• 2. Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado. Recordemos que, actualmente, la configuración del consentimiento redunda en una manifestación de voluntad libre, específica, informada e inequívoca y que debe darse a través de una declaración o clara acción afirmativa.

• 3. Insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo del responsable.

La infracción de dicho precepto se encuentra tipificada en el artículo 83.5 a) RGPD y calificada en la normativa a efectos de prescripción (art. 72.1.b LOPDGDD) como infracción muy grave. Además, la AEPD entiende que concurren en la presente infracción, las siguientes circunstancias agravantes:

1. Naturaleza, gravedad y duración de la infracción, al incluir la elaboración de perfiles utilizando información excesiva.
2. Intencionalidad o negligencia en la infracción, al ser la entidad bancaria conocedora de la misma con anterioridad, y no haber adoptado las medidas necesarias para su adecuación. Además, como consecuencia del dicho incumplimiento, la entidad obtuvo beneficios relativos a la mejora de su negocio para la difusión de sus propios productos.
3. Naturaleza de los perjuicios causados a los interesados o terceros, al producirse una gran intromisión en la privacidad de los clientes de la entidad, así como la comunicación de sus datos a empresas del Grupo, sin contar legitimación para ello.
4. Alta vinculación de la actividad con la realización de tratamiento de datos de carácter personal.
5. Condición de gran empresa y volumen de negocio.
6. Elevado volumen de datos y tratamientos que constituye el objeto del expediente.
7. Elevado número de interesados (todos los clientes de la entidad: 8.031.000)
8. No implantación de procedimientos adecuados de actuación en la recogida y tratamiento de los datos personales

A este respecto, es necesario destacar que el formulario contenido en la web de la entidad llamado “Declaración de Actividad Económica y Política de Datos Personales” no ofrecía al usuario la posibilidad de aceptar de manera explícita el envío de comunicaciones comerciales, sino que era el usuario quien debía seleccionar los canales a través de los cuales no quería que la entidad le enviase información acerca de productos y servicios de BBVA (información a través de email, SMS, llamada telefónica y por correo postal) al encontrarse dichas casillas previamente marcadas.

A tenor de lo dispuesto, debemos hacer referencia al Informe sobre Políticas de Privacidad en Internet, elaborado por la AEPD, y en el que se indica que la solicitud del consentimiento no podrá basarse ni en el silencio (consentimiento táctico), ni en casillas premarcadas, basándose en un claro acto afirmativo, debiendo facilitar al interesado una casilla en blanco o similares, en el que se recomiende leer y comprender la política de privacidad.

En este supuesto, y en base al artículo citado, relativo a la licitud del tratamiento de los datos, podemos observar que la única base legitimadora para el envío de estas informaciones comerciales radicaría en el consentimiento del usuario, el cual, como hemos comprobado, no se recababa de manera correcta, al realizarse de forma tácita, consentimiento que no se contempla en la normativa vigente en materia de protección de datos.

La segunda infracción que imputa la AEPD a la entidad BBVA, y que asciende a un total de 2 millones de euros, se basa en el incumplimiento de los artículos 13 y 14 RGPD (relativos al principio de información, en virtud de los cuales se exige que la información que ha de facilitarse al interesado sea de forma clara, concisa, transparente, inteligible y de fácil acceso), obedeciendo a los siguientes motivos, tal y como se refleja en la resolución:1. Empleo de una terminología imprecisa para definir la Política de Privacidad. - BBVA no informa de una manera clara, conforme a lo que exigen la normativa en la materia, acerca de los tratamientos ni finalidades de los datos, así como tampoco delimita la naturaleza la información ni su ulterior tratamiento, conteniendo terminología imprecisa y fórmulas vagas, impidiendo la comprensión clara por parte del usuario.

• 1. Empleo de una terminología imprecisa para definir la Política de Privacidad. - BBVA no informa de una manera clara, conforme a lo que exigen la normativa en la materia, acerca de los tratamientos ni finalidades de los datos, así como tampoco delimita la naturaleza la información ni su ulterior tratamiento, conteniendo terminología imprecisa y fórmulas vagas, impidiendo la comprensión clara por parte del usuario.

• 2. Insuficiente información sobre la categoría de datos personales que se someterán a tratamiento, especialmente, en relación con los datos que BBVA dice obtener del uso por el cliente de productos, servicios y canales; los datos económicos y de solvencia obtenidos de productos contratados con BBVA o de los que BBVA es comercializador; y los datos personales que se cederán a empresas del Grupo BBVA.

• 3. Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica que lo legitima, especialmente en relación con los tratamientos de datos personales que BBVA basa en el interés legítimo. – A este respecto, BBVA utiliza datos que los propios usuarios no han proporcionado, siendo de aplicación la obligación del artículo 14.1 d) RGPD, que indica que “cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento deberá facilitar la información acerca de las categorías de datos personales de que se trate.”

• 4. Insuficiente información sobre el tipo de perfiles que se van a realizar y los usos específicos que se van a destinar. – Se comprueba que el tratamiento de datos por parte de BBVA tiene como una de sus finalidades la elaboración de perfiles, con la finalidad comercial de ofrecer productos y servicios adecuados a cada cliente de la entidad bancaria. A este respecto, es importante resaltar que BBVA no estaría comercializando con productos propios, sino interviniendo en la comercialización de dichos productos de terceros, ostentando la figura de encargado de tratamiento, “lo que limita la posibilidad de utilizar la información de que se trate con fines propios.”

Este tipo de infracción se encuentra tipificada en el artículo 83.5. b) RGPD y calificada en la normativa a efectos de prescripción (art. 74 a LOPDGDD) como infracción leve.

En el mismo sentido que la primera infracción cometida por la entidad, la APED considera la concurrencia de las siguientes circunstancias agravantes para la infracción de los artículos indicados previamente. Como podemos observar, se trataría de las mismas circunstancias agravantes, con pequeños matices en lo referente a las dos primeras:

1. Naturaleza, gravedad y duración de la infracción, al atentar contra el principio de transparencia de la información, al no proporcionar al interesado información suficiente en lo relativo a los diversos tratamientos que realiza BBVA de sus usuarios. 
2. Intencionalidad o negligencia en la infracción, al acreditarse una conducta intencionada del incumplimiento de la normativa.
3. Carácter continuado de la infracción, al ser BBVA conocedora de la misma un año antes de la apertura del procedimiento.
4. Alta vinculación de la actividad con la realización de tratamiento de datos de carácter personal.
5. Condición de gran empresa y volumen de negocio.
6. Elevado volumen de datos y tratamientos que constituye el objeto del expediente.
7. Elevado número de interesados (todos los clientes de la entidad)
8. No implantación de procedimientos adecuados de actuación en la recogida y tratamiento de los datos personales.

Por su parte, BBVA alega que la información proporcionada en su Política de Privacidad es clara, e informa acerca del tratamiento de “datos económicos y de solvencia patrimonial (incluidos los relativos a todos los productos y servicios que tienes contratados con BBVA o de los que BBVA es comercializador).”

Además, BBVA considera que la AEPD realiza “valoraciones subjetivas en relación con la transparencia de su Política de Privacidad”, al utilizar en su Política de Privacidad expresiones similares a las incluidas en la “Guía para el cumplimiento del deber de informar” de la AEPD.

Asimismo, entiende la entidad que el tratamiento realizado a sus usuarios no supondrá un “análisis individualizado para la realización de comunicaciones comerciales”, lo que supondría un tratamiento adicional y diferenciado, para cuyo tratamiento se requeriría del consentimiento de los interesados.

Entre otras de las cuestiones que alega BBVA en su defensa, es que en el formulario web se prevén varios consentimientos para diferentes finalidades, pero, la AEPD considera a este respecto que no se trataría de un consentimiento inequívoco ni de una clara acción afirmativa.

Finalmente, la AEPD requiere a la entidad que, en el plazo de 6 meses, justifique su adecuación a la normativa en materia de protección de datos, debiendo informar correctamente a sus clientes, así como el procedimiento a través del cual éstos deben otorgar su consentimiento para la obtención y tratamiento ulterior de sus datos personales.  

Como podemos comprobar, son numerosas las circunstancias fundamentadas por la AEPD que le han llevado a sancionar a la entidad bancaria BBVA con un total de 5 millones de Euros. Esta sanción, la mayor de la historia interpuesta por nuestra autoridad de control, reafirma la importancia de una correcta adecuación en la materia de protección de datos, aplicable a toda entidad que realice un tratamiento de datos de carácter personal. Del mismo modo, evidencia la proporcionalidad de las sanciones interpuestas, atendiendo a la naturaleza de la infracción cometida, puesto que, tal y como podemos comprobar, no se sancionará de igual modo aquellas infracciones cometidas por pequeñas o medianas empresas, que las realizadas por una gran entidad, como el supuesto que hemos tratado en el presente artículo.