Sanciones RGPD y LOPDGDD
Desde la entrada en vigor del RGPD, son numerosas las sanciones interpuestas por la Agencia Española de Protección de Datos (AEPD). En la actualidad, ya son más de 200 sanciones las notificadas a entidades españolas al evidenciar el incumplimiento, entre otros, de la omisión del deber de información al interesado, la falta de consentimiento expreso para el envío de comunicaciones comerciales, la utilización de bases ilegítimas para el tratamiento de los datos personales, etc.
En el presente artículo, hablaremos de las sanciones más representativas con la finalidad de concienciar sobre la importancia de cumplir con lo dispuesto en la normativa de protección de datos (RGPD y LOPDGDD), no sólo para evitar importantes sanciones económicas, sino para demostrar el compromiso de las entidades en esta materia.
Algunas de las compañías sancionadas y sus causas
Encabezando el ranking de sanciones, a Vodafone España, S.A.U. se le ha impuesto recientemente una sanción administrativa por valor de 8.150.000,00 € al evidenciar, no sólo el incumplimiento de varias disposiciones normativas, sino por contar con la suma de agravantes que han permitido cuantificar la sanción hasta esa cifra, tales como contar con multas o apercibimientos desde enero de 2018 a febrero de 2020 en más de 50 ocasiones; existencia de 162 reclamaciones en el plazo de algo menos de dos años según consta en la AEPD o que el hecho infractor haya aumentado los beneficios de la entidad, entre otros.
En concreto, Vodafone España, S.A.U. es sancionada por realizar acciones comerciales sin que hayan sido solicitadas o expresamente autorizadas por los interesados y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones. Además, muchos de los interesados contactados se encontraban incluso dados de alta en el Listado Robinson (servicio de exclusión publicitaria, a disposición de los consumidores, que tiene como objetivo disminuir la publicidad que éstos reciben). Como conclusión, la AEPD evidencia que la entidad no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y generales de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento), ni derechos de oposición ejercidos por los afectados ante una y otras.
Por otro lado, a Caixabank, S.A. se le ha impuesto una sanción administrativa por valor de 6.000.000,00 € al evidenciar el incumplimiento del principio de trasparencia establecido en los artículos 13 y 14 del RGPD, así como el principio de licitud del tratamiento regulado en el artículo 6 del RGPD, en lo que al Contrato Marco de Caixabank que debían firmar los clientes de la entidad se refiere.
En relación con el principio de transparencia, la AEPD considera que “CAIXABANK no informa de manera clara y sistemática sobre los tratamientos de datos personales ni las finalidades para las que serán utilizados”. Esto se traduce en que los clientes no reciben con claridad las finalidades para las que se van a tratar sus datos, ya que se utilizan expresiones como: “personalizar su experiencia comercial en nuestros canales”, “estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia”, “definir o mejorar las experiencias de los usuarios”… Igualmente, se detecta que para un mismo tratamiento, unas veces se legitima su uso en el interés legítimo y otras veces en el consentimiento expreso, lo que implicaría que un tratamiento no consentido se termine realizando en base al interés legítimo, generando confusión en el interesado.
En relación con el principio de licitud, se evidencia que Caixabank recaba en un único consentimiento el envío de comunicaciones comerciales por parte de Caixabank y de cualquier de las empresas del grupo Caixabank. Por tanto, el consentimiento no cumple con los requisitos de consentimiento efectivo al no ser específico, ya que debe solicitarse un consentimiento por cada finalidad/entidad. Igualmente, se deduce que el consentimiento tampoco es libre porque al ser un contrato de adhesión, el interesado no tiene capacidad para modificarlo y, por tanto, se le impone obligatoriamente la cesión de información personal entre Caixabank y el resto de las entidades que integran el grupo.
Hace unos días nos hacíamos eco de la reciente sanción interpuesta por la AEPD a la Real Federación Española de Fútbol (RFEF), por un valor de 200.000 euros por la infracción del artículo 13 y del artículo 6.1 del RGPD.
La resolución del procedimiento sancionador PS/00368/2021, concluye que la RFEF ha vulnerado los preceptos del RGPD, por un lado, por grabar sin consentimiento de sus participantes una reunión que tuvo lugar de forma telemática el día 7 de abril de 2020 a través de la plataforma Zoom y, por otro lado, por difundir extractos de audio de la reunión a dos medios de comunicación sin el consentimiento, ni el conocimiento de dichos participantes.
Según indicaron los reclamantes, muchos de los participantes no formaban parte del organismo que convocó las reuniones, la RFEF, ni estaban sometidos a sus normas internas, por lo que desconocían norma alguna que regulara el funcionamiento y organización de las reuniones.
La RFEF en su defensa alegó, entre otros aspectos, que:
- En la primera reunión celebrada el 12 de marzo de 2020 ya se informó de que la reunión iba a ser grabada
- Todos los asistentes podían comprobar que la reunión estaba siendo grabada puesto que en todo momento figuraba un piloto rojo situado en la parte superior izquierda de la pantalla junto a una indicación que informaba “grabando”, aspecto sobre el que ningún asistente mostró disconformidad
- En cuanto a las cesiones de datos, que la RFEF facilitó los ficheros de audio a los medios de comunicación que así lo solicitaron para corregir unas inexactitudes de un comunicado de presa, habida cuenta del interés público y transcendencia social de los temas tratados en la reunión del 7 de abril, relativos al impacto del Covid-19 en el mundo del fútbol
Vulneración del artículo 13 del RGPD
Respecto a la sanción por vulneración del art. 13 del RGPD, la AEPD desmonta los argumentos de la RFEF alegando que, ningún momento, la RFEF aporta prueba que evidencie la informados de todos los aspectos indicados en dicho precepto. Cabe matizar, que la única referencia que existe a que las reuniones iban a ser grabadas fue: “(…) Estamos grabando la reunión para que quede constancia de todo, ¿vale?”, es decir, sin ofrecer ningún tipo de información adicional. Además, teniendo en cuenta que a la segunda reunión acudieron más asistentes que a la primera, los cuales no conocían lo que se dijo en la primera reunión. Adicionalmente, tampoco se informó a los asistentes de la segunda reunión de que la grabación iba a ser cedida a los medios de comunicación.
La AEPD, para terminar con este punto, cierra alegando que
la propia RFEF confirma que, después de haber tenido la segunda reunión se elaboró una cláusula informativa en la que se detallan los extremos recogidos en el artículo 13 del RGPD, de lo cual, se desprende que, antes de las reuniones del 12/03/20 y del 07/04/20, no existía ningún tipo de documento en la RFEF que informase sobre estos extremos a los asistentes a las reuniones”.
Respecto a la sanción por vulneración del art. 6.1 del RGPD, aunque la RFEF se acogió al derecho a la libertad de información y expresión reconocido en el art. 20 de la CE, la AEPD recuerda que la RFEH ya ejerció dicho derecho cuando emitió la nota de prensa para la corrección de las inexactitudes y divergencias del comunicado de prensa. De ello se desprende que no era necesario facilitar los ficheros de audio para llevar a cabo tales correcciones y, más aún, cuando la cesión de la grabación y su posterior divulgación puso también en conocimiento de la opinión pública, opiniones personales de los asistentes que no tenían nada que ver con el tema que se trataba en la reunión.
Finalmente, debemos destacar la sanción impuesta a Banco Bilbao Vizcaya Argentaria, S.A. por valor de 5.000.000,00 € al evidenciar, al igual que en el caso anterior, el incumplimiento de la obligación de información al interesado y la recogida ilegítima de consentimientos.
En relación con el deber de información, no incidiremos en exceso, ya que el incumplimiento detectado sigue la línea del caso de Caixabank, es decir, la AEPD estima que el BBVA no es claro en la terminología empleada en sus condiciones legales al emplear terminología imprecisa y formulaciones vagas – “… para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción”. Asimismo, también existe incongruencia respecto de las bases legitimadoras utilizadas, ya que una misma finalidad se encuentra legitimada en el interés legítimo y en el consentimiento.
Cabe destacar en el caso de BBVA, la deficiencia en la recogida del consentimiento de los interesados, ya que el BBVA legitima el consentimiento con la aceptación y firma de la política de privacidad y la no marcación de las casillas de oposición habilitadas. Como ejemplo, si el interesado no quería recibir comunicaciones comerciales, debía marcar la casilla “NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo BBVA y de otros personalizados para mí”. De lo contrario, se entendía que el interesado sí estaba interesado en recibir dichas comunicaciones. Bajo el RGPD, esta recabación de consentimientos no constituye un acto positivo puesto que se da por hecho que el interesado consiente por defecto los tratamientos indicados al respecto.
En la actualidad, los datos personales son un bien muy preciado y su utilización por parte de las empresas debe regirse por la transparencia, legitimación y buen uso de estos. El RGPD y la LOPDD no buscan limitar el uso de los datos personales, sino que su tratamiento vaya de la mano de las garantías adecuadas para su protección.
Con fechas 13 y 29 de septiembre de 2018 y 15 de octubre de 2018, se interpusieron sendas denuncias ante la Agencia Española de Protección de Datos contra Google LLC, que han resultado en una sanción por un valor de 10.000.000 € por la infracción de los artículos 6 y 17 del RGPD.
Antes de entrar en el análisis, es necesario aclarar que Google cuenta con un procedimiento para que los interesados soliciten, “por motivos de privacidad”, la retirada de resultados obtenidos en búsquedas con el nombre de la persona como criterio. Dicha solicitud incluye: URL del contenido, información personal que desea que se retire y los motivos de la retirada.
A posteriori, en el marco del “Proyecto Lumen”, Google comunica a la entidad Berkman Klein Center for Internet & Society las solicitudes de retirada o eliminación de contenidos en línea, relacionadas a infracción de derechos de autor, difamación, fallos judiciales, etc.; con la finalidad de que realicen estudios de tipos de solicitudes, sus solicitantes y receptores, potenciando la transparencia acerca de internet. Esta base de datos, puede ser consultada por el público en general.
En este sentido, el procedimiento sancionador PS/00140/202 trata sobre la ilicitud de la comunicación de datos personales en el “Proyecto Lumen”; así como una posible infracción del derecho de supresión de datos personales.
En relación con la base legítima, la licitud del tratamiento debería basarse en:
- La existencia de consentimiento del interesado.
- El interés legítimo de la entidad.
Google acude al interés legítimo para fundamentar la comunicación de datos personales. No obstante, se evidencia que la única información ofrecida por Google a los usuarios sobre la comunicación al “Proyecto Lumen” está contenido en un aviso de texto insertado en los propios formularios de solicitud de retirada de contenidos y se limita a advertir sobre la posibilidad de enviar al “Proyecto Lumen” una copia de las notificaciones, sin ninguna mención a la base jurídica que legitima el tratamiento de datos personales ni a los intereses legítimos que alega Google, ni tampoco se referencia nada en la Política de Privacidad. Por lo tanto, no puede entenderse que el usuario haya sido correctamente informado.
La AEPD concluye que:
“Teniendo en cuenta la deficiente información ofrecida acerca de la finalidad y base legitimadora de la comunicación de datos, no es posible evaluar la ponderación de intereses y concluir la prevalencia del interés legítimo del responsable o de terceros. El interesado, por su parte, al faltar la información relativa a la prueba de ponderación, se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento”.
Por otro lado, y en relación con el derecho de supresión, se evidencia que el interesado que rellena el formulario no tiene una opción real para no otorgar el consentimiento de comunicación de sus datos al “Proyecto Lumen”, sin que ello suponga un obstáculo para la retirada del contenido. Precisamente, en los formularios, se observa que la cesión de datos viene incluida por defecto en la propia solicitud de retirada, y no mediante consentimiento diferenciado y específico.
Finalmente, en palabras de la AEPD, “es necesario garantizar que el consentimiento de comunicación de datos al “Proyecto Lumen” se presta de manera independiente y desvinculado de la solicitud de retirada de contenido o denuncia de infracción”. Por lo tanto, no es posible concluir que Google ofrezca una declaración clara y no ambigua por medio de la cual el interesado tenga la posibilidad de elegir si ceder o no sus datos, así como que sea informado de forma transparente de todo el proceso y sus implicaciones.
En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.
