Acaba de comenzar un nuevo año y con él nuevos retos para las empresas, en materia de protección de datos. La Agencia Española de Protección de Datos (AEPD) despidió el 2020 imponiendo a una de las principales entidades financieras españolas una sanción de 5 millones de euros, su mayor sanción hasta la fecha, superándose tan solo un mes después con una sanción aún más cuantiosa, 6 millones de euros a otra entidad del sector financiero.
Ambas sanciones marcan un cambio de rumbo drástico en la trayectoria de la AEPD. Así, desde la plena aplicación del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, la sanción de mayor cuantía impuesta por la AEPD se establecía en unos lejanos 250.000 euros. De esta manera, la autoridad española sigue la estela de otras autoridades de control europeas en materia de protección de datos, tales como la británica (ICO), francesa (CNIL) e italiana (Garante), las cuales cuentan con numerosas sanciones millonarias en su haber.
Las infracciones identificadas por la AEPD en relación con los tratamientos realizados por ambas entidades financieras se refieren a dos principios fundamentales del RGPD: el principio de transparencia o deber de información, y el principio de licitud. En el presente artículo nos centraremos en el deber de información: ¿a qué deben atenerse las empresas?
Antes de sumergirnos en el análisis, es importante mencionar que ambas resoluciones son recurribles tanto frente a la propia AEPD como en vía contencioso-administrativa ante la Audiencia Nacional, por lo que la interpretación está sujeta a refrenda o anulación.
¿Qué cuestiones debe tener en cuenta una empresa a la hora de informar para cumplir con el criterio esgrimido por la AEPD en sus resoluciones?
(i) Deberá prestarse especial atención a la coherencia entre los distintos documentos que se utilicen para informar a clientes, trabajadores, etc. A modo de ejemplo, si se utiliza un texto para informar como parte del contrato con el cliente y asimismo se cuenta con una política de privacidad disponible online destinada a clientes, ambos textos deberán estar alineados. En este sentido, se deberá extremar el cuidado a la hora de actualizar los documentos aportados por diferentes canales, evitando decalajes. Esta cohesión debe apreciarse no solo en cuanto a la información transmitida, sino en la forma en la que ésta se transmite, utilizando una estructura y terminología uniforme.
(ii) Evitar el uso de expresiones poco claras e imprecisas, o formulaciones vagas, con significados ambiguos. Pues bien, la AEPD entiende que expresiones tan habituales en la práctica, tales como “conocerte mejor”, “personalizar su experiencia”, “finalidades comerciales”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, adolecen de falta de transparencia y dificultan la comprensión por parte de cualquier interesado, que no entenderá qué va a hacer la entidad con sus datos personales.
(iii) Informar de las categorías de datos personales que se someterán a tratamiento. Este requisito se recoge en el RGPD de manera expresa únicamente en para aquellos supuestos en los que la empresa no ha obtenido los datos del propio titular de estos. Sin embargo, la AEPD se sirve del criterio manifestado por el Comité Europeo de Protección de Datos para afirmar que debe proporcionarse información sobre las categorías de datos, asimismo cuando el tratamiento se ampare en el consentimiento, así como cuando se base en el interés legítimo y tales datos puedan ser utilizados posteriormente para finalidades basadas en el consentimiento. Adicionalmente, a juicio de la AEPD se deben incluir dentro de las categorías conceptos que sean lo suficientemente descriptivos, y evitar indicar los ejemplos de categorías precedidos por la expresión “tales como” y finalizando con la expresión “etc.”.
(iv) Indicar de manera diferenciada las finalidades del tratamiento en relación con su base legitimadora. Para alcanzar este objetivo, se deberá evitar el uso de expresiones vagas que no revelen de forma explícita la finalidad del tratamiento, tales como “mejorar la experiencia de los usuarios”, “propósitos de comercialización” o “investigación futura”. La definición de las finalidades debe ser clara, empleando para ello fórmulas informativas que permitan al consumidor medio distinguir, sin esfuerzos desproporcionados, qué motiva el tratamiento, cómo son tratados y, en su caso, los criterios para la elaboración de perfiles.
(v) Facilitar información sobre el interés perseguido y el juicio de ponderación realizado en aquellos tratamientos amparados en el interés legítimo. A la hora de identificar el interés legítimo perseguido, no cabe la posibilidad de que se indique que este es la misma finalidad del tratamiento. El titular de los datos debe ser capaz de realizar, con base en la explicación aportada por la entidad, un juicio de ponderación que le permita sopesar si realmente el interés alegado prevalece sobre sus intereses y derechos.
(vi) Informar de manera clara y explícita de la elaboración de perfiles. De esta forma, una vez más, no basta con la utilización de expresiones como “conocerte mejor” o “estudiar tus necesidades”. Asimismo, en el caso de que el tratamiento esté relacionado con actividades de mercadotecnia directa, deberá informarse de la posibilidad de ejercer el derecho de oposición.
(vii) Mencionar expresamente cada uno de los derechos de los interesados sobre sus datos personales junto con una descripción de sus efectos y de los tratamientos frente a los cuales puede ser ejercitado. Debe haber cohesión respecto a esta información a lo largo de las distintas versiones de documentos informativos.
(viii) Motivar la determinación de los plazos de conservación.
La conclusión que alcanzamos de este análisis es que la información proporcionada por las empresas a los titulares de los datos deberá ser revisada con estos criterios en mente. ¿Cómo llevar a cabo esta tarea? Hay elementos que resultan bastante claros para llevarlas a la práctica, sin embargo, otros suscitarán más dudas sobre su implementación.
La Agencia Española de Protección de Datos (AEPD) despidió el 2020 imponiendo a una de las principales entidades financieras españolas una sanción de 5 millones de euros
Lo que sí está claro es que la información facilitada deberá en muchos casos extenderse. ¿Cómo podemos hacer esto sin causar fatiga informativa? La clave según la AEPD está en la manera de estructurar la información. Así, las empresas tendrán que ayudarse en la medida de lo posible de desplegables, o capas de información, mediante las que poder incorporar todo el detalle que ahora exige la AEPD en los textos informativos.
Los próximos meses serán cruciales en materia de protección de datos, ¿recibiremos incontables de correos electrónicos de empresas informándonos de que han actualizado sus textos legales, como sucedió en las semanas previas a la plena aplicación del RGPD? ¿se retractará la AEPD en las sanciones impuestas cuando responda a los recursos que, en su caso, interpongan las entidades financieras sancionadas? ¿Compartirá la Audiencia Nacional los criterios de la AEPD? ¿Seguirá la AEPD esta misma línea en las próximas sanciones que interponga?
Interrogantes a los que hoy por hoy no existen respuestas, pero que deberán ir resolviéndose a medida que las autoridades competentes se pronuncien al respecto. Lo que sí resulta obvio es que las empresas deben ser más cuidadosas que nunca con la privacidad y que es buen momento para que las más rezagadas se pongan al día con el cumplimiento de las disposiciones del RGPD.
Por Elena Peña Bello y Esperanza López Prado, asociadas de ECIJA