Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos sanciona a CAIXABANK con 2.100.000 euros por condicionar la prestación de consentimiento de sus clientes

La Agencia Española de Protección de Datos acaba de sancionar a CAIXABANK S.A. con una multa ascendente a 2.100.000 EUROS. Publicada en su página web este 4 de marzo, la resolución dictada en el expediente sancionador nº: PS/00226/2020 declara la comisión de dos infracciones:

  1. Infracción del artículo 6 en relación con el artículo 7.4 del RGPD, con respecto a la obtención del consentimiento para fines distintos a los propios del contrato concertado, condicionando su obtención a la exención de comisiones bancarias, tipificada en el artículo 83.5.a) del RGPD, sancionada con una multa por importe de 2.000.000 de euros.
  2. Infracción del artículo 6.1 del RGPD, relativa a la obtención del consentimiento a través de casillas premarcadas, tipificada en el artículo 83.5.a) del RGPD, y castigada con una multa por importe de 100.000 euros.

Respecto a la primera de las dos multas impuestas, por importe de 2 millones, se declara probado que CAIXABANK vinculó la exención de algunas comisiones bancarias a la prestación del consentimiento por determinados clientes para dos diferentes tratamientos: el envío de comunicaciones comerciales y la cesión de datos personales a las entidades del Grupo Bankia. Según la AEPD en tales circunstancias “no puede considerarse que el consentimiento se otorga libremente, en tanto que, si no se aceptan tales tratamientos o se revoca posteriormente el consentimiento así obtenido, se producen consecuencias negativas para el interesado que está sujeto, en tal caso, al abono de las comisiones fijadas por la entidad bancaria”. 

La Agencia declara que deben considerarse de especial prevalencia, en este aspecto, las Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento General de Protección de Datos (adoptadas el día 4 de mayo de 2020, por el Comité Europeo de Protección de Datos), cuyo punto 3.1 dispone que en términos generales, el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy distintas) que impida que este ejerza su libre voluntad. Así mismo considera que en una situación como la analizada nos encontramos ante el diseño de un producto financiero con la finalidad de condicionar a los clientes de la entidad que contraten el mismo -mediante la exención del cobro de las comisiones del contrato- a prestar su consentimiento para fines distintos a los de dicho contrato

En su resolución la AEPD valora como agravante el hecho de que no se trata de una conducta aislada, siendo resultado de una política comercial que afecta a un gran número de interesados, detallando que el número de clientes -a 31 de mayo de 2019- que habían contratado las cuentas era de 1.197.000, de los cuales habían prestado su consentimiento para la recepción de publicidad 965.972, y para la cesión de sus datos a empresas del grupo 952.677 clientes.

Con relación a la segunda multa impuesta, ascendente a 100.000 euros, deriva de la infracción del artículo 6.1 del RGPD ocasionada por obtención del consentimiento de sus clientes a través de la utilización decasillas premarcadas. En este punto la AEPD declara que la entidad sancionada no ha observado el requisito de obtención del consentimiento de una manera libre, específica, informada e inequívoca, incumpliendo el considerando 32 RGPD por cuanto “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”, de manera que esta invalidez del consentimiento acarrea una falta de legitimación que infringe el artículo 6.1 RGPD.

La AEPD estima concurrente la agravante tipificada en el art. 83.2.a) RGPD, ya que no se trata de un hecho aislado, sino que afecta al procedimiento de recogida del consentimiento durante un periodo de tiempo durante el cual los consentimientos aparecían premarcados para aquellos clientes que contrataron on line. También afirma que concurre la agravante prevista en el art. 83.2.b) RGPD sobre comportamiento negligente de CAIXABANK, pues los hechos se produjeron en 2018, no iniciándose hasta mayo de 2020 las actuaciones pertinentes para recabar el consentimiento de los clientes, manteniendo entretanto durante dicho periodo acciones comerciales con esos clientes aun conociendo que carecía del consentimiento de los mismos.

En conclusión, la Agencia Española de Protección de Datos incide en la importancia de recabar el consentimiento para cada una de las finalidades que se pretendan, garantizando en cada una de ellas que el interesado tiene conocimiento de su prestación, sin que pueda condicionarse esta prestación del consentimiento bajo una eventual exención en el cobro de comisiones bancarias que equivaldría a una prestación forzada de dicho consentimiento. La garantía de que este se obtiene, en cada caso, de manera libre, específica, informada e inequívoca, implica ineludiblemente la observancia del considerando 32 RGPD y la inexistencia de casillas premarcadas, que, de utilizarse, invalidarían el consentimiento otorgado aparejando la carencia de legitimación en el tratamiento de los datos recabados.

Esta sanción se suma a otra que, por importe de 3 millones de euros, se impuso a CAIXABANK el 22 de septiembre de 2021 -confirmada por la AEPD el 23 de febrero, en trámite de reposición- por infracción del art. 6.1 RGPD, en relación con los procesos empleados para recabar de los clientes de CaixaBank Payments & Consumer, el consentimiento necesario para elaborar perfiles con fines comerciales y que acaban compartiendo todas las filiales del grupo.

https://www.aepd.es/es/documento/ps-00226-2020.pdf

Roberto Antonio Sánchez Lucen
DPO&itlaw (Integrado en Club Legal)