¿Cuándo estoy obteniendo el consentimiento válido del interesado? Análisis del caso Caixabank
El pasado mes de octubre fuimos testigos de cómo la Agencia Española de Protección de Datos (AEPD) imponía una sanción millonaria (3 millones de euros) a la entidad financiera CaixaBank por haber llevado a cabo el tratamiento de los datos personales de un excliente sin contar con su consentimiento válido. Caixabank trató los datos del reclamante para hacer un perfilado, con el fin de mandarle una oferta sobre los servicios financieros que le pudieran interesar en base a sus características.
Por parte de la empresa reclamada, se alega que sí se contaba con el consentimiento del interesado. Este consentimiento, no obstante, fue recabado de forma que, según concluye la AEPD, no puede considerarse válido.
Recordemos que el Reglamento General de Protección de Datos (RGPD) incluye una definición de consentimiento del interesado que incluye unas condiciones para que dicho consentimiento sea válido como base de legitimación del tratamiento de datos personales.
Así, el RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta (…) el tratamiento de datos personales que le conciernen”. Tanto de esta definición como de las directrices del Comité Europeo de Protección de Datos sobre el consentimiento, pueden extraerse los siguientes requisitos:
- Voluntad libre: se entiende que es libre cuando el interesado no se siente coaccionado u obligado a prestar el consentimiento, ante las posibles consecuencias negativas de su oposición.
- Voluntad específica: el interesado debe poder identificar de forma separada cada uno de los fines concretos para los que se pretende tratar sus datos, de manera que pueda decidir sobre cuáles desea prestar su consentimiento y sobre cuáles no. Para ello, se deberá pedir un consentimiento separado para cada finalidad y la información sobre cada tratamiento deberá facilitarse correctamente disociada.
- Voluntad informada: se debe facilitar al interesado previamente al consentimiento una información mínima, que incluye la identidad del responsable del tratamiento, las finalidades para cada tratamiento, los datos que van a utilizarse, la existencia o no de decisiones automatizadas (incluyendo la elaboración de perfiles), el derecho a retirar el consentimiento en todo momento e información sobre las transferencias internacionales de los datos que pretendan hacerse.
- Voluntad inequívoca: debe quedar claro que el interesado es consciente de que está prestando su consentimiento para todo lo anterior. No debe tratarse de una afirmación difusa, una acción poco clara o una manifestación interpretable de varias formas.
En el caso concreto, ¿cuáles son los requisitos con los que no contaba Caixabank al recabar el consentimiento? Por un lado, la AEPD ha entendido que el consentimiento prestado por el reclamante no era válido por no ser ni informado ni específico.
En cuanto al primero de ellos, la AEPD afirma que el interesado no recibió una correcta información acerca de:
- Cuáles iban a ser los datos personales objeto del tratamiento específico.
En el documento de Condiciones de uso del servicio de Caixabank se incluían en este tratamiento todos los datos que la entidad poseía del interesado, sin especificar cuál sí y cuáles no iban a estar involucrados realmente.
- Cuál era exactamente la finalidad del tratamiento.
Únicamente se hacía referencia en las mencionadas Condiciones a la finalidad de segmentar a los clientes para ofrecerles ofertas comerciales ajustadas a sus necesidades, pero no se incluía ninguna otra información relacionada por el concreto tratamiento, ni cómo iba a hacerse.
En cuanto al segundo, se entiende que se dio información sobre varios tratamientos de forma indiferenciada. Información que, como se ha visto anteriormente, no era ni siquiera suficiente.
Esta resolución de la AEPD es muy interesante ya que se trata de la primera que esta autoridad de control emite en relación con el consentimiento y sus condiciones para la elaboración de perfiles. Cabe recordar que, en número de sanciones recaídas, la autoridad española en materia de protección de datos ostenta el récord respecto de sus análogas en la Unión Europea.
Es muy importante que los responsables del tratamiento tengan muy presentes sus obligaciones y que recaben la asistencia de los profesionales en protección de datos para evitar incurrir en sanciones que puedan tener consecuencias tan negativas como la que se analiza.
Sara Hervías Costa. Privacy Counsel, Legal Army