La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 5 millones de euros a la entidad BBVA por infringir el RGPD. Se trata pues, de la sanción mas alta que hasta el momento ha impuesto la AEPD. No obstante, conviene remarcar que el RGPD permite la imposición de multas administrativas de hasta 20 millones de euros o, en caso de empresas, de cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, lo que resulte mayor en cuantía.

Esta sanción de 5 millones de euros evidencia aún más la importancia de que las empresas adopten las medidas técnicas y organizativas necesarias para dar cumplimiento a las obligaciones y responsabilidades establecidas en la normativa de protección de datos.

Origen de la sanción

La astronómica sanción impuesta a la entidad BBVA tiene su origen en cinco reclamaciones que fueron presentadas ante la AEPD, por diferentes personas, durante los años 2018 y 2019.

A continuación, resumiremos brevemente las mencionadas reclamaciones que fueron presentadas ante la AEPD:

Primera reclamación: Presentada en octubre de 2018. El reclamante manifiesta haber recibido SMS promocionales en su línea de teléfono móvil, sin haber autorizado previamente el envío de tales mensajes y remarcando que figura inscrito en la Lista Robinson desde hace tiempo.

Segunda reclamación: Presentada en diciembre de 2018. El reclamante manifiesta que la App BBVA para sistemas Android no cumple los requisitos legales relativos al consentimiento libre e informado, al requerir mediante una pantalla emergente la prestación de consentimiento cuyo alcance debe conocerse mediante un enlace a otra página, en la que aparece activada por defecto la opción de cesión de datos a terceros. Además, el reclamante advierte que antes de presentar la reclamación ante la AEPD se dirigió a la entidad BBVA exponiendo las mismas circunstancias y que dicha reclamación fue desestimada.

Tercera reclamación: Presentada en febrero de 2019. El reclamante manifiesta que para el desbloqueo de su cuenta fue necesario suscribir el documento de protección de datos personales, que le fue remitido telemáticamente, y que no tuvo posibilidad de marcar las opciones sobre el tratamiento de la información

Cuarta reclamación: Presentada en mayo de 2019. El reclamante manifiesta que con el pretexto de haber sido informado mediante un documento que no ha firmado, dicha entidad le remite comunicaciones comerciales que no ha solicitado ni autorizado. Añade que le informó sobre la adopción de medidas para impedir que continuara recibiendo comunicaciones comerciales, que cesaron los envíos de correos electrónicos, pero continuó recibiendo SMS, en los que no se facilitan mecanismos de baja.

Quinta reclamación: Presentada en agosto de 2019. El reclamante manifiesta que ha recibido llamadas telefónicas y SMS publicitarios, por parte de la entidad BBVA para ofrecerle seguros, tarjetas de crédito y financiación de recibos, a pesar de que ejerció el derecho de oposición a la cesión de sus datos con fines promocionales y que el mismo fue atendido por dicha entidad. En su reclamación detalla las líneas de telefonía emisoras de las llamadas y mensajes, la línea receptora y la fecha y hora de la última llamada.

Durante el año 2019, las reclamaciones anteriormente detalladas fueron admitidas a trámite por la AEPD. En consecuencia, la Subdirección General de Inspección de Datos inició las actuaciones previas de investigación.

Una vez concluidas las actuaciones previas de investigación, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la entidad BBVA:

– por la presunta infracción del artículo 13 del RGPD y;

– por la presunta infracción del artículo 6 del RGPD,

Determinando que la sanción que pudiera corresponder ascendería a un total de 6.000.000,00 euros (3.000.000,00 euros por cada una de las infracciones imputadas), sin perjuicio de lo que resulte de la instrucción.

Motivo de la sanción

La AEPD justifica la necesidad de iniciar el procedimiento sancionador en base al análisis del formulario de recogida de datos personales utilizado por la entidad BBVA, con posterioridad a 25/05/2018, denominado “Declaración de actividad económica y política de protección de datos personales”.

Mediante dicho documento, la entidad BBVA informaba a los interesados (siendo estos como mínimo los 5 reclamantes y el resto de clientes de la entidad), sobre los términos aplicables a la protección de datos personales, entre otros: el alcance y finalidad del tratamiento y la forma mediante la cual los interesados prestan su consentimiento.

Por lo tanto, la AEPD no desarrolla una a una las supuestas infracciones que ha cometido la entidad respecto a cada reclamante, sino que hace un análisis con carácter general en base a la mencionada política de privacidad.

Infracciones cometidas por la entidad BBVA según la AEPD:

Primera:  Infracción de los artículos 13 y 14 del RGPD, calificada como leve.

El artículo 13 del RGPD detalla la “información que deberá facilitarse cuando los datos personales se obtengan del interesado”

El artículo 14 del RGPD se refiere a la “información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado”.

La resolución sancionadora de la AEPD destaca que la información contenida en la mencionada política de privacidad de la entidad BBVA es incompleta o inadecuada, al no cumplir lo dispuesto en los artículos del RGPD anteriormente citados,  y remarca:

– Empleo de una terminología imprecisa para definir la política de privacidad.

– Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento, especialmente, en relación con:

> Los datos que BBVA dice obtener del uso por el cliente de productos, servicios y canales; los datos económicos y de solvencia obtenidos de productos contratados con BBVA o de los que BBVA es comercializador y;

> Los datos personales que se cederán a empresas del Grupo BBVA.

– Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales que BBVA basa en el interés legítimo.

– Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar.

Por esta infracción la AEPD ha impuesto a la entidad BBVA una multa por importe de 2 millones de euros.

Segunda: Infracción del artículo 6 del RGPD, calificada como muy grave.

El artículo 6 del RGPD hace referencia a la “licitud del tratamiento”, su apartado primero detalla las diferentes condiciones que deben cumplirse para que el tratamiento de datos personales sea lícito (basta con que se cumpla al menos una condición), entre las que destacamos:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Según la AEPD, y a modo de resumen, la entidad BBVA no utiliza un mecanismo adecuado para recabar el libre consentimiento de los interesados y realiza tratamientos de dato personales amparados en un interés legítimo que según la AEPD no concurre. Al respecto la resolución sancionadora destaca:

– Inexistencia de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de los datos personales.

– Las opciones del interesado se limitan a la marcación de una casilla mediante la cual deja constancia de su oposición a los tratamientos de datos.

– Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado.

– Insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del responsable.

Por esta infracción la AEPD ha impuesto a la entidad BBVA una multa por importe de 3 millones de euros.

Además de las dos infracciones que acabamos de detallar la resolución sancionadora también requiere a la entidad BBVA para que en 6 meses adecúe el tratamiento de datos que realiza a la normativa de protección de datos.

Conclusiones

Una vez más mediante la imposición de una sanción la AEPD demuestra lo importante que es que las empresas o negocios cumplan con la normativa de protección de datos.

Esta sanción demuestra que el simple hecho de tener una política de privacidad o de solicitar el consentimiento a los interesados no significa que automáticamente se esté ante un tratamiento de datos lícito y que por tanto no puedas ser sancionado. Ya que el RGPD, la LOPDGDD y la LSSICE establecen una serie de límites así como los requisitos de información y los requisitos para recabar el libre consentimiento de los interesados.

Consulta el texto íntegro de la resolución: PS-0070/2019

Si quieres saber como debes solicitar el consentimiento de tus usuarios para el tratamiento de sus datos personales, te recomendamos que leas nuestra entrada sobre ¿Cómo debo configurar las cookies de mi web para no ser sancionado? en la que explicamos como debe solicitarse el consentimiento para que el interesado pueda prestarlo de forma libre e informada y como exponer la información por capas.

Si te ha quedado alguna duda o necesitas asesoramiento sobre cómo cumplir la normativa de protección de datos vigente  contacta con nosotros.

También puedes encontrarnos en: LinkedInFacebook y Twitter.

Entradas relacionadas: 

¿Pueden sancionarte por tener una web no segura?

El Tribunal Supremo confirma la sanción de 40.000 euros impuesta por la AEPD a Mutua Madrileña