Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00070-2019 de 13 de enero de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 411 min
Órgano: Agencia Española de Protección de Datos
Fecha: 13/01/2021
Num. Resolución: PS-00070-2019
Cuestión
Sector:1 / 146
Procedimiento Nº: PS/00070/2019
- RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO : Con fecha 16/10/2018, tuvo entrada en esta Agencia una reclamación presentada
por D....
Contestacion
1/146
? Procedimiento Nº: PS/00070/2019
- RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO: Con fecha 16/10/2018, tuvo entrada en esta Agencia una reclamación presentada
por D. A.A.A. (en lo sucesivo el reclamante 1), contra la entidad BANCO BILBAO VIZCAYA
ARGENTARIA, S.A. (en lo sucesivo BBVA), por el envío a su línea de telefonía móvil, en
fecha 11/10/2018, de un SMS promocional. Añade que no ha autorizado el envío de tales
mensajes y que figura inscrito en Lista Robinson desde hace tiempo.
Con su reclamación, aporta únicamente copia del SMS objeto de la misma, cuyo texto
es el siguiente:
?Publi BBVA: Tu prestamos HASTA 9.000 EUROS para poner en marcha ya tus proyectos. Info
912975969. https://bbva.info/2xLgPps. No+publi envia BAJA al 217582?.
Esta reclamación fue trasladada a la entidad BBVA. En respuesta a lo manifestado por
el reclamante 1, BBVA informa a esta Agencia que el mismo prestó su conformidad al
contenido del documento ?Identificación del cliente, tratamiento de datos personales y firma
digitalizada?, suscrito por el reclamante en fecha 07/06/2016, en virtud del cual el cliente
consintió el envío de publicidad por parte de BBVA ?a través de cualquier medio?.
Añade BBVA que, no obstante, vista la reclamación formulada, ha procedido a
inhabilitar la opción relativa al envío de comunicaciones comerciales al reclamante 1.
BBVA aporta el documento ?Identificación del cliente, tratamiento de datos personales
y firma digitalizada? suscrito por el denunciante en fecha 07/06/2016.
SEGUNDO: Con fecha 09/12/2018, tuvo entrada en esta Agencia una reclamación presentada
por D. B.B.B. (en lo sucesivo el reclamante 2), contra la entidad BBVA, señalando que la App
BBVA para sistemas Android de la entidad no cumple los requisitos legales relativos al
consentimiento libre e informado. En dicha reclamación pone de manifiesto que el pasado
09/11/2018 la citada App, mediante una pantalla emergente, requirió la prestación de
consentimiento cuyo alcance debía conocerse mediante un enlace a otra página, en la que
aparecía activada por defecto la opción de cesión de datos a terceros.
Añade que el 6 de junio anterior, BBVA reconoció por carta el derecho de oposición del
reclamante al tratamiento de sus datos con fines comerciales (aporta copia de esta
comunicación), y que esta circunstancia debiera haberse tenido en cuenta por BBVA antes de
requerirle nuevamente la prestación de su consentimiento al tratamiento de datos a través de
la App BBVA.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
2/146
Por otra parte, advierte el reclamante que se dirigió a la citada entidad exponiendo las
mismas circunstancias y que dicha reclamación fue desestimada con fecha 29/11/2019.
El reclamante aporta copia de uno de los correos que dirigió a BBVA, de fecha
09/11/2018, en el que expresamente indica lo siguiente:
?Estimado/a DPO de BBVA
El documento adjunto al anterior mensaje procede de la APP BBVA ofrecida en la plataforma Android.
La citada aplicación requiere al usuario, como paso previo a su uso, prestar consentimiento mediante la
firma electrónica de un documento que sólo ofrece la posibilidad de oponerse al tratamiento de datos
personales para fines distintos a los necesarios a los fines de la prestación de servicios financieros si el
cliente activa las casillas de oposición a un tratamiento que POR DEFECTO (véase artículo 25 del
RGPD) debieran considerarse como activadas. El texto informativo resulta poco coherente con el
principio de transparencia del artículo 12 del RGPD y sobre todo porque tras activar las citadas casillas
de oposición aparece una pantalla emergente con una nueva advertencia que claramente coarta la
libertad del consentimiento en los términos del artículo 7 del RGPD.
Espero haber descrito con mayor claridad el problema relacionado con la citada APP y el documento
de consentimiento generado por la misma.
Finalmente, quisiera adjuntarle su comunicación relativa a mi ejercicio del derecho de oposición al
tratamiento de datos personales ya registrada por su departamento, y que debiera haberse tenido en
cuenta en lo relativo a la operativa de la APP BBVA?.
BBVA responde a dicho correo mediante otro de fecha 29/11/2018 en el que
literalmente indica:
?La forma en que se recaba el consentimiento al que usted hace referencia ha sido considerada válida
no solo en los análisis internos de nuestra propia entidad, sino en todos aquellos foros donde se ha
planteado la cuestión, ya que el interesado tiene la opción de escoger de una manera sencilla y
fácilmente entendible la opción que prefiera. Acerca de las pantallas emergentes que usted nos
comenta, BBVA entiende que debe proporcionar a los interesados la información necesaria para que
sepan qué sucede al activar dichas casillas, para que con toda la información en su mano, decidan la
opción que más les satisfaga?.
El reclamante acompaña, asimismo, el documento generado por la App, con el rótulo
?Declaración de actividad económica y política de protección de datos personales? (en lo
sucesivo también ?Política de Privacidad?), en cuyo apartado 1 constan los datos
identificativos del cliente (el reclamante) y su declaración de actividad económica. Entre otros
datos, figuran los relativos a nombre, apellidos, identificador fiscal, fecha de nacimiento,
nacionalidad, domicilio, estado civil, régimen matrimonial, datos de contacto, ingresos fijos y
variables, entidad en la que presta servicio, ingresos brutos anuales.
El apartado 2 de ese documento está dedicado a la ?política de protección de datos
personales?. El contenido íntegro de este apartado, la ?información ampliada? que se ofrece al
interesado y parte del ?glosario de términos? que conta en el mismo documento, el cual se
declara reproducido en este acto, se acompaña como Anexo 1.
En el documento aportado por el reclamante 2 figuran marcadas todas las opciones
habilitadas para que el interesado preste su consentimiento al tratamiento de los datos
personales con las finalidades que en dichas opciones se expresan:
?. Productos y precios más ajustados a ti
[x] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
3/146
[x] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí.
Mejora de calidad
[x] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que
hacemos de tus datos?.
TERCERO: Con fecha 13/02/2019, tuvo entrada en esta Agencia una reclamación presentada
por D. C.C.C. (en lo sucesivo el reclamante 3), contra la entidad BBVA, señalando que para el
desbloqueo de su cuenta fue necesario suscribir el documento de protección de datos
personales, que le fue remitido telemáticamente, y que no tuvo posibilidad de marcar las
opciones sobre el tratamiento de la información.
Aporta impresión de la información disponible en la App de BBVA, en el área personal
del reclamante (1 a 6 de febrero de 2019), que incluye un apartado ?Uso de datos personales?
en el que se pone a disposición del interesado una casilla que puede marcar con la indicación
?He leído, comprendo y acepto la Política de Protección de Datos Personales para ser cliente
de BBVA?.
Asimismo, aporta copia de un correo electrónico remitido a la dirección del reclamante
desde la dirección notificaciones-bbva@bbva.com, con un archivo adjunto denominado
?LOPDDAE?, en formato pdf, y el texto ?Tienes una firma pendiente? (nombre y apellido del
Reclamante 3), tienes un documento pendiente de firma. Te recomendamos que leas con
calma el documento que te adjuntamos, antes de firmarlo?. A continuación, se incluye un
botón con la leyenda ?Firma ahora?. Posteriormente se informa al interesado que dispone de
otros canales para la firma del documento en cuestión (oficina, App, web y banca telefónica).
Dicho documento, que también se acompaña a la reclamación, corresponde a la
?Declaración de Actividad Económica y Política de Protección de Datos Personales?, cuyo
contenido coincide con el que consta reproducido en el Anexo 1, salvo el detalle relativo a la
casilla mediante la que se ofrece al cliente la opción ?No quiero que BBVA trate mis datos
para ofrecerme productos y servicios de BBVA, Grupo BBVA y de otros personalizados para
mí?, que permite marcar los canales siguientes:
[ ] Por email
[ ] Por SMS
[ ] Por teléfono (llamada telefónica)
[ ] Por correo postal
El documento aportado aparece fechado el 11/02/2019 y sin firma. De las opciones
habilitadas en este documento para que el interesado preste su consentimiento al tratamiento
de sus datos personales con las finalidades que se expresan en cada caso, figura marcada la
opción ?No quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA,
del Grupo BBVA y de otros personalizados para mí por email?.
La citada reclamación fue trasladada a BBVA para que analizase la misma y remitiera
la información pertinente a esta Agencia. El plazo concedido a BBVA para dar respuesta a
dicho traslado transcurrió sin que en esta Agencia se haya recibido respuesta alguna.
CUARTO: Con fecha 23/05/2019, tuvo entrada en esta Agencia una reclamación presentada
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
4/146
por D. D.D.D. (en lo sucesivo el reclamante 4), contra BBVA, señalando que, con el pretexto
de haber sido informado mediante un documento que no ha firmado, dicha entidad le remite
comunicaciones comerciales que no ha solicitado ni autorizado. Añade que le informó sobre la
adopción de medidas para impedir que continuara recibiendo comunicaciones comerciales,
que cesaron los envíos de correos electrónicos, pero continuó recibiendo SMS, en los que no
se facilitan mecanismos de baja.
Aporta varios SMS en los que se le ofrecen préstamos preconcedidos; copia de un
escrito en el que BBVA estima el derecho de oposición ejercitado por el reclamante, de
10/04/2019; otro escrito anterior, de 25/02/2019, en el que BBVA le informa que sus datos
personales son tratados conforme al documento que adjunta, suscrito el 26/11/2018, en el que
se le ofrecía la posibilidad de negarse a las citadas finalidades. El documento que se adjunta
al último escrito reseñado corresponde a la ?Declaración de Actividad Económica y Política de
Protección de Datos?, en el que figuran los datos del denunciante como cliente de BBVA. En
este documento no figura marcada ninguna de las opciones que se ofrecen al interesado para
consentir el tratamiento de sus datos personales,
Esta reclamación fue trasladada a la entidad BBVA. En respuesta a lo manifestado por
el reclamante 4, BBVA informa a esta Agencia que se remitieron comunicaciones comerciales
al mismo, que no se opuso a este tratamiento de datos en el documento suscrito el
26/11/2018. Advierte que las comunicaciones cesaron después del ejercicio del derecho de
oposición por el reclamante, si bien la línea de telefonía móvil que se cita en la reclamación
como destinataria de comunicaciones comerciales no figura asociada a los datos de éste en
su sistema de información.
Posteriormente, BBVA manifestó que los SMS se enviaron manualmente por un gestor
comercial desde el teléfono móvil corporativo sin comprobar previamente que el cliente estaba
incluido en el listado Robinson.
QUINTO: Con fecha 27/08/2019, tuvo entrada en esta Agencia una reclamación presentada
por D. E.E.E. (en lo sucesivo el reclamante 5), contra la entidad BBVA, por la realización de
llamadas telefónicas y envío de SMS publicitarios, para ofrecer seguros, tarjetas de crédito y
financiación de recibos, a pesar de que ejerció el derecho de oposición a la cesión de sus
datos con fines promocionales y que el mismo fue atendido por dicha entidad. En su
reclamación detalla las líneas de telefonía emisoras de las llamadas y mensajes, la línea
receptora y la fecha y hora de la última llamada.
Con su reclamación, aporta copia de una factura correspondiente a la línea receptora
de las llamadas y mensajes, emitida a nombre del reclamante; escrito de BBVA dirigido al
mismo, de fecha 07/03/2018, en el que se estima su solicitud de oposición a la utilización y
cesión de sus datos a terceros con fines de prospección comercial o publicitaria de la entidad
u otras empresas del Grupo; transcripción de mensajes remitidos a BBVA advirtiendo
nuevamente sobre su deseo de no recibir publicidad, de 26/05/2019, respondido el día
siguiente por la responsable con un mensaje de disculpa; impresión de pantalla, de
27/08/2019, sobre la inclusión de su línea de telefonía móvil en Lista Robinson; y detalle de
llamadas recibidas (consta una llamada procedente del número objeto de la reclamación,
realizada en fecha 27/08/2019.
Esta reclamación fue trasladada a la entidad BBVA. En respuesta a lo manifestado por
el reclamante 5, BBVA informa a esta Agencia que, en fecha 18/06/2018, el interesado firmó
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
5/146
digitalmente el documento ?Declaración de Actividad Económica y Política de Protección de
Datos Personales?, prestando su consentimiento al tratamiento de sus datos con fines
comerciales, a pesar de que se le daba la oportunidad de oponerse a la utilización de sus
datos para ofrecerle productos y servicio de BBVA y de entidades del Grupo. Esta opción la
formalizó el reclamante mediante la firma de ese documento con posterioridad a través de la
banca a distancia. Añade que las líneas a las que se refiere la reclamación pertenecen a
BBVA Seguros, de la que es cliente el reclamante, la cual realizó tres llamadas en agosto de
2019 (días 20, 21 y 27); y que BBVA trasladó el escrito de oposición del reclamante a BBVA
Seguros, que tomó las medidas oportunas para el cese de las comunicaciones comerciales el
mismo día 27/08/2019.
BBVA aporta los documentos ?Declaración de Actividad Económica y Política de
Protección de Datos Personales?, suscritos por el reclamante en fechas 18/06/2018 y
27/05/2019. En el primero de ellos no consta ninguna marca en las casillas habilitadas para
que el cliente manifieste su consentimiento a los tratamientos siguientes:
. Productos y precios más ajustados a ti
[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí.
[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí.
Mejora de calidad
[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que
hacemos de tus datos?.
En el firmado en fecha 27/05/2019 constan esas tres casillas marcadas.
SEXTO: Las reclamaciones a las que se refieren las actuaciones fueron admitidas a trámite
mediante resoluciones de fecha 01/02/2019 (las relativas a los reclamantes 1 y 2), 06/08/2019
(la relativa al reclamante 3), 13/09/2019 (la relativa al reclamante 4) y 30/10/2019 (la relativa
al reclamante 5).
SEPTIMO: Con fecha 21/11/2019, por la Subdirección General de Inspección de Datos se
accede a la web de BBVA (?bbva.com?) y se obtiene información disponible sobre la entidad.
En dicha web se indica:
?BBVA en España
Como una de las entidades líderes en el país, con más de 10 millones de clientes y cerca de 30.000
empleados, prestamos servicios financieros a través de nuestra red de 3200 oficinas?.
Se obtiene, asimismo, información financiera, de la que cabe destacar la relativa a la
Cuenta de Resultados, que ?a 30/09/2019? refleja un ?Margen neto? de 9.304 millones de
euros. En el apartado ?Diversificación geográfica? se indica el desglose por países,
correspondiendo a España el 23,4%.
Según la información que consta en el Registro Mercantil Central, el ?Capital suscrito?
asciende a 3.267.264.424,20 euros.
OCTAVO: Con fecha 02/12/2019, la Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
6/146
acordó iniciar procedimiento sancionador a la entidad BBVA, de conformidad con lo previsto
en el artículo 58.2 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de
27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento
de Datos Personales y a la Libre Circulación de estos Datos (Reglamento General de
Protección de Datos, en lo sucesivo RGPD), por la presunta infracción del artículo 13 del
RGPD, tipificada en el artículo 83.5.b) del citado Reglamento; y por la presunta infracción del
artículo 6 del RGPD, tipificada en el artículo 83.5.a) del citado Reglamento, determinando que
la sanción que pudiera corresponder ascendería a un total de 6.000.000,00 euros
(3.000.000,00 euros por cada una de las infracciones imputadas), sin perjuicio de lo que
resulte de la instrucción.
Las imputaciones indicadas resultan del análisis del formulario de recogida de datos
personales utilizado por la entidad BBVA con posterioridad a 25/05/2018, denominado
?Declaración de actividad económica y política de protección de datos personales?, mediante
el que BBVA da a conocer los términos aplicables a la protección de datos personales y
requiere el consentimiento de los interesados. Los motivos que fundamentan las imputaciones
indicadas son, sucintamente, los siguientes:
a) Infracción del artículo 13 del RGPD:
. Empleo de una terminología imprecisa para definir la política de privacidad.
. Insuficiente información sobre la categoría de datos personales que se someterán a
tratamiento, especialmente, en relación con los datos que BBVA dice obtener del uso por el
cliente de productos, servicios y canales; los datos económicos y de solvencia obtenidos de
productos contratados con BBVA o de los que BBVA es comercializador; y los datos
personales que se cederán a empresas del Grupo BBVA.
. Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica
que lo legitima, especialmente en relación con los tratamientos de datos personales que
BBVA basa en el interés legítimo.
. Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos
específicos a que se van a destinar
b) Infracción del artículo 6 del RGPD:
. Inexistencia de un mecanismo específico para la recogida de los consentimientos de los
clientes para el tratamiento de los datos personales. Las opciones del interesado se
limitan a la marcación de una casilla mediante la cual deja constancia de su
oposición a los tratamientos de datos.
. Incumplimiento de los requisitos establecidos para la prestación de un
consentimiento específico, inequívoco e informado.
. Insuficiente justificación de los tratamientos de datos personales basados en el interés
legítimo del responsable.
Asimismo, a los efectos previstos en el artículo 58.2.d) del RGPD, en dicho acuerdo de
inicio se advertía que las infracciones imputadas, de confirmarse, podrán conllevar la
imposición a la entidad BBVA de la obligación de adoptar las medidas necesarias para
adecuar a la normativa de protección de datos personales las operaciones de tratamiento que
realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos
prestan su consentimiento para la recogida y tratamiento de sus datos personales, con el
alcance expresado en los Fundamentos de Derecho del repetido acuerdo y sin perjuicio de lo
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
7/146
que resulte de la instrucción.
NOVENO: Notificado el citado acuerdo de inicio, BBVA presentó escrito de alegaciones en el
que solicita que se dicte resolución por la que se declare la nulidad de pleno derecho del
procedimiento por los motivos que se exponen en su alegación primera siguiente o, en su
defecto, se acuerde su archivo. En síntesis, la citada entidad basa su petición en las
consideraciones siguientes:
1. La fijación del importe de la sanción en el acuerdo de inicio del procedimiento, que se
justifica en el Fundamento de Derecho VI, produce indefensión al interesado que vicia de
nulidad el mismo. Entiende que determinar en dicho acto el reproche sancionador, evaluando
incluso las agravantes concurrentes sin motivarlas mínimamente, sobre las que no ha tenido
ocasión de manifestarse, afecta a la aplicación de los principios fundamentales del derecho
penal, aplicables con ciertas matizaciones al procedimiento administrativo sancionador, como
ha puesto de manifiesto reiterada jurisprudencia.
Considera que el acuerdo de inicio excede del contenido legalmente previsto, por cuanto
únicamente debería incorporar los límites de la posible sanción que pudiera imponerse, y no
determinar una cuantía específica que implica la valoración sumaria de las circunstancias
concurrentes. El acuerdo dictado va más allá de lo admitido en el artículo 68.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales (en lo sucesivo LOPDGDD).
Esta valoración anticipada y carente de motivación de la responsabilidad de BBVA, indicando
incluso las atenuantes y agravantes, aunque sea por su mera mención, y aun cuando se
pretenda dejar a salvo lo que proceda finalmente en función de la instrucción, a juicio de esa
entidad, se realiza inaudita parte, sin alegación alguna de la imputada que permitiera al
órgano sancionador valorar las circunstancias apreciadas a la luz de dichas alegaciones,
generando indefensión a la parte.
Produce, igualmente, indefensión el hecho de que la cuantía procede de la mera enumeración
de circunstancias, sin exponer el modo en que afectan a la responsabilidad.
Se trata de una cuestión que afecta a la imparcialidad del órgano instructor designado en el
mismo acuerdo de inicio de procedimiento, que conoce antes de iniciar el procedimiento el
criterio del órgano al que finalmente elevará el expediente, del que depende jerárquicamente.
Ello supone una ruptura del principio de separación entre la fase instructora y de sanción
(artículo 63.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas -en lo sucesivo LPACAP), privando al instructor de un
conocimiento objetivo de los hechos y de la posibilidad de realizar una valoración de las
circunstancias derivadas de la instrucción.
Por otra parte, se cita el artículo 85 de la LPACAP para especificar en la parte dispositiva del
acuerdo de apertura las reducciones que conlleva el reconocimiento de la responsabilidad o el
pago voluntario de la sanción. Sin embargo, considera la entidad BBVA que este precepto
establece que la cuantía de la sanción pecuniaria podrá determinarse ?iniciado el
procedimiento sancionador? y que el mismo sólo es aplicable a supuestos que dan lugar a la
imposición de una multa de carácter fijo y objetivo. En el presente caso, la sanción no es fija y
tampoco necesariamente de carácter pecuniario, dado que el RGPD establece una amplia
gama de posibles sanciones y medidas correctoras, incluida la realización de una advertencia.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
8/146
2. Es causa que justifica el archivo de las actuaciones la inexistente vinculación entre las
reclamaciones formuladas con el objeto del procedimiento y el contenido del expediente
administrativo, por cuanto los hechos supuestamente infractores que se invocan no pueden
ser el fundamento en que se apoya la AEPD para la apertura del presente procedimiento, ni
las supuestas vulneraciones pueden sustentar la sanción pretendida.
Se analiza el alcance de la Política de Privacidad sin vincular ningún razonamiento al
contenido de las reclamaciones y sin que conste ninguna actuación desarrollada por la AEPD
que motive la apertura del procedimiento. A este respecto, señala que la Agencia se ha
limitado, en las fases previas, a trasladar la reclamación a la DPD de la entidad, salvo la
relativa al reclamante 2, y a acordar su admisión a trámite una vez recibidas las aclaraciones
de la citada DPD.
Así lo entendió la Audiencia Nacional en Sentencia de 23/04/2019 (recurso 88/2017), que
anula la sanción de la AEPD, entre otras razones, por existir discrepancia entre lo denunciado
y el objeto de la resolución sancionadora:
?Considera esta Sala, que los hechos probados de la resolución no resultan ajustados a las exigencias
que, a tenor de los principios expuestos, deben respetarse en un procedimiento sancionador.
En primer lugar porque tales hechos probados, aparecen totalmente desconectados de los hechos
denunciados, y que motivaron la apertura de unas actuaciones previas de investigación, ya que
ninguna mención se hace en dichos hechos probados acerca de las conductas denunciadas por los
tres intervinientes en el procedimiento, prescindiendo totalmente la AEPD del resultado de las
investigaciones realizadas a raíz de dichas denuncias, así como de las numerosas pruebas
practicadas.
El relato de ?hechos probados?, tanto en el procedimiento penal como en el administrativo sancionador,
resulta fundamental para fijar los hechos y las conductas tipificadas, ya que solo así se viene a respetar
el principio de tipicidad, que, según la doctrina es ?la descripción legal de una conducta específica a la
que se conectará la sanción administrativa?. Este principio es solo la proyección de la necesidad de
certidumbre que debe guiar el ejercicio de la potestad sancionadora de la Administración que recoge el
artículo 25.1 CE y su fundamento se encuentra en el respeto de otros dos valores como son la libertad
y la seguridad jurídica?.
Al propio tiempo, la AEPD ha puesto de manifiesto a lo largo de todo el expediente una
manifiesta inactividad, teniendo en cuenta que admitió a trámite la reclamación de los
reclamantes 1 y 2 con fecha 01/02/2019, la última de ellas sin su traslado previo a la DPD, y
que ni siquiera se respondió la solicitud remitida por BBVA el 21/02/2019 solicitando
información sobre el estado de la reclamación (no se informó sobre su admisión a trámite).
Posteriormente, sin ninguna actuación adicional, se admitieron otras tres reclamaciones antes
de dictar el acuerdo de inicio. Es decir, se mantuvo abierta la fase previa de investigación
durante diez meses sin ninguna actuación tendente a investigar el contenido de la
reclamación. Podría considerarse que la AEPD esperó que se produjera un número de
reclamaciones que estimara significativo, en este caso, cinco, aunque versaran sobre
cuestiones distintas, para reactivar un procedimiento que permanecía ?suspendido? desde las
primeras admisiones a trámite, y que versa únicamente sobre la ?Declaración de Actividad
Económica y Política de Protección de Datos?, en poder de la AEPD desde la presentación de
la reclamación por el reclamante 2, en fecha 09/12/2018. Nos encontramos ante un supuesto
en que la autoridad considera necesario dejar transcurrir un lapso de tiempo desde la
admisión a trámite de una reclamación relacionada con un tratamiento concreto, para
constatar si la conducta se debe a un fallo puntual o estructural del responsable.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
9/146
Durante ese tiempo, BBVA actuó con la confianza de que, siendo la Agencia conocedora de
las circunstancias manifestadas en las reclamaciones y no habiendo tenido lugar actuaciones
de investigación u otra índole, no se apreciaba la existencia de irregularidad. Cabría
plantearse si no ha sido la inacción de la AEPD durante esos diez meses la que ha agravado
el reproche que ésta aprecia concurrente en BBVA, dado que la Agencia conocía la Política
de Privacidad y no advirtió sobre la admisión a trámite de las reclamaciones o la eventual
ilicitud de esa Política de Privacidad. El reproche derivado de su mantenimiento en el tiempo
debería ser imputable a quien mantuvo oculta esa opinión.
Sobre las concretas reclamaciones formuladas, señala que muestran elementos comunes que
ilustran el buen hacer de BBVA en el respeto a la normativa de protección de datos
personales, que representan un porcentaje ínfimo e irrelevante del amplio universo de
tratamientos que lleva a cabo y el número de clientes. A este respecto, aporta certificado
emitido por la DPD relativo al año 2019, señalando que, de un total de clientes personas
físicas de ocho millones treinta y un mil, recibió novecientas seis comunicaciones y solamente
seis se referían a comentarios sobre la Política de Privacidad. Entiende que ello demuestra
que los clientes no han considerado vulnerados sus derechos, a excepción de los cinco
reclamantes.
Como elementos comunes a todas las reclamaciones, destaca los siguientes:
. Todos los interesados/reclamantes pudieron optar entre todas las alternativas ofrecidas y
gestionar su consentimiento al tratamiento de sus datos cuando formalizaron el documento y
pudieron cambiar sus preferencias a través de múltiples canales, respetando así el poder de
disposición de los afectados.
. Ha respetado los derechos ejercitados, dando respuesta en tiempo y forma a las
revocaciones de consentimientos o ejercicios de derechos de oposición. Así ha ocurrido en el
caso de alguno de los reclamantes.
. En los supuestos en que el reclamante muestra su disconformidad con la forma de obtener
el consentimiento, el mismo había hecho uso de los mecanismos puestos a su disposición, ya
fuera en el momento de suscribir la ?Declaración? o posteriormente de forma telemática.
Resulta contradictorio, a juicio de BBVA, que la firma del documento acompañada de la
marcación de las casillas deba considerarse una acción afirmativa y la misma firma del
documento sin marcar las casillas no tenga, según la Agencia, el mismo alcance o naturaleza
de acción afirmativa (consentimiento implícito, distinto del tácito, presunto o inacción).
. Cuando ha tenido lugar un error, como en el caso del reclamante 4, ha sido reconocido y
reparado con diligencia máxima, habiendo dado lugar al desarrollo de un gran número de
actuaciones para dar pleno cumplimiento de la normativa (también con ocasión de las
reclamaciones).
Seguidamente, BBVA dedica una parte de esta alegación segunda a poner de manifiesto
algunas consideraciones específicas de cada una de las reclamaciones:
a) El reclamante 1 se refiere al envío de publicidad a través de SMS, realizado con el
consentimiento del interesado, como se puso de manifiesto en la respuesta efectuada en el
marco del E/08334/2018, y se atendió de inmediato su derecho de oposición. No existe
ninguna queja o reclamación posterior.
b) La reclamación presentada por el reclamante 2 no fue conocida por BBVA hasta la apertura
del procedimiento, por lo que no ha tenido oportunidad de desvirtuar las acusaciones
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
10/146
realizadas sobre la Política de Privacidad, el funcionamiento de la aplicación o la licitud del
tratamiento de los datos. En este caso, se atendió el derecho de oposición al tratamiento de
los datos con fines comerciales; y así aparecía marcado en el documento cuya firma le fue
requerida al descargar la APP. El proceso de descarga ofrece al cliente la posibilidad de
decidir sobre los tratamientos y finalidades, tal y como realizó el reclamante, e informa de las
consecuencias de esas decisiones, sin que ninguno de los mensajes que aparecen
condicione al interesado. El resultado fue que, a través de la aplicación, durante el proceso de
obtención del consentimiento, pudo gestionar el uso de los datos de forma libre e informada.
Aporta copia impresa del proceso ?hazte cliente? que sigue la aplicación, que incluye la
contratación de una cuenta online. Este proceso ofrece al interesado información básica en
materia de protección de datos, cuyo contenido coincide con el recogido en Anexo 1, y un
enlace a la información ampliada. Asimismo, en ambos procesos se solicita el consentimiento
al interesado para el tratamiento de sus datos? y se ofrece al mismo la posibilidad de marcar
distintas opciones sobre el consentimiento para el tratamiento de sus datos personales, que
coinciden con las habilitadas en la ?Declaración de Actividad Económica y Política de
Protección de Datos?.
c) En contra de lo que se indica en el acuerdo de inicio, BBVA dio respuesta al traslado
efectuado por la AEPD de la reclamación presentada por el reclamante 3 (expediente
E/04690/2019) y también respondió al propio reclamante, si bien estas respuestas no han
sido incorporadas al expediente. BBVA bloqueó la cuenta de este cliente conforme a lo
previsto en la Ley 10/2010, de 28 de abril, de Prevención de Blanqueo de Capitales y de
Financiación del Terrorismo, hasta la firma de la ?Declaración de Actividad Económica y
Política de Protección de Datos Personales?, que tuvo lugar en dos ocasiones (en oficina y a
través de la aplicación móvil), y en ambas el interesado incorporó sus preferencias sobre la
negativa a recibir publicidad. Plantea nuevamente si no ha de considerarse una acción
afirmativa la suscripción de la política de privacidad y la marcación de una de las casillas
habilitadas, o si existe diferencia entre esa acción y la suscripción de dicha política sin marcar
ninguna de las casillas; todas ellas fácilmente accesibles, inteligibles, sencillas y claras.
Añade que no consta ninguna queja de este cliente, más allá de la reclamación formulada
ante la AEPD.
Aporta copia de un escrito de respuesta al traslado de la reclamación efectuado en el marco
del expediente E/ 4690/2019, fechada el 21/06/2019 y un justificante de su envío a esta
Agencia a través de correo postal en la misma fecha. Esta respuesta, cuyo contenido
coincide, básicamente, con lo expresado anteriormente, acompaña copia de las declaraciones
de actividad económica y política de protección de datos personales cumplimentados con los
datos personales del reclamante 3, fechada 17/01/2019 y 11/02/2019; la primera de ellas
firmada y la segunda sin firmar. En ambas declaraciones figuran marcada la opción ?No
quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí por email?.
d) Los antecedentes relativos al reclamante 4 constan en el expediente E/06420/2019, que
explican suficientemente los hechos. En este caso, hasta el momento de la oposición BBVA
estaba habilitado para el envío de comunicaciones comerciales como la denunciada y cesó en
estos tratamientos tras el ejercicio del derecho, si bien se envió un SMS con posterioridad
debió a un error puntual de escasa injerencia, cometido por un gestor de una oficina, que fue
subsanado de inmediato y dio lugar al envío de comunicaciones sobre las políticas adoptadas
a la red de oficinas. Estos hechos no justifican el reproche que se pretende. Añade que BBVA
no tuvo constancia del archivo de actuaciones o de la admisión a trámite hasta el acuerdo de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
11/146
inicio del expediente sancionador.
Dice Aportar documentación acreditativa de los extremos indicados. Sin embargo, únicamente
aporta lo que parecen ser mensajes dirigidos a clientes particulares, pymes o autónomos con
información relativa a protección de datos personales, a la entidad o comerciales. Algunos de
ellos tienen fecha de mayo y julio de 2018, febrero de 2019 y uno final de 24/09/2019, pero no
incluyen ninguna indicación que relaciones estos supuestos mensajes con el reclamante 4.
e) Se remite al contenido de la información facilitada con ocasión del expediente
E/08740/2019, que demuestra que BBVA fue respetuoso con las decisiones del reclamante 5
en relación con la utilización de sus datos. En este caso, el reclamante 5 suscribió la repetida
declaración en dos ocasiones, no manifestando su negativa a los tratamientos en la primera
ocasión y haciéndolo en la segunda.
3. Sobre el cumplimiento del principio de transparencia y del derecho de información a sus
clientes acerca del tratamiento de sus datos, BBVA expone lo siguiente:
A) Con carácter previo, se refiere dicha entidad al alcance, contenido y obligaciones derivadas
del principio de transparencia, según aparece regulado en la normativa aplicable e
interpretado por la propia AEPD, el conjunto de las Autoridades europeas, el Grupo de Trabajo
del artículo 29 y, posteriormente, el Comité Europeo de Protección de Datos. Realiza una
exposición sobre los requisitos de la información que derivan del citado principio, la
información que ha de facilitarse, el modo en que debe proporcionarse y sobre el sistema de
niveles o capas que puede utilizarse.
De lo expresado en estos apartados, cabe significar las indicaciones que BBVA incluye sobre
cuestiones o aspectos reseñadas en el acuerdo de inicio del procedimiento que, a su juicio,
no se corresponden con las exigencias establecidas por las normas analizadas. En concreto,
BBVA señala que la obligación de informar a los interesados acerca de los datos o categorías
de datos objeto de tratamiento no está prevista en el artículo 13 del RGPD; y solo se exige en
el artículo 14 del mismo texto para supuestos en que los datos no se recaban del interesado,
si bien esta obligación se refiere a las categorías de datos y no a los concretos datos objeto
de tratamiento.
Asimismo, destaca también que los artículos 12 a 14 del RGPD no exigen ?al responsable del
tratamiento proveer a los interesados de información tan detallada que incluya las
características que no posee el tratamiento, es decir, no procederá informar acerca de, por
ejemplo qué datos o categorías de datos no son objeto de tratamiento o de las finalidades
para las que no se tratarán los datos, como por ejemplo, del hecho de que no se elaboran
perfiles?.
Y tampoco exigen aquellos artículos, ?cuando un tratamiento esté basado en el interés
legítimo del responsable o de un tercero, se incluya en la información que se proporcione a
los interesados el juicio de ponderación llevado a cabo para comprobar que los derechos o
intereses de los afectados no prevalecen sobre dicho interés legítimo, pese a que la AEPD
reprocha a esta parte en el Acuerdo de Inicio el no haber informado acerca de la mencionada
ponderación?.
B) BBVA relata en este apartado los trabajos y estudios previos que, desde noviembre de
2016, llevaron a cabo para la adecuación de sus actuaciones al RGPD, la implementación de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
12/146
medidas y la definición de la Política de Privacidad, que contemplaron la revisión de sus
procesos para el ejercicio de derechos, obtención del consentimiento de los interesados,
portabilidad de los datos, medidas de seguridad y establecimiento de procesos internos y
externos. En marzo de 2017 se revisó la política de privacidad en una nueva ?Cláusula
LOPD?, se analizó cómo obtener el consentimiento inequívoco de nuevos clientes, incluyendo
una serie de casillas en la citada Cláusula LOPD con un texto claro y sencillo, y se diseñó una
estrategia para informar a los interesados, para acabar aprobando en junio de ese año el plan
definitivo de elaboración de la nueva cláusula, que fue sometida a investigación por terceros
para ser testada con clientes. Las conclusiones se presentaron en octubre de 2017 y en
marzo de 2018 se presentó el modelo definitivo del texto incluido en la Cláusula LOPD para la
obtención del consentimiento.
BBVA aporta copia del análisis llevado a cabo por la propia entidad sobre el impacto del
RGPD en su actividad y las líneas de trabajo, medidas y actuaciones que conforman el plan
de adaptación; copia del plan definitivo de elaboración de la nueva Cláusula LOPD; y un
extracto de la presentación realizada en octubre de 2017 sobre las conclusiones de estos
trabajos.
Según BBVA, el mencionado plan consistía en la redacción de un borrador del texto de dicha
cláusula y en la realización por terceros externos de una investigación con clientes,
diferenciando entre clientes que se relacionan con la entidad por medios electrónicos y los
que no, a efectos de validar el contenido y formato de dicho texto, testar la comprensión del
mismo y analizar los canales óptimos para contactar con los interesados y recabar su
consentimiento.
En concreto se realizaron dos investigaciones:
. Manifiesta BBVA que la primera investigación consistía en optimizar la eficacia de la
comunicación a clientes, de modo que, respetando en todo caso las exigencias del RGPD, la
cláusula permitiera captar la atención de los clientes para lograr la aceptación de los
tratamientos basados en el consentimiento. Se llevaron a cabo entrevistas a usuarios de
banca online (web y app) presentando los nuevos modelos de cláusula.
Según BBVA, los resultados de esta investigación mostraron que casi el 90% de los
entrevistados aceptaban los diversos tratamientos basados en su consentimiento y que, en
los casos en que no lo hacían, el rechazo se centraba exclusivamente en la recepción de
comunicaciones comerciales, sobre todo de terceros.
Sobre esta investigación, en el documento aportado por BBVA, correspondiente al extracto de
la presentación realizada en octubre de 2017 sobre las conclusiones de estos trabajos, se
dice lo siguiente:
?Objetivo: Optimizar la comunicación a clientes (email y página de firma) para conseguir mayor número
de aceptación de las finalidades de tratamiento de datos?.
?Resultados generales: casi el 90% de los entrevistados acepta todas las condiciones, ya sea de
manera expresa o por defecto; dos tercios de los entrevistados aceptaron las condiciones GDPR de
manera instantánea, sin leer; la no aceptación se centra exclusivamente en la recepción de
comunicaciones comerciales, sobre todo de terceros?.
?Conclusiones: el modelo actual sería válido (tras las modificaciones), es eficiente para estimular la
aceptación de la política de protección de datos (casi 9 de cada 100 consultados acepta todas las
cláusulas); la mención a terceros genera rechazo y desconfianza, convirtiéndose en una barrera y
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
13/146
provocando el rechazo de más finalidades y no solo las comunicaciones comerciales; la no aceptación
de las finalidades se centra en el rechazo de cualquier tipo de comunicación comercial (especialmente
de terceros); se echa en falta el beneficio cliente: cuesta identificar el beneficio en el día a día al
aceptar el uso de sus datos, la aceptación o rechazo de las condiciones no tendrá ninguna repercusión;
en mobile se presta menos atención: se vincula a una actualización y se lee menos (se acepta
directamente)?.
?Consideraciones generales: en general los clientes no se detienen en la pantalla y los que lo hacen
leen en ?diagonal?. Aceptan sin leer ya que la confianza en BBVA es elevada y propicia un análisis
menos exhaustivo de la cláusula?.
. Sobre la segunda investigación, BBVA señala en su escrito de alegaciones que tenía por
objetivo determinar la estructura y diseño óptimo de la Cláusula LOPD a efectos de mostrar el
mensaje de forma que no desvíe la atención de la intención principal del cliente y adaptar el
texto de las casillas para prestar el consentimiento de forma que los clientes sean plenamente
conscientes de las consecuencias que tendrá su otorgamiento o su denegación. Para ello se
realizaron entrevistas a clientes y no clientes.
En relación con esta investigación, en el extracto de las conclusiones se dice lo siguiente:
?Objetivo: adaptar los mensajes para que el cliente acepte las condiciones consciente de la pérdida que
supondría no hacerlo?.
En esta investigación se comprueba el porcentaje de aceptación según la estructura y
contenido del ?checkbox?. En todos los casos analizados se solicita la marcación de la casilla
en caso de no autorizar el uso de los datos con la finalidad de que se trate.
C) Sobre el contenido de la Política de Privacidad, destaca que sigue las recomendaciones
contenidas en la Guía elaborada por la AEPD. Se organiza en torno a una serie de preguntas
y se agrupan las finalidades, con una información básica y otra adicional, ambas con los
mismos apartados.
En relación con la finalidad 2 ?Para conocerte mejor y personalizar la experiencia?, advierte
que no implica la remisión de ofertas comerciales personalizadas, sino que los tratamientos
que se describen se refieren al análisis y valoración de los datos de los clientes, pero no al
envío de publicidad. Las únicas comunicaciones que se mencionan en este apartado son las
felicitaciones. En la información ampliada se informa que la base de legitimación es el interés
legítimo y se indica el concreto interés que se persigue. En ambos apartados se recuerda la
posibilidad de oponerse a este tratamiento.
La finalidad 3 ?Ofrecerte productos y servicios de BBVA, del Grupo BBVA y de otros
personalizados para ti? es la que se refiere al envío de todo tipo de comunicaciones con fines
comerciales, a través de los canales que se indican.
La finalidad 4 también hace referencia a fines comerciales, pero se describe la comunicación
de los datos a otras entidades del Grupo para que sean éstas las que directamente se
comuniquen con el cliente, siempre que así lo haya autorizado. Se identifican las entidades
receptoras, la finalidad y las categorías de datos que serán comunicados.
La finalidad 5 detalla los tratamientos realizados por BBVA para ?Mejorar la calidad de los
productos y servicios?, si bien, como se indica en la ?Información Ampliada?, la información
obtenida del uso de productos, servicios y canales de BBVA está anonimizada y, por tanto,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
14/146
excluida del ámbito de aplicación de la normativa. Aun así, se decidió someter esta finalidad al
consentimiento del cliente.
D) En relación con las valoraciones llevadas a cabo en el Acuerdo de Inicio sobre la Política
de Privacidad, BBVA manifiesta lo siguiente:
. Como consideración previa, reitera que no entiende los criterios que han determinado el
inicio de procedimiento y los importes de sanción propuestos por unas reclamaciones que no
guardan relación con los hechos que justifican dicha apertura; y que de entre los distintos
poderes correctivos se haya optado por el más grave, en lugar de otras alternativas que
hubiesen permitido la corrección de una hipotética situación de incumplimiento.
Entiende que es necesario tener presente el entorno y la problemática que ha supuesto la
interpretación de las previsiones del RGPD, a la que no se ha abstraído la propia Agencia; y
cita el ?Informe sobre políticas de privacidad en Internet. Adaptaciones al RGPD? para señalar
que es una muestra de esas dificultades, si bien sus conclusiones no supusieron el mismo
reproche.
Además, entiende BBVA que se utiliza el procedimiento para la adopción de criterios
generales de interpretación de las normas de protección, lo cual no es admisible a la luz de la
doctrina de la Audiencia Nacional.
. Dedica este subapartado a analizar el contenido del Acuerdo de Inicio en lo que respecta a
la información facilitada a los clientes por BBVA.
El procedimiento se inicia por vulneración el artículo 13 del RGPD, pero se hace referencia al
incumplimiento de la obligación de informar a los interesados sobre las categorías de los
datos personales tratados, que se exige en el artículo 14 de dicho Reglamento y no en el 13.
Aun así, BBVA incluye las categorías de datos al inicio de la información ampliada, siguiendo
el ejemplo publicado en la ?Guía para el cumplimiento del deber de informar? de la AEPD,
añadiendo, además, una descripción de la tipología de datos, ofreciendo información más
exhaustiva de lo que la propia EAPD sugiere en la mencionada Guía.
Por otra parte, la Agencia, en el repetido acuerdo, da a entender que debería informarse
sobre qué datos concretos se utilizan para cada tratamiento, a pesar de que esta exigencia no
está prevista en el RGPD ni en ninguna directriz publicada por la Agencia, el GT29 o el EDPB.
De la misma forma, tampoco ningún texto indica que deba informarse sobre los datos o
tratamientos que no realiza el responsable. Considera meras conjeturas sin prueba alguna las
indicaciones sobre qué podría ocurrir si entre la información recabada por el Banco a partir del
uso de productos, servicios y canales del BBVA integrara información relativa a ?la cuota
sindical? o cuotas abonadas a partidos políticos, o entidades de carácter religioso, o por el
uso de servicios prestados por entidades sanitarias o religiosas?, esto es, categorías
especiales de datos personales. Lo cierto, añade BBVA, es que la política de privacidad no
hace alusión a estos datos o tratamientos simplemente porque no se realizan.
Si se añadiesen todos los detalles que ahora parece exigir la AEPD, daría lugar a un texto
extenso y previsiblemente poco comprensible, dando lugar a cansancio o fatiga informativa,
que proscriben tanto la Agencia como el GT29.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
15/146
En la misma línea, la Agencia indica que la información facilitada no permite al interesado
tener una idea clara sobre los datos que se comunicarán a las entidades del Grupo. A este
respecto, el citado artículo 13 del RGPD exige informar sobre los destinatarios o categorías
de destinatarios de los datos personales, sin mencionar la categoría de datos. Aún así, se
informa que se facilitarán los datos identificativos, de contacto y datos transaccionales, para
que pueda el interesado recibir ofertas comerciales. Los datos transaccionales se detallan en
la descripción de la finalidad 4 (importes de ingresos y gastos, saldos y utilización de nuestros
canales).
La AEPD lleva a cabo una interpretación del artículo 13 del RGPD que excede de su
contenido y de su propia interpretación. Con ello, estaría dictando nuevas directrices sobre el
contenido del deber de informar más exigente que el indicado en su Guía, utilizando para ello
un procedimiento sancionador en claro perjuicio de BBVA. A este respeto, cita la Sentencia de
la Audiencia Nacional de 23/04/2019 (recurso 88/2017), que declaró contrario a los principios
del derecho sancionador el establecimiento de criterios generales en el seno de un
procedimiento sancionador.
También la Agencia considera inadecuada o insuficiente la información facilitada en relación
con la finalidad 2 ?Conocerte mejor y personalizar tu experiencia?, y señala dicha Autoridad de
control que se informa sobre la realización de ofertas personalizadas y la mejora de productos
y servicios con base legal en el consentimiento del interesado y en el interés legítimo. Sin
embargo, en la descripción de esa finalidad se habla de valorar nuevas funcionalidades,
productos y servicios y valorar ofertas personalizadas, pero no se hace alusión a la remisión
de ofertas comerciales o publicitarias. La finalidad 2 permite conocer el canal que prefiere el
cliente, qué productos tienen un mejor funcionamiento, qué nuevos productos podrían ser
interesantes para los clientes, responder a un cliente que se interesa por los productos de la
entidad ofreciendo aquellos que se ajustan a sus necesidades. En este sentido, la descripción
realizada en la finalidad 2 se refiere únicamente a la realización de un perfilado interno de
clientes para personalizar su experiencia o responder más eficientemente a sus solicitudes.
La remisión de publicidad, que puede estar basada en dicho perfil, se enmarca en la finalidad
3, cuya base de legitimación es el consentimiento.
Sólo la finalidad 2 se refiere al uso del perfil. En este sentido, añade BBVA, las expresiones
poco claras e imprecisas a las que se refiere la Agencia, tales como ?personalizar tu
experiencia?, ?ofrecerte productos y servicios personalizados? o ?perfil comercial?, son
sustancialmente parecidas a las contenidas en el ejemplo de segunda capa de la página 11
de la ?Guía para el cumplimiento del deber de informar? de la AEPD: ?poder ofrecerle
productos y servicios de acuerdo con sus intereses?, ?mejorar su experiencia de usuario?,
?elaboraremos un perfil comercial?.
En definitiva, la finalidad 2 describe los tratamientos para realización de perfiles y su uso no
comercial; mientras que la finalidad 3 los tratamientos que, pudiendo aprovechar dicho perfil,
conlleva la remisión de ofertas comerciales.
Adicionalmente, y en contra de lo señalado por la AEPD, en la finalidad 2 se informa de cómo
se elabora el perfil del cliente y que para lograrlo se analizan diferentes datos, que se detallan
a continuación, y se expresa la posibilidad de oponerse al tratamiento.
Por otra parte, en cuanto a los reparos indicados por la AEPD por no informar sobre los
concretos intereses legítimos en que se basa el BBVA para estos tratamientos, advierte que
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
16/146
esa información se incluye en el apartado ?¿Por qué razón utilizamos tus datos personales??,
en el que se detallan las bases que legitiman el tratamiento (?? para que desde BBVA
podamos atender mejor tus expectativas y podamos incrementar tu grado de satisfacción
como cliente al desarrollar y mejorar la calidad de productos y servicios propios o de terceros,
así como realizar estadísticas, encuestas o estudios de mercado que puedan resultar de
interés? para ser un banco cercano a ti como cliente??).
Por último, manifiesta que la política de privacidad no menciona la existencia de decisiones
automatizadas reguladas en el artículo 22 del RGPD dado que no se llevan a cabo. Las
decisiones a las que se refiere el apartado relativo a la finalidad 2 no encajarían en el régimen
establecido en el artículo 22 del RGPD, toda vez que no producirían efectos jurídicos en los
destinatarios de la publicidad que hubiera sido remitida ni podría considerarse que dicha
remisión afecte significativamente de modo similar a los clientes.
4. De la existencia de una base jurídica para el tratamiento de los datos de los clientes de
BBVA.
A) Licitud de los tratamientos de datos realizados sobre la base del interés legítimo
prevalente.
Como se ha indicado, esta cuestión tiene que ver con los tratamientos que se realizan con la
finalidad de ?Conocerte mejor y personalizar tu experiencia? (finalidad 2), que en ningún
momento se refiere al envío de comunicaciones comerciales que BBVA basa en el
consentimiento del interesado. Aquellos tratamientos consisten únicamente en el análisis del
comportamiento de los clientes en relación con los canales, productos y servicios ofertados
por BBVA para obtener indicadores que le permitirán ajustar adecuadamente su modelo de
negocio, desarrollar y mejorar su cartera de productos y servicios, ajustándolos a las
preferencias de los clientes, así como la calidad de los servicios. Sólo si cuenta con el
consentimiento del interesado, podrá aplicar el resultado de ese tratamiento para la remisión
de comunicaciones comerciales a los clientes (finalidad 3). No existe, por tanto, confusión
alguna entre ambos tratamientos
A este respecto, la Agencia concluye que la base jurídica del artículo 6.1 f) del RGPD no es
aplicable a estos tratamientos considerando que no se exponen claramente los intereses
legítimos de BBVA (a partir de una definición incompleta del interés legítimo contenida en el
glosario), no se informa de la evaluación de la prevalencia del interés legítimo y porque la
cláusula explicita las expectativas razonables de los interesados que BBVA aprecia que
concurren en los mismos.
Considera BBVA que ninguno de esos argumentos permite alcanzar la conclusión pretendida
por la Agencia debido a que el interés legítimo no fundamenta, como se ha dicho, el envío de
comunicaciones comerciales.
Además, la información ampliada detalla el interés legítimo de BBVA (atender mejor las
expectativas del cliente e incrementar su grado de satisfacción, desarrollar y mejorar la
calidad de sus productos y servicios, así como realizar estadísticas, encuestas o estudios de
mercado); la AEPD no ha probado que no se haya realizado la prueba de ponderación y la
norma no exige que esta información se traslade a los interesados. BBVA considera que no
debe ser de conocimiento público.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
17/146
Por otra parte, entiende contradictorio que se objete la ausencia de la ponderación y se
considere, al tiempo, excesivo que BBVA explicite qué entiende que los clientes esperan de
su entidad financiera, cuál es su expectativa razonable, elemento capital para determinar la
prevalencia del interés legítimo de un responsable del tratamiento.
En base a ello, entiende la Agencia que dicha expectativa es inducida por BBVA y que los
clientes no esperan razonablemente que se utilicen sus datos para mejorar los productos y
servicios y mejorar la experiencia del cliente. A este respecto, en un estudio realizado en
2018 por BBVA entre sus nuevos clientes, consultados sobre lo que esperan de la entidad, las
primeras respuestas fueron, por este orden, la obtención de un trato personalizado, en buen
servicio en la oficina, herramientas y productos sorprendentes o la oferta de productos de
ahorro o inversión adaptados (según el documento aportado por BBVA, este resultado
corresponde a la pregunta ?¿Qué aspectos son para usted más importantes y qué espera
recibir de BBVA en esta nueva relación??). Así, la referencia efectuada en la Política de
Privacidad a la expectativa razonable responde al resultado del análisis efectuado por la
propia entidad.
Entender que la expectativa razonable ha de permanecer oculta, que al ponerla de manifiesto
en la cláusula informativa pierde su carácter de expectativa, es contrario a la lógica y
perjudica la obligación de garantizar la mayor claridad de la información.
En relación con las afirmaciones de la Agencia sobre la posibilidad de que la utilización de los
datos con la finalidad de conocer mejor al cliente puede conllevar un análisis exhaustivo sobre
el mismo, que se funda en la posible utilización de datos ajenos a los productos contratados,
recabados del uso de productos, servicios y canales de BBVA; entiende la entidad que se
trata de meras conjeturas que no responden a la realidad de los tratamientos llevados a cabo.
BBVA no realiza estos tratamientos, tal y como se expone en la información relacionada con
un proyecto de BBVA, denominado ?Customer Data Cube?, en el que se indican los datos que
se utilizan en el marco de las finalidades basadas en el interés legítimo para realizar modelos
predictivos sobre las propensiones de los clientes a determinados productos o
recomendaciones, que no guardan relación con la identificación de emisores de las ordenes
de cargo o abono ni se tratan de forma agregada, y solo se diferencia si se trata de ?recibos
básicos? o ?recibos no básicos?. Ninguno de esos datos incluye información que no se refiera
al comportamiento del cliente en relación con los productos financieros comercializados por
BBVA y únicamente se incluye como dato adicional el riesgo referido al cliente, obtenido de la
CIRBE.
Según el detalle que consta en el documento ?Customer Data Cube?, BBVA utiliza las
variables que se indican a continuación, las cuales se calculan sobre un período de tiempo
determinado, sobre la evolución en un período (porcentaje por diferencia entre períodos de
tiempo) o sobre los saldos a una fecha determinada (último día del mes). Además de las
variables que identifican al cliente y las sociodemográficas (edad, clasificación nacional de
ocupaciones, sección censal, sexo, indicador de empleo, se toman en consideración las
variables siguientes (se citan algunos ejemplos):
. De vinculación y negocio generales (antigüedad del clientes, categoría, importe y evolución de pasivo
y activo?)
. Variables de activo:
. Saldos, tenencia y antigüedad (importe, evolución, media trimestral, porcentaje amortizado,
último vencimiento en préstamo consumo o hipotecario).
. Cirbe (riesgo, porcentaje de avales, cartera o leasing; riesgo a largo, a corto; riesgo directo o
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
18/146
indirecto?).
. De recursos (importe, evolución y media trimestral en plan de pensiones, fondos, renta variable o fija,
seguros de ahorro?).
. De transaccionalidad
. Tarjetas (importes y media trimestral con tarjeta de crédito o débito en comercios, cajeros?).
. Ingresos (importe, tenencia o número de meses de nómina, pensión?).
. Cuentas (media mensual, evolución de los líquidos, descubiertos?).
. Recibos (importe total en un año de recibos básicos y no básicos, número de recibos en un año,
recibos devueltos, media mensual?).
. De seguros (prima, tenencia, número de meses de seguro de hogar, vida?).
. Empresas (importe, evolución y media de avales; de cartera; cesión de nóminas; comercio exterior;
factoring; leasing; pagos certificados; renting?).
. Digitalización e interacción del cliente
. General (bbvanet; banca_mvl, multicanal)
. Uso de canales (días en los que hay eventos de contratación, operación o consulta, según canal
-incluido oficina y telefónico).
Así, el tratamiento analizado se encuentra vinculado al interés legítimo y permite a BBVA
optimizar el modelo de negocio; mejorar la calidad de los productos y servicios ofertados;
perfeccionar la gestión interna y la relación personalizada con el cliente; determinar la
propensión de los clientes a un determinado producto las preferencias en cuanto a canales a
través de los que se relacionan y los colectivos a los que pueden ofrecerse determinados
productos (a éstos no se remiten comunicaciones comerciales salvo que hubiesen otorgado
su consentimiento conforme a la finalidad 3).
En este sentido, considera lógica la existencia de una expectativa razonable de los clientes
sobre el tratamiento de sus datos para diseñar productos que pueden redundar en su interés.
Además, para ello no se tratan datos de terceros vinculados con el cliente en las
transacciones que realiza. Únicamente los datos referidos al comportamiento en relación con
los productos y canales, los cuales cumplen el principio de idoneidad y de necesidad.
Esta conclusión coincide con el criterio sustentado por la AEPD en su informe 195/2017,
emitido a instancia de la Asociación Española de Banca. En el apartado VII analiza la
prevalencia del interés legítimo de las entidades financieras para el análisis de los
movimientos transaccionales y/o capacidad de ahorro del cliente, para realizar observaciones
y ofrecer recomendaciones sobre productos y servicios. Y el mismo informe también se refiere
al tratamiento de la totalidad de las transacciones a fin de poder realizar un perfilado más
detallado que permita concretar con precisión los productos que deben ofrecerse. Y
contempla la adopción de garantías adicionales, como detallar de forma más minuciosa el
tratamiento que va a llevarse a cabo, y particularmente, el hecho de que los datos
transaccionales van a ser empleados para la elaboración de perfiles y ofrecer al interesado la
posibilidad de oponerse específicamente a este tratamiento. Por ello, entiende que la Agencia
estaría actuando contra sus propios actos y vulnerando el principio de confianza legítima.
Finalmente, sobre esta cuestión, señala que la Agencia conjetura sobre los tratamientos que
BBVA estaría realizando, sin disponer de prueba que lo acredite.
B) De la licitud de los tratamientos realizados por BBVA sobre la base del consentimiento de
sus clientes y la conformidad de dicho consentimiento con las normas de protección de datos.
a) Sobre el poder de control del afectado sobre sus datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
19/146
El cliente, desde el mismo momento en que gestiona su alta y mientras mantiene la relación,
dispone de un poder y un control absoluto sobre el tratamiento de sus datos, por cuanto se le
ofrece la posibilidad de optar y elegir sus preferencias en relación con las operaciones de
tratamiento que se llevan a cabo, en cualquier momento y a través de los distintos canales
puestos a su disposición presenciales y digitales.
Este poder de control es lo que pretende garantizar la normativa y así se ha pronunciado la
AEPD. En su reciente documento ?Control del usuario en la personalización de anuncios en
Android?, al referirse al deber de proporcionar al usuario un control real sobre sus datos
personales, y en el documento ?Guía sobre el uso de las cookies? cuando afirma ?? la
necesidad de implantar un sistema en el que el usuario sea plenamente consciente de la
utilización de aquellos dispositivos y de la finalidad de su utilización, siendo en definitiva
conocedores del destino de sus datos y las incidencias que este sistema implica en su
privacidad?.
Este resultado es el que se obtiene con los procesos y medios habilitados por BBVA,
ajustados a lo dispuesto en el artículo 7.2 del RGPD, en los que el interesado tiene absoluta
libertad de elección y control sobre sus datos, se presentan las distintas opciones para los
distintos tratamientos y finalidades de forma separada, no remite a documentos que no sean
fácilmente accesibles y utiliza una estructura granular a la hora de suministrar la información,
promovida por el legislador, la AEPD y el GT29 en sus ?Directrices sobre el consentimiento en
el sentido del Reglamento (UE) 216/679? en su versión revisada de 10/04/2018.
Se respetan, igualmente, las previsiones del Considerando 32, que admite muchas y distintas
fórmulas para obtener el consentimiento, en la medida en que quede claro que el interesado
acepta la propuesta de tratamiento de sus datos, separadamente para las distintas
actividades de tratamiento realizadas con el mismo o mismos fines; así como la prohibición
contenida en el artículo 7.4 del RGPD, referida a la supeditación de la ejecución de un
contrato a que el afectado consienta el tratamiento de sus datos con finalidades que no
guarden relación con el mantenimiento, desarrollo o control de la relación contractual; y la
referencia del Considerando 43 cuando afirma que ?se presume que el consentimiento no se
ha dado libremente? cuando el cumplimiento de un contrato, incluida la prestación de un
servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho
cumplimiento? o a la autorización por separado de las distintas operaciones de tratamientos
de datos personales.
No existe en el Acuerdo de Inicio ningún reproche a estas cuestiones capitales, de modo que
solo parece discutirse la forma en que se ha obtenido el consentimiento.
b) Sobre la obtención del consentimiento mediante la realización de una acción afirmativa de
los clientes.
El GT29, en relación con el carácter inequívoco del consentimiento, se refiere a una acción
por parte del afectado que revele un comportamiento, una manifestación de voluntad o, como
se dice en el RGPD, ?una clara acción afirmativa?, lo que supone que el interesado debe
haber actuado de forma deliberada. Por su parte, la ?Guía del RGPD para Responsables del
Tratamiento? de la AEPD se refiere a una manifestación del interesado o una clara acción
afirmativa.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
20/146
A este respecto, señala BBVA que ha optado por esta clara acción afirmativa:
. A través de cualquiera de los canales dispuestos, BBVA habilita la firma de la ?Declaración
de Actividad Económica y Política de Protección de Datos?, que ofrece al interesado las
distintas opciones en relación con las finalidades adicionales a la gestión de la relación
contractual. La suscripción de este documento es una clara acción afirmativa, que se lleva a
cabo con pleno conocimiento del alcance y consecuencias que conlleva (los propios
reclamantes han gestionado efectivamente sus preferencias). Además, a través de la
aplicación, el interesado tiene a su disposición un procedimiento sencillo para gestionar en
todo momento sus preferencias (reclamante 2).
. El proceso de alta, a través de canales digitales y presenciales indicados, cumple los
requisitos expresados en la ?Guía del RGPD para responsables del tratamiento? de la AEPD,
que recuerda que el consentimiento ?puede ser inequívoco y otorgarse de forma implícita
cuando se deduzca de una acción del interesado?. Es más, el Acuerdo de Inicio incurre en
contradicción dado que la AEPD, en relación con el reclamante 2, ha considerado válido el
proceso en el que el cliente ha marcado alguna de las casillas habilitadas para la prestación
del consentimiento, pero no cuando no ha marcado esas casillas y autoriza con su firma el
tratamiento de sus datos personales para las finalidades que se ponen a su disposición. La
firma ológrafa o digital del documento es una clara acción afirmativa que se lleva a cabo con
pleno conocimiento de su alcance, considerando el contenido claro de esas casillas y que, por
su posicionamiento, son claramente visibles y directamente accesibles.
En el ámbito de la gestión de las cookies o tecnologías similares, la autoridad de control ha
admitido como gestiones afirmativas actuaciones tales como navegar en una sección distinta
del sitio web que las utilizaría, cerrar el aviso de privacidad de la primera capa o pulsar sobre
algún contenido del servicio que se ofrece en la web. En este ámbito, el Documento 02/2013
del GT29 señala que ?asegurarse de que el comportamiento activo esté cerca de la ubicación
donde se presenta la información es esencial para estar seguro de que el usuario debe remitir
la acción a la información solicitada?. La ?Guía sobre el uso de las cookies? de la Agencia
admite como válido un enlace o botón para administrar preferencias junto con la posibilidad
de ?aceptar? o ?rechazar?, o admite ?la pulsación de teclas concretas? como acción afirmativa.
De la misma forma, la no marcación de las casillas y la posterior suscripción del precitado
documento comportan un ?movimiento físico? que puede considerarse como una acción
afirmativa clara con arreglo al RGPD, con la que el interesado logra el control sobre sus datos
personales.
Es más, en el régimen del consentimiento explícito, que refuerza el consentimiento ?ordinario?
en atención a los tratamientos y datos sometidos al mismo, las Directrices sobre el
consentimiento del GT29 admiten como consentimientos explícitos válidos formulas o
procesos menos exigentes que el implementado por BBVA. Así, en una declaración escrita,
estas Directrices citan un supuesto que podría asimilarse, en el que admite un ?si? o un ?no?
(ejemplo 17: ?Un responsable del tratamiento puede obtener también consentimiento explícito
de una persona que visita su sitio web ofreciendo una pantalla de consentimiento explícito
que contenga casillas de Sí y No, siempre que el texto indique claramente??). También se
cita como ejemplo, en el contexto digital o en línea, aquel en que un interesado puede emitir
la declaración requerida rellenando un impreso electrónico, enviando u correo electrónico,
cargando un documento escaneado con si firma o utilizando una forma electrónica.
. El consentimiento habilitado por BBVA no puede considerarse un consentimiento por omisión
o por inacción al existir en todo caso una conducta activa del interesado: en soporte papel
inserta la firma en el mismo lugar o teniendo a la vista las opciones que se ofrecen; en el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
21/146
canal digital, en muchas ocasiones el afectado habrá accedido, navegado por las distintas
pantallas habilitadas para gestionar su consentimiento, habiendo optado, o no, por rechazar
determinados tratamientos.
En este último caso, el proceso comporta la realización de dos acciones:
En primer lugar, el afectado dispone de un documento interactivo incluido como hiperenlace
en el texto que acompaña a una casilla (?he leído y acepto el tratamiento de datos
personales?), cuya marcación es bloqueante para poder continuar con el proceso de alta; el
reiterado documento que se utiliza en este canal está configurado en dos capas: una primera
que incorpora las casillas objeto de discusión, y una segunda capa con información ampliada;
En segundo lugar, tras la recogida de datos personales, el interesado vuelve a tener
disponible el documento con el resultado de la acción afirmativa de forma que, de estar
conforme, debe proceder a su firma.
Por tanto, no hay inactividad o ?silencio? que se interprete como un acto de aquiescencia o
aceptación, hay una concreta actividad o, cuando menos, la opción de llevarla a cabo. BBVA,
ni ningún otro responsable, no puede materialmente asegurar que la firma del cliente tiene
lugar después de la lectura pausada de la política de privacidad. No obstante, a fin de
garantizar que dicha acción tenga lugar, facilita reiterados e insistentes mensajes recordando
esa necesidad, de modo que el interesado es responsable de sus decisiones. Y no puede el
responsable completar o sustituir la autonomía de la voluntad del afectado.
Tampoco tiene lugar un consentimiento presunto pues no se produce una declaración o acto
positivo que suponga la aceptación de la política de privacidad en toda su extensión. El
interesado conoce dicha política y opta por elegir sus preferencias ya sea marcando las
casillas, ya sea suscribiendo dicha política de privacidad sin marcarlas.
No hay inacción, por las mismas razones y tampoco se trata de un supuesto de casillas
premarcadas, la continuidad de un servicio o funcionalidad como consecuencia del silencio o
la obtención de un consentimiento en el contexto de la aceptación de un contrato o de los
términos y condiciones de un servicio. Es más, la suscripción del documento es necesaria
para darse de alta como cliente de BBVA, lo que comporta la necesidad de que los clientes
accedan a los documentos, opten por cualquiera de las alternativas que se ofrecen y
suscriban el documento, manifestando su acuerdo o desacuerdo con las concretas
operaciones de tratamiento sometidas a su consentimiento.
C) Del consentimiento solicitado por BBVA como reforzamiento del derecho de los clientes en
tratamientos que podían estar basados en el interés legítimo prevalente de la entidad.
El tratamiento de los datos para la mayoría de finalidades respecto de las que se recaba el
consentimiento de los clientes podía haberse fundado por BBVA en la concurrencia del interés
legítimo prevalente de BBVA, de modo que la entidad, al recabar el consentimiento de los
interesados ha adoptado medidas reforzadas de responsabilidad activa.
Se refiere la entidad a las finalidades 3 y 5 de la Política de Privacidad (ofrecer productos y
servicios personalizados de BBVA, del Grupo BBVA y de otros; y para mejorar la calidad de
los productos y servicios).
A este respecto, recuerda el informe 195/2017 de la AEPD, citado en el apartado A) del
presente punto 4, cuyos apartados VII y VIII son aplicables al supuesto ahora analizado,
referido los tratamientos que una entidad financiera puede amparar en el interés legítimo en
relación con finalidades que, a juicio de BBVA, encajan con las enumeradas como 3 y 5 de la
información básica contenida en la cláusula informativa.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
22/146
A la vista de lo expuesto en ese informe, cabe concluir que la AEPD considera que, en
determinados supuestos y bajo determinadas circunstancias, el tratamiento de datos con la
finalidad de conocer las preferencias del cliente y su comportamiento en relación con los
productos, así como para el establecimiento de perfiles que permitan la remisión de
comunicaciones comerciales personalizadas, se encontraría amparado en el artículo 6.1.f) del
RGPD, lo que excluiría la necesidad de que los clientes prestasen su consentimiento.
Así, la entidad ha reforzado el poder de disposición de los interesados sobre sus datos
personales, permitiendo expresar su negativa u oposición al tratamiento desde el mismo
momento de la recogida de sus datos, sin tener que hacer uso del derecho de oposición en un
momento posterior. Además, el ejercicio de este derecho debe justificarse en algunos
supuestos (?motivos relacionados con su situación particular?), mientras que en la opción
ofrecida el cliente se funda en su única y exclusiva voluntad.
Por ello, de seguirse el razonamiento del acuerdo de inicio, la AEPD estaría considerando
más lesivo solicitar el consentimiento cuando no resulta exigible que informar sobre los
tratamientos que la entidad responsable pretende basar en el interés legítimo prevalente.
En base a todo lo expuesto en el presente punto 4 de las alegaciones de BBVA, esta entidad
concluye que el tratamiento llevado a cabo para la finalidad 2 se encuentra plenamente
fundado en el interés legítimo; los realizados para las finalidades 3, 4 y 5 se fundan en el
consentimiento otorgado por los interesados con todas las exigencias establecidas; y que en
el caso de las finalidades 3 y 5 esa solicitud del consentimiento constituye una medida
reforzada de responsabilidad activa adoptada por BBVA.
DÉCIMO: Mediante escrito de 02/07/2020, notificado a BBVA el día 6 del mismo mes, el
instructor del procedimiento acordó la apertura de un período de práctica de pruebas,
teniéndose por reproducidas a efectos probatorios las reclamaciones interpuestas y su
documentación anexa, así como los documentos y declaraciones obtenidos por la
Subdirección General de Inspección de Datos en relación con dichas reclamaciones en el
trámite de solicitud informativa previa a la admisión a trámite. Asimismo, se tuvieron por
presentadas las alegaciones al acuerdo de inicio formuladas por BBVA y la documentación
que a ellas acompaña.
Por otra parte, se acordó requerir a la entidad BBVA para que en un plazo de diez días
hábiles aportase la información y/o documentación siguiente:
a) Copia del registro de todas las actividades de tratamiento de datos personales efectuadas bajo la
responsabilidad de BBVA a las que se hace mención en el formulario de recogida de datos personales
denominado ?Declaración de actividad económica y política de protección de datos personales?, en su
versión inicial, junto con cualquier adición, modificación o exclusión en el contenido del mismo.
b) Copia de la/s evaluación/es del impacto en la protección de datos personales relativa/s a cualquier
tipo de operaciones de tratamiento de datos personales efectuadas bajo la responsabilidad de BBVA,
de las mencionadas en el formulario ?Declaración de actividad económica y política de protección de
datos personales?, que entrañen un alto riesgo para los derechos y libertades de las personas físicas,
en su versión inicial y, en su caso, con el detalle de las modificaciones o actualizaciones que pudieran
haberse realizado.
Asimismo, de haberse producido un cambio del riesgo que representen las operaciones de tratamiento
y de haberse estimado necesario, se solicitó el resultado del examen que BBVA haya podido realizar
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
23/146
para determinar si el tratamiento es conforme con la evaluación de impacto relativa a la protección de
datos (artículo 35.11 del RGPD).
c) Copia de los documentos en los que conste la evaluación realizada por la entidad BBVA sobre la
prevalencia o no de los intereses y derechos fundamentales de los interesados frente a los intereses de
BBVA en relación con las operaciones de tratamiento de datos personales efectuadas bajo la
responsabilidad de BBVA, de las mencionadas en el formulario ?Declaración de actividad económica y
política de protección de datos personales?, con las que se pretenda la satisfacción de intereses
legítimos perseguidos por la propia entidad BBVA o por un tercero.
d) Copia del informe en el que se recogen los resultados del estudio de opinión realizado entre los
meses de enero y febrero de 2018 entre nuevos clientes, al que BBVA se refiere en la página 44 de su
escrito de alegaciones y el Documento 9 adjunto a dicho escrito.
En atención a lo solicitado por BBVA, el plazo concedido fue ampliado en cinco días
hábiles.
Una vez rebasado el plazo total concedido, con fecha 03/08/2020, se recibió escrito de
respuesta al que BBVA acompañó la documentación siguiente:
A) Evaluación de impacto en la protección de datos personales de los tratamientos
relacionados con la realización de perfilados comerciales.
En este documento se indica lo siguiente:
?La tecnología es la palanca de cambio para redefinir la propuesta de valor centrada en las
necesidades reales de los clientes y ofrecerles una experiencia sencilla, agradable y acorde con sus
intereses, sin disminuir la seguridad. En banca minorista el principal cambio está en la manera en la
que los clientes acceden a los servicios financieros en el futuro. En canales de acceso, el móvil es
fundamental y seguirá creciendo.
En este punto, BBVA se replantea la experiencia del usuario, siendo fundamental la confianza de los
clientes, para poder ofrecerle productos y servicios ?personalizados? en base a sus preferencias, y
ayudarle así a tomar decisiones de forma inteligente.
Los datos son la base de la economía digital, y el Banco continúa avanzando en la implantación de las
distintas recomendaciones y sugerencias del defensor del cliente relativas a la adecuación de los
productos al perfil de los clientes y en la necesidad de la información transparente, clara y responsable.
En este contexto se enmarcan los tratamientos de datos que se van a analizar en el presente
documento, cuya base de legitimación es el interés legítimo de BBVA.
No obstante, y para una mejor comprensión, hemos dividido los tratamientos de perfilado de cliente en
cuatro módulos:
. Tratamientos de datos personales para módulos de propensión y uso de canales.
. Tratamientos de datos personales para hechos relevantes.
. Tratamientos de datos personales para analítica de negocio, carterización y encuestas.
. Tratamientos de datos personales para el módulo ?ofrecimientos? e insighst.
A continuación se analizan los cuatro módulos mencionados.
I.- Descripción del tratamiento para módulos de propensión y uso de canales
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
24/146
Descripción
Los datos personales se tratan para el diseño de módulos analíticos de propensión a la contratación de
productos y servicios por parte de los clientes de BBVA.
Asimismo, se analiza el uso de canales de comunicación con BBVA por parte del cliente, para
determinar sus preferencias.
Categorías de datos
. Identificativos y de contacto: principalmente para validaciones y uso de direcciones para realizar
deducciones o inferencias tales como, p. e. estimar que una persona que vive en una zona cara tiene
más probabilidades de tener recursos económicos.
. Económicos y de solvencia patrimonial, en particular datos de productos y servicios contratados e
información derivada de ellos.
. Datos transaccionales.
. Datos sociodemográficos.
. Datos incluidos en los servicios de agregación e iniciación de pagos.
. Datos de comunicaciones.
. Datos recogidos sobre el uso de canales?.
Tanto en el modelo de propensión a la contratación de productos y servicios, como en el
relativo a las preferencias de canales, en el apartado ?Intervinientes involucrados? se refiere a
?titulares activos?; en ?Destrucción? se indica ?24 meses (profundidad del tratamiento)? y
?Datos personales usados en el modelo 10 años x Ley de Prevención de Blanqueo de
Capitales?.
En el apartado ?Descripción sistemática de las operaciones y finalidades de tratamiento?
correspondiente a estos tratamientos para módulos de propensión y uso de canales se indica:
?Procedimiento para cumplir el deber de información: Se encuentra en el documento de política de
protección de datos personales, que es un documento independiente a cualquier contrato, y de
obligada firma por el interesado en el momento de hacerse cliente??.
?Procedimiento para la solicitud del consentimiento: No aplica. La base de legitimación es el interés
legítimo?.
?Procedimiento para el ejercicio de derechos: Se explican todos los canales para el ejercicio de
derechos? en el documento de política de protección de datos personales? Este documento está
publicado en su versión más reciente en la página web de BBVA? Además, en cualquier oficina
(sucursal) de BBVA se puede solicitar su ejercicio?.
Apartado ?Beneficios para los interesados?:
?Estos tratamientos benefician al interesado en cuanto permiten a BBVA ofrecerle mejor servicio desde
el conocimiento del cliente en particular, pudiendo proponer diferentes modelos de gestión (un gestor
remoto, un gestor presencial o gestores especializados) así como ofrecer al cliente soluciones
personalizadas que le ayuden a gestionar mejor sus finanzas?.
Apartado ?Beneficios para la entidad en general?:
?. BBVA puede entender con estos tratamientos qué producto o servicio puede encajar mejor a cada
cliente, anticipándose a las necesidades de éste, siendo esta información muy valiosa para la
planificación del Banco.
. Se trata de una personalización de la tendencia de cada cliente hacia la posible contratación de un
determinado producto o servicio, por lo que el Banco se acerca al comportamiento potencial del cliente,
y esto le ayuda a entenderlo mejor.
. Por otro lado, conocer mejor las preferencias de uso de canales permite a la entidad poder mejorar
aquellos que tienen más éxito, mejorar su calidad y plantearse nuevos canales o el cierre de alguno
existente?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
25/146
?II.- Descripción del tratamiento para hechos relevantes
Descripción
Se realiza un análisis comportamental de la actividad de las cuentas y tarjetas de cliente, teniendo
en cuenta factores tales como movimientos categorizados por BBVA, frecuencia, periodicidad y
recurrencia, lo que nos permite anticiparnos y predecir movimientos y saldos del cliente, con
impacto potencial en sus finanzas. Esto se conoce como generación de "hechos relevantes",
información muy relevante para el cliente y gracias a este análisis podemos informar a cada uno
en particular de los suyos, permitiéndole actuar y tomar decisiones en beneficio de su economía y
a su debido tiempo.
Categorías de datos
. Identificativos y de contacto.
. Económicos y de solvencia patrimonial (datos de BBVA sin acudir a fuentes externas)
. Datos transaccionales.
. CIRBE
. Ficheros de solvencia patrimonial y de crédito.
Análisis del Tratamiento
Contexto
(?)
Con objeto de atender mejor sus expectativas, y como consecuencia de ello, mejorar su
satisfacción con el servicio de BBVA, para fidelizarlo y que deposite en nosotros su confianza, el
área de DATA en el Banco trabaja en distintos proyectos.
En este contexto interno nace este análisis comportamental que permite la generación de hechos
relevantes, ofreciendo una gran "personalización" de las finanzas de cada cliente, adelantándonos a
sus posibles necesidades financieras para comunicárselo, y ayudarle así a tomar decisiones de forma
más inteligente?.
?los hechos relevantes que se generan se pueden comunicar en dos modos diferentes:
. Vía mensaje de tipo Push en la aplicación móvil del cliente, o
. En un espacio de la aplicación móvil?.
En el apartado ?Intervinientes involucrados? se refiere a ?titulares activos?; en
?Uso/tratamiento? se indica ?Análisis comportamental para generación de hechos relevantes.
Presentación al cliente?; en ?Destrucción? se indica ?24 meses (profundidad del tratamiento)? y
?Datos personales usados en el modelo 10 años x Ley de Prevención de Blanqueo de
Capitales?.
En el apartado ?Descripción sistemática de las operaciones y finalidades de tratamiento? se
incluye la misma información sobre procedimiento para cumplir el deber de información,
procedimiento para la solicitud del consentimiento y procedimiento para el ejercicio de
derechos ya indicada en relación con los tratamientos para módulos de propensión y uso de
canales.
?Beneficios para los interesados
Se trata de realizar análisis sobre las finanzas del cliente orientados a ayudarle con situaciones
financieras que le hayan podido pasar desapercibidas, y que podrían tener un impacto en su
economía, como podría ser la predicción de un pago que pueda generar un descubierto en su
cuenta. También se le podría comunicar un ahorro más alto de lo habitual en sus finanzas, para
que sepa que cuenta con más recursos de lo normal.
Beneficios para la Entidad en General
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
26/146
El Banco amplía y mejora su cartera de productos, con un claro foco en ofrecer lo que el cliente
necesita y en hacerlo con calidad?.
?III.- Descripción del tratamiento para analítica de negocio y encuestas
Descripción
Con objeto de atender mejor las expectativas de los clientes e incrementar su grado de
satisfacción, lo que redunda en la mejora de la calidad de productos y servicios, BBVA realiza
tratamientos de datos para el análisis de su negocio, lo que le permite tomar decisiones para el fin
indicado.
Esto implica perfilar al cliente, para conocer mejor nuestra cartera, identificando nichos de clientes
con un perfil financiero determinado que puedan ser de mayor o menor interés para la entidad. Se
trata de una segmentación por bolsas de valor para BBVA o, internamente, "carterización".
Así, cada nicho tiene distintos objetivos y necesidades respecto de sus finanzas, y este
conocimiento permite tomar decisiones al negocio.
Esto se complementa con la realización de estadísticas, encuestas y en algunos casos, estudios
de mercado.
Categorías de datos
. ldentificativos y de contacto: principalmente para validaciones y uso de direcciones para realizar
deducciones o inferencias tales como, p.e. estimar que una persona que vive en una zona cara
tiene más probabilidad de tener recursos económicos.
. Económicos y de solvencia patrimonial, en particular datos de productos y servicios contratados
e información derivada de ellos (datos internos de BBVA).
. Datos transaccionales.
. Datos sociodemográficos.
. Datos recogidos sobre el uso de canales.
. Datos de agregación e iniciación de pagos.
. Datos de comunicaciones.
. Datos sobre ti (uso canales, tus productos y servicios)?.
En relación con el ?tratamiento de analítica del negocio para satisfacer al cliente y mejora de
la calidad de los servicios?, en el subapartado ?Intervinientes involucrados? se refiere a
?titulares?; en ?Uso/tratamiento? se indica ?Analítica de seguimiento de negocio?; en
?Destrucción? se indica ?24 meses (profundidad del tratamiento)? y ?Datos personales 10 años
x Ley de Prevención de Blanqueo de Capitales?.
En relación con el ?tratamiento de encuestas para atender las expectativas de los clientes y
mejorar su satisfacción con BBVA?, en el subapartado ?Intervinientes involucrados? se refiere
a ?titulares?; en ?Uso/tratamiento? se indica ?Encuestas para mejorarla satisfacción del cliente?;
en ?Destrucción? se indica ?24 meses (profundidad del tratamiento)? y ?Datos personales 10
años x Ley de Prevención de Blanqueo de Capitales?.
En el apartado ?Descripción sistemática de las operaciones y finalidades de tratamiento? se
incluye la misma información sobre procedimiento para cumplir el deber de información,
procedimiento para la solicitud del consentimiento y procedimiento para el ejercicio de
derechos ya indicada en relación con los tratamientos para módulos de propensión y uso de
canales.
?Beneficios para los interesados
La analítica de negocio y las encuestas están orientadas a tener un mejor conocimiento del perfil
del cliente, lo que nos permite mejorar la cartera de productos e incrementar la calidad de los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
27/146
servicios. Esto redunda en una mayor satisfacción de los clientes con BBVA.
Beneficios para la Entidad en General
La entidad fideliza a los clientes, se gana su confianza con productos que interesan más y son de
mejor calidad?.
IV.- Descripción del tratamiento para el módulo "Ofrecimientos" (modo reactivo y modo proactivo) e
lnsights
?Descripción
En el Contact Center se realizan acciones comerciales con los clientes que llaman para preguntar
por sus dudas o inquietudes. Dichas acciones se llevan a cabo durante la llamada del cliente,
siempre después de atender la cuestión por la que éste ha contactado.
. Modo reactivo: cuando es el cliente quien muestra interés en otro u otros productos o
servicios, y pregunta al agente. Éste entra en el módulo "ofrecimientos" de la plataforma
Nácar, que contiene la base de datos de clientes, y que funciona en modo online. Este
módulo carga en ese momento y en función del perfil de ese cliente en particular, después de
pasar filtros por la marca Robinson, los productos y servicios que podrían ser de interés para
ese cliente, por el perfilado que le hace.
. Modo proactivo: el agente entra en el módulo "ofrecimientos" de Nácar, que pasa filtros por la
marca Robinson, y le presenta en pantalla la información que ha cargado en función del
perfilado de ese cliente, sobre los productos y servicios que podrían ser de interés para dicho
cliente. En este caso, es el agente quien se los ofrece al cliente proactivamente. No obstante,
en este análisis se excluye la posible actividad comercial posterior, limitándose al tratamiento
de datos personales para el perfilado que en el módulo "ofrecimientos" se realiza.
Categorías de datos
Tanto en el modo reactivo como el proactivo, el módulo "Ofrecimientos" trata las mismas
categorías de datos personales, que son las siguientes:
. Datos identificativos.
. Datos económicos y de solvencia patrimonial (información de BBVA, sin acudir a fuentes
externas), datos de productos y servicios contratados.
. Datos transaccionales.
. Datos sociodemográficos.
. Datos uso de canales?.
En relación con el ?tratamiento para ofrecimiento de productos y servicios en contac center a
clientes? se indica:
. ?Intervinientes involucrados?: ?Clientes Contac center?;
. ?Uso/tratamiento?: ?ofrecimientos? y si no es Robinson de manera reactiva o proactiva le ofrece alguno de los productos o
servicios que le muestra la pantalla. Si el cliente decide contratar, el agente accederá al proceso de
contratación correspondiente?;
. ?Destrucción? se indica ?24 meses (profundidad del tratamiento)? y ?Datos personales 10 años x Ley
de Prevención de Blanqueo de Capitales?.
En el apartado ?Descripción sistemática de las operaciones y finalidades de tratamiento? se
incluye la misma información sobre procedimiento para cumplir el deber de información y
procedimiento para el ejercicio de derechos ya indicada en relación con los tratamientos para
módulos de propensión y uso de canales. Sobre el ?procedimiento para la solicitud del
consentimiento? se indica ?No aplica. No es objeto de análisis de este documento la posible
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
28/146
actividad comercial y el tratamiento de datos personales que conlleva y que requiere
consentimiento?.
?Beneficios para los interesados
Los clientes que estén interesados en contratar un servicio o producto no tienen que esperar
a que el agente valore sus necesidades y preferencias, porque el perfilado ya lo ha hecho,
facilitando la contratación, ya que se puede realizar durante la llamada, y ahorrando tiempo al
cliente.
Beneficios para la Entidad en General
El Banco maximiza su potencial de venta aprovechando la interacción del cliente con BBVA?.
En el apartado ?Análisis de la necesidad del tratamiento? se indica:
?. Legitimación: por interés legítimo.
Justificación: ver informe de ponderación del interés legítimo donde se justifican detalladamente?.
Por otra parte, en este documento, en relación con todos los módulos expuestos, se
identifican, entre otras, las siguientes medidas para la reducción del riesgo:
?. Transparencia de los procedimientos: Cláusula de tratamiento de datos personales de clientes
vigente.
. Ejercicio de derechos: Procedimiento interno de respuesta a ejercicio de derechos; informado en las
cláusulas de tratamiento de datos personales.
. Ausencia de legitimidad en el tratamiento: Análisis de ponderación sobre interés legítimo para realizar
perfilados de riesgos?.
B) Evaluación de impacto en la protección de datos personales de los tratamientos
relacionados con la realización de perfilados de riesgo.
En este documento se analizan tratamientos que responden a modelos regulatorios y aquellos
que responden a modelos analíticos. Se omite la reseña de los primeros y se destacan a
continuación los aspectos principales de los modelos analíticos:
?La entidad debe cumplir con determinadas obligaciones normativas relativas al denominado
crédito responsable y de control de riesgo financiero. Ello supone una continua evaluación de la
solvencia financiera de sus clientes mediante el tratamiento de los datos personales que más
adelante se detallan, y que como resultado asigna un límite de potencial de endeudamiento a
cada cliente, en modo dinámico.
Con esta finalidad de evaluación continua de la solvencia de sus clientes, BBVA genera y aplica a
los mismos sistemas y algoritmos (modelos analíticos) que permiten prever o predecir el
cumplimiento del cliente frente a la posible contratación de un producto de activo (normalmente
préstamos), definiendo unos parámetros de concesión y puntos de cortes para decidir, en su caso,
qué financiación puede ser la idónea para el cliente particular y qué cuantías máximas podría
asumir sin ver comprometida su estabilidad financiera.
De esta forma, el Banco otorga al consumidor la posibilidad de acceder a financiaciones óptimas
en relación a su solvencia particular, redundando todo ello en mejores condiciones crediticias, en
un acceso rápido a líneas de financiación y en una particularización o personalización de
estas líneas de crédito, minimizando las situaciones de incumplimiento.
La aplicación de estos modelos analíticos permite, además, a la entidad mantener unos umbrales
de riesgo convenientemente establecidos, lo que evitaría, como ya se indicaba, una posible
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
29/146
desestabilización financiera de la compañía y por ende, potencialmente del sistema financiero
español?.
?? el despliegue de modelos de riesgo por parte de BBVA redunda en la obtención de una
información completa de las circunstancias que concurren en un potencial prestatario, actuando el
sistema como herramienta esencial para garantizar el cumplimiento de los principios de crédito
responsable impuestos por la? legislación?.
?Categorías de datos
Las categorías de datos personales tratados para la creación y gestión de modelos de riesgo
analíticos son:
. Identificativos.
. Económicos y de solvencia patrimonial, en particular datos de productos y servicios contratados.
. Datos transaccionales.
. Datos sociodem ográficos.
. Central de Información de Riesgos del Banco de España (CIRBE).
. Ficheros de solvencia y crédito?.
En relación con el ?tratamiento para modelos analíticos? se indica:
. ?Intervinientes involucrados?: ?titulares y garantes?;
. ?Uso/tratamiento?: ?Tratamiento de perfilado predictivo económico de cliente?;
. ?Destrucción? se indica ?Resultado del modelo: mensual?; ?Los datos para la elaboración del modelo:
10 años x Ley de Prevención de Blanqueo de Capitales?.
En el apartado ?Descripción sistemática de las operaciones y finalidades de tratamiento?
correspondiente a estos tratamientos para módulos de propensión y uso de canales se indica:
?Flujos de datos entre sistemas del modelo analítico: proactivos pasivos y motor de límites proactivos
los datos provienen interna e íntegramente de los sistemas de información de BBVA y de solvencia de
crédito externos.
Procedimiento para cumplir el deber de información: Se encuentra en el documento de política de
protección de datos personales, que es un documento independiente a cualquier contrato, y de
obligada firma por el interesado en el momento de hacerse cliente??.
?Procedimiento para la solicitud del consentimiento: No aplica. La base de legitimación en los modelos
de riesgo analíticos es el interés legítimo?.
?Procedimiento para el ejercicio de derechos: Se explican todos los canales para el ejercicio de
derechos? en el documento de política de protección de datos personales? Este documento está
publicado en su versión más reciente en la página web de BBVA? Además, en cualquier oficina
(sucursal) de BBVA se puede solicitar su ejercicio?.
?Beneficios para los interesados
Modelos Analíticos: el principal resultado es, generalmente, la preconcesión de operaciones
de crédito, incluyendo la delimitación del importe y plazo de devolución, lo que facilita la
disposición y reduce la documentación necesaria para la tramitación, en caso de que el
interesado solicite efectivamente la contratación, lo que redunda en una mayor rapidez y
comodidad para el contratante.
Beneficios para la Entidad en General
. Permite medir y gestionar los riesgos como base de solvencia de la entidad.
. Además, asegura el cumplimiento normativo.
. Sumado a otras variables, el Banco puede cumplir con su obligación de proporcionar un
crédito responsable a sus clientes, en beneficio de la sociedad y del sistema bancario?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
30/146
En el apartado ?Análisis de la necesidad del tratamiento. Justificación? se indica:
?Modelos de riesgos analíticos: ver informe de ponderación del interés legítimo donde se justifican
detalladamente?.
Por otra parte, se identifican, entre otras, las siguientes medidas para la reducción del riesgo:
?. Transparencia de los tratamientos: Cláusula de tratamiento de datos personales de clientes vigente.
. Ejercicio de derechos: Procedimiento interno de respuesta a ejercicio de derechos; informado en las
cláusulas de tratamiento de datos personales de los clientes.
. Ausencia de legitimidad en el tratamiento: Análisis de ponderación sobre interés legítimo para realizar
perfilados de riesgos?.
C) Informe de ponderación de la prevalencia del interés legítimo en los tratamientos a los que
se refiere la finalidad numerada como 2 en el apartado ?¿Para qué finalidades los
usaremos??, contenido en el formulario de recogida de datos personales ?Declaración de
actividad económica y política de protección de datos personales?.
1. Después de una breve introducción, en la que se hace mención al artículo 6.1 f) del RGPD
y sus Considerandos 47 a 49; al ?Dictamen 6/2014, sobre el concepto de interés legítimo del
responsable del tratamiento de datos en virtud del artículo 7 de la Directiva?, del Grupo de
Trabajo del artículo 29 de la Directiva 95/46/CE, emitido el 09/04/2014; y el Informe 195/17,
emitido por el Gabinete Jurídico de la AEPD, de fecha 24/07/2017; se añade lo siguiente:
interés legítimo como base jurídica de los tratamientos que se describen a continuación.
2. Descripción de la actividad de tratamiento
2.1. Referencia al reflejo del tratamiento en el Registro de Actividades de Tratamiento (en
adelante, "RAT") de BBVA
Los tratamientos analizados en el presente informe aparecen recogidos en el RAT de BBVA con las
siguientes finalidades del tratamiento:
. Asignación límites preconcedidos
. Aplicación perfil
. Modelos de Propensión
. Contact Center - Módulo de ofrecimientos
. Hechos Relevantes e insights
. Análisis y propuestas de rentabilización de cartera de tarjetas
2.2. Finalidad perseguida por el tratamiento
La actividad de tratamiento analizada en el presente Informe tiene como finalidad la configuración por
BBVA de modelos analíticos para, a través de modelos de propensión, tener un mejor conocimiento de
sus clientes, pudiendo así optimizar su modelo de negocio, ofrecer una atención más personalizada a
aquellos y determinar sus preferencias, a fin de mejorar la calidad de los productos y servicios
ofertados y realizar las mejores sugerencias acerca de los mismos, que podrían ser posteriormente
comunicadas -únicamente a los clientes que así lo hubieran consentido- a través de los distintos
medios de interacción con la Entidad. Estas sugerencias pueden no referirse únicamente a productos
financieros sino, por ejemplo, a la forma de interactuar con la entidad (e.g. en caso de que el cliente
sea usuario habitual de los canales digitales se podría sugerir la no recepción de envíos postales).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
31/146
De este modo, el mencionado tratamiento tiene como objeto el análisis del comportamiento de los
clientes y de su interacción con BBVA en relación con los canales, productos y servicios ofertados por
la Entidad, lo que exigirá igualmente conocer su nivel de riesgo financiero. A partir de dicha
información, BBVA podrá obtener distintos indicadores que le permitirán ajustar adecuadamente su
modelo de negocio, determinando modelos de propensión de sus clientes hacia determinado tipo de
productos y servicios o hacia la utilización de distintos canales de interrelación con el Banco,
ofreciéndoles un trato más personalizado mediante la aplicación del modelo.
Por tanto, la actividad de tratamiento examinada se limita a analizar el comportamiento de los
clientes de BBVA, sin llevar a cabo ninguna actividad de tratamiento adicional que implique
interrelación con dichos clientes.
Como se ha indicado, este tratamiento únicamente supondría el mejor conocimiento del cliente
mediante la generación y aplicación del modelo analítico, pero en ningún caso supondrá la realización
de comunicaciones comerciales a los clientes. Sólo una vez generados los mencionados modelos y
realizado por tanto el tratamiento analizado en el presente informe, BBVA podría realizar un tratamiento
de datos, diferenciado de aquél, que consistiría en la remisión de dichas comunicaciones comerciales
de los productos y servicios de la Entidad, en su caso.
2.3. Delimitación de los colectivos de afectados y de los datos objeto de tratamiento
Los datos personales tratados para la realización de la actividad de tratamiento objeto del presente
Informe son los relativos a los clientes de BBVA, entendiendo por tales aquéllos que mantienen con la
Entidad un contrato en vigor.
En cuanto a los datos sometidos a tratamiento, incluye los referidos a categorías que son previamente
objeto de tratamiento por BBVA al amparo del artículo 6.1 b) del RGPD, al derivarse de las relaciones
contractuales que el cliente ya mantiene con BBVA como consecuencia de la contratación de otros
productos o servicios o de su interacción con la Entidad con ocasión del desarrollo de la relación
contractual. Estos datos serían los siguientes:
i. Datos ldentificativos y de contacto, tales como el nombre, apellidos, fotografía, DNI, pasaporte o NIE,
nacionalidad, direcciones postales, direcciones electrónicas, teléfono fijo, teléfono móvil, voz e imagen.
ii. Datos económicos y de solvencia patrimonial, tales como ingresos netos mensuales, saldo medio en
cuentas, saldo de activo, recibos domiciliados, nómina domiciliada, ingresos y gastos, así como los
relacionados con la calificación financiera del cliente.
iii. Datos transaccionales de forma categorizada, tales como saldos medios, ingresos medios, número
de recibos domiciliados, número de recibos referidos a la prestación de servicios básicos, tipología de
movimientos de cuentas y tarjetas. No se incluirían los datos referidos a los textos de los recibos por
inferencia desde el detalle de movimientos de cuentas y tarjetas (como por ejemplo, origen, destino,
concepto y tercero relacionado con la transacción).
iv. Datos sociodemográficos, tales como edad, estado civil, situación familiar, residencia, estudios y
ocupación (tipo de contrato, antigüedad en el empleo) o pertenencia a colectivos.
v. Datos de productos y servicios contratados, tales como número de contrato, límite asociado a los
productos contratados, tipología de productos y servicios contratados, datos de contrato (atributos
asociados al contrato), riesgo con BBVA, así como cualquier documentación asociada a cualquiera de
estos contratos.
vi. Datos de comunicaciones y del uso de los canales que BBVA pone a disposición del cliente para la
gestión de los productos y servicios.
vii. Datos sobre el uso de los canales digitales de BBVA,
viii. Datos resultantes de estadísticas y estudios de mercado llevados a cabo por BBVA.
ix. Datos estadísticos sociodemográficos procedentes del Instituto Nacional de Estadística (en
adelante, "INE"), obtenidos conforme a lo dispuesto en al artículo 21.1 de la Ley 12/1989, de 9 mayo,
reguladora de la Función Estadística Pública (en adelante, "LFEP").
x. Datos obtenidos de la Central de Información de Riesgos del Banco de España (en adelante,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
32/146
"CIRBE"), regulada por el Capítulo VI de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma
del Sistema Financiero (en adelante, "LMRSF").
xi. Datos obtenidos de ficheros de solvencia patrimonial y crédito, actualmente regulados por el artículo
29 de la Ley Orgánica 15/ 1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Los datos utilizados para la aplicación de los distintos perfiles vendrán referidos a los últimos
veinticuatro meses.
Los datos no serán comunicados a ningún tercero (ni siquiera a otras empresas del Grupo),
permaneciendo en todo caso en los sistemas de BBVA.
2.4. Modo en que se tratarán los datos y posibles transmisiones o comunicaciones de los mismos.
BBVA procederá al tratamiento de los datos a los que se ha hecho referencia en el punto anterior con la
finalidad de obtener algoritmos cuya configuración se determina mediante el análisis de tres fases
sucesivas a fin de garantizar la mejora y ajuste sucesivo del resultado arrojado en relación con los
distintos clientes:
i. La determinación general de la relación de los clientes tanto con los productos y servicios de BBVA
como con sus canales de comunicación (web, App, postal y oficinas), así como su nivel de riesgo
financiero (exclusivamente en relación con la posible oferta de créditos preconcedidos), que se
establece utilizando modelos de propensión diseñados internamente a partir de distintos modelos
matemáticos ejecutados sobre estudios probabilísticos. Para ello se utilizan los datos de los clientes
mencionados en el apartado 2.2.
ii. El comportamiento digital del usuario, con el que se completan y ajustan las recomendaciones.
iii. El resultado se optimiza con la inclusión del valor esperado de la hipotética contratación por cada
cliente. De este modo, puede tenerse un conocimiento más amplio acerca de la aceptación de la
cartera de productos y servicios de BBVA por sus clientes.
Adicionalmente, obtenido el mencionado algoritmo, BBVA procedería a un tratamiento diferenciado,
consistente en su aplicación con la finalidad de dirigir a aquellos clientes que hubieran prestado su
consentimiento para ello con arreglo a lo establecido en la política de privacidad, y únicamente a este
colectivo, ofertas de productos o servicios de BBVA o comercializados por el mismo.
Finalmente, el proceso de obtención de los algoritmos es evaluado y validado periódicamente por el
propio departamento encargado de la configuración de los modelos, dándose un control exhaustivo
sobre los outputs del algoritmo.
3. Descripción del interés legítimo al que responde el tratamiento
Con carácter general, el interés legítimo perseguido por el tratamiento consiste en lograr un mejor
conocimiento de los clientes y mejorar la cartera de productos y servicios BBVA, mediante modelos
analíticos de perfilado. Como ya se ha indicado, los modelos son desarrollados por BBVA y los datos
resultantes de su aplicación no son comunicados a ningún tercero, pertenezca o no al Grupo BBVA.
En este sentido, la política de privacidad de BBVA y la cláusula informativa facilitada a los clientes
señalan que este tratamiento tendrá por objeto "atender mejor (las) expectativas" del cliente e
"incrementar (su) grado de satisfacción como cliente al desarrollar y mejorar la calidad de productos y
servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de mercado que
puedan resultar de interés".
De este modo, a través del mencionado tratamiento se pretende satisfacer el interés legítimo de BBVA
consistente en llevar a cabo el estudio de la interacción de los clientes de la Entidad con sus productos
y servicios, lo que permitirá determinar:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
33/146
. Cómo optimizar el modelo de negocio del BBVA.
. Cómo mejorar la calidad de los productos y servicios ofertados por BBVA.
. Cómo perfeccionar la gestión interna y la relación personalizada con el cliente.
. Cuál es el modelo de propensión de los clientes hacia un determinado producto o servicio.
. Cuáles son sus preferencias en cuanto a los canales a través de los que se relacionan con
BBVA.
. A qué colectivos de usuarios que hubieran dado su consentimiento para ello podrían
ofrecerse determinados productos o servicios específicos de la cartera de BBVA.
Debe tenerse en cuenta que el tratamiento analizado puede identificarse con la que fue objeto de
análisis por parte de la AEPD en su informe 195/17, dado que el mismo se refiere en su apartado
VII a la posible prevalencia del interés legítimo de las entidades financieras para el tratamiento de datos
consistente en el "análisis de los movimientos transaccionales y/o capacidad de ahorro del cliente, para
realizar observaciones y ofrecer recomendaciones sobre productos y/o servicios de la entidad bancaria en
beneficio de una mejor gestión de las finanzas de los clientes", a fin de facilitar al cliente, a partir de dicho
análisis información "sobre los productos o servicios que más se ajustasen a su perfil con la finalidad de
maximizar el rendimiento que pudiera obtener éste último u ofrecerle los mejores precios en productos o
servicios que tuviera contratados o pudiera contratar en el futuro".
El citado informe, antes de analizar el supuesto en cuestión, se refiere a otros dos ya analizados
con anterioridad, en que reconocía el interés legítimo prevalente para la realización de
determinados tratamientos?
Por otra parte, en lo que respecta a la determinación del nivel de riesgo del cliente, es preciso
poner de manifiesto que el análisis del mismo únicamente se llevará a cabo con la finalidad de
conocer cuál puede ser el umbral de crédito del interesado, sin que la información acerca del
cumplimiento de sus obligaciones dinerarias sea incluida para el análisis del resto del perfil del
cliente.
Dicho lo anterior, esta determinación se encuentra directamente vinculada al mejor conocimiento del
cliente y al ofrecimiento a aquél de un trato personalizado, que exige necesariamente que BBVA pueda
conocer adecuadamente el mencionado nivel de riesgo ante la eventual solicitud por aquél de
productos de crédito. Este tratamiento resulta necesario para dar pleno cumplimiento a las obligaciones
de cumplimiento de los principios de crédito responsable y de control del riesgo crediticio.
Estas obligaciones aparecen ya recogidas en la Ley 2/2011, de 4 de marzo, de Economía Sostenible,
cuyo artículo 29.1 establece?
El artículo 29.2 de la Ley facultaba al Ministro de Economía y Hacienda para, entre otras previsiones,
adoptar en el plazo de seis meses?
Esta habilitación se ejerció mediante la aprobación de la Orden EHA/2899/2011, de 28 de octubre, de
transparencia y protección del cliente de servicios bancarios, cuyo artículo 18.1 impone a las entidades
de crédito, antes de que se celebre cualquier contrato de crédito o préstamo, la obligación de ?evaluar
la capacidad del cliente para cumplir con las obligaciones derivadas del mismo, sobre la base de la
información suficiente obtenida por medios adecuados a tal fin, entre ellos, la información facilitada por
el propio cliente a solicitud de la entidad", para lo que ?deberán contar con procedimientos internos
específicamente desarrollados para llevar acabo la evaluación de solvencia mencionada en el párrafo
anterior. Estos procedimientos serán revisados periódicamente por las propias entidades, que
mantendrán registros actualizados de dichas revisiones".
El apartado 2 del citado artículo 18 regulaba el alcance de estos procedimientos?
Por su parte, las obligaciones derivadas del principio de concesión del crédito responsable por parte de
las entidades financieras han sido posteriormente desarrolladas por la normativa reguladora de los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
34/146
contratos de crédito.
Así, el artículo 14 de la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo regula la
obligación de evaluación de la solvencia del consumidor?
Finalmente, el artículo 34.1, párrafo segundo, de la precitada Ley recuerda que "el incumplimiento de
las disposiciones relativas a (...) la obligación de evaluar la solvencia del consumidor prevista en el
artículo 14, siempre que no tengan carácter ocasional o aislado, se considerarán como infracciones
graves, pudiendo ser en su caso consideradas como infracciones muy graves atendiendo a los criterios
previstos en el artículo 50 del citado Texto Refundido (de la Ley General para la Defensa de los
Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo
1/2007, de 16 de noviembre)".
Lo anteriormente citado y descrito pone de manifiesto que la valoración del riesgo de sus clientes por
parte de BBVA redunda en la obtención de una información completa de las circunstancias que
concurren en los mismos, actuando el sistema como herramienta esencial para garantizar el
cumplimiento de los principios de crédito responsable impuestos por la precitada legislación, de forma
que en cualquier relación del Banco con el cliente pueda ser tenida en cuenta esta circunstancia en el
trato personalizado con aquél.
De todo lo antedicho cabe apreciar la existencia de un interés legítimo de BBVA en la configuración de
los modelos analíticos en que consiste el tratamiento.
4. Juicio de idoneidad y necesidad del tratamiento para la satisfacción del interés legítimo
Conforme a reiterada jurisprudencia del TC (por todas, STC 207/1996) "para comprobar si una
medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario
constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de
conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de
que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia
(juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella
más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en
conflicto (juicio de proporcionalidad en sentido estricto)". Dado que el juicio de proporcionalidad
será el resultante del presente Informe, se analizará ahora la idoneidad y necesidad del
tratamiento.
4.1. Idoneidad
El tratamiento de los datos de los clientes detallados en el apartado 2.2 de este informe para la
generación de modelos analíticos de propensión resulta adecuado, y por tanto idóneo, para el mejor
conocimiento de los intereses y preferencias de sus clientes a fin de ofrecerles un trato personalizado y
mejorar la calidad de sus productos y servicios. Se garantiza así la mejor gestión comercial de la
entidad y la optimización de las políticas de comercialización de dichos productos y servicios.
4.2. Necesidad
Del mismo modo, el tratamiento de los citados datos resulta imprescindible para que la Entidad pueda
llevar a cabo una gestión adecuada y eficaz de sus recursos, adelantándose a las necesidades de los
clientes, que podrán ver atendidas sus necesidades presentes y futuras en relación con productos de
activo y de pasivo que puedan ajustarse a sus necesidades y situación financiera.
5. Ponderación del interés legítimo y el cumplimiento del principio de proporcionalidad en el
tratamiento de datos
5.1. Consideraciones generales
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
35/146
El tratamiento descrito en el presente Informe supone lógicamente una afección al derecho a la
protección de datos de los interesados, toda vez que sus datos personales serán tratados para llevar a
cabo un análisis de sus preferencias e intereses en relación con los productos y servicios propios de la
Entidad o comercializados por la misma, llevándose a cabo así una valoración de cuáles pueden
ajustarse mejor a sus necesidades.
Sentada la mencionada premisa, y una vez puesta de manifiesto la idoneidad y necesidad del
tratamiento de los datos para el cumplimiento del interés legítimo perseguido por BBVA, es preciso
analizar si la citada afectación supondría una prevalencia de los derechos de los interesados sobre el
interés legítimo de BBVA o si, por el contrario, prevalecería ese interés legítimo sobre los derechos de
los interesados, en los términos establecidos por el artículo 6.1 f) del RGPD.
Como se ha indicado, el tratamiento analizado en el presente informe permite el desarrollo de modelos
analíticos y la generación de algoritmos que permitirán conocer a sus clientes, su nivel de riesgo, la
aceptación por los mismos de los productos y servicios de la Entidad, y, en consecuencia, detectar las
mejoras de su modelo de negocio y su cartera de productos y servicios, que permitan una mayor
satisfacción de las necesidades de sus clientes. De este modo, BBVA utiliza para estos fines los datos
descritos en el apartado 2.2 de este Informe. El tratamiento de estos datos con la finalidad de generar
los modelos de propensión puede suponer una intromisión en la esfera privada de los clientes,
debiendo tenerse en cuenta que BBVA no solicitará el consentimiento de sus clientes para el
tratamiento de los datos en el proceso de generación de los modelos, sino sólo para, en su caso, la
remisión de comunicaciones comerciales.
No obstante, como se ha indicado con anterioridad, la AEPD, en su informe 195/17 ya viene a
reconocer la prevalencia del interés legítimo de las entidades financieras en relación con los
tratamientos consistentes en el "análisis de los movimientos transaccionales y/o capacidad de
ahorro del cliente, para realizar observaciones y ofrecer recomendaciones sobre productos y/o
servicios de la entidad bancaria en beneficio de una mejor gestión de las finanzas de los clientes",
siempre que se adopten garantías adicionales, es decir, aquéllos a través de los cuales la entidad
logra adquirir un mejor conocimiento del cliente para personalizar su relación con el mismo.
En particular, el mencionado informe indica que "deberá detallarse de forma más minuciosa el
tratamiento que va a llevarse a cabo, y particularmente, el hecho de que los datos transaccionales
van a ser empleados para la elaboración de perfiles y deberá igualmente ofrecerse al interesado
la posibilidad de oponerse específicamente a este tratamiento adicional".
El tratamiento objeto de análisis en este informe adopta expresamente las mencionadas garantías,
dado que, como se analizará con más detalle en el apartado 5.3, BBVA:
. Informa detalladamente a los interesados acerca de las finalidades del tratamiento, de modo que
el mismo sea claramente comprensible por sus clientes, tal y como se analizará posteriormente.
. Diferencia claramente, mediante su inclusión en apartados separados en la cláusula informativa, el
tratamiento consistente en la elaboración de los modelos analíticos y su aplicación a los interesados,
de cualquier interacción comercial con los mismos, para la que en todo caso se recabará su
consentimiento.
. Individualiza pormenorizadamente las categorías de datos que serán sometidos a tratamiento, aun
cuando ello no sea exigible conforme a lo dispuesto en el artículo 13 del RGPD, con expresa referencia
a los datos transaccionales mencionados por el informe de la AEPD, indicando que entre los mismos
se encontrarían datos tales como "ingresos, pagos, transferencias, adeudos, recibos, así como
cualquier otra operación y movimiento asociado a cualesquiera productos y servicios que tengas
contratados con BBVA o de los que BBVA es comercializador".
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
36/146
. Refuerza los canales para garantizar el adecuado ejercicio por los interesados de los derechos
establecidos en la legislación de protección de datos, estableciendo tanto el cauce postal como el
electrónico o el presencial, sin perjuicio de que, conforme a lo establecido en la normativa de
protección de datos, el interesado podrá ejercer sus derechos a través del canal que estime
conveniente.
En cuanto a la antigüedad de los datos objeto de tratamiento en la elaboración y aplicación de los
modelos, ésta sería de veinticuatro meses. No obstante, ello, a juicio de BBVA no impide considerar
que el modelo resulta acorde a las garantías establecidas en el informe 195/17 de la AEPD ni supone
una merma de la prevalencia del interés legítimo de la entidad que permite fundamentar el tratamiento
de los datos.
En efecto, es preciso señalar que las relaciones de las entidades bancarias con sus clientes no pueden
considerarse de un modo esporádico, sino que se trata de vínculos caracterizados por la continuidad y
la permanencia en el tiempo. De este modo, la contratación de un producto o servicio no es sino el
comienzo de una relación estable (y generalmente a largo plazo) entre BBVA y sus clientes que puede
llevar aparejada la contratación de posteriores productos o servicios, directamente relacionados o no
con el que fue objeto de una primera contratación y que, además, se funda en la necesidad de que la
entidad pueda adelantarse a las necesidades del cliente, lo que exige, como se ha venido indicando a
lo largo del presente informe, un conocimiento profundo y personalizado de aquél.
Este conocimiento únicamente puede lograrse si se excluyen de la valoración que pudiera hacerse del
cliente, y particularmente de su situación de riesgo, hechos que pudieran afectarle de un modo
esporádico o transitorio, minimizando el impacto de dichas circunstancias sobre la evaluación global de
las necesidades del cliente. Así, por ejemplo, para la valoración de la situación de riesgo financiero del
cliente debería poder rebajarse el impacto de una situación transitoria en que se hubiera producido una
situación de mayor dificultad financiera, lo que no resulta especialmente relevante en situaciones de
crisis económica como la sufrida a principios de la presente década, atendiéndose a una imagen más
global del mismo que a una que tendría un carácter mucho más coyuntural.
Además, no debe olvidarse que las autoridades bancarias (Banco de España, Banco Central Europeo y
Autoridad Bancaria Europea) imponen a las entidades financieras de crédito obligaciones específicas
relacionadas con la realización de exámenes de evaluación de riesgos de sus clientes,
estableciéndose en los mismos la obligación de tomar en consideración su comportamiento financiero
durante un período de cinco años. Si bien los modelos actualmente analizados no incluyen esta
profundidad temporal, dado que no responden a una solicitud expresa del cliente, ello no excluye la
necesidad de atender a un plazo razonable, adecuado y proporcionado que se ha estimado en los
veinticuatro meses a los que se refiere el tratamiento.
A todo ello, deben añadirse dos tres elementos que también coadyuvan a considerar prevalente el
interés legítimo de BBVA como base jurídica del tratamiento de los datos personales para los fines
analizados en este informe:
. Los datos objeto de tratamiento ya vienen siendo objeto de tratamiento por BBVA como consecuencia
del adecuado desenvolvimiento de la relación contractual que mantiene con sus clientes. Es decir, no
se procede al enriquecimiento de la información con otros datos procedentes de terceras fuentes, sino
que los modelos analíticos se fundan en la relación ya existente entre el cliente y BBVA.
. El tratamiento de los datos relacionados con el perfil de riesgos del cliente resulta necesario para que
BBVA pueda garantizar adecuadamente el cumplimiento de las obligaciones de crédito responsable y
control del riesgo financiero, tal y como se ha analizado en un lugar anterior.
. Igualmente, tal y como se analizará separadamente y con mayor detalle en el punto siguiente de este
informe, cabe apreciar que en el presente supuesto concurre el principio de expectativa razonable del
interesado, al que se refiere con particular énfasis el RGPD cuando en su considerando 47.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
37/146
De todo ello cabe concluir que existen en el tratamiento analizado elementos de tal entidad que
permiten considerar la prevalencia del interés legítimo de BBVA sobre los derechos de los
interesados, que además, son protegidos mediante la adopción de garantías adicionales, como
posteriormente se indicará.
5.2. Aplicación del principio de expectativa razonable del interesado
Concurre en el presente caso, como acaba de indicarse, el principio de expectativa razonable
establecido en el Reglamento General de Protección de Datos como criterio para la ponderación
del interés legítimo prevalente.
En efecto, con carácter general la relación entre el cliente de una entidad financiera de crédito y
la propia entidad se basa en la mayoría de los supuestos en el establecimiento de un vínculo de
confianza con aquélla, de forma que el cliente espera de la entidad que pueda aconsejarla de
forma personalizada acerca de los productos que mejor puedan ajustarse a su situación o a sus
necesidades, lo que necesariamente exige un mayor conocimiento del cliente que únicamente
puede alcanzarse mediante la generación y aplicación de los modelos en que consiste el
tratamiento.
En este sentido, es preciso indicar que BBVA ha consultado a sus nuevos clientes acerca de sus
expectativas en relación con la propia Entidad. En este sentido, ante la pregunta "¿Qué aspectos
son para Usted más importantes y que espera recibir de BBVA en esta nueva relación?" (es decir,
cuál era su "expectativa razonable" en relación con la misma) la primera respuesta fue la
obtención de un trato personalizado (con un 40,3%), apareciendo igualmente entre los primeros
resultados el "buen servicio en oficina", con un 33%, "herramientas y productos sorprendentes",
con un 17,3%; o la oferta de "productos de ahorro o inversión adaptados", con un 16,5%.
De ello se desprende que el cliente que mantiene una relación con BBVA espera de dicha Entidad que
pueda asesorarle acerca de los productos y servicios que mejor puedan satisfacer sus necesidades
financieras a partir de una información individualizada del propio cliente. Es decir, que la Entidad de
crédito pueda adelantarse a las necesidades del cliente ofreciéndole productos o servicios que el
mismo puede posteriormente considerar los más relevantes para su perfil.
Pues bien, el conocimiento y trato personalizado del cliente sólo puede, en definitiva, conseguirse
si con carácter previo BBVA puede analizar el comportamiento del mismo y su riesgo financiero,
determinando qué productos podrían ser interesantes para él o, dicho de otro modo, qué puede
esperar el cliente que la entidad pueda ofrecerle a partir de la información con que cuenta de
aquél.
Es decir, el tratamiento es necesario para que el cliente vea colmada su expectativa razonable de que
BBVA conozca sus necesidades y le pueda recomendar (previa su solicitud en caso de que no haya
prestado su consentimiento para la remisión de comunicaciones comerciales) productos que se ajusten
a sus intereses, adelantándose a sus propias necesidades. Así, si bien esta oferta comercial
únicamente se realizará a los clientes que así lo consientan, no cabe duda que la finalidad esperada de
trato personalizado por el cliente sólo podrá cumplirse en caso de que se lleve a cabo previamente el
tratamiento que se viene analizando que permita la posterior aplicación del modelo a las circunstancias
de un cliente concreto.
Por indicarlo de una forma más gráfica, cuando el cliente de BBVA se dirige a su gestor espera que el
mismo tenga un conocimiento suficiente de su situación que le permita hacerle las sugerencias de
productos o servicios que mejor se puedan ajustar a sus necesidades y a su nivel de riesgo, partiendo
de la propia experiencia adquirida por la Entidad.
Por tanto, es posible entender que los clientes de una entidad financiera como BBVA, no sólo poseen
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
38/146
una expectativa razonable de que se lleve a cabo el tratamiento de sus datos personales con la
finalidad de realizarles la oferta de productos de la Entidad o que son comercializados por ésta, sino
que además, en atención a los usos del mercado, serán perfectamente conscientes de la posibilidad de
que tales comunicaciones se ajusten a sus concretas necesidades y puedan redundar en una mejora
de la rentabilidad de su ahorro o en una atenuación de las circunstancias adversas que pudieran
acontecer en el futuro.
No debe olvidarse que este tipo de acciones ha venido llevándose a cabo de forma ininterrumpida
en los últimos años sin que hayan existido prácticamente reclamaciones en que se invoque la
ilicitud de este tratamiento. En definitiva, el consumidor medio puede razonablemente esperar que,
cuando reúna las características oportunas (por ejemplo, saldos elevados en cuentas de pasivo) será
informado por BBVA acerca de la existencia de productos de ahorro e inversión que le permitan
rentabilizar los fondos de que dispone, obteniendo así una información que no sólo redunda en interés
de la entidad, sino en el suyo propio. De este modo, la cesación en este tratamiento supondría
precisamente una quiebra de la expectativa del interesado, que podría considerar que BBVA se ha
desatendido de su cometido de ofrecerle las mejores soluciones financieras que se ajusten a su
concreta situación.
Al propio tiempo, no debe olvidarse que, como se ha indicado en varias ocasiones a lo largo de este
informe, el considerando 47 del RGPD, tras hacer expresa referencia al principio de expectativa
razonable, recuerda que el interés legítimo "podría darse, por ejemplo, cuando existe una relación
pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el
interesado es cliente o está al servicio del responsable". Ello refuerza, a nuestro juicio, la aplicación en
este caso del principio de expectativa razonable del interesado.
5.3. Garantías adoptadas por BBVA en el tratamiento de los datos
5.3.1. Responsabilidad proactiva
BBVA ha adoptado las medidas técnicas y organizativas necesarias para garantizar la integridad,
disponibilidad y confidencialidad de la información, habiendo asimismo designado un Delegado de
Protección de Datos, en cumplimiento de lo establecidos en el artículo 37 del RGPD.
5.3.2. Cumplimiento del derecho de información
BBVA siguiendo las directrices establecidas por la AEPD establece un sistema de información por
capas, indicando en la información básica comunicada al interesado no sólo acerca del tratamiento de
los datos para los fines objeto del presente análisis de ponderación, sino también de que la base
jurídica de dicho tratamiento es el interés legítimo de la Entidad.
Esta información se completa en la segunda capa informativa facilitada al interesado (información
ampliada), indicado?
De este modo, el cliente es plenamente conocedor del alcance del tratamiento, su base jurídica y las
finalidades para las que se lleva a cabo el mencionado tratamiento.
5.3.3. Minimización de la injerencia en la esfera privada de los interesados
Por otro lado, BBVA minimiza la intrusión en la esfera privada de sus clientes en la medida en la que en
la generación de los algoritmos, siguiendo las directrices derivadas del informe 195/17 de la AEPD,
únicamente procederá al tratamiento de la información generada por el cliente durante los últimos
veinticuatro meses.
En todo caso, la información empleada para el tratamiento únicamente comprenderá datos vinculados
a la relación entablada por el cliente con BBVA, sin incluir informaciones adicionales que pudieran
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
39/146
resultar de la misma, tales como el origen, destino o concepto de las transacciones realizadas ni datos
obtenidos de fuentes externas (con la única excepción de los procedentes de la CIRBE), tal y como se
indica en el apartado 2.2 de este informe.
5.3.4. Garantía del ejercicio por el interesado del derecho de oposición al tratamiento
Como se ha reproducido en el punto ii anterior, BBVA establece distintos cauces para garantizar el
ejercicio por el interesado de los derechos establecidos en la normativa de protección de datos,
habilitando dicho ejercicio a través de los canales presencial, electrónico y postal, con la finalidad de
reforzar el poder de decisión del interesado acerca del tratamiento de sus propios datos para el
cumplimiento de las finalidades que justifican el tratamiento analizado en este informe, y ello aun
cuando dicho tratamiento no afectará a los interesados, dado que sólo se producirá la remisión de
comunicaciones comerciales o sugerencias a aquellos interesados que lo hubieran consentido
específicamente.
6. Valoración final
En virtud de cuanto antecede, cabe concluir que el tratamiento de datos objeto de estudio en este
informe, con el alcance y para las finalidades indicadas en el mismo, se encuentra amparado en el
artículo 6.1 f) del RGPD>>.
D) Estudio sobre nuevos clientes de BBVA, llevado a cabo por el Área de Business en febrero
de 2018.
Incluye un apartado sobre las expectativas del cliente en la nueva relación, con el resultado
siguiente:
. Trato personalizado en oficina: 40,3%
. Tranquilidad y seguridad: 39,2%
. Buen servicio en oficina: 33,0%
. Buen funcionamiento canales digitales: 30,6%
. Sencillez y transparencia en la información: 28,9%
. Herramientas y productos sorprendentes: 17,3%
. Productos ahorro/inversión adaptados: 16,5%
. Que no cobren comisiones: 1,6%
En el apartado ?Conclusiones? se indica: ?Alta satisfacción con el proceso para hacerse
cliente (NPS: +48%) y actualmente esperan personalización (trato/oferta),
tranquilidad/seguridad y buen servicio (oficina/canales digitales)?.
DECIMOPRIMERO: Mediante escrito de 11/08/2020, notificado a BBVA el 17/08/2020, se
concedió a BBVA un nuevo plazo de cinco días hábiles para que aportase copia de la
documentación señalada en el apartado a) del requerimiento indicado en el antecedente
anterior (registro de actividades de tratamiento), que no fue incorporado por BBVA a su
respuesta de 03/08/2020.
La respuesta a este segundo requerimiento se produjo también una vez rebasado el
plazo total concedido. Con fecha 16/09/2020, se recibió escrito de la citada entidad al que
acompañó el registro de actividades de tratamiento.
En este documento se describen los tratamientos con indicación de la finalidad, su
base de legitimación y los datos personales que se tratan, entre otros detalles.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
40/146
Con base de legitimación en el interés legítimo, se describen tratamientos con las
siguientes finalidades:
. Relacionadas con la finalidad 2 de la política de privacidad: encuestas, asignación de límites
preconcedidos, aplicación de perfil, modelo de propensión, contact center: módulo de
ofrecimientos, hechos relevantes e insights, análisis y propuestas de rentabilización de cartera
de tarjetas.
. Relacionadas con la finalidad 3 de la política de privacidad: elaboración de colectivos para
campañas comerciales de Banca Comercial y Consumer Finance.
. Relacionadas con la finalidad 4 de la política de privacidad: cesión de datos.
. Relacionadas con la finalidad 5 de la política de privacidad: anonimización.
DECIMOSEGUNDO: Con fecha 07/10/2020, se emitió propuesta de resolución en el sentido
siguiente:
?1. Que por la Directora de la Agencia Española de Protección de Datos se sancione a la
entidad BBVA, por una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo
83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD,
con una multa por importe de 3.000.000 euros (tres millones de euros).
2. Que por la Directora de la Agencia Española de Protección de Datos se sancione a la
entidad BBVA, por una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y
calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD,
con una multa por importe de 3.000.000 euros (tres millones de euros).
3. Que por la Directora de la Agencia Española de Protección de Datos se proceda a imponer
a la entidad BBVA, en el plazo que se determine, la adopción de las medidas necesarias para
adecuar a la normativa de protección de datos personales las operaciones de tratamiento que
realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos
deben prestar su consentimiento para la recogida y tratamiento de sus datos personales, con
el alcance expresado en el Fundamento de Derecho X de la propuesta de resolución?.
DECIMOTERCERO: Notificada a la entidad BBVA la citada propuesta de resolución, con
fecha 03/11/2020, se recibió en esta Agencia escrito de alegaciones en el que solicita
nuevamente que se declare la nulidad de pleno derecho del procedimiento o, en su caso, la
caducidad del mismo. Subsidiariamente, solicita que se acuerde su archivo o, en su defecto,
se imponga la sanción de apercibimiento o una reducción significativa de la cuantía
establecida en la propuesta de resolución.
Declara reproducidas en su totalidad sus alegaciones al acuerdo de inicio, que, a su juicio, la
propuesta de resolución no tiene en cuenta ni rebate; y formula las consideraciones
siguientes, que reproducen básicamente aquellas alegaciones a la apertura del
procedimiento:
1. Sobre la fijación del importe de la sanción en el acuerdo de inicio, señala nuevamente que
se incurre en vicio sustancial de nulidad, produce indefensión y quiebra el principio de
imparcialidad del órgano instructor. Considera que ello provoca una confusión entre las fases
de instrucción y resolución, como pone de manifiesto el hecho de que la propuesta de
resolución fija un importe idéntico al señalado por el órgano sancionador en el acuerdo de
inicio y reproduce las circunstancias concurrentes. Ello supone una quiebra de los principios
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
41/146
inspiradores del derecho sancionador que no se subsana por el mero hecho de que la entidad
haya podido emitir alegaciones a la apertura y a la propuesta de resolución.
Entiende BBVA que la propuesta incurre en una contradicción al considerar que la
determinación del importe de la sanción es una obligación impuesta por el artículo 64.2 de la
LPACAP y señalar después que ?no solo se cumplen sobradamente las exigencias
mencionadas, sino que se va más allá ofreciendo razonamientos jurídicos que justifican la
posible calificación jurídica de los hechos valorados al inicio e, incluso, se mencionan las
circunstancias que pueden influir en la determinación de la sanción?. Considera BBVA que la
citada norma no impone esa obligación ni es dable a la Administración ?ir más allá? de lo
previsto en la norma, lo que constituye una extralimitación de las competencias del órgano
sancionador que vulnera los derechos de la entidad contra la que se dirige el procedimiento.
Advierte que el artículo 64.2 de la LPACAP no supone una importante innovación del
ordenamiento jurídico respecto al régimen sancionador vigente con anterioridad, que ya
indicaba que el acuerdo de inicio debería incorporar ?las sanciones que pudieran
corresponder, sin perjuicio de lo que resulte de la instrucción?, bajo cuya vigencia la AEPD
indicaba en sus acuerdos de inicio los límites máximo y mínimo de la infracción mencionada
en el acuerdo, sin establecer el importe o cuantía exacta de la sanción..
Asimismo, tampoco el artículo 85.1 de la LPACAP exige esa previa determinación del importe,
dado que no se refiere a una sanción preestablecida, sino a la imposición de la sanción que
proceda. Esta norma, aplicable ?iniciado el procedimiento?, prevé que el reconocimiento de
responsabilidad podrá determinar la imposición de la sanción ?que proceda?, de forma que
esa fijación parece preverse con posterioridad al propio reconocimiento de responsabilidad.
En su apartado 3, el mismo artículo prevé que las reducciones deberán adoptarse sobre la
sanción ?propuesta?, lo que exige que efectivamente se haya determinado en el procedimiento
cuál es ese importe, y la dicción del propio precepto parece efectivamente referirse a la
propuesta de resolución como el lugar idóneo para la determinación del citado importe,
correspondiendo esta potestad al órgano instructor.
Según BBVA, esa conclusión no se ve contradicha por el hecho de que los descuentos que
procederían por el reconocimiento de la responsabilidad y pago anticipado de la sanción se
deban poner de manifiesto en el acuerdo de inicio. Ambos beneficios se pueden otorgar
aunque la sanción no se encuentre cuantificada.
2. Sobre la inexistente vinculación entre lo imputado a mi mandante y las reclamaciones a las
que se refiere la propuesta de resolución y sobre la inactividad de la AEPD.
En relación con esta cuestión, considera que los argumentos recogidos en la propuesta de
resolución no son admisibles, al no caber duda de la inactividad de la Administración, que ha
coadyuvado al mantenimiento de la conducta de BBVA y afecta a la validez del procedimiento.
La AEPD considera expresamente que no ha existido fase de actuaciones previas de
investigación, anteriores a la adopción del acuerdo de apertura, sino que las reclamaciones
fueron admitidas a trámite sin que se adoptase decisión alguna sobre las mismas hasta el
inicio del presente procedimiento, y que puede mantener esa situación con la única limitación
temporal de que dicha decisión no vulnere los plazos de prescripción de la presunta
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
42/146
infracción, que no comenzarían a computarse hasta que BBVA modificase su política de
privacidad. Sin embargo, esta situación es contraria a los principios del procedimiento
sancionador, generando una situación de inseguridad jurídica en perjuicio de BBVA.
En este sentido, los artículos 64.2 y 67 de la LOPDGDD establecen un procedimiento reglado
con unos límites temporales claramente marcados, diferenciando los que son consecuencia
de una reclamación de aquellos en los que la AEPD decide por su propia iniciativa. En el
primer caso, se establecen tres fases sucesivas, sin solución de continuidad: (i) la admisión a
trámite de la reclamación en un plazo de tres meses; (ii) la realización (potestativa) de
actuaciones de investigación durante un plazo máximo de doce meses; y (iii) la apertura de un
procedimiento sancionador, que tendrá una duración máxima de nueve meses.
La AEPD puede optar por prescindir de la realización de actuaciones de investigación, pero
esa decisión no puede implicar una paralización o estancamiento de la reclamación admitida
a trámite durante un período de tiempo indefinido, solo limitado por los plazos de prescripción,
dado que esta disponibilidad contraviene el principio de seguridad jurídica del administrado.
En caso de decidir no realizar ningún tipo de investigaciones, admitida a trámite la
reclamación deberá proceder de inmediato a la apertura de procedimiento sancionador.
En este caso, se ha producido una demora de diez meses, sin que existiese una decisión de
llevar a cabo actuaciones de investigación. La AEPD debería haber acordado la apertura del
procedimiento en el momento en que decidió admitir la reclamación del reclamante 2, esto es,
el 01/02/2019, con lo que el procedimiento debería haber concluido el 04/11/2019. Sin
embargo, esa apertura tuvo lugar el 02/12/2019, casi un mes después de la fecha en que
debería haber concluido el procedimiento mediante la correspondiente resolución. Entiende
BBVA que esta inactividad injustificada deviene en la caducidad del presente procedimiento,
dado que el plazo para resolver se encontraría vencido en la misma fecha en que se dictó el
acuerdo de inicio.
Resulta aplicable a este caso la doctrina sentada por la Audiencia Nacional (AN) en su
Sentencia de 17/10/2007 (recurso 180/2006), en la que ponía de manifiesto la ilicitud de la
prolongación inadecuada o infundada de las actuaciones previas de investigación:
?[?] cuando la demora en incoar el procedimiento sancionador se produce, como en el caso de autos,
durante un largo periodo de tiempo, en el que no se está investigando la pertinencia o no de dicha
iniciación, sino que no se lleva a cabo ninguna actuación por parte de la Administración y en definitiva,
no existe justificación alguna para tal demora, se incurre en una utilización espuria y fraudulenta de lo
previsto tanto en el artículo 12 del RD 1398/1993 como en el artículo 69.2 de la LRJ-PAC.
[?]
Y ello porque, como también se ha indicado, y una vez que la AEPD poseía información y datos
suficientes, proporcionados en los dos primeros meses de la tramitación de las repetidas actuaciones
previas, y podía ya dirigir la acusación en forma contra [?], cumpliendo las exigencias legales, dejó sin
embargo transcurrir casi once meses más sin llevar a cabo ninguna actuación, manteniendo tal
solicitud de información abierta, pero completamente inactiva.
[?]
Consideramos por todo ello, [?] que ha habido una utilización fraudulenta de la institución de las
diligencias previas. Nos hallamos en consecuencia ante un supuesto de fraude de Ley contemplado en
el artículo 6.4 del Código Civil, por cuanto se pretende burlar la aplicación del Art. 42.2 de la Ley
30/1992 usando la solicitud de información para, con ella, evitar la caducidad del expediente
sancionador.
Utilización fraudulenta que conlleva la nulidad del procedimiento sancionador y la consiguiente
estimación de la pretensión de la demanda, con revocación de la sanción impuesta a [?] en la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
43/146
resolución impugnada.?
La AEPD decide, de forma deliberada, no tramitar procedimiento alguno y esperar al momento
que estime oportuno para iniciar el procedimiento sancionador, lo que supone, teniendo en
cuenta la doctrina sustentada por la SAN que acaba de reproducirse, un fraude de Ley
encaminado a la vulneración de las normas reguladoras de los términos y plazos de
resolución establecidos tanto en la LPACAP como en la LOPDGDD, con el consiguiente
perjuicio a BBVA. Frente a ello no cabe alegar que la doctrina de la AN no es extrapolable por
el hecho de que la misma se refiere a un uso fraudulento de las actuaciones previas de
investigación cuya realización no se acordó en este caso, dado que precisamente el fraude de
ley deriva de la completa inacción de la Administración, que considera posible la prolongación
ad aeternum de la iniciación del procedimiento sancionador por unos hechos respecto de los
que ya ha recabado toda la información que, a su juicio, resulta pertinente para dirigir la
acción sancionadora contra BBVA.
La conducta de BBVA se ve agravada por el carácter continuado de la infracción, al menos
hasta el momento en que procedió a la modificación de la citada política en julio de 2020.
BBVA, actuó, desde el momento en que dio respuesta a los requerimientos que a la misma se
dirigieron hasta la fecha en que se acordó la iniciación de este procedimiento, en la confianza
legítima de que la AEPD consideraba que su Política de Privacidad resultaba conforme a la
legislación de protección de datos, al no haber dirigido reproche alguno ni llevase a cabo, con
conocimiento de mi mandante, ninguna actuación de investigación.
Todo ello deriva en la nulidad de pleno derecho de la actuación de la Administración, que
prescinde deliberadamente del procedimiento legalmente establecido en claro y palmario
perjuicio de los principios de confianza legítima y seguridad jurídica que asisten a BBVA.
Por otra parte, la citada entidad dedica un apartado de esta alegación segunda a la necesaria
vinculación entre el objeto del procedimiento sancionador y las reclamaciones formuladas, en
los supuestos de iniciación de oficio del procedimiento por denuncia, ya puesta de manifiesto
en sus alegaciones a la apertura del procedimiento.
Cuestiona que la AEPD pueda decidir la apertura de un procedimiento en relación con los
extremos que considere convenientes (la propia propuesta de resolución se permite advertir
sobre las cuestiones que no son objeto de tramitación).
La cuestión relevante se encuentra en el relato fáctico de la propuesta, que funda la
tramitación del procedimiento en la existencia de cinco reclamaciones contra BBVA, y no en la
decisión de la AEPD de iniciar su tramitación por propia iniciativa, en uso de sus poderes.
Siendo así, una vez admitida a trámite la reclamación, debe proseguir con su tramitación y
deberá existir un vínculo preciso y directo entre el contenido de dichas reclamaciones y el
reproche sancionador.
La AEPD equipara el hecho de que el procedimiento se inicie de oficio con el inicio ?por propia
iniciativa?. Y en el presente caso, se inicia como consecuencia de cinco reclamaciones, a
cuyos términos debe ajustarse el procedimiento, que no puede suponer una suerte de
doctrina general dirigida contra BBVA. Señala BBVA que este argumento deriva de la doctrina
emanada de la Sentencia de la AN de 23/04/2019, ya expuesta en las alegaciones a la
apertura, de la que resulta que una propuesta que no hace referencia en su fundamentación a
las reclamaciones formuladas excede la necesaria congruencia exigible entre los hechos y las
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
44/146
infracciones, convirtiendo las cinco reclamaciones en una suerte de causa general contra
BBVA.
A juicio de BBVA, semejante conclusión afecta al principio de seguridad jurídica y supone una
flagrante vulneración del principio de interdicción de la arbitrariedad de los poderes públicos,
consagrado en el artículo 9.3 de la Constitución.
3. Sobre el cambio de tipificación de la sanción imputada a BBVA y algunas consideraciones
generales acerca de la aplicación de los artículos 13 y 14 del RGPD.
a) Sobre el cambio de tipificación de la infracción imputada a BBVA y la no aplicación al
presente caso del artículo 14 del RGPD.
Mientras en el Acuerdo de Inicio se consideraba vulnerado únicamente el artículo 13 del
RGPD, la Propuesta de Resolución amplía el reproche sancionador a lo dispuesto en el
artículo 14 del citado texto legal, que no resulta aplicable a este supuesto, teniendo en cuenta
lo establecido en el apartado 5 c) del mismo artículo 14 y en el artículo 2.1 del RGPD:
. Según se indica en el informe de ponderación aportado por BBVA, la información
sociodemográfica objeto de tratamiento se refiere únicamente a datos estadísticos
?obtenidos conforme a lo dispuesto en al artículo 21.1 de la Ley 12/1989, de 9 mayo,
reguladora de la Función Estadística Pública?, que no constituyen datos personales ni
revelan información sobre personas físicas identificadas o identificables.
. Respecto de los datos recabados de la CIRBE, también se indica en el Informe de
Ponderación que dichos datos se obtienen conforme a lo dispuesto en la Ley 44/2002, de
22 de noviembre, de Medidas de Reforma del Sistema Financiero, artículo 61.2, y en la
Ley 5/2019, de 5 de marzo, reguladora de los Contratos de crédito Inmobiliario (en
adelante, ?LCCI?), artículo 12.1.
El mismo argumento ampara la exclusión del deber de informar respecto de los sistemas de
información crediticia, cuyo acceso viene previsto en el citado artículo 12.1 de la LCCI.
Añade BBVA que, no obstante, en su Política de privacidad informa sobre el tratamiento de
estos datos y, dentro de las categorías de datos que somete a tratamiento indica
expresamente ?[d]atos económicos y de solvencia patrimonial (incluidos los relativos a todos
los productos y servicios que tienes contratados con BBVA o de los que BBVA es
comercializador)?.
b) Sobre la supuesta obligación de incluir las categorías de datos en la información que ha de
facilitarse al interesado.
BBVA ha llevado a cabo un esfuerzo de claridad en la elaboración de su Política de
Privacidad, incorporando a la misma las categorías de datos que serían objeto de tratamiento,
pese a no estar exigido en el artículo 13 del RGPD.
La AEPD indica que el citado artículo 13 impone la obligación de informar de todos y cada uno
de los datos sometidos a tratamiento, desglosando esa información para cada una de las
concretas finalidades, con independencia de que el origen de los datos sea el propio
interesado, en los supuestos en que el tratamiento pretenda fundarse en el interés legítimo de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
45/146
BBVA o en el consentimiento de los interesados. Acude para ello a lo señalado en el
documento de ?Directrices sobre el consentimiento?, adoptado por el Comité Europeo de
Protección de Datos (en adelante, por sus siglas en inglés, ?EDPB?), ?que ha sido actualizado
por el Comité Europeo de Protección de Datos el 04/05/20?, es decir, cinco meses después
del acuerdo de inicio, de modo que esta cuestión no merece consideración adicional alguna.
Se impone una obligación adicional que no está expresamente recogida en el RGPD. Y esto
no pueden modificarlo la AEPD en una resolución sancionadora ni el Comité Europeo de
Protección de Datos en un Dictamen, por la simple razón de que carecen de potestades
normativas. La LOPDGDD (artículo 55) atribuye a la AEPD la competencia para fijar sus
criterios de actuación en Circulares, que tendrán carácter obligatorio, pero ello no puede
implicar la imposición de una obligación no reconocida en la normativa.
En este caso, además, la AEPD modifica sus criterios respecto de lo sustentado en sus ?Guía
sobre el cumplimiento del deber de informar? y lo hace en una resolución singular, vulnerando
el principio de interdicción de la arbitrariedad de los poderes públicos, al no exponer los
motivos que fundamentan tan sorprendentemente novedoso criterio, y del principio de
inderogabilidad singular de los reglamentos, consagrado por el artículo 37 de la LPACAP.
Finalmente, invoca de nuevo lo señalado por la AN en Sentencia de 23/04/2019, que no
admite que se haga uso de un procedimiento sancionador para establecer un criterio
interpretativo.
4. Sobre las valoraciones de la AEPD acerca de la presunta inadecuación, imprecisión e
indeterminación intencionadas de la información proporcionada por BBVA.
a) Valoraciones subjetivas realizadas por la AEPD en relación con la transparencia de la
Política de Privacidad de BBVA.
- Pronunciamientos respecto de la terminología y expresiones utilizadas.
A pesar de lo expuesto, BBVA formula alegaciones sobre las cuestiones anteriores en las que
se limita a afirmar que la Agencia basa sus conclusiones anteriores en apreciaciones
subjetivas; que los términos empleados son claros y precisos, de un uso extendido en la
actualidad y que cumplen con el requisito de inteligibilidad; que utiliza esas expresiones con la
intención de proporcionar a sus clientes un servicio adaptado a sus circunstancias concretas,
para lo que resulta imprescindible ?conocerles?; y que el contexto en el que se facilita la
información, que viene determinado por la relación contractual, así como la sistemática del
documento en dos capas, posibilitan un mejor entendimiento de las expresiones empleadas.
Aporta una explicación de algunas expresiones a las que se refiere la AEPD:
. ?aplicaremos métodos estadísticos y de clasificación para ajustar correctamente tu
perfil?. Supone una especificación de dos de las técnicas utilizadas para conocer mejor al
cliente, encuadrarle adecuadamente y poder, de esa manera, ofrecerle un servicio
correctamente adaptado a sus circunstancias personales.
. ?analizando los usos de los productos, servicios y canales de BBVA?, utilizada en la
Política de Privacidad de BBVA en el contexto de la personalización de la experiencia del
usuario, a fin de poder ofrecerle un servicio adaptado a sus circunstancias y necesidades.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
46/146
La AEPD califica dicha expresión de poco clara, imprecisa y ambigua. Sin embargo, en
un punto posterior de la Propuesta (pág. 73), ella misma expone su significado: ?[t]odo
ello se refiere a los datos tratados por razón de los productos y servicios contratados?.
Añade que algunas de las expresiones explicadas anteriormente guardan similitud con
expresiones ofrecidas como ejemplos en la ?Guía sobre el uso de las cookies?:
. ?Realizar estadísticas, encuestas, cálculos actuariales, medidas y/o estudios de
mercado que puedan ser de interés de BBVA o de terceros?, guarda similitud con la
expresión ?para fines analíticos?.
. ?Analizando los usos de los productos, servicios y canales de BBVA? guarda similitud
con la expresión ?mostrarte publicidad personalizada en base a un perfil elaborado a
partir de tus hábitos de navegación?.
- Similitud entre las expresiones utilizadas en la Política de Privacidad de BBVA y las
incluidas en la ?Guía para el cumplimiento del deber de informar? de la AEPD. Cambio
de criterio no justificado: vulneración de la confianza legítima y de la jurisprudencia de
la AN
La AEPD evita pronunciarse sobre la contradicción que supone el reproche efectuado a BBVA
y las recomendaciones incluidas en la Guía citada, que ofrece ejemplos de posibles fórmulas
para informar sobre las finalidades del tratamiento similares a las incluidas en la Política de
Privacidad.
La publicación de una Guía por parte de la AEPD genera una confianza legítima en sus
destinatarios, que adaptan su conducta en la creencia de que su aplicación coadyuva al
cumplimiento de la normativa, de modo que considerar ahora contrarias a derecho esas las
expresiones supondría actuar en contra de los propios actos y determinaría la vulneración de
la confianza legítima y la seguridad jurídica que deben proporcionar los documentos
publicados por una autoridad de control, así como la jurisprudencia de la AN recogida en la
Sentencia de 23/04/2019, ya citada, que declaró contrario a los principios del derecho
sancionador el establecimiento de criterios generales en el seno de un procedimiento
sancionador.
- Subrogación de la AEPD en la posición de los interesados. Reproche de una acción de
marketing llevada a cabo por BBVA bajo el amparo de la libertad de empresa.
La AEPD incurre en una conducta análoga a uno de los reproches que formula contra mi
representada, la suplantación de los interesados, cuando se pone en el lugar de los
receptores de la información para concluir no es fácil de entender para cualquier interesado ni
éste puede deducir el significado de las expresiones a partir del contexto.
A este respecto, consta como hecho probado que BBVA analizó durante 2017 y 2018 el
impacto del RGPD en su actividad y realizó dos investigaciones por terceros expertos para
valorar el contenido y formato del texto, o testar la comprensión del mismo, resultando
indiscutible que actuó con responsabilidad proactiva para conocer a las personas sobre las
que recaba información y determinar si dicha audiencia es susceptible de comprender,
adaptando la información proporcionada y la terminología para ello.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
47/146
El reproche de la Agencia alcanza a la manera de presentar el documento a los interesados,
señalando que pretende ofrecer una imagen de cortesía y buen trato al cliente, criticando con
ello lo que no es sino una simple decisión comercial de BBVA acerca de cómo presentar un
documento a sus clientes, para lo que el Banco está plenamente legitimado en virtud de su
derecho a la libertad de empresa consagrado en el artículo 38 de la CE.
b) Exigencias de información a los interesados que resultan excesivas y que podrían
ocasionar fatiga informativa.
Parece indicar la AEPD que la Política de Privacidad, al referirse a la tipología de los datos
personales afectados por los tratamientos que realiza, debería alcanzar un nivel de detalle
semejante al mostrado en (i) el Informe de Ponderación aportado por el Banco a
requerimiento del Instructor y (ii) la documentación correspondiente al proyecto ?Customer
Data Cube?.
La incorporación de toda esa información relativa a la tipología de datos a un documento ya
de por sí excesivamente extenso, sería susceptible de ocasionar fatiga informativa en los
interesados, en contra de las Directrices del GT29, que recomienda una información eficiente
y sucinta; o de la propia AEPD, que ha destacado la importancia de no abrumar con la
información, como en la ?Guía sobre el uso de cookies?.
c) Supuesta falta de determinación de los interesados afectados por la comunicación de datos
personales a las sociedades del Grupo BBVA.
Según se indica en la Política de Privacidad, los datos de representantes, garantes,
autorizados o beneficiarios se tratan únicamente para la gestión del contrato en que
intervengan a consecuencia de su relación jurídica con un cliente del Banco. En ningún caso
estos datos son comunicados a las sociedades del Grupo BBVA.
5. Sobre la realización de perfiles.
La finalidad 2 de la Política de Privacidad persigue personalizar la experiencia de sus clientes
y se concluye indicando la utilidad de dichos perfiles.
Se detalla el tratamiento realizado (analizar y valorar los datos), la tipología de datos que se
utiliza en dicho tratamiento (datos que permiten identificarte, evolución financiera y de los
productos y servicios contratados, operaciones ?pagos, ingresos, transferencias, adeudos,
recibos- así como los usos de los productos, servicios y canales de BBVA) y la finalidad para
la que se realiza dicho análisis (elaborar un perfil y utilizarlo en los modelos de negocio).
Considera dicha entidad que el conocimiento de los clientes, el análisis de su interrelación con
los productos y servicios que se ofrecen y la valoración de sus preferencias manifestadas a
través del uso o no de los mismos, y la forma en que son usados, es la base de la información
que cualquier empresa utiliza para valorar su estrategia de negocio y mejorarla, en definitiva,
para diseñar sus modelos de negocio y para la gestión de la relación con el cliente.
Este tratamiento en ningún caso supondrá el análisis individualizado para la realización de
comunicaciones comerciales, que supone un tratamiento adicional y diferenciado, que solo
podría realizarse con clientes que hubieran prestado su consentimiento para ello.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
48/146
Parece entender esa AEPD que la única finalidad de la realización de perfiles es la
personalización de las ofertas, cuando dicho tratamiento puede igualmente tener por objeto
muchas otras finalidades, tales como la mejora del modelo de negocio, de la cartera de
productos y servicios ofrecidos por el responsable o de la experiencia del cliente. Por este,
motivo entiende esta parte que la Agencia confunde en este punto dos finalidades que
aparecen recogidas en dos apartados distintos de la Política de Privacidad.
6. Sobre la licitud de los tratamientos que BBVA ampara en el interés legítimo en su política
de privacidad.
Los argumentos sobre esta cuestión recogidos en la propuesta se presentan de forma
dispersa, haciendo complejo a BBVA comprender realmente los motivos en las que la AEPD
funda su reproche. No obstante, parece concluirse que, a juicio de la Agencia, no concurrirían
en este caso los requisitos derivados de los Considerandos 41 y 47 del RGPD. Entiende
BBVA que la AEPD pretende destacar que los intereses legítimos no están claramente
descritos, el tratamiento descrito en la finalidad 2 no se ajusta al principio de necesidad, no
concurre la expectativa razonable del interesado y, en definitiva, no se ha realizado una
adecuada ponderación de los derechos e intereses en juego.
a) Sobre los conceptos de interés legítimo y finalidad y su supuesta confusión por parte de
BBVA.
La AEPD en su Propuesta de Resolución pone de manifiesto la, a su juicio, sustancial
diferencia entre los conceptos jurídicos de finalidad e interés legítimo. Entiende BBVA que se
trata de elementos indisolublemente vinculados entre sí. Sólo así puede entenderse el artículo
6.1 f), que considera lícito el tratamiento basado en el interés legítimo; es decir, el interés
legítimo es la finalidad (a satisfacer) para la que procede el tratamiento de los datos.
Siguiendo el razonamiento de la AEPD, cualquier tratamiento llevado a cabo sobre la base del
interés legítimo en un entorno empresarial es ilícito porque la finalidad única es la mera
obtención de un beneficio económico (o la reducción de una pérdida). Incluso los tratamientos
que la AEPD ha considerado fundados en el interés legítimo serían contrarios a la Ley, pues
todos encajarían en el supuesto proscrito por la STS de 20/06/2020, que se refiere a
tratamientos de datos de personas destinatarias de bromas con finalidad meramente
crematística. Y lo mismo puede decirse de supuestos aceptados por el TJUE, la AN o la AEPD
cuando el tratamiento se lleve a cabo por una empresa (cita varios ejemplos: tratamiento para
el fomento de la libre competencia en un determinado sector -por ejemplo, el acceso por los
comercializadores eléctricos al Sistema de Información de Puntos de Suministro de los
distribuidores; tratamiento de datos por motores de búsqueda; tratamientos basados en la
libertad de información de los medios de comunicación; tratamientos llevados a cabo en el
ejercicio por el empresario de sus funciones de control empresarial; la creación de sistemas
comunes de prevención del fraude; los sistemas de información crediticia; incluso los
tratamientos para gestión y administración interna de los grupos empresariales o el
tratamiento de datos personales con fines de mercadotecnia -indicado en el Considerando 47
del RGPD).
El interés legítimo que pretende cumplir BBVA es el de mejorar continuadamente la relación
con sus clientes y la cartera de productos y servicios que ofrece, pudiendo responder
diligentemente a sus necesidades en caso de que los mismos las requieran.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
49/146
Evidentemente, este interés legítimo tiene por objeto la mejora continua del modelo de
negocio y lograr que los clientes estén satisfechos con el servicio prestado. En caso contrario
optarían por romper la relación de negocios con la entidad y contratar los servicios de un
competidor.
Como es lógico esta circunstancia llevará aparejada una pérdida para BBVA que, lícitamente,
pretende evitar. Pero eso no significa que el interés legítimo que justifica el tratamiento de los
datos por parte de BBVA no sea el de prestar el mejor servicio a sus clientes, poder
anticiparse a sus necesidades, ofrecerles, si lo consintieran los productos que puedan
ajustarse mejor a su perfil y, en lógica consecuencia, mejorar y perfeccionar continuadamente
su modelo de negocio.
BBVA tiene el legítimo interés en conocer lo mejor posible a sus clientes para poder prestar a
los mismos sus servicios con el mayor grado de excelencia posible, aun cuando ello lleve, en
su caso, aparejado (obvio es decirlo tratándose de una mercantil) la consecuencia de obtener
un beneficio económico. Y esa es también la descripción que realiza el Informe de
Ponderación, en el que no se hace referencia a la obtención de un beneficio, sino a la mejora
de la calidad, la relación con el cliente y la atención a sus necesidades.
b) Sobre la referencia al principio de necesidad efectuada en la Propuesta de Resolución.
La AEPD considera que el principio de necesidad exigido en el artículo 6.1 f) del RGPD en
relación con la satisfacción del interés legítimo, no se da en este caso. Y parte de la doctrina
sentada en la Sentencia del TEDH de 25/03/1983, referida a un supuesto de posible
vulneración del secreto de las comunicaciones, en el que el término ?necesidad? no se
corresponde con el que resulta de la aplicación del RGPD.
En lo que atañe al principio de necesidad, la interpretación es mucho más sencilla y resulta
igualmente de la doctrina del TEDH, que ha sido aplicada y resumida reiteradamente en
España por nuestro Tribunal Constitucional a la hora de analizar la proporcionalidad de una
medida restrictiva de un derecho fundamental.
La STC 207/1996, citada por la AEPD en la exposición de motivos de su Instrucción 1/2006,
señala:
?[?] para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de
proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal
medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es
necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal
propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada,
por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros
bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)?.
Pues bien, en el presente caso, la finalidad perseguida por BBVA solo puede llevarse a cabo
con las mismas probabilidades realizando el tratamiento que se ha descrito y estableciendo
modelos que permitan conocer realmente las preferencias de sus clientes.
Por este motivo, el Informe de Ponderación señala claramente que el tratamiento es
necesario para el cumplimiento de ese interés legítimo (de BBVA y de sus clientes), no
existiendo medios menos intrusivos, en el estado actual de la técnica, para llevarlo a cabo,
adoptando las medidas necesarias para minimizar la información tratada (excluyendo los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
50/146
datos identificativos del cliente) y asegurar la plena garantía del ejercicio por el mismo de su
derecho de oposición.
c) Sobre la aplicación al presente caso del principio de expectativa razonable del interesado.
Como ya se indicó en nuestras alegaciones al Acuerdo de Inicio, el razonamiento de la
Propuesta de Resolución sólo puede ser calificado de contradictorio:
. La AEPD considera que el tratamiento debe poderse prever directamente por el interesado,
sin que esa previsión se mediatice por las indicaciones del responsable. No obstante, el
artículo 13 del RGPD impone a ese responsable la obligación de informar acerca del
tratamiento e indicar que el mismo se funda en un interés legítimo prevalente so pena de
incumplir dicha norma. BBVA se pregunta si la AEPD pretende decir que no han de informarse
los tratamientos basados en interés legítimo. Una vez producida la información resulta
imposible saber si el interesado pudo o no prever los tratamientos con anterioridad.
. La evaluación de la concurrencia de la expectativa razonable se puede derivar de la relación
del afectado con el responsable. No obstante, la AEPD considera que al interesado le es
irrelevante la excelencia que pueda existir en la relación del Banco con él.
. La realización de un estudio en que se plantea al cliente ?qué espera? de su relación con mi
mandante no es suficiente para poder considerar que su respuesta responde a una
expectativa. Pues bien, el Diccionario de la Real Academia Española introduce como primera
acepción del término ?expectativa? la de ?esperanza de realizar o conseguir algo?. Y en
relación con el término ?esperanza?, que indica que deriva del verbo ?esperar?, el mismo
Diccionario señala que dicho término significa, en su primera acepción, ?estado de ánimo que
surge cuando se presenta como alcanzable lo que se desea?. Teniendo en cuenta este
significado literal de los términos citados no se entiende cómo la AEPD considera que el
estudio no guarda relación con la ?expectativa? del interesado el preguntar al mismo sobre lo
que ?espera?. No se comprende cómo debería haberse planteado la cuestión para que el
estudio aportado pudiera tener alguna validez para la AEPD.
. En ningún momento toma en consideración la AEPD lo señalado en el Informe de
Ponderación, en que se pone claramente de manifiesto como el tratamiento de los datos ha
venido realizándose por BBVA sin que se haya producido ninguna reclamación
específicamente relacionada con la generación de este tipo de modelos, ni se contradice la
conclusión alcanzada en el informe en el sentido de indicar que ?la cesación en este
tratamiento supondría precisamente una quiebra de la expectativa del interesado, que podría
considerar que BBVA ha desatendido su cometido de ofrecerle las mejores soluciones
financieras que se ajusten a su concreta situación?.
Finalmente, entiende BBVA que nada en la Propuesta contradice lo indicado en el Informe de
Ponderación a la vista de los usos que rigen las relaciones jurídicas entabladas por las
entidades de crédito con sus clientes, sobre el vínculo de confianza en el que se basa la
relación entre el cliente y la entidad financiera, así como lo que el cliente espera de la entidad.
d. Sobre la suficiencia del Informe de Ponderación aportado por BBVA.
La Propuesta de Resolución achaca al Informe de Ponderación diversos defectos, algunos de
los cuales ya han sido rebatidos a lo largo de esta alegación sexta.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
51/146
Junto con ellos, parece indicarse por la AEPD que el informe debería haber seguido la
estructura establecida por el GT29, incluyendo una suerte de ponderación provisional previa a
la determinación de las medidas adoptadas por BBVA para hacer prevalecer su interés
legítimo, a pesar de que una mera recomendación o ejemplo de informe no puede imponerse
de forma obligatoria como modelo si no existe una norma imperativa que así lo disponga.
Además, el Informe de Ponderación incluye una clara descripción del interés legítimo que
justifica el tratamiento (por mucho que la AEPD pretenda lo contrario), así como la incidencia
del tratamiento en los derechos de los interesados, valorando la idoneidad, necesidad y
proporcionalidad del tratamiento que conducen a la determinación de la prevalencia del
interés legítimo, con expresa inclusión de las garantías adoptadas en relación con el
tratamiento a fin de minimizar su impacto en los derechos de los interesados y garantizar el
ejercicio de los derechos, particularmente del derecho de oposición. En particular, a fin de
minimizar el impacto del tratamiento en los derechos de los interesados, ?la información
empleada para el tratamiento únicamente comprenderá datos vinculados a la relación
entablada por el cliente con BBVA, sin incluir informaciones adicionales que pudieran resultar
de la misma, tales como el origen, destino o concepto de las transacciones realizadas ni
datos obtenidos de fuentes externas?.
Igualmente, la AEPD interpreta erróneamente lo señalado sobre el plazo de conservación de
los datos para la realización del tratamiento. Este plazo será de dos años, no utilizándose
datos que tengan una mayor antigüedad ni conservándose los datos para este tratamiento
durante un período superior. Cuestión distinta es que el formulario de recogida de datos del
interesado se utilice no sólo como iniciador de la relación del cliente con BBVA, sino también
para el cumplimiento de las obligaciones de diligencia debida establecidas en la legislación de
prevención del blanqueo de capitales. Los datos se conservan durante el plazo establecido en
esta legislación, a los fines previstos en la misma, pero no para el tratamiento controvertido.
No obstante, según parece desprenderse de la Propuesta de Resolución, los sujetos
obligados deberían solicitar del afectado el mismo dato en tantas ocasiones como
tratamientos del mismo vaya a llevar a cabo, lo que evidentemente no se ajusta a la norma, ni
sería razonable.
Finalmente, la Propuesta de Resolución considera inadecuada la referencia al Informe
195/2017 del Gabinete Jurídico de la AEPD, considerando que ?las premisas valoradas en
dicho informe no se ajustan al supuesto presente. En los aspectos señalados, ese informe
analiza la realización de tratamientos con fines de mercadotecnia, siempre que la oferta se
refiera a productos similares a los contratados por el interesado, y se utilice únicamente la
información disponible como consecuencia de la gestión de los productos?. BBVA manifiesta
no comprender en qué se diferencia el supuesto mencionado del actualmente objeto de
análisis.
7. Sobre la obtención del consentimiento y su conformidad con el RGPD y la LOPDGDD.
a) Consideraciones previas; identificación precisa del eventual ilícito.
En relación con la condición de informado que se exige respecto del consentimiento, se
remite BBVA a lo señalado en los apartados anteriores.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
52/146
En cuanto a la forma de obtención del consentimiento, se refiere en primer término a las
consideraciones formuladas por esta Agencia sobre el ?diseño consciente? realizado por BBVA
con el propósito de favorecer la prestación del consentimiento de la mayoría de sus clientes,
las cuales esa entidad no considera jurídicamente relevantes.
Aclara que la conclusión de aquellos trabajos al señalar que los interesados no leen los textos
motivó la necesidad de prestar más atención a la Política de Privacidad, diseñando los textos
y procesos contenidos en la misma de forma que se llamase la atención del interesado y en
definitiva plasmase en un sentido u otro el sentido de su decisión.
Pretender lícitamente tratar gran cantidad de datos para cuantas más finalidades es legítimo,
redunda en beneficio del interesado y no supone la inobservancia de la normativa, por lo que
no puede ser objeto de sanción ni ser considerado en la graduación de la responsabilidad.
Tendría relevancia para valorar el elemento de culpa, si BBVA hubiera diseñado el mecanismo
?a sabiendas? de que estaba infringiendo la normativa, lo cual niega categóricamente.
b) Sobre las características que debe reunir el consentimiento (distintas de la forma,
mecanismo o fórmula para su obtención).
La AEPD, considera que no se cumple el criterio contenido en el considerando 43 del RGPD,
que requiere que los procesos para aceptar los tratamientos permitan ?autorizar por separado
las distintas operaciones de tratamiento de datos personales?, y reprocha que no existe una
adecuada separación de los distintos tratamientos, entendiendo que la firma de la Política de
Privacidad es el consentimiento o la ?única acción? que realiza el interesado para autorizar los
tratamientos cuyo consentimiento solicita el BBVA.
Resulta paradójico que se argumente la ?inacción? como base de la responsabilidad que se
imputa y se señale también que dicha ?única acción? es asimismo sancionable.
En todo caso, es irrebatible que se diferencian las distintas finalidades para las que se
buscaba el consentimiento del interesado, como puede verse de la mera lectura del texto, que
prevé finalidades variadas y distintas. Se obtienen tantos consentimientos como finalidades o
usos se pretende realizar.
c) Sobre la forma en la que se ha obtenido el consentimiento.
La Agencia considera que el consentimiento no es inequívoco. Estima que no nos
encontramos ante una declaración o una clara acción afirmativa, que se pretende recabar un
consentimiento mediante la inacción del interesado (?no marcar las casillas en las que se
indica ?No quiero???).
No comparte este criterio la entidad BBVA, tal y como anticipó en el escrito de alegaciones al
Acuerdo de Inicio, en el que expuso una serie de consideraciones en relación al denominado
poder de control del interesado sobre sus datos, el cual se respeta si analizamos el
mecanismo ideado en su conjunto y no de forma aislada atendiendo únicamente a las casillas
contenidas en la Política de Privacidad. Cuestión esta sobre la que la AEPD nada argumenta.
Y es que, como ya se indicó, el RGPD admite muchas y distintas fórmulas para obtener el
consentimiento, siempre que de ellas se derive claramente que el interesado ?acepta la
propuesta de tratamiento de sus datos?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
53/146
La AEPD se basa exclusivamente en el carácter ?negativo? de las casillas sin analizar si el
conjunto de acciones que el interesado puede realizar permite concluir si existe o no voluntad
deliberada de consentir o no determinados tratamientos, sabiendo que nunca puede lograrse
certeza absoluta de cuál fue la motivación del interesado. En este caso, cualquiera que sea la
opción del interesado (la marcación o no de las casillas), nunca será posible considerar que
ha existido una inacción del mismo, pues esa concreta inactividad no puede aislarse del
conjunto de actuaciones que debe realizar el interesado para su alta como cliente.
Seguidamente, destaca algunos aspectos esenciales de cualquier proceso de alta de un
interesado como cliente de BBVA:
. En cualquier proceso de alta, se facilita la suscripción y firma de la Política de
Privacidad, en la que se ponen a su disposición las opciones ofrecidas, manifiestas y
evidentes para el interesado. Es una clara acción afirmativa llevada a cabo con pleno
conocimiento del alcance y consecuencias. Además, el cliente tiene a su disposición, a
través de la aplicación, un procedimiento para gestionar sus preferencias.
. La fórmula establecida permite al interesado tomar distintas decisiones en relación al
tratamiento de sus datos, resultando obvio que si el interesado no hace uso de ellas no
es reprochable a la entidad.
Existe una clara acción afirmativa, dado que todo interesado suscribe digital o
presencialmente la Política de Privacidad, pero, de forma previa, el interesado toma
diversas decisiones, eligiendo las opciones o preferencias. En soporte papel, la firma se
inserta en un lugar en que se encuentran visibles las opciones ofrecidas, luego hay una
conducta que implica aceptación de lo que se firma; en soporte digital, el afectado accede
a distintas pantallas habilitadas para gestionar su consentimiento, dispone de un ?Check
de aceptación? y tras la recogida de los datos vuelve a tener disponible el documento
para proceder a su firma, de estar conforme.
Tampoco tiene lugar un consentimiento presunto pues en ningún caso se produce una
declaración o acto de ?silencio positivo? que suponga la aceptación de la Política de
Privacidad en toda su extensión; no se trata de casillas ya marcadas; ni la inactividad
supone la continuidad de un servicio o funcionalidad.
La reclamación formulada por el reclamante 3 es una muestra del cumplimiento por BBVA
de sus obligaciones.
En definitiva, los procesos de alta a través de canales digitales y presenciales cumplen con
los requisitos expresados en la Guía para responsables de la AEPD, que recuerda que el
consentimiento ?puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de
una acción del interesado?.
Por último, merece prestar de nuevo atención, en relación con la declaración por escrito, al
caso contemplado como ?ejemplo 17? en las Directrices sobre el consentimiento del EDPB,
puesto que se trata de un supuesto que puede asimilarse al que es objeto de este expediente,
al admitir un escenario que contiene las opciones de marcación de un ?si? y un ?no?. Así,
señala que:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
54/146
?Un responsable del tratamiento puede obtener también consentimiento explícito de una persona que
visita su sitio web ofreciendo una pantalla de consentimiento explícito que contenga casillas de Sí y No,
siempre que el texto indique claramente el consentimiento, por ejemplo, «Yo, doy mi consentimiento al
tratamiento de mis datos» y no, por ejemplo, «Tengo claro que mis datos van a ser tratados». Huelga
decir que deben cumplirse las condiciones del consentimiento informado, así como el resto de
condiciones necesarias para obtener un consentimiento válido?.
8. Aplicación al presente caso de los principios de culpabilidad proporcionalidad y
circunstancias modificativas de la responsabilidad concurrentes en el mismo.
a) De la no concurrencia de culpabilidad en la actuación de BBVA.
Ha actuado en todo momento con total diligencia, siguiendo las directrices de la AEPD e
incluyendo en su Política de Privacidad el contenido obligatorio establecido en el artículo 13
del RGPD y extremos que ni la norma ni su interpretación imponen; y en el convencimiento,
después de que informase sobre las reclamaciones formuladas, de que la Agencia no había
advertido elemento que contraviniera lo establecido en el RGPD y LOPDGDD.
Invoca la Sentencia de la AN de 19/11/2008, en la que se justifica la concurrencia del principio
de confianza legítima, al haber actuado en la creencia de que su conducta se ajustaba a la
legalidad.
Y la Sentencia, también de la AN, de 15/10/2012 (recurso 608/2011), en la que se valora ?la
activa participación de la Administración?, que pudo llevar al interesado a la conclusión de que
su actuación era conforme a derecho; que su conducta no se halla amparada por una
interpretación jurídica razonable de las normas aplicables; y las dificultades en la
interpretación descritas por la Administración.
b) De la aplicación del principio de proporcionalidad.
Considera BBVA que ciertas agravantes apreciadas por la Agencia no serían aplicables a la
conducta de BBVA y que concurren determinadas circunstancias que reducen su
responsabilidad.
c) Circunstancias agravantes apreciadas por la AEPD.
- Naturaleza, gravedad y duración de la infracción (artículo 83.2 a) del RGPD).
La Agencia considera un elemento del tipo como circunstancia agravante, como es el
presunto incumplimiento del principio de transparencia, intrínsecamente relacionado con el
incumplimiento de los artículos 13 y 14 del RGPD, lo cual no es aceptable en derecho. Y lo
mismo puede decirse en relación con la vulneración del artículo 6 del RGPD, que según la
Agencia se ve agravado por afectar al principio de transparencia.
- Supuesta ausencia de procedimientos adecuados de actuación en la recogida y
tratamiento de los datos personales (artículo 83.2 k) del RGPD).
Puede concluirse en el mismo sentido expresado en el subapartado anterior, dado que el
hecho de que la Agencia considere que BBVA no tiene implantados procedimientos
adecuados de actuación deriva de su entendimiento de que la Política de Privacidad no
cumple con las obligaciones de información ni con los requisitos de obtención del
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
55/146
consentimiento.
- Presunta intencionalidad en la comisión de la infracción (artículo 83.2 b) del RGPD).
BBVA ha desarrollado desde 2016 una amplia labor, caracterizada por su diligencia y
proactividad, a fin de lograr una plena adaptación al RGPD de su organización y de los
tratamientos de datos que lleva a cabo. Para ello, diseñó un plan de trabajo con el objetivo de
adecuar toda su organización, así como los tratamientos de datos personales que realizaba, a
las disposiciones del citado reglamento, cuya ejecución dio comienzo en noviembre de 2016.
Adicionalmente, constituyó un Comité Directivo encargado de revisar bimensualmente el
avance de los trabajos y tomar decisiones de carácter estratégico.
En el marco del referido plan de trabajo, en marzo de 2017 BBVA había llevado a cabo una
revisión de su política de privacidad para clientes, con el objetivo de comprobar si la misma
reflejaba todos los tratamientos de datos que BBVA efectuaba. La revisión arrojó como
resultado que el referido documento contemplaba tales tratamientos y se concluyó que el
consentimiento de los interesados había sido obtenido de conformidad con los requisitos
impuestos por el RGPD.
Por lo que respecta a los nuevos clientes, era preciso que BBVA obtuviera su consentimiento
por medio de una política de privacidad actualizada conforme al RGPD. Con vistas a la
consecución de estos objetivos, se efectuó un análisis acerca de cómo obtener un
consentimiento inequívoco de acuerdo con la citada norma y cómo disponer de evidencias de
haberlo obtenido.
Diseñó una estrategia para informar a los interesados, elaborando una nueva Política de
Privacidad, que incluía una serie de casillas para la prestación del consentimiento por los
clientes cuyo texto fue previamente analizado para hacerlo claro y sencillo, y estableció un
plan para hacer llegar dicha Política de Privacidad a los interesados. Antes, se realizaron dos
modelos de Política de Privacidad, que fueron testados con los clientes.
Todo ello, que aparece recogido en las memorias anuales del Banco de 2016 a 2019, es
prueba de una firme y decidida voluntad de BBVA de lograr una plena adecuación al RGPD ya
desde antes de su aplicación, así como a la LOPDGDD. La antelación con la que se iniciaron
los aludidos trabajos, así como el hecho de haber involucrado a los propios interesados en la
elaboración de la nueva política de privacidad, dan fe de buena voluntad, la responsabilidad
proactiva y la diligencia de BBVA en cuanto al cumplimiento de la normativa de protección de
datos.
Se muestra la buena fe del Banco y la voluntad de adecuar sus actividades a la referida
normativa. Si la Agencia considerase que los trabajos de adecuación al RGPD y la LOPDGDD
son irregulares o insuficientes, la mencionada normativa contempla otros mecanismos
distintos a la imposición de una multa para corregir las deficiencias que pudieran apreciarse
por la autoridad de control.
No puede aceptarse que haber desarrollado actuaciones diligentes y proactivas a fin de
adaptar sus actividades al nuevo marco normativo sea utilizado en su contra y considerado
como una circunstancia agravante de su presunta responsabilidad. Especialmente, teniendo
en cuenta que BBVA ha ajustado su actuación a las directrices emanadas de la AEPD.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
56/146
- Supuesto carácter continuado de la infracción.
La Agencia era perfectamente conocedora de la Política de Privacidad de BBVA casi un año
antes de acordar el inicio del presente procedimiento sancionador. Dejó transcurrir diez meses
entre la primera admisión a trámite y el inicio del procedimiento, sin efectuar ningún reproche
formal a BBVA, que actuó con la confianza de que no se apreciaba por la autoridad de control
la existencia de vulneración alguna.
Pues bien, el reproche derivado del mantenimiento en el tiempo de la Política de Privacidad
de BBVA sólo debería ser imputable a quien, sabedora de que consideraba la conducta como
reprochable, mantuvo oculta esa opinión durante un período tan prolongado de tiempo. La
AEPD, mediante su inacción, facilitó que BBVA no adoptase medida alguna para subsanar o
modificar la Política de Privacidad.
d) Circunstancias atenuantes concurrentes en el supuesto objeto del presente procedimiento.
- Intencionalidad o negligencia en la infracción (artículo 83.2 b) del RGPD) y grado de
responsabilidad de BBVA habida cuenta de las medidas técnicas u organizativas
aplicadas (artículo 83.2 d) del RGPD): trabajos de adaptación al RGPD y la
LOPDGDD.
Las actuaciones desarrolladas desde 2016 para la adecuación de sus actividades al RGPD,
ya expuestas, dan cuenta de la especial diligencia y proactividad con la que hizo frente a la
aprobación y entrada en vigor del nuevo marco normativo. Dichas actuaciones no pueden
utilizarse en su contra como una circunstancia agravante, menos aún para señalar que fueron
efectuadas con la intención de vulnerar la norma.
Entiende que debe considerarse como atenuante la falta de intencionalidad en la comisión de
las infracciones que se imputan y el elevado grado de responsabilidad proactiva mostrado a
través de los citados trabajos.
- Medidas tomadas por BBVA para paliar los efectos de las presuntas infracciones.
Regularización diligente (artículo 83.2 c) del RGPD). Medidas de regularización
adoptadas en relación con las reclamaciones. Elaboración de una nueva versión de la
Política de Privacidad de BBVA.
BBVA ha desarrollado un gran número de actuaciones para dar pleno cumplimiento a la
normativa sobre protección de datos y subsanar los eventuales fallos puestos de manifiesto
por las precitadas reclamaciones. Puede mencionarse que el Banco atendió los deseos de
cada uno de los reclamantes tan pronto como tuvo conocimiento de los mismos, con
independencia de la validez o corrección de los argumentos esgrimidos por aquéllos,
implementando inmediatamente las acciones precisas y suficientes para evitar que sus datos
fueran tratados en contra de su voluntad.
Asimismo, BBVA llevó a cabo todo un conjunto de actuaciones internas que tenían por objeto
recordar de manera reiterada al conjunto de su red comercial, las políticas adoptadas en
materia de protección de datos; una muestra más de la diligencia empleada.
Conocida la apertura del procedimiento ha intensificado su actividad con el propósito de
reforzar la información proporcionada a los clientes y ha elaborado una nueva versión de la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
57/146
Política de Privacidad, sin que ello implique en ningún caso el reconocimiento de las
infracciones que se imputan.
Según BBVA, esta nueva versión de la Política de Privacidad de BBVA dejaría sin contenido la
totalidad de los reproches realizados por la AEPD en relación con la transparencia de la
misma. Destaca los aspectos siguientes:
. Expone de manera aún más clara y diferenciada las finalidades del tratamiento de los
datos de representantes, garantes, autorizados o beneficiarios, separada de los clientes
(de este modo, la comunicación de datos figura únicamente entre las finalidades del
tratamiento de los datos de los clientes). Igualmente, la Nueva Política de Privacidad
especifica las categorías de datos afectadas en cada caso.
. Ofrece información más detallada en relación con las categorías de datos personales de
clientes objeto de tratamiento, distinguiendo entre aquéllos proporcionados directamente
por el interesado, los recogidos o generados por BBVA y los obtenidos de otras fuentes.
. Se desarrollan las finalidades relacionadas con la elaboración de perfiles comerciales y
de riesgo, indicando de forma sistemática los tipos y finalidades, la base de legitimación ?
describiendo, en su caso, el interés legítimo de BBVA-, los datos utilizados y el período
de tiempo que comprenden, así como las fuentes de tales datos.
. Indica qué datos personales de los clientes se comunicarán a terceros, quiénes pueden
ser dichos terceros, la finalidad de la comunicación y la base de legitimación para la
misma. Para ello, se hace referencia a las comunicaciones como una finalidad específica
y diferenciada del tratamiento de los datos de los clientes de BBVA.
Finalmente BBVA señala que, pese a lo alegado en el presente expediente sancionador, dado
que la Agencia no comparte los criterios de esa entidad (pese a la completa legalidad de su
actuación), y exclusivamente atendiendo a las muy graves consecuencias que para BBVA
puede implicar el mantenimiento por la Agencia de este criterio, se ha modificado el
mecanismo de obtención del consentimiento del interesado, incluyendo en la primera capa
informativa casillas diferenciadas y granulares que el interesado debe marcar si desea
autorizar a BBVA para tratar sus datos con cada una de las finalidades que se indican. Cada
casilla va a acompañada de una descripción del tratamiento y de una remisión a la
información adicional sobre la finalidad contenida en la segunda capa.
BBVA considera que todo lo expuesto muestra la diligencia, proactividad y celeridad mostrada
para mejorar la información proporcionada a los clientes, representantes, garantes,
autorizados y beneficiarios y subsanar los defectos de los que, a juicio de la Agencia, adolecía
tal información. En consecuencia, en opinión de BBVA, para el supuesto de que la AEPD
considere que es responsable de las dos infracciones que se le imputan, las medidas
tomadas por el Banco deberían ser tenidas en cuenta como circunstancias atenuantes de su
eventual responsabilidad.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
58/146
1. Con fecha 16/10/2018, tuvo entrada en esta Agencia una reclamación formulada por el
reclamante 1 contra BBVA, por el envío a su línea de telefonía móvil, en fecha 11/10/2018, de
un SMS promocional sin su autorización.
En relación con esta reclamación, BBVA informó a esta Agencia que el reclamante 1 prestó su
conformidad al envío de publicidad mediante la suscripción, en fecha 07/06/2016, del
documento ?Identificación del cliente, tratamiento de datos personales y firma digitalizada?,
aportado a las actuaciones por la propia entidad.
2. Con fecha 09/12/2018, tuvo entrada en esta Agencia una reclamación formulada por el
reclamante 2 contra BBVA, señalando que la App BBVA no cumple los requisitos legales
relativos al consentimiento libre e informado.
En relación con su denuncia, el reclamante 2 aportó copia de un correo electrónico que dirigió
a BBVA, de fecha 09/11/2018, en el que en el que expresamente indica lo siguiente:
?Estimado/a DPO de BBVA
El documento adjunto al anterior mensaje procede de la APP BBVA ofrecida en la plataforma Android.
La citada aplicación requiere al usuario, como paso previo a su uso, prestar consentimiento mediante la
firma electrónica de un documento que sólo ofrece la posibilidad de oponerse al tratamiento de datos
personales para fines distintos a los necesarios a los fines de la prestación de servicios financieros si el
cliente activa las casillas de oposición a un tratamiento que POR DEFECTO (véase artículo 25 del
RGPD) debieran considerarse como activadas. El texto informativo resulta poco coherente con el
principio de transparencia del artículo 12 del RGPD??.
BBVA respondió a dicho correo mediante otro de fecha 29/11/2018 en el que literalmente
indica:
?La forma en que se recaba el consentimiento al que usted hace referencia ha sido considerada válida
no solo en los análisis internos de nuestra propia entidad, sino en todos aquellos foros donde se ha
planteado la cuestión, ya que el interesado tiene la opción de escoger de una manera sencilla y
fácilmente entendible la opción que prefiera?.
El reclamante aportó a las actuaciones copia del documento generado por la App, con el
rótulo ?Declaración de actividad económica y política de protección de datos personales?, en
cuyo apartado 1 constan los datos identificativos del cliente (el reclamante 2) y su declaración
de actividad económica. En este documento figuran marcadas todas las opciones habilitadas
para que el interesado preste su consentimiento al tratamiento de los datos personales con
las finalidades que en dichas opciones se expresan (?No quiero??).
3. Con fecha 13/02/2019, tuvo entrada en esta Agencia una reclamación formulada por el
reclamante 3 contra BBVA, en la que pone de manifiesto que la citada entidad la requirió, para
el desbloqueo de su cuenta, suscribir el documento de protección de datos personales.
Dicho documento, que consta aportado a las actuaciones por el reclamante 3, se corresponde
con el denominado ?Declaración de Actividad Económica y Política de Protección de Datos
Personales?. Este documento aparece fechado el 11/02/2019 y sin firma del interesado. De
las opciones habilitadas en este documento para que el interesado preste su consentimiento
al tratamiento de sus datos personales con las finalidades que se expresan en cada caso,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
59/146
figura marcada la opción ?No quiero que BBVA trate mis datos para ofrecerme productos y
servicios de BBVA, del Grupo BBVA y de otros personalizados para mí por email?.
Con su escrito de alegaciones, BBVA aportó, además, otro ejemplar de la citada ?Declaración?
suscrito por el reclamante 3 en fecha 17/01/2019 y con la marca en la misma opción de los
consentimientos.
4. Con fecha 23/05/2019, tuvo entrada en esta Agencia una reclamación formulada por el
reclamante 4 contra BBVA, por el envío de comunicaciones comerciales que no ha solicitado
ni autorizado.
En relación con esta reclamación, BBVA informó a esta Agencia que el reclamante 4 no se
opuso al tratamiento de datos denunciado en el documento ?Declaración de Actividad
Económica y Política de Protección de Datos?, suscrito por el mismo en fecha 26/11/2018.
En el documento citado, que ha sido aportado a las actuaciones por BBVA, no figura marcada
ninguna de las opciones que se ofrecen al interesado para consentir el tratamiento de sus
datos personales.
5. Con fecha 27/08/2019, tuvo entrada en esta Agencia una reclamación formulada por el
reclamante 5 contra BBVA, por la realización de llamadas telefónicas y envío de SMS
publicitarios.
En relación con esta reclamación, BBVA informó a esta Agencia que el reclamante 5, en fecha
18/06/2018, firmó el documento ?Declaración de Actividad Económica y Política de Protección
de Datos Personales?, consintiendo el tratamiento de sus datos con fines comerciales. Añade
que dicho documento fue firmado por segunda vez por el reclamante 5, en fecha 27/05/2019,
manifestando su oposición a los tratamientos citados.
Ambos documentos constan aportados a las actuaciones por la entidad BBVA. En el primero
de ellos no consta ninguna marca en las casillas habilitadas para que el cliente manifieste su
consentimiento a los tratamientos que se indican y en el segundo el interesado marcó todas
las opciones (?No quiero??).
6. Para la adecuación de sus actuaciones al RGPD, la entidad BBVA habilitó el formulario de
recogida de datos personales denominado ?Declaración de actividad económica y política de
protección de datos personales?. En el apartado 1 de este documento constan los datos
identificativos del cliente y su declaración de actividad económica. Entre otros datos, figuran
los relativos a nombre, apellidos, identificador fiscal, fecha de nacimiento, nacionalidad,
domicilio, estado civil, régimen matrimonial, datos de contacto, ingresos fijos y variables,
entidad en la que presta servicio o ingresos brutos anuales.
Mediante este documento, establecido por BBVA como obligatorio para todos los clientes, la
citada entidad da a conocer los términos de su política de privacidad y establece los
mecanismos para que los clientes puedan prestar su consentimiento para el tratamiento de
sus datos personales con las finalidades que se indican en el citado documento.
La firma del documento por el cliente y la fecha se incluye al final del apartado 2 ?Política de
protección de datos personales?, indicando expresamente al interesado que con el proceso de
firma presta su conformidad a la ?Declaración de actividad económica y política de protección
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
60/146
de datos personales?.
Inmediatamente después de la firma se incluye la ?Información ampliada? en materia de
protección de datos personales y un glosario de términos.
En relación con la prestación del consentimiento, inmediatamente antes del espacio habilitado
para la firma, se ofrece a los interesados la posibilidad de marcar las opciones siguientes:
?Te informamos que si no estás de acuerdo con la aceptación de alguna de las siguientes finalidades,
puedes seleccionarlas a continuación.
. Productos y precios más ajustados a ti
[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí.
[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí.
Mejora de calidad
[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que
hacemos de tus datos?.
(El contenido del formulario ?Declaración de Actividad Económica y Política de Protección de
Datos Personales? aportado por el reclamante 3 es similar al reproducido en el Anexo 1, salvo
el detalle relativo a la casilla mediante la que se ofrece al cliente la opción ?No quiero que
BBVA trate mis datos para ofrecerme productos y servicios de BBVA, Grupo BBVA y de otros
personalizados para mí?, que permite marcar los canales siguientes:
[ ] Por email
[ ] Por SMS
[ ] Por teléfono (llamada telefónica)
[ ] Por correo postal)
El contenido íntegro de esta ?Declaración de actividad económica y política de protección de
datos personales? se declara reproducido en este acto a efectos probatorios (el apartado 2
?Política de Protección de Datos Personales? y la ?Información ampliada? se incluye como
Anexo 1).
7. Durante 2017 y 2018, BBVA desarrolló diversas actividades para analizar el impacto del
nuevo RGPD en su actividad, entre las que figura el diseñó de un plan para la elaboración de
una nueva cláusula informativa en materia de protección de datos personales, que denomina
?Cláusula LOPD?. Este plan incluía la redacción de un borrador del texto de la citada cláusula
con la política de privacidad, el análisis del procedimiento para obtener el consentimiento
inequívoco de los clientes, incluyendo una serie de casillas en la propia cláusula, y la
realización por terceros externos de dos investigaciones a efectos de validar el contenido y
formato de dicho texto, testar la comprensión del mismo y analizar los canales óptimos para
contactar con los interesados y recabar su consentimiento.
Según BBVA, la primera investigación, que consistía en optimizar la eficacia de la
comunicación a clientes, mostró como resultado que casi el 90% de los entrevistados
aceptaban los diversos tratamientos basados en su consentimiento y que, en los casos en
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
61/146
que no lo hacían, el rechazo se centraba exclusivamente en la recepción de comunicaciones
comerciales, sobre todo de terceros.
Sobre esta investigación, BBVA aportó un documento correspondiente al extracto de la
presentación realizada en octubre de 2017 sobre las conclusiones de estos trabajos, en el
que se indica lo siguiente:
?Objetivo: Optimizar la comunicación a clientes (email y página de firma) para conseguir mayor número
de aceptación de las finalidades de tratamiento de datos?.
?Resultados generales: casi el 90% de los entrevistados acepta todas las condiciones, ya sea de
manera expresa o por defecto; dos tercios de los entrevistados aceptaron las condiciones GDPR de
manera instantánea, sin leer; la no aceptación se centra exclusivamente en la recepción de
comunicaciones comerciales, sobre todo de terceros?.
?Conclusiones: el modelo actual sería válido (tras las modificaciones), es eficiente para estimular la
aceptación de la política de protección de datos (casi 9 de cada 100 consultados acepta todas las
cláusulas); la mención a terceros genera rechazo y desconfianza, convirtiéndose en una barrera y
provocando el rechazo de más finalidades y no solo las comunicaciones comerciales; la no aceptación
de las finalidades se centra en el rechazo de cualquier tipo de comunicación comercial (especialmente
de terceros);? en mobile se presta menos atención: se vincula a una actualización y se lee menos (se
acepta directamente)?.
?Consideraciones generales: en general los clientes no se detienen en la pantalla y los que lo hacen
leen en ?diagonal?. Aceptan sin leer ya que la confianza en BBVA es elevada y propicia un análisis
menos exhaustivo de la cláusula?.
. Sobre la segunda investigación, BBVA ha manifestado que tenía por objetivo determinar la
estructura y diseño óptimo de la Cláusula LOPD a efectos de mostrar el mensaje de forma
que no desvíe la atención de la intención principal del cliente y adaptar el texto de las casillas
para prestar el consentimiento de forma que los clientes sean plenamente conscientes de las
consecuencias que tendrá su otorgamiento o su denegación. En relación con esta
investigación, en el extracto de las conclusiones se dice lo siguiente:
?Objetivo: adaptar los mensajes para que el cliente acepte las condiciones consciente de la pérdida que
supondría no hacerlo?.
En esta investigación se comprueba el porcentaje de aceptación según la estructura y
contenido del ?checkbox?. En todos los casos analizados se solicita la marcación de la casilla
en caso de no autorizar el uso de los datos con la finalidad de que se trate.
8. Según consta en la documentación aportada por BBVA, correspondiente al proyecto
?Customer Data Cube?, los tratamientos de datos realizados por dicha entidad sobre la base
del interés legítimo prevalente, utiliza las variables calculadas sobre un período de tiempo
determinado, sobre la evolución en un período (porcentaje por diferencia entre períodos de
tiempo) o sobre los saldos a una fecha determinada (último día del mes).
Según este documento, además de las variables que identifican al cliente y las
sociodemográficas (edad, clasificación nacional de ocupaciones, sección censal, sexo,
indicador de empleo), se toman en consideración las variables siguientes (se citan algunos
ejemplos):
. De vinculación y negocio generales (antigüedad del clientes, categoría, importe y evolución de pasivo
y activo?)
. Variables de activo:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
62/146
. Saldos, tenencia y antigüedad (importe, evolución, media trimestral, porcentaje amortizado,
último vencimiento en préstamo consumo o hipotecario).
. Cirbe (riesgo, porcentaje de avales, cartera o leasing; riesgo a largo, a corto; riesgo directo o
indirecto?).
. De recursos (importe, evolución y media trimestral en plan de pensiones, fondos, renta variable o fija,
seguros de ahorro?).
. De transaccionalidad
. Tarjetas (importes y media trimestral con tarjeta de crédito o débito en comercios, cajeros?).
. Ingresos (importe, tenencia o número de meses de nómina, pensión?).
. Cuentas (media mensual, evolución de los líquidos, descubiertos?).
. Recibos (importe total en un año de recibos básicos y no básicos, número de recibos en un año,
recibos devueltos, media mensual?).
. De seguros (prima, tenencia, número de meses de seguro de hogar, vida?).
. Empresas (importe, evolución y media de avales; de cartera; cesión de nóminas; comercio exterior;
factoring; leasing; pagos certificados; renting?).
. Digitalización e interacción del cliente
. General (bbvanet; banca_mvl, multicanal)
. Uso de canales (días en los que hay eventos de contratación, operación o consulta, según canal
-incluido oficina y telefónico).
9. En respuesta al requerimiento de pruebas que le fue realizado por el instructor del
procedimiento, BBVA aportó a las actuaciones los documentos siguientes:
. Evaluación de impacto en la protección de datos personales de los tratamientos
relacionados con la realización de perfilados comerciales (El detalle del contenido de este
documento, en lo que interesa al presente procedimiento, consta reseñado en el Antecedente
Octavo).
. Evaluación de impacto en la protección de datos personales de los tratamientos
relacionados con la realización de perfilados de riesgos (El detalle del contenido de este
documento, en lo que interesa al presente procedimiento, consta reseñado en el Antecedente
Octavo).
. Informe de ponderación de la prevalencia del interés legítimo en los tratamientos a los que
se refiere la finalidad numerada como 2 en el apartado ?¿Para qué finalidades los
usaremos??, contenido en el formulario de recogida de datos personales ?Declaración de
actividad económica y política de protección de datos personales? (El contenido de este
documento consta igualmente reseñado en el Antecedente Octavo).
. Registro de actividades de tratamiento (el contenido de este documento consta extractado
en el Antecedente Noveno).
Estos documentos se declaran reproducidos en este acto a efectos probatorios.
10. BBVA ha declarado en su escrito de alegaciones que el total de clientes personas físicas
asciende a ocho millones treinta y un mil. En la Web de la entidad se informa que el número
de clientes supera los diez millones.
FUNDAMENTOS DE DERECHO
I
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
63/146
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada Autoridad de
Control, y según lo establecido en los artículos 47, 48, 64.2 y 68.1 de la LOPDGDD, la
Directora de la Agencia Española de Protección de Datos es competente para iniciar y
resolver este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE)
2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su
desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales
sobre los procedimientos administrativos.?
II
Con carácter previo, se estima oportuno analizar las cuestiones formales suscitadas
por BBVA en su escrito de alegaciones.
En primer término, considera BBVA que el acuerdo de inicio está viciado de nulidad
por la indefensión que produce la fijación del importe de la sanción en el propio acuerdo de
apertura, en lugar de expresar únicamente los límites de la posible sanción, y sin que en el
mismo se hayan motivado las agravantes ni la entidad haya tenido ocasión de manifestarse al
respecto. Por esta misma circunstancia, considera que el acuerdo de inicio excede el
contenido legalmente previsto, vulnerado el artículo 68 de la LOPDGDD, y entiende afectada
la imparcialidad del órgano instructor, que conoce antes de iniciar el procedimiento el criterio
del órgano al que deberá elevar el expediente, en clara ruptura del principio de separación de
la fase instructora y de sanción (artículo 63.1 de la LPACAP).
A este respecto, añade BBVA que el artículo 85 de la LPACAP, que se invoca en la
parte dispositiva del acuerdo de apertura del procedimiento para especificar las reducciones
que conlleva el reconocimiento de responsabilidad, determina que la cuantía de la sanción
pecuniaria podrá determinarse ?iniciado el procedimiento sancionador? y que sólo es aplicable
a supuestos que dan lugar a la imposición de una multa de carácter fijo y objetivo.
Esta Agencia no comparte la posición expresada por BBVA en relación con el
contenido del acuerdo de apertura del presente procedimiento sancionador.
A juicio de esta Agencia, el acuerdo de inicio dictado se ajusta a lo previsto en el
artículo 68 de la LOPDGDD, según el cual bastará con que el acuerdo de inicio del
procedimiento concrete los hechos que motivan la apertura, identifique la persona o entidad
contra la que se dirige el procedimiento, la infracción que hubiera podido cometer y su posible
sanción (en este caso, de los distintos poderes correctivos que contempla el artículo 58.2 del
RGPD, la Agencia estimó procedente la imposición de multa, además de la adopción de
medidas para ajustar su actuación a la normativa, sin perjuicio de lo que pudiera resultar de la
instrucción del procedimiento).
En el mismo sentido se expresa el artículo 64.2 de la LPACAP, que establece
expresamente el contenido mínimo de acuerdo de iniciación. Según este precepto, entre otros
detalles, deberá contener ?los hechos que motivan la incoación del procedimiento, su posible
calificación jurídica y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte
de la instrucción?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
64/146
En este caso, no solo se cumplen sobradamente las exigencias mencionadas, sino
que se va más allá ofreciendo razonamientos que justifican la posible calificación jurídica de
los hechos valorada al inicio e, incluso, se mencionan las circunstancias que pueden influir en
la determinación de la sanción.
De acuerdo con lo expuesto, no puede decirse que señalar la posible sanción que
pudiera corresponder por las infracciones imputadas sea determinante de indefensión o que
suponga una ruptura del principio de separación de las fases de instrucción y resolución. Al
contrario, con ello se da cumplimiento a una de las exigencias previstas en las normas
reseñadas.
No puede olvidarse, asimismo, que el artículo 85 de la LPACAP contempla la
posibilidad de aplicar reducciones sobre el importe de la sanción si el infractor reconoce su
responsabilidad y en caso de pago voluntario de la sanción. Este precepto establece la
obligación de determinar esas reducciones en la notificación de iniciación del procedimiento,
lo que conlleva la necesidad de fijar el importe de la sanción correspondiente a los hechos
imputados.
En contra de lo señalado por BBVA, este artículo 85 de la LPACAP no establece que el
importe de la sanción se determine una vez iniciado el procedimiento. Es el reconocimiento de
la responsabilidad y el pago voluntario de la sanción lo que ha de producirse con posterioridad
a eso momento, y no la fijación de la cuantía de la sanción, como afirma BBVA.
De no producirse este reconocimiento de responsabilidad o pago voluntario, que
determinaría la terminación del procedimiento, se instruye el mismo y se dicta posteriormente
la propuesta de resolución, en la que se han de fijar de forma motivada los hechos que se
consideren probados y su exacta calificación jurídica, se determinará la infracción que, en su
caso, aquéllos constituyan, la persona o personas responsables y la sanción que se
proponga, la valoración de las pruebas practicadas, en especial aquellas que constituyan los
fundamentos básicos de la decisión. Esta debe ser notificada a la parte interesada,
concediéndosele plazo para formular alegaciones y presentar los documentos e
informaciones que se estimen pertinentes. En ningún caso se adoptará resolución sin que el
interesado tenga ocasión de manifestarse sobre todos los extremos considerados.
Ningún argumento contiene el escrito de alegaciones a la propuesta de resolución
presentado por BBVA que modifique ese planteamiento y la conclusión expuesta.
BBVA, en este caso, ha visto respetadas todas las garantías del interesado que prevé
la normativa procesal y no puede decirse que la determinación del importe de la multa en el
acuerdo de apertura suponga ninguna merma de dichas garantías causante de indefensión.
Tampoco esta circunstancia quiebra la imparcialidad del órgano instructor, que dispone de
todas las facultades que le atribuye la normativa en cuestión y plena libertad para dictar su
propuesta de resolución. No hay más que acudir a la web de la Agencia, en la que se publican
todas las resoluciones dictadas en procedimientos sancionadores, para verificar la gran
cantidad de ellos que finalizan con una resolución de archivo de actuaciones, siguiendo la
propuesta emitida por el instructor del procedimiento, así como aquellas otras en las que
dicha propuesta incrementó o minoró el importe de la sanción fijado en el acuerdo de apertura
o propuso, incluso, la aplicación de un poder correctivo distinto a la sanción de multa.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
65/146
Cuestiona la entidad interesada, asimismo, que el acuerdo de inicio se ?extralimite?
añadiendo a su contenido una breve exposición de las circunstancias que a juicio del órgano
sancionador justifican el inicio del procedimiento, entendiendo que ello vulnera sus derechos.
Esta Agencia no entiende este argumento, especialmente si se considera que BBVA ha
alegado la concurrencia de algún motivo causante de indefensión en varias ocasiones.
El artículo 68 regula el contenido que debe incluir el acuerdo de inicio del
procedimiento para el ejercicio de la potestad sancionadora, señalando que se concretarán
los hechos, la identificación de la persona o entidad contra la que se dirige el procedimiento,
la infracción que hubiera podido cometerse y su posible sanción. Sin embargo, se trata del
contenido mínimo exigible, de los elementos que deben detallarse en el mencionado acuerdo
para determinar su validez. Pero nada impide que, como se ha indicado anteriormente, se
ofrezcan razonamientos relativos a la posible calificación jurídica de los hechos valorada al
inicio o se mencionen las circunstancias que pueden influir en la determinación de la sanción,
lo que sin duda redundará en beneficio del interesado, que ve reforzado y favorecido su
derecho de defensa.
Es cierto, por otra parte, que durante la vigencia del régimen sancionador anterior a la
LPACAP esta Agencia no fijaba el importe de la posible sanción en el acuerdo de inicio,
indicando en su lugar los límites mínimo y máximo que correspondían a la infracción
imputada. Y así fue hasta la entrada en vigor de la citada LPACAP en octubre de 2016;
momento en el que se modificó aquel planteamiento, precisamente para atender lo
establecido en el artículo 85 de dicha Ley y ofrecer al interesado las alternativas que
establece.
Asimismo, BBVA entiende que lo establecido en este artículo 85 de la LPACAP
conlleva que el importe de la multa se determine una vez iniciado el procedimiento. Así,
advierte que esta norma prevé que el reconocimiento de responsabilidad pueda determinar la
imposición de la sanción ?que proceda?, de forma que esa fijación parece preverse con
posterioridad al propio reconocimiento de responsabilidad; y que en su apartado 3 establece
que las reducciones deberán adoptarse sobre la sanción ?propuesta?, lo que parece referirse
a la propuesta de resolución como el lugar idóneo para la determinación del citado importe.
Esta Agencia no puede compartir este argumento. Basta señalar que el pago
voluntario puede realizarse por el interesado en cualquier momento del procedimiento anterior
a la resolución e implica su terminación. Siendo así, para que el interesado pueda hacer uso
de esta opción, el importe de la sanción deberá establecerse al inicio. De la misma forma,
difícilmente podrá dicho interesado reconocer su responsabilidad iniciado un procedimiento
sancionador si el acuerdo que determina ese inicio no señala el alcance que se atribuirá a ese
reconocimiento de responsabilidad.
Por otra parte, alega BBVA que la AEPD ha mostrado una manifiesta inactividad,
habiéndose limitado a trasladar las reclamaciones, y no todas, al DPD de la entidad y a
acordar su admisión a trámite. Considera que se mantuvo abierta la fase previa de
investigación durante diez meses sin realizar ninguna actividad tendente a investigar el
contenido de las reclamaciones, y que esperó a disponer de un número significativo de
reclamaciones para reactivar un procedimiento que permanecía ?suspendido? desde las
primeras admisiones a trámite, el cual versa únicamente sobre la ?Declaración de Actividad
Económica y Política de Protección de Datos?, en poder de la Agencia desde la presentación
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
66/146
de la reclamación por el reclamante 2. Añade que durante ese tiempo BBVA actuó en la
confianza de que no se apreciaba irregularidad, de modo que la inacción de la AEPD ha
agravado el reproche. Finalmente, en relación con estas cuestiones, señala que dio respuesta
al traslado de la reclamación formulada por el reclamante 3, en contra de lo indicado en el
acuerdo de apertura del procedimiento, en el que se indica que la Agencia no recibió
respuesta.
Los trámites realizados por esta Agencia a los que se refiere BBVA en su alegación
anterior tienen que ver con el proceso de admisión a trámite de las reclamaciones recibidas,
que incluyó para cuatro de las cinco reclamaciones recibidas su traslado al responsable,
previo al acuerdo de admisión de la reclamación.
De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de
Protección de Datos es competente para desempeñar las funciones que se le asignan en su
artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los
responsables y los encargados del tratamiento acerca de las obligaciones que les incumben,
así como tratar las reclamaciones presentadas por un interesado e investigar el motivo de las
mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables
y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el
desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de
protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha
autoridad.
Del mismo modo, el ordenamiento jurídico interno, en el artículo 65.4 de la LOPDGDD,
ha previsto un mecanismo previo a la admisión a trámite de las reclamaciones que se
formulen ante la Agencia Española de Protección de Datos, que consiste en dar traslado de
las mismas a los delegados de protección de datos designados por los responsables o
encargados del tratamiento, a los efectos previstos en el artículo 37 de la citada norma, o a
éstos cuando no los hubieren designado, para que procedan al análisis de dichas
reclamaciones y a darles respuesta en el plazo de un mes. Se trata de un trámite potestativo,
de modo que este traslado se lleva a cabo si la Agencia así lo estima.
De conformidad con esta normativa, con carácter previo a la admisión a trámite de las
reclamaciones que dan lugar al presente procedimiento, en cuatro de ellas se dio traslado de
la misma a la entidad responsable para que procediese a su análisis, diera respuesta a esta
Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida.
El resultado de dicho traslado no fue satisfactorio, por lo que, a los efectos previstos
en su artículo 64.2 de la LOPDGDD, se acordó admitir a trámite las reclamaciones
presentadas mediante acuerdos que fueron debidamente notificados a los reclamantes, y no a
BBVA, conforme a lo establecido en el artículo 65.5 de la LOPDGDD. A este respecto, la
citada entidad ha manifestado que dio respuesta al traslado de la reclamación formulada por
el reclamante 3 y aporta justificante de su puesta en correos, si bien dicha respuesta no
consta incorporada al correspondiente expediente de admisión a trámite.
Por otra parte, comete un error la entidad BBVA al afirmar que la fase previa de
investigación se mantuvo abierta durante diez meses sin realizar ninguna actividad, sin que
conste ninguna actuación de investigación específica. En este caso, debe aclararse, no se
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
67/146
acordó la apertura de una fase previa de investigación, establecida como potestativa en el
artículo 67 de la LOPDGDD.
Ninguna consecuencia jurídica puede atribuirse a este hecho, ni tampoco al tiempo
transcurrido entre la admisión a trámite de las reclamaciones y la apertura del procedimiento,
al no existir ninguna norma que acote el tiempo de que dispone la Administración para iniciar
este tipo de procedimientos, más allá de la regla de la prescripción y los efectos que se le
atribuyen. Durante ese intervalo temporal no existía ningún procedimiento en curso que
pudiera entenderse suspendido, como señala la entidad responsable, ni puede sostenerse
que dicho período avale la política de privacidad de BBVA o que durante ese tiempo cese la
responsabilidad de la entidad en el cumplimiento de la normativa. Con independencia del
efecto que pueda atribuirse al intervalo de tiempo previo a la apertura del procedimiento
sancionador, no puede albergarse duda alguna sobre la inexistencia de circunstancias que
hayan permitido a BBVA durante ese espacio temporal entender, si quiera indiciariamente,
que no existía reproche alguno por parte de esta Agencia en relación con las cuestiones
suscitadas por las reclamaciones presentadas. BBVA conocía las reclamaciones formuladas y
conocía también que no existía pronunciamiento alguno de esta Agencia al respecto.
Tampoco existe norma alguna que impida la apertura de un único procedimiento
sancionador que tenga origen en varias reclamaciones dirigidas contra un mismo
responsable.
En su escrito de alegaciones a la propuesta de resolución, BBVA reitera su protesta
sobre la inactividad de la Administración. A su entender, esta inactividad se pone de
manifiesto, una vez que la AEPD acordó prescindir de la realización de actuaciones previas
de investigación, por todo el período comprendido entre la admisión a trámite de la
reclamación formulado por el reclamante 2, el 01/02/2019, y la apertura del procedimiento el
02/12/2019, diez meses después.
Por otra parte, rechaza el planteamiento expuesto anteriormente, según el cual la
única limitación temporal para la apertura del procedimiento sancionador viene determinada
por los plazos de prescripción de la presunta infracción. Considera que los artículos 64.2 y 67
de la LOPDGDD establecen tres fases sucesivas sin solución de continuidad (admisión a
trámite, actuaciones previas de investigación y apertura del procedimiento sancionador), cada
una de ellas con unos límites temporales marcados, de modo que, si se opta por no realizar
actuaciones previas de investigación, una vez admitida a trámite la reclamación deberá
procederse de inmediato a la apertura del procedimiento sancionador.
En este caso, según BBVA, la AEPD debería haber acordado la apertura del
procedimiento en el momento en que decidió admitir la reclamación del reclamante 2, esto es,
el 01/02/2019, con lo que el procedimiento debería haber concluido el 04/11/2019. Sin
embargo, esa apertura tuvo lugar el 02/12/2019, casi un mes después de la fecha en que
debería haber concluido el procedimiento mediante la correspondiente resolución. Entiende
BBVA que esta inactividad injustificada deviene en la caducidad del presente procedimiento,
dado que el plazo para resolver se encontraría vencido en la misma fecha en que se dictó el
acuerdo de inicio.
Debe señalarse que el planteamiento que BBVA realiza sobre esta cuestión en sus
alegaciones a la apertura no se ajusta a Derecho. Por un lado, debe señalarse que no existe
ninguna norma aplicable al procedimiento sancionador en materia de protección de datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
68/146
personales que establezca un plazo preclusivo para acordar su apertura; y, por otro lado, que
el plazo de caducidad de ese procedimiento, establecido en nueve meses, se computa desde
la fecha en que se acuerda su inicio, resultando improcedente añadir a ese cómputo, a
efectos de medir la duración del expediente administrativo, ningún otro período, tal como el
tiempo de las actuaciones previas de investigación, en caso de que se hubiese acordado su
realización, o, en este caso, el tiempo correspondiente a la fase de admisión a trámite de las
reclamaciones presentadas.
Así lo ha declarado repetidamente nuestro Tribunal Supremo. En Sentencia de
21/10/2015 se cita la Sentencia de 26/12/2007 (recurso 1907/2005), que declara lo siguiente:
?[?] el plazo del procedimiento [?] se cuenta desde la incoación del expediente sancionador, lo que
obviamente excluye del cómputo el tiempo de la información reservada";" [?] la mayor o menor
duración de la fase preliminar no lleva aparejada la caducidad del procedimiento ulterior".
También en Sentencia del Tribunal Supremo de 13/10/2011 (recurso 3987/2008) que
examina un motivo de casación relativo al cómputo del plazo de caducidad del procedimiento,
se declara lo siguiente:
?No podemos compartir el razonamiento que expone la Sala de instancia para fijar un dies a quo
diferente al establecido por la Ley, señalando como fecha inicial del cómputo el día siguiente a la
finalización de las diligencias previas informativas.
[?]
Pues bien, una vez realizadas esas actuaciones previas, el tiempo que tarde la Administración en
acordar la incoación del procedimiento [?] podrá tener las consecuencias que procedan en cuanto al
cómputo de la prescripción (extinción del derecho); pero no puede ser tomado en consideración a
efectos de la caducidad, pues esta figura lo que pretende es asegurar que una vez iniciado el
procedimiento la Administración no sobrepase el plazo de que dispone para resolver. En el fundamento
tercero de la sentencia recurrida la Sala de instancia realiza una interpretación de la norma que no es
acorde con la naturaleza de la institución de la caducidad, pues a diferencia de la prescripción, que es
causa de extinción del derecho o de la responsabilidad de que se trate, la caducidad es un modo de
terminación del procedimiento por el transcurso del plazo fijado en la norma, por lo que su apreciación
no impide, si no ha transcurrido el plazo establecido para la prescripción de la acción de
restablecimiento de legalidad urbanística por parte de la Administración, la iniciación de un nuevo
procedimiento?.
Sobre esta misma cuestión, BBVA invoca la doctrina sentada por la Audiencia Nacional
(AN) en su Sentencia de 17/10/2007 (recurso 180/2006), que consta reseñada en los
Antecedentes, en la que ponía de manifiesto la ilicitud de la prolongación inadecuada o
infundada de las actuaciones previas de investigación. Se refiere esta Sentencia a un
supuesto tramitado por la AEPD en el que las actuaciones previas de investigación se
mantuvieron inactivas durante casi once meses, cuando la entidad en cuestión había atendido
la solicitud de información en los dos primeros meses de la tramitación de dichas actuaciones.
La Audiencia Nacional concluyó que se produjo una ?[?] utilización fraudulenta de la
institución de las diligencias previas. Nos hallamos en consecuencia ante un supuesto de
fraude de Ley contemplado en el artículo 6.4 del Código Civil, por cuanto se pretende burlar la
aplicación del Art. 42.2 de la Ley 30/1992 usando la solicitud de información para, con ella,
evitar la caducidad del expediente sancionador?.
Es necesario precisar que la Audiencia Nacional modificó este criterio a partir de la
Sentencia de 19/11/2008 (recurso 90/2008).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
69/146
En todo caso, el presente expediente no se ajusta al supuesto analizado en la
Sentencia invocada, no solo porque ésta se refiere a un caso de utilización fraudulenta de las
actuaciones previas de investigación, que no se han llevado a cabo en el supuesto que nos
ocupa; sino porque en este caso no se ha utilizado ningún trámite ni se ha burlado ningún
precepto para evitar la caducidad del procedimiento, que no se ha producido. No se incumple
lo dispuesto en el artículo 6.4 del Código Civil, según el cual ?Los actos realizados al amparo
del texto de una norma que persigan un resultado prohibido por el ordenamiento jurídico, o
contrario a él, se considerarán ejecutados en fraude de ley y no impedirán la debida
aplicación de la norma que se hubiere tratado de eludir?.
Es más, en ese caso ni siquiera puede decirse que el período al que se refiere BBVA,
el que comprende el tiempo transcurrido entre la admisión a trámite de la reclamación del
reclamante 2 (01/02/2019) y la apertura del procedimiento (02/12/2019), se trate de un
período de inactividad de la Administración, dado que durante ese tiempo se realizaron los
trámites de admisión del resto de reclamaciones. Las reclamaciones presentadas por los
reclamantes 3 a 5 tuvieron entrada en esta Agencia en las fechas 13/02/2019 (unos días
después de aquella admisión a trámite de 01/02/2019), 23/05/2019 y 27/08/2019; y se
admitieron a trámite mediante acuerdos de 06/08/2019, 13/09/2019 y 30/10/2019,
respectivamente.
Por otro lado, entiende BBVA que se utiliza el procedimiento para la adopción de
criterios generales de interpretación de las normas en perjuicio de BBVA. A este respeto, cita
la Sentencia de la Audiencia Nacional de 23/04/2019 (recurso 88/2017), que declaró contrario
a los principios del derecho sancionador el establecimiento de criterios generales en el seno
de un procedimiento sancionador.
No comparte esta Agencia la conclusión manifestada por BBVA. Como puede
comprobarse en el acuerdo de apertura, y mucho más en este acto, los acuerdos que se
adoptan encuentran fundamento en lo expresado en la normativa aplicable y en consolidadas
interpretaciones de la misma.
III
Teniendo en cuenta el cambio normativo que ha supuesto la aprobación del RGPD,
aplicable a partir del 25 de mayo de 2018, las presentes actuaciones se llevan a cabo para el
análisis del formulario de recogida de datos personales utilizado por la entidad BBVA con
posterioridad a aquella fecha, denominado por dicha entidad como ?Declaración de actividad
económica y política de protección de datos personales?, para determinar el alcance de dicho
documento y las posibles irregularidades que puedan apreciarse desde el punto de vista de la
normativa de protección de datos personales. Se omite, por tanto, cualquier referencia al
documento relativo al tratamiento de datos personales suscrito por el reclamante 1 en el año
2016.
Desde la perspectiva de la normativa de protección de datos personales, se analizará
en esta resolución la información ofrecida por parte de BBVA a sus clientes en materia de
protección de datos personales mediante dicho documento, y concretamente: (1) el
cumplimiento por parte de BBVA del principio de transparencia establecido en los artículos 5,
12 y siguientes del RGPD, y preceptos relacionados; (2) los distintos tratamientos de datos
personales de sus clientes que lleva a cabo la entidad conforme a la información ofrecida; y
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
70/146
(3) el análisis de los mecanismos empleados para recabar la prestación del consentimiento de
los interesados.
Todo ello, en el marco de la nueva normativa, constituida por el RