durant els anys 2018 i 2019.

A continuació, resumirem breument les esmentades reclamacions que van ser presentades davant l’AEPD:

Primera reclamació: Presentada a l’octubre de 2018. El reclamant manifesta haver rebut SMS promocionals en la seva línia de telèfon mòbil, sense haver autoritzat prèviament l’enviament de tals missatges i remarcant que figura inscrit en la Llista Robinson des de fa temps.

Segona reclamació: Presentada al desembre de 2018. El reclamant manifesta que l’App BBVA per a sistemes Android no compleix els requisits legals relatius al consentiment lliure i informat, en requerir mitjançant una pantalla emergent la prestació de consentiment l’abast del qual ha de conèixer-se mitjançant un enllaç a una altra pàgina, en la qual apareix activada per defecte l’opció de cessió de dades a tercers. A més, el reclamant adverteix que abans de presentar la reclamació davant l’AEPD es va dirigir a l’entitat BBVA exposant les mateixes circumstàncies i que aquesta reclamació va ser desestimada.

Tercera reclamació: Presentada al febrer de 2019. El reclamant manifesta que per al desbloqueig del seu compte va ser necessari subscriure el document de protecció de dades personals, que li va ser remès telemàticament, i que no va tenir possibilitat de marcar les opcions sobre el tractament de la informació

Quarta reclamació: Presentada al maig de 2019. El reclamant manifesta que amb el pretext d’haver estat informat mitjançant un document que no ha signat, aquesta entitat li remet comunicacions comercials que no ha sol·licitat ni autoritzat. Afegeix que el va informar sobre l’adopció de mesures per a impedir que continués rebent comunicacions comercials, que van cessar els enviaments de correus electrònics, però va continuar rebent SMS, en els quals no es faciliten mecanismes de baixa.

Cinquena reclamació: Presentada a l’agost de 2019. El reclamant manifesta que ha rebut trucades telefòniques i SMS publicitaris, per part de l’entitat BBVA per a oferir-li segurs, targetes de crèdit i finançament de rebuts, a pesar que va exercir el dret d’oposició a la cessió de les seves dades amb finalitats promocionals i que el mateix va ser atès per aquesta entitat. En la seva reclamació detalla les línies de telefonia emissores de les trucades i missatges, la línia receptora i la data i hora de l’última crida.

Durant l’any 2019, les reclamacions anteriorment detallades van ser admeses a tràmit per l’AEPD. En conseqüència, la Subdirecció General d’Inspecció de Dades va iniciar les actuacions prèvies de recerca.

Una vegada concloses les actuacions prèvies de recerca, la Directora de l’Agència Espanyola de Protecció de Dades va acordar iniciar un procediment sancionador a l’entitat BBVA:

– per la presumpta infracció de l’article 13 del RGPD i;

– per la presumpta infracció de l’article 6 del RGPD,

Determinant que la sanció que pogués correspondre ascendiria a un total de 6 milions d’ euros (3 milions d’euros per cadascuna de les infraccions imputades), sense perjudici del que resulti de la instrucció.

Motiu de la sanció

L’AEPD justifica la necessitat d’iniciar el procediment sancionador sobre la base de l’anàlisi del formulari de recollida de dades personals utilitzat per l’entitat BBVA, amb posterioritat a 25/05/2018, denominat “Declaració d’activitat econòmica i política de protecció de dades personals”.

Mitjançant aquest document, l’entitat BBVA informava els interessats (sent aquests com a mínim els 5 reclamants i la resta de clients de l’entitat), sobre els termes aplicables a la protecció de dades personals, entre altres: l’abast i finalitat del tractament i la forma mitjançant la qual els interessats presten el seu consentiment.

Per tant, l’AEPD no desenvolupa una a una les suposades infraccions que ha comès l’entitat respecte a cada reclamant, sinó que fa una anàlisi amb caràcter general sobre la base de l’esmentada política de privacitat.

Infraccions comeses per l’entitat BBVA segons l’AEPD:

Primera:  Infracció dels articles 13 i 14 del RGPD, qualificada com a lleu.

L’article 13 del RGPD detalla la “informació que haurà de facilitar-se quan les dades personals s’obtinguin de l’interessat”

L’article 14 del RGPD es refereix a la “informació que haurà de facilitar-se quan les dades personals no s’hagin obtingut de l’interessat”.

La resolució sancionadora de l’AEPD destaca que la informació continguda en l’esmentada política de privacitat de l’entitat BBVA és incompleta o inadequada, al no complir el que es disposa en els articles del RGPD anteriorment citats,  i remarca:

– Ús d’una terminologia imprecisa per a definir la política de privacitat.

– Insuficient informació sobre la categoria de dades personals que se sotmetran a tractament, especialment, en relació amb:

> Les dades que BBVA diu obtenir de l’ús pel client de productes, serveis i canals; les dades econòmiques i de solvència obtinguts de productes contractats amb BBVA o dels quals BBVA és comercialitzador i;

> Les dades personals que se cediran a empreses del Grup BBVA.

– Incompliment de l’obligació d’informar sobre la finalitat del tractament i base jurídica que el legitima, especialment en relació amb els tractaments de dades personals que BBVA basa en l’interès legítim.

– Insuficient informació sobre sobre el tipus de perfils que es realitzaran, els usos específics a què es destinaran.

Per aquesta infracció l’AEPD ha imposat a l’entitat BBVA una multa per import de 2 milions d’euros.

Segona: Infracció de l’article 6 del RGPD, qualificada com molt greu.

L’article 6 del RGPD fa referència a la “licitud del tractament”, el seu apartat primer detalla les diferents condicions que han de complir-se perquè el tractament de dades personals sigui lícit (n’hi ha prou que es compleixi almenys una condició), entre les quals destaquem:

a) l’interessat va donar el seu consentiment per al tractament de les seves dades personals per a un o diverses finalitats específiques;

b) el tractament és necessari per a l’execució d’un contracte en el qual l’interessat és part o per a l’aplicació a petició d’aquest de mesures precontractuals;

f) el tractament és necessari per a la satisfacció d’interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l’interessat que requereixin la protecció de dades personals, en particular quan l’interessat sigui un nen.

Segons l’AEPD, i a manera de resum, l’entitat BBVA no utilitza un mecanisme adequat per a recaptar el lliure consentiment dels interessats i realitza tractaments de dada personals emparats en un interès legítim que segons l’AEPD no concorre. Sobre aquest tema la resolució sancionadora destaca:

– Inexistència d’un mecanisme específic per a la recollida dels consentiments dels clients per al tractament de les dades personals.

– Les opcions de l’interessat es limiten a la marcació d’una casella mitjançant la qual deixa constància de la seva oposició als tractaments de dades.

– Incompliment dels requisits establerts per a la prestació d’un consentiment específic, inequívoc i informat.

– Insuficient justificació dels tractaments de dades personals basades en l’interès legítim del responsable.

Per aquesta infracció l’AEPD ha imposat a l’entitat BBVA una multa per import de 3 milions d’euros.

A més de les dues infraccions que acabem de detallar la resolució sancionadora també requereix a l’entitat BBVA perquè en 6 mesos adeqüi el tractament de dades que realitza a la normativa de protecció de dades.

Conclusions

Una vegada més mitjançant la imposició d’una sanció l’AEPD demostra l’important que és que les empreses o negocis compleixin amb la normativa de protecció de dades.

Aquesta sanció demostra que el simple fet de tenir una política de privacitat o de sol·licitar el consentiment als interessats no significa que automàticament s’estigui davant un tractament de dades lícit i que per tant no puguis ser sancionat. Ja que el RGPD, la LOPDGDD i la LSSICE estableixen una sèrie de límits així com els requisits d’informació i els requisits per a recaptar el lliure consentiment dels interessats.

Si vols saber com has de sol·licitar el consentiment dels teus usuaris per al tractament de les seves dades personals, et recomanem que llegeixis la nostra entrada sobre Com haig de configurar les cookies del meu web per a no ser sancionat? en la qual expliquem com ha de sol·licitar-se el consentiment perquè l’interessat pugui prestar-lo de manera lliure i informada i com exposar la informació per capes.

Aquí et deixem el text íntegre de la resolució: PS-0070/2019

Si t’ha quedat algun dubte o necessites assessorament sobre com complir la normativa de protecció de dades vigent contacta amb nosaltres. 

També pots trobar-nos a : LinkedInFacebook i Twitter.

Entrades relacionades: 

Poden sancionar-te per tenir una web no segura?

El Tribunal Suprem confirma la sanció de 40.000 euros imposada per l’AEPD a Mútua Madrilenya