El pasado 14 de diciembre la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 5 millones de euros a un banco por infringir varios artículos del Reglamento General de Protección de Datos (RGPD). La entidad bancaria -BBVA- trató datos de sus clientes sin consentimiento, y no les facilitó información suficiente y clara sobre el tratamiento de sus datos personales.
Hasta el momento la sanción más importante y cuantiosa que había impuesto la AEPD fue en el año 2017 a Facebook por 1,2 millones de euros al verificar que la red social utilizaba datos, incluso especialmente protegidos, con fines publicitarios sin recabar el consentimiento de los usuarios.
En la resolución de la AEPD se menciona la presentación de hasta cinco reclamaciones relacionadas con el envío de comunicaciones comerciales no consentidas y otras vulneraciones de la normativa de protección de datos, en concreto:
La AEPD trata todas las reclamaciones en un mismo procedimiento, resultando de este la sanción previamente mencionada, sin perjuicio de que no se trata de una resolución firme, pues contra la misma cabe recurso.
De esta manera, la primera sanción se impone al constatar una infracción de los artículos 13 y 14 del RGPD, y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. En este caso se establece una multa por importe de dos millones de euros por el incumplimiento del principio de transparencia, al no informar en su política de privacidad utilizando un lenguaje claro y sencillo, ni las finalidades para las que serían utilizados y tampoco delimitaba la naturaleza de la información sometida a tratamiento ni su posterior utilización. Si analizamos con más detalle el razonamiento de la AEPD, este incumplimiento se produce en concreto por los siguientes motivos:
La segunda infracción se impone por vulnerar el artículo 6 del RGPD, y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD. Se establece una multa por importe de tres millones de euros. En este caso en el formulario que tiene la entidad en la aplicación móvil para pedir el consentimiento de los clientes para no recibir ofertas había que marcar una casilla, y en caso de que esta no se marcara se produciría un consentimiento tácito, algo que es contrario a la ley debido a que se necesita una declaración afirmativa clara.
Además de las sanciones, la AEPD requiere a esta entidad para que en un plazo de seis meses realice las modificaciones necesarias para dar cumplimiento a la normativa de protección de datos, en particular, en la información facilitada a sus clientes y el procedimiento de prestación del consentimiento.
Unive Abogados recomienda adoptar las siguientes medidas para evitar sanciones similares: