La Directora de la Agencia Española de Protección de Datos (AEPD) ha impuesto a Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) una sanción de cinco millones de euros por dos infracciones: dos millones de euros por infringir el deber de información a facilitar cuando los datos personales se obtengan del interesado y tres millones por infringir la licitud del tratamiento de datos por carecer del consentimiento de los interesados.

En una resolución histórica por su cuantía y de más de un centenar de páginas, la AEPD también incluye la novedad de requerir a BBVA para que, en el plazo de seis meses, proceda a adecuar a la normativa vigente las operaciones de tratamiento de datos personales que realiza, la información a sus clientes y el procedimiento mediante el que los usuarios deben prestar su consentimiento para la recogida y tratamiento de sus datos personales.

El origen de esta resolución sancionadora se encuentra en cinco reclamaciones de usuarios diferentes, entre octubre de 2018 y agosto de 2019, por recibir un SMS promocional sin su autorización, por la falta en la App BBVA de los requisitos legales sobre consentimiento libre e informado, por negarse a desbloquear la cuenta por no firmar el documento de protección de datos personales, por el envío de comunicaciones comerciales no solicitadas ni autorizadas y por la realización de llamadas telefónicas y envío de SMS publicitarios.

La primera lección que debemos aprender de este caso es que las empresas, ya sean grandes o pequeñas, deben ser muy conscientes de que los usuarios han cambiado. Los clientes tienen derecho a exigir que se respete su privacidad y, si advierten que no es así, saben a dónde tienen que ir a denunciar.

Aunque los hechos probados en la resolución son extensos y complejos, en resumen, la AEPD considera que BBVA no ha informado correctamente a sus clientes, entre otros motivos, por no emplear una terminología clara para definir la política de privacidad, por no ofrecer suficiente información sobre la categoría de datos personales procesados, especialmente, en relación con los datos que BBVA obtiene del uso por el cliente de productos, servicios y canales.

La AEPD aclara que la licitud de los tratamientos de datos realizados sobre la base del interés legítimo prevalente, en lugar del consentimiento expreso, no alcanza a ciertos casos

También se le sanciona por el incumplimiento de la obligación de informar sobre la finalidad del tratamiento y la base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales que BBVA basa en el interés legítimo, y además de por la insuficiente información sobre el tipo de perfiles a realizar y los usos específicos a que se van a destinar. Según la AEPD, “la información facilitada no permite al interesado tener una idea clara sobre los datos que se comunicarán a las entidades del Grupo”.

A la anterior infracción se añade la vulneración del necesario consentimiento o base legítima para el tratamiento de los datos. Según parece probado, BBVA carecía de un mecanismo específico para la recogida de los consentimientos de los clientes para el tratamiento de sus datos personales. En concreto, las opciones del interesado se habrían limitado a la marcación de una casilla mediante la cual deja constancia de su oposición a los tratamientos de datos, pero no se obtenía un consentimiento específico, inequívoco e informado. A ello se suma la insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del BBVA como responsable.

La AEPD aclara que la licitud de los tratamientos de datos realizados sobre la base del interés legítimo prevalente, en lugar del consentimiento expreso, no alcanza a ciertos casos. En particular, diferencia los tratamientos que se realizan con la finalidad de “Conocerte mejor y personalizar tu experiencia”, basados en interés legítimo, de aquellos referidos al envío de comunicaciones comerciales que BBVA basa en el consentimiento del interesado.

Según la AEPD, “la conducta de BBVA se ve agravada por el carácter continuado de la infracción, al menos hasta el momento en que procedió a la modificación de la citada política en julio de 2020”, si bien BBVA actuó en la confianza legítima de que la AEPD consideraba que su Política de Privacidad resultaba conforme a la legislación de protección de datos.

La AEPD aplica en este caso los principios de culpabilidad, proporcionalidad y agravantes de la responsabilidad de BBVA, debido a que las cinco reclamaciones derivan de tratamientos de datos personales de los reclamantes que BBVA ampara en su hipotético consentimiento.

Para valorar la regularidad de estos tratamientos resulta imprescindible analizar el consentimiento prestado y su validez

Según la AEPD, “para valorar la regularidad de estos tratamientos resulta imprescindible analizar el consentimiento prestado y su validez”. Para ello es determinante comprobar, en especial, la información ofrecida sobre protección de datos personales, que parece que ha sido insuficiente y genérica, “incompleta o inadecuada” en palabras de la Agencia, y los mecanismos habilitados para recabar el consentimiento de los afectados, así como si se respetan los principios y garantías establecidos en la normativa aplicable, y que según la Agencia no habrían sido respetados por BBVA.

Según consta en los hechos probados, BBVA realiza tratamientos de datos personales obtenidos de sus clientes no sólo de forma directa o “indirectamente”, sino también recogidos de fuentes distintas a los interesados e incluso inferidos por la propia entidad, a través de técnicas de perfilado, de las que no habría informado con suficiente claridad.

Así, la segunda lección que nos deja esta resolución es clara: las empresas que utilicen técnicas de perfilado de los clientes con base en datos obtenidos por distintos medios deben revisar escrupulosamente estos procedimientos para constatar que cumplen adecuadamente con la normativa. Esta labor recae en los Delegados de Protección de Datos.

En particular, BBVA no habría informado de manera clara y sistemática sobre los tratamientos de datos personales, sobre las finalidades para las que serán utilizados ni sobre la naturaleza de la información personal sometida a tratamiento y su posterior utilización.

Por ello, la AEPD considera que el empleo de una terminología imprecisa y formulaciones vagas (como “Ofrecerte productos y servicios... personalizados para ti”, “Mejorar la calidad de los productos y servicios” o “Tus datos son tuyos y los controlas tú”), no cumple con el estricto principio de transparencia, pues impide a los interesados conocer el sentido y significado real de las indicaciones dadas y el alcance real de los consentimientos que puedan prestarse.

En este caso, llama la atención que la AEPD aclare que “resulta claro e indiscutible que la Política de Privacidad no puede utilizarse como una “acción de marketing”. Así es como la ha calificado BBVA”.

Y esta es otra lección: es necesario encontrar el equilibrio entre acciones comerciales necesarias en todas las empresas y el cumplimiento de la normativa de protección de datos. La información transparente, clara e inequívoca no puede confundirse con eslóganes que conecten más o menos con los clientes. Las empresas que no prioricen la transparencia informativa pueden quedar expuestas al riesgo de recibir una multa de la Agencia.

La inacción del usuario no supone consentimiento expreso

En cuanto al consentimiento, según la AEPD, la entidad bancaria habría limitado las opciones del interesado a la marcación de una casilla mediante la cual deja constancia de su oposición a los indicados tratamientos de datos. Sin embargo, conforme establece el RGPD y ahora confirma la AEPD, con este mecanismo no se da opción para que el cliente preste su consentimiento a los tratamientos concretos, sino que el consentimiento se pretende recabar mediante la inacción del interesado a través de no marcar las casillas en las que se indica “NO quiero...”).

Es decir, en este caso no se trata de una acción afirmativa, sino de una pura inacción que no asegura que el interesado otorgue inequívocamente el consentimiento. Como aclara la Agencia, “normalmente cuando marcas algo es porque lo quieres, no porque no lo quieres”. Se trata, en definitiva, de un consentimiento que BBVA pretende deducir de la inacción y, por tanto, contrario al RGPD. Por ello, todos los tratamientos cuya base legal venga determinada por ese inválido consentimiento devienen en ilícitos.

Aunque BBVA ha intentado aplicar el interés legítimo como base de licitud de algunos tratamientos, la AEPD aclara que para ello, preceptivamente, y con carácter previo al tratamiento, ha de hacerse una ponderación, una “evaluación meticulosa”, de los derechos e intereses en juego: el interés legítimo del responsable del tratamiento, de una parte, y de otra, tanto los intereses como los derechos y libertades fundamentales de los afectados.

No obstante, dado que ni siquiera habría sido posible conocer claramente las finalidades del tratamiento, la AEPD confirma que difícilmente tales desconocidas finalidades pueden asociarse a intereses legítimos de BBVA que, por tanto, no pueden prevalecer sobre derechos de los interesados, a los que no se habría informado claramente acerca de los extremos exigidos por las normas de protección de datos.

¿La lección? La inacción del usuario no supone consentimiento expreso y las finalidades del tratamiento de datos personales deben ser conocidas de forma clara e inequívoca.

Los hechos constatados afectan muy gravemente al principio básico de transparencia en el tratamiento de los datos

Estas dos infracciones de la normativa se han visto agravadas por circunstancias de antijuridicidad y culpabilidad en la conducta de la entidad BBVA, tales como que los hechos constatados afectan muy gravemente al principio básico de transparencia en el tratamiento de los datos, la intencionalidad o negligencia apreciada en la comisión de la infracción, pues las actuaciones han acreditado una conducta intencionada en relación con la vulneración de la normativa de protección de datos personales, o el carácter continuado de la infracción y la alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales, dado que todas las operaciones que constituyen la actividad empresarial desarrollada por BBVA implican operaciones de tratamiento de datos personales.

Además, dichas infracciones han dado lugar en esta novedosa resolución a la aplicación de los poderes correctivos que el RGPD (art 58) otorga a la Agencia Española de Protección de datos y en consecuencia se requiere a BBVA para que, en el plazo de seis meses, “comunique a las entidades del Grupo BBVA a las que hubiese comunicado datos personales de los clientes que hubiesen prestado su consentimiento mediante el formulario referido (...) que deberán suprimir tales datos y cesar en la utilización de los mismos para ofrecer a sus titulares productos y servicios propios de las entidades del Grupo personalizados para el cliente y para la mejorar las características y precios de la oferta de productos y servicios”. A este requerimiento se añade que BBVA, en el mismo plazo, debe cesar en los tratamientos de datos personales que fundamenta en el interés legítimo de BBVA o de terceros.

No obstante, contra esta resolución de la AEPD cabe recurso de reposición por BBVA ante la Directora de la Agencia Española de Protección de Datos o, directamente, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, por lo que BBVA tendrá que abonar la multa y, posteriormente, veremos el posible desenlace.

*** Efrén Díaz es abogado, Doctor en Derecho. Responsable del Área de Tecnología del Bufete Mas y Calvet.