Skip to content
SERVICIOS

Y el gordo cayó en el BBVA. A cargo Iciar López-Vidriero Tejedor

Deja un comentario / Árbol del derecho, Nuevas tecnologías, Protección de datos / Por

AD 6/2021

Y el gordo cayó en el BBVA.

RESUMEN

En este artículo pretende dar un resumen y pequeña aportación del procedimiento sancionador instruido por la AEPD contra el BBVA que hasta hace una semana era en el que se había impuesto la sanción más elevada con 5.000.000€ y que ha sido superada con el PS que se ha impuesto a LA CAIXA con 6.000.000 € y casi 30 páginas más de procedimiento frente a las 148 del BBVA.

Hay que destacar de este procedimiento que la Directora ya venía anunciando durante el 2020 “que viene el lobo” y con razón, porque finalmente ha llegado la sanción, mereciendo una lectura profunda al procedimiento, habiéndose aunado 5 reclamaciones presentadas por sendos reclamantes entre octubre de 2018 y agosto de 2019, siendo finalmente admitidas las reclamaciones a partir de febrero de 2019, llevándose a cabo la primera inspección de la web de BBVA –www.bbva.com- en noviembre de 2019, lo que desprende el intenso trabajo que se ha estado llevando a cabo por parte de la AEPD para que este procedimiento viera la luz.

SUMMARY

This article intends to give a summary and small contribution of the sanctioning procedure instructed by the AEPD against the BBVA that until a week ago was the one that had imposed the highest sanction with 5,000,000 euros and that has been surpassed with the PS that has been imposed to LA CAIXA with 6,000,000 euros and almost 30 more pages of procedure against the 146 pages of the BBVA.

It should be noted from this procedure that the AEPD Director had already been announcing during 2020 «that the wolf is coming» and rightly so, because finally the sanction has arrived, deserving a thorough reading of the procedure, having joined 5 complaints submitted by two complainants between October 2018 and August 2019, being finally admitted the complaints from February 2019, carrying out the first inspection of the website of BBVA -www. bbva.com- in November 2019, which shows the intense work that has been carried out by the AEPD to make this procedure possible.

PALABRAS CLAVE:

Sanción – AEPD – GDPR – consentimiento- interés legítimo – profiling-  – derecho fundamental – banco – comunicación – información – DPD – Lista Robinson – cesión – privacidad – CEPD – publicidad

KEY WORDS

Sanction – AEPD – GDPR – consent – legitimate interest – profiling – fundamental right – bank – communication – information – DPO – Robinson List – transfer – privacy – EDPB – publicity

Durante este último año la Directora de la AEPD ha dejado caer en varias ocasiones en las múltiples conferencias a las que ha acudido, que se iba a producir una sanción muy importante por parte de la Agencia Española de Protección de Datos, siendo esta una de las comidillas entre los profesionales de la privacidad, porque se desconocía sobre qué entidad recaería la sanción, la cuantía y el motivo, sobretodo, considerándose que la sanción ante todo sería ejemplificativa pero, como todo lo que ha sucedido en el 2020, la sanción ha superado la imaginación de cualquiera de nosotros y finalmente la Agencia Española de Protección de Datos ha impuesto una sanción de 5 millones de euros a la entidad bancaria BBVA, siendo su precedente más cercano la sanción impuesta a GOOGLE en el año 2012 cuando todavía era de aplicación la Ley 15/99 y por el cual GOOGLE fue sancionado con 900.000€ al aplicarse la suma de tres infracciones calificadas como graves.

Pues bien, este artículo pretende dar un resumen y pequeña aportación del procedimiento sancionador instruido por la AEPD y que consta de nada más y nada menos que de 146 páginas y, que habida cuenta de las veces que ha sido anunciado por la Directora de la AEPD “que viene el lobo” debemos dar una leída profunda al procedimiento, habiéndose aunado 5 reclamaciones presentadas por sendos reclamantes entre octubre de 2018 y agosto de 2019, siendo finalmente admitidas las reclamaciones a partir de febrero de 2019, llevándose a cabo la primera inspección de la web de BBVA –www.bbva.com- en noviembre de 2019, lo que desprende el intenso trabajo que se ha estado llevando a cabo por parte de la AEPD para que este procedimiento viera la luz.

