Uso ilícito de datos de clientes por parte de una Entidad Bancaria

La Agencia Española de Protección de Datos (“AEPD”) tras casi dos años desde la entrada en vigor del RGPD el 25 de mayo de 2018, ha dictado más de 300 resoluciones basándose en esta normativa, de las cuales 100 han acabado en multa. Como por ejemplo la multa por inclumplimiento de la ley 9/2014.

La entrada del 2021 nos trae multa récord, 6 millones de Euros. La agencia impone una multa de 2 millones por la infracción, considerada leve, de los artículos 13 y 14 del RGPD, mientras que los otros 4 millones llegan por saltarse el artículo 6 de la misma normativa, una vulneración calificada como muy grave por el Reglamento General de Protección de Datos.

Antecedentes:

Una entidad bancaria ha sido multada por parte de la Agencia Española de Protección de datos debidos a los siguientes hechos:

1. En enero de 2018 un cliente denunció a la entidad bancaria al obligarlo a dar el consentimiento para que sus datos fueran tratados por parte de otras empresas del grupo para fines comerciales, por lo que los clientes no tenían libre decisión sobre sus datos personales.
2. Posteriormente, en el año 2019, una asociación de consumidores puso la misma reclamación en relación con el “Contrato marco” que suscriben los clientes de la entidad, mediante el que se recogen los datos personales de los clientes. Este era un contrato de adhesión, y como tal, los clientes no podían negociar su contenido, siendo que el mismo imponía el consentimiento al tratamiento de los datos, así como también la cesión a terceras empresas con las que el cliente no tenía relación. En este sentido pues, los clientes no eran libres de decidir.
3. En los contratos marco constan datos que el cliente no ha proporcionado directamente a la entidad, por lo que se deduce que se han obtenido de otras fuentes.

A raíz de ello, la AEPD inicio un procedimiento sancionador PS/00447/2019 al haber vulnerado la obligación del deber de información que se ha de facilitar cuando los datos personales se obtengan del interesado (art. 13 RGPD) y a la que hay que proporcionar cuando, por el contrario, no se han recabado del interesado directamente (art. 14 RGPD), además no habían informado de forma clara al cliente, vulnerando el art. 6 RGPD.

¿Qué nos dice el Art. 13 RGPD y 14 RGPD?

Siempre que nos soliciten datos de carácter personal nos deben facilitar la siguiente información según el Art. 13 del RGPD, entre ellas:

• La identidad y los datos de contacto del responsable
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
• Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

Además, nos deben indicar:

• El plazo durante el cual se conservarán los datos personales
• Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
• El derecho a presentar una reclamación ante una autoridad de control;
• La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

¿Por qué Infracción muy grave?

La infracción muy grave ha sido la del artículo 6 del RGPD, condiciones que debe tener la información para que su tratamiento sea lícito. La Agencia asegura que “se han incumplido los requisitos establecidos para la prestación de un consentimiento válido”; ya que debe haber “manifestación de voluntad libre, específica, informada e inequívoca”.

Libre: significa que se tendrá que obtener sin la intervención de ningún vicio del consentimiento como, por ejemplo, mediante intimidación o violencia.

Específica: se tiene que referir a una determinada operación de tratamiento y destinarse a una finalidad determinada, explícita y legítima del responsable de tratamiento.

Informada: el afectado tiene que conocer con anterioridad al tratamiento la existencia del mismo; y las finalidades para las que se lleva a cabo dicho tratamiento.

Inequívoca: es necesario que exista expresamente una acción u omisión que implique la existencia del consentimiento.

Tanto el silencio, la inacción o las casillas previamente seleccionadas como forma de recabar el consentimiento, no son formas válidas.

Por otro lado, debe ser tan fácil retirar el consentimiento como otorgarlo.

Por último, es el responsable del tratamiento el que tendrá que poder demostrar que se ha obtenido el consentimiento del interesado.

Podemos concluir que la AEPD está dispuesta a sancionar de forma ejemplar a todas aquellas empresas que no cumplan con el principio de transparencia, al solicitar nuestros datos personales, así como con que finalidad van a utilizarlos. IMPORTANTE siempre informar y legitimar el uso de los datos personales.

¿Como lo hace tu empresa?

Tarinas puede asesorarte.