Transparencia y consentimiento en el ámbito publicitario

por Goizane Uriondo

publicado el 26 octubre 2021

Categorías: General

La cifra de sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) va creciendo de forma significativa y actualmente se acumulan multas millonarias a grandes compañías del mercado español.

Hace unos días la Agencia condenó a CaixaBank Payments & Consumer, filial de medios de pago y créditos de consumo de la conocida entidad financiera CaixaBank, a pagar una multa de 3 millones de euros por realizar perfiles de clientes de forma irregular e incumplir gravemente con el deber de adecuarse a la normativa vigente en materia de protección de datos. No es la primera vez que la Agencia Española de Protección de Datos (AEPD) penaliza a la entidad financiera por incumplir el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). De hecho, el pasado mes de enero la entidad bancaria tuvo que enfrentarse a dos sanciones con un importe total de 6 millones de euros.

En 2018 un particular denuncia a la filial por solicitar y reclamar información sobre su persona a un fichero de solvencia e incluirle en una campaña comercial para ofrecerle un crédito preconcedido cuando, en esos momentos, no existía ninguna relación contractual entre CaixaBank y el denunciante ni se había solicitado ningún servicio a ninguna empresa perteneciente al grupo financiero a pesar de que antiguamente fuera su cliente. Esto es, en base a una relación puntual y limitada en el tiempo en el marco de un contrato de venta con financiación asociada finalizado años atrás, teniendo en cuenta que su relación se extinguió formalmente en 2014 mediante la rescisión de todos los contratos existentes, la denunciada utilizó ficheros de solvencia patrimonial antiguos con la finalidad de elaborar un perfil y ofrecerle un servicio financiero al denunciante. Por tanto, no existía ningún consentimiento legítimo que validase las actuaciones por parte de CaixaBank. 

Frente a lo ocurrido, tras su correspondiente procedimiento, el organismo público de protección de datos finalmente se pronuncia sobre el fondo del asunto y manifiesta que la actividad realizada por CaixaBank con la finalidad de recabar de sus clientes el consentimiento requerido para elaborar perfiles con fines comerciales supone una clara infracción del tratamiento lícito de datos recogido en el artículo 6.1 del RGPD y tipificada en el artículo 83.5 del RGPD, a la vez que la califica como muy grave a efectos de prescripción de acuerdo a lo establecido en el artículo 73 de la LOPDGDD.

La falta de consentimiento legal 

La resolución de 133 páginas menciona que el supuesto consentimiento que CaixaBank solicita a sus clientes para el tratamiento de sus datos no es específico para el uso que se le pretende dar y que dicho consentimiento se pide para que todas las filiales del grupo puedan compartirlos entre sí. De la misma manera, el consentimiento tampoco está debidamente informado, al no precisar por ejemplo que la entidad bancaria realizará consultas a registros de solvencia o la Central de Información de Riesgos del Banco de España para acabar ofrendando a los usuarios sus productos comerciales. Por lo tanto, el permiso concedido por estos clientes no puede considerarse válido, así que el tratamiento de datos es ilícito. 

Por su parte, en un primer momento, CaixaBank alegó que se trataba de un error de carácter humano y puntual, por lo que la denuncia fue inadmitida. No obstante, ocho meses después se reactivó el expediente que ha derivado en esta gran multa económica. Al respecto, la denunciada tras pagar una cifra de 6 millones de euros en enero por la falta de consentimiento legal para realizar perfiles de clientes, se queja de que se trata de un supuesto de duplicidad de multas por los mismos hechos. 

Con todo, la entidad financiera confirma su intención de recurrir declarando que “en materia de protección de datos, la interpretación de la normativa europea y española por parte de la AEPD ha sufrido cambios muy significativos en los últimos años y ello ha provocado que las empresas hayan tenido que ir adaptando su política de protección de datos y su reflejo contractual, amparados en la normativa vigente en cada momento y la interpretación que de ella ha ido emanando de los reguladores”.