Por tanto, a través de pequeños epígrafes incluiré los datos que considero más relevantes, debiendo tener en cuenta que si bien se ha impuesto una sanción de 5 millones de euros poniéndose fin a la vía administrativa, BBVA tenía un plazo de un mes desde el 11 de diciembre de 2020 para llevar a cabo un recurso de reposición ante la Directora de la AEPD, siendo este un plazo muy corto dadas las fechas en las que finalmente ha recaído el procedimiento, por lo que esta parte intuye que previsiblemente BBVA finalmente interpondrá un recurso contencioso administrativo ante la Audiencia Nacional, puesto que la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa le ofrece un mes más, en total dos meses, respecto a la LPPACAP, si bien para ello BBVA deberá acreditar a la AEPD  su interposición efectiva del recursos para que cautelarmente se suspenda la resolución de la AEPD. En todo caso, se pueden llevar a cabo ambas acciones, recurso de reposición y contencioso administrativo, por lo que esperaremos a ver que sucede.

Ya hecha una efímera introducción cabe decir, como diría Matías Prats, “A jugar..”:

Reclamaciones interpuestas

En total como se ha comentado este procedimiento sancionador se abre a raíz de 5 reclamaciones interpuestas por 5 reclamantes diferentes y periodos de tiempo diferentes que distan desde octubre de 2018 a agosto de 2019, en los que reclaman distintas actuaciones por parte del BBVA:

  • Envíos promocionales de SMS sin haber autorizado los mismos previamente y, estando dado de alta el reclamante en la Lista Robinson.
  • En la App BBVA para sistemas Android se encuentra activada por defecto la opción de cesión de datos a terceros.
  • Para el desbloqueo de la cuenta de cliente BBVA obliga a suscribir un documento de protección de datos en el que no se ofrece la posibilidad de marcar o desmarcar opciones de tratamiento de información, sino que estas vienen impuestas por el BBVA.
  • Se enviaron SMS BBVA por un gestor comercial desde el teléfono móvil corporativo, pese a la oposición del Cliente, además de estar dado de alta en la Lista Robinson.
  • Realización de llamadas telefónicas y envío de SMS publicitarios, para ofrecer seguros, tarjetas de crédito y financiación de recibos, a pesar de la oposición del Cliente y de que el mismo también se encuentre dado de alta en la Lista Robinson.

Como se puede apreciar, las 5 reclamaciones parecen tener un denominador común y, es que no se ofrecen opciones al cliente para que este se encuentre empoderado acerca del tratamiento de sus datos personales y, por tanto pueda decidir libremente si quiere ser objeto de envíos y llamadas promocionales, debiendo añadir a la ecuación que tres de los reclamantes además se encontraban dados de alta en la Lista Robinson y, en todos los casos los reclamantes se dirigieron primero al DPO del BBVA.

Como una imagen vale más que mil palabras, os dejo algunas instantáneas inolvidables y sobre las que BBVA se defiende a capa y espada:

Con la aportación de las imágenes anteriores, todas ellas sacadas del procedimiento sancionador, el lector se puede hacer una idea de cómo se estaba llevando a cabo el tratamiento de datos personales por parte del BBVA, puesto que si no se exponen los hechos las argumentaciones pueden carecer de toda su fuerza y parecer que igual todo el procedimiento ha sido injustificado como el BBVA argumenta.

Presuntas infracciones

Infracción del artículo 13 del RGPDInformación que deberá facilitarse cuando los datos personales se obtengan del interesado- , sanción de 2.000.000€, pudiendo haber llegado a 3.000.000€

  • Empleo de una terminología imprecisa para definir la política de privacidad.
  • Insuficiente información sobre la categoría de datos personales que se tratan.
  • Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica, sobre todo los relacionados con el interés legítimo.
  • Insuficiente información sobre sobre el tipo de perfiles que se van a realizar y usos a que se van a destinar

Infracción del artículo 6 del RGPD -Licitud del tratamiento-, sanción máxima de 3.000.000€.

  • Inexistencia de un mecanismo específico para la recogida de los consentimientos. Se obliga al interesado a llevar a cabo una actuación para oponerse.
  • Incumplimiento de los requisitos establecidos para la prestación de un consentimiento específico, inequívoco e informado.
  • Insuficiente justificación de los tratamientos de datos personales basados en el interés legítimo.

Cabe destacar que para la imposición de las sanciones la AEPD ha tenido en cuenta:

  • La naturaleza, gravedad y duración de la infracción
  • La intencionalidad o negligencia apreciada en la comisión de la infracción.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

Personalmente yo añadiría la tocada de narices que el BBVA lleva a cabo a la AEPD.

BBVA lucha con uñas y dientes

Una vez recibió BBVA el acuerdo de inicio de procedimiento, es cierto que la entidad bancaria lucha con uñas y dientes por el cierre del mismo, solicitando se declare la nulidad de pleno derecho del procedimiento o, en su defecto, se acuerde su archivo. A este respecto, cabe destacar un resumen de sus alegaciones las cuales hacen manifiesto de su total disconformidad, perplejidad y sus agallas para pelear lo que ellos consideran “un absurdo”:

  • Considera que el acuerdo de inicio excede del contenido legalmente previsto acordar una cuantía específica que implica la valoración sumaria de las circunstancias concurrentes, excediendo por tanto de lo admitido por el artículo 68.1 de la LOPDGDD.
  • Se encuentra indefensa “BBVA” por el hecho de que la cuantía procede de la mera enumeración de circunstancias, sin exponer el modo en que afectan a la responsabilidad.
  • El procedimiento se inicia por vulneración el artículo 13 del RGPD pero se amplía al 14 por incumplimiento de la obligación de informar a los interesados sobre las categorías de los datos personales tratados.
  • Alega que el instructor no ha tenido un conocimiento objetivo de los hechos y, por tanto alega  ruptura del principio de separación entre la fase instructora y de sanción.
  • Considera que, la sanción no es fija y tampoco necesariamente de carácter pecuniario, dado que el RGPD establece una amplia gama de posibles sanciones y medidas correctoras, incluida la realización de una advertencia.
  • Alega que el procedimiento analiza el alcance de la Política de Privacidad sin vincular ningún razonamiento al contenido de las reclamaciones y sin que conste ninguna actuación desarrollada por la AEPD que motive la apertura del procedimiento.
  • Sólo se dio traslado a la DPO de cuatro de las reclamaciones.
  • Se mantuvo abierta la fase previa de investigación durante diez meses sin ninguna actuación tendente a investigar el contenido de la reclamación.
  • Alega intencionalidad por parte de la AEPD para la acumulación de reclamaciones.
  • Arroja la responsabilidad sobre la propia AEPD reprochando que la inacción de la Agencia es lo que provoca que los hechos se agraven puesto que no le advierte de la ilicitud de su Política de Privacidad. 
  • Respalda su buen hacer bajo una estadística nada desdeñable; aporta certificado emitido por su propia DPO del año 2019, señalando que, de un total de 8.031.000 clientes tan sólo recibió 906 comunicaciones, de las cuales sólo  6 se referían a comentarios sobre la Política de Privacidad, de lo que la misma DPO desprende que ello demuestra que los clientes no han considerado vulnerados sus derechos, a excepción de los cinco reclamantes.
  • Respalda la forma de presentar la información a los interesados en que de haberlo hecho de una forma más precisa hubiera cansado a los mismos “sería susceptible de ocasionar fatiga informativa en los interesados, en contra de las Directrices del GT29”.

Respecto a las alegaciones del BBVA creo que es interesante que subamos de nuevo la vista a los pantallazos incluidos anteriormente, puesto que igual la argumentación del BBVA hace que caiga por sí misma, es más, llega un momento que ante tanta argumentación una piensa que igual iba a acabar con el contrario (AEPD) por agotamiento, lo que finalmente no ha sido así.

Sólo a modo de mención incluyo ejemplo de cómo pasarse por el arco del triunfo el Considerando 32 que es muy claro al respecto de las acciones prohibidas “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”, además de que con más inri, dicha aceptación forma parte de la política de privacidad para la que el BBVA vuelve a usar una fórmula infalible para que el interesado acepte todo “Te recordamos que cuando introduzcas la clave que se solicita en el proceso de firma, estarás dando tu conformidad a esta Declaración de Actividad Económica y Política de Protección de Datos Personales.”

LAS BAZAS PRINCIPALES DEL BBVA

A mi criterio hay dos bazas estrellas con las que ha intentado jugar el BBVA, si bien han sido duramente rebatidas por la AEPD.

  • Plazos de apertura y caducidad. Creo que la jugada estrella del procedimiento del BBVA se basaba en los plazos de apertura y de caducidad del procedimiento: “En este caso, se ha producido una demora de diez meses, sin que existiese una decisión de llevar a cabo actuaciones de investigación. La AEPD debería haber acordado la apertura del procedimiento en el momento en que decidió admitir la reclamación del reclamante 2, esto es, el 01/02/2019, con lo que el procedimiento debería haber concluido el 04/11/2019. Sin embargo, esa apertura tuvo lugar el 02/12/2019, casi un mes después de la fecha en que debería haber concluido el procedimiento mediante la correspondiente resolución. Entiende BBVA que esta inactividad injustificada deviene en la caducidad del presente procedimiento, dado que el plazo para resolver se encontraría vencido en la misma fecha en que se dictó el acuerdo de inicio.”

Si bien la AEPD responde contundentemente a dicho argumento, cayendo así el castillo de naipes, bajo jurisprudencia del Supremo “Sentencia de 21/10/2015 se cita la Sentencia de 26/12/2007 (recurso 1907/2005), que declara lo siguiente: “[…] el plazo del procedimiento […] se cuenta desde la incoación del expediente sancionador, lo que obviamente excluye del cómputo el tiempo de la información reservada»;» […] la mayor o menor duración de la fase preliminar no lleva aparejada la caducidad del procedimiento ulterior«.

  • Inactividad de la AEPD. BBVA reitera hasta la saciedad que la AEPD nunca llevó a cabo acción alguna que hiciera pensar a BBVA que infringía la normativa, lo que ha hecho que  los hechos se agraven. 

A lo que la AEPD responde con dos ZASCAS “La supuesta inactividad de la Administración no influye en absoluto en la comisión de las infracciones ni las agrava” y “BBVA no puede aportar ningún pronunciamiento o actuación de esta Agencia que le llevase a esa presunta confusión, simplemente porque no existe actuación alguna en ese sentido.”

En fin, como ya he indicado en el enunciado, hay que destacar las agallas del BBVA para luchar con uñas y dientes para la nulidad del procedimiento, que no digo yo que no desprendiera buenos argumentos pero también es cierto, que a la luz de algunas de las afirmaciones que arrojaron también echaron leña al fuego a una AEPD que le no le gusta que le alcen la voz, lo que hace de este procedimiento y su muy presumiblemente contencioso administrativo, una lectura más que interesante, a la vez que larga.

Nos hemos dejado algo??

Bueno, aparentemente después de 146 páginas de lectura parecería que este procedimiento no se dejan ni una coma, si bien a mí personalmente me llama la atención que después de leer la “Declaración de Actividad Económica y Política de Protección de Datos Personales” del BBVA, se me hace raro que el Instructor no haya querido meter mano también en el tema de decisiones automatizadas, no sé si ha sido por falta de valor en aumentar aún más la cifra, cosa que actualmente rechazo dada la sanción que le ha caído a LA CAIXA o por desgaste al teclear tan laaaargo procedimiento sancionador, en todo caso, el Instructor advierte que sí se ha dado cuenta que se pueden estar llevando a cabo decisiones automatizadas, si bien no va a entrar en el asunto y lo deja como AVISO al BBVA.

Conclusiones al debate

Desde luego este artículo no pretende ser una crítica del trabajo llevado a cabo para la defensión de los derechos del BBVA pero es cierto, que ante afirmaciones contundentes de su argumentación, también se hace necesario contrastar las mismas para focalizar el procedimiento.

Del procedimiento, yo la verdad que me quedo estas argumentaciones del BBVA que me dejan simplemente tan helada como el día que llegó Filomena.

  • Un interés legítimo infinito “BBVA tiene el legítimo interés en conocer lo mejor posible a sus clientes para poder prestar a los mismos sus servicios con el mayor grado de excelencia posible, aun cuando ello lleve, en su caso, aparejado (obvio es decirlo tratándose de una mercantil) la consecuencia de obtener un beneficio económico. (…).
  • No facilitar mejor información por si acaso cansamos a los interesados.
  • Un tratamiento de datos para finalidades infinitas es legítimo, puesto que BBVA no lo ha hecho a “sabiendas de estar infringiendo la normativa”.
  • El uso de casillas negativas es respaldado bajo el argumento de que es imposible obtener una certeza segura del consentimiento y, por tanto, cualquiera que sea la opción del interesado (la marcación o no de las casillas), nunca será posible considerar que ha existido una inacción del mismo.
  • También resulta interesante que el BBVA apele a que existen otros mecanismos diferentes a la multa económica para la corrección de las posibles irregularidades o insuficiencias detectadas. 

Desde luego el procedimiento es digno de lectura porque resulta un careo en toda regla, reprochándose de forma constante BBVA y AEPD cualquier argumento esgrimido por la otra parte. No tiene desperdicio el procedimiento y comentar cada uno de sus detalles conllevaría un artículo el doble de extenso que su procedimiento, con lo que esta parte que suscribe sólo deja abierta la puerta al debate y al sentido crítico respecto a si este procedimiento resulta ejemplarizante o si por desgracia se infló tanto el globo que finalmente estalló.

Tengo claro que el trabajo de un DPD en una entidad bancaria es especialmente difícil y, estoy segura que en las decisiones del DPD también se hizo un análisis de riesgos con una expectativa razonable de que la posible sanción por infringir el Reglamento no sería tan alta a los beneficios de recabar y poder tratar tantos datos personales si bien, a veces los astros se juntan para romper esta confianza en los responsables del tratamiento y, sancionar con un multa sin igual que muy posiblemente haga que a partir de ahora se deba realizar un nuevo análisis de riesgos, ya que el incumplimiento de la normativa de privacidad va a hacer caer la balanza para que por fin un derecho fundamental prevalezca sobre los intereses de un responsable del tratamiento.

Otras sanciones ya recaídas sobre el BBVA

Podemos decir que el mes de diciembre le ha llegado calentito al BBVA puesto que éste no ha sido el único procedimiento sancionador que le ha caído, habiendo abonado como pago previo 36.000€ en base a otro procedimiento sancionador, el PS/00219/2019, no siendo este el único de su año horribilis, puesto que ya en febrero afrontó otro pago voluntario por un valor de 6.000€ PS/00400/2019.

Y suban la apuesta

Y aunque parezca mentira a menos de un mes del Gordo del BBVA con sus 5 millones de euros de sanción, el 14 de enero de 2021, ha recaído una multa record de 6 millones de euros a la CAIXA por infracción de los artículos 6, 13 y 14 que por supuesto aquí no se puede resumir puesto que la apuesta no sólo ha subido en sanción, sino también en páginas, esta vez 177 páginas de procedimiento.

Está claro que si creíamos que el 2021 no podría superar al 2020, estábamos muy equivocados, debe ser que el 2021 es chulapo o del mismo Bilbao porque no hemos pasado ni 15 días de año y ya tenemos varios momentos históricos.

Iciar López-Vidriero Tejedor

21 de enero de 2021

BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

Deja un comentario

A %d blogueros les gusta esto: