La Agencia Española de Protección de Datos impuso una sanción de 2 millones de euros a Caixabank por la infracción de los artículos 13 y 14 del RGPD y de 4 millones de euros por infringir el artículo 6 del mismo cuerpo normativo. En este sentido, se ponía de manifiesto por la autoridad de control que la información ofrecida no era uniforme (no se facilitaba con la misma amplitud a todos los clientes y en todas las situaciones) o que la terminología era imprecisa y vaga, sin que se pudiera deducir del contexto, pudiendo provocar confusión sobre la base jurídica que justificaba el tratamiento.
Asimismo, se declaraba por la AEPD que los consentimientos no cumplían los requisitos para que se considerasen válidamente prestados, puesto que no nos encontrábamos ante una manifestación de voluntad libre, específica, informada e inequívoca, ya que, por ejemplo, “con la firma del contrato se imponen al cliente aspectos esenciales relativos al tratamiento de sus datos personales, mermando su capacidad de elección”, llevándose a cabo, además, “una incorrecta agrupación de consentimientos”.
Posteriormente, la autoridad de control desestimó, mediante resolución en fecha de marzo de 2021, el recurso de reposición que la entidad había interpuesto. Por ello, Caixabank interpuso el correspondiente recurso contencioso-administrativo, que ha sido resuelto por la Audiencia Nacional.
En su sentencia, la Audiencia expone, entre otras cuestiones, que en los consentimientos se autorizaba la cesión de datos a terceras empresas del grupo con fines comerciales, facilitándose al cliente un enlace en el que se recogía cuáles eran dichas empresas. No obstante, cuando el cliente otorgaba su consentimiento de manera presencial, a través de la firma de la Tablet, si bien si se incluía dicho enlace, no se le facilitaba el acceso a la página web. A la vista de lo anterior, en la sentencia se indica que “se trata de una remisión que aparece como necesaria para conocer esas empresas en un momento de exigencia del consentimiento de manera cuasi inmediata, lo que hace imposible saber qué empresas son las del grupo en cuestión”.
Asimismo, en relación con esta cuestión, habida cuenta del contenido de los contratos marco elaborados por la compañía, si bien el cliente es consciente de que ha suscrito un contrato de Caixabank, desconoce qué empresa del grupo, cuando autoriza este tratamiento, puede tratar sus datos. Es por ello por lo que la Audiencia Nacional indica que “esa información […] no puede sostenerse como clara, precisa, sencilla y correcta”.
Tal y como se indica en la resolución, con base en el principio de transparencia, el responsable debe facilitar la información a los titulares de los datos usando un lenguaje claro, sencillo y fácil. Sin embargo, la cláusulas de los contratos no reunían esos requisitos, por cuanto, con base en lo expuesto con anterioridad, “pierden claridad cuando se les remite a una página web para que puedan conocer cuáles son las empresas del grupo a las que se ceden dato”. En relación con la información facilitada, tal y como se ha indicado, Caixabank utilizaba el término “finalidades comerciales”, considerado en la sentencia como genérico.
En conclusión, se declara que los consentimientos que el cliente podía otorgar no eran válidos por ser confusos y genéricos. Además, contenían varias finalidades sin que existiera la opción de consentir las mismas de manera individualizada.
Del mismo modo, se declara que no se informaba adecuadamente de la base que legitimaba el tratamiento de los datos, no permitiendo que los clientes tuvieran una información real y sencilla del tratamiento.
Por todo lo anterior, se concluye que CaixabanK es responsable de haber facilitado información incorrecta sobre el tratamiento de datos, obteniendo, en consecuencia, el consentimiento del cliente de manera errónea.
En este sentido, se afirma en la sentencia que la información deficiente es lo que ha llevado a obtener un consentimiento viciado (“y es aquí donde aparece la duplicidad sancionadora”), por lo que el incumplimiento del deber de información ha sido medio necesario para recabar el consentimiento carente de validez. Así, “La entidad no proporcionó adecuadamente la información exigida en los preceptos señalados por ello el cliente al firmar el contrato no está otorgando un válido consentimiento”.
Así, “al apreciarse la existencia de concurso medial, […] procede mantener la sanción de 2 millones de euros por la sanción muy grave, y ante la existencia de concurso medial, no se impone sanción alguna por la infracción de los arts. 13 y 14 al ser absorbida por la anterior.”
Puede acceder a la resolución judicial de la Audiencia Nacional aquí.
