Agencia Española de Protección de Datos: cesiones de datos a empresas del grupo

Consulte el PDF

En el pasado mes de enero la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicaba la resolución del procedimiento sancionador PS/00477/2019, en el que sancionaba a una entidad bancaria española al pago de dos multas por un importe total de 6.000.000 de euros, al haberse probado la comisión de dos infracciones de las disposiciones del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, “RGPD”).

Esta nueva sanción de la AEPD evidencia la reciente tendencia sancionatoria de este organismo, que en los últimos meses ha resultado en la imposición de algunas de las sanciones más importantes en materia de protección de datos de nuestro país. En este sentido, dedicamos nuestra última publicación (Circular nº 9/21) a analizar la que era hasta el momento la sanción más elevada impuesta por la AEPD, en la que también se sancionaba a una entidad del sector bancario.

Los hechos se remontan al mes de enero del año 2018, cuando el reclamante presentó una denuncia ante la AEPD contra la entidad bancaria por imponerle esta última la obligación de aceptar las nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la cesión de sus datos personales a todas las empresas del grupo del que forma parte la entidad. En las nuevas condiciones se estipulaba que para cancelar dicha cesión el reclamante debía dirigir un escrito a cada una de las empresas del grupo, alegando este último en su denuncia que se trataba de una exigencia desproporcionada considerando que la cesión se aceptaba en un solo acto.

En virtud de los hechos recogidos en la extensa resolución de la AEPD, esta concluye que la entidad bancaria ha infringido los artículos 6, 13 y 14 del RGPD.

Los artículos 13 y 14 del RGPD hacen referencia al derecho a la información del interesado sobre la obtención de sus datos personales por parte del Responsable del Tratamiento (la entidad bancaria en este caso). Algunos de los motivos que fundamentan la imputación a la entidad bancaria de la infracción de estos preceptos del RGPD son los siguientes:

• La información en materia de protección de datos personales ofrecida por la entidad bancaria no es uniforme, ni si quiera en la terminología, no se ofrece con la misma amplitud a todos los clientes y en todas las situaciones y no se actualiza de la misma forma en cada caso.
• La información que se suministra a los clientes, en el momento de la recogida de sus datos, emplea una terminología imprecisa y formulaciones vagas (esta debería ser, en virtud del artículo 12 del RGPD, “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”).

Por su parte, el artículo 6 del RGPD prevé las condiciones que deben concurrir para poder considerar que el tratamiento de los datos personales del interesado, por parte del Responsable del Tratamiento, es lícito. En el presente caso la AEPD considera que la entidad bancaria suministra una justificación insuficiente de la base jurídica de algunos tratamientos, especialmente en relación con los basados en el interés legítimo, llegando incluso a directamente no informar sobre ninguna base jurídica en determinados supuestos (p.ej.: las cesiones de datos a otras empresas del grupo).

En base a los hechos expuestos, la AEPD concluye que la entidad bancaria debe ser sancionada por la infracción de los artículos 6, 13 y 14 del RGPD, imponiendo una primera multa administrativa de 2.000.000 de euros por la infracción de los artículos 13 y 14 (tipificada en el artículo 83.5.b) RGPD y calificada como leve en virtud del artículo 74.a) LOPDGDD) y una segunda multa de 4.000.000 de euros por la infracción del artículo 6 (tipificada en el artículo 83.5.a) RGPD y calificada como muy grave en virtud del artículo 72.1.b) LOPDGDD).

© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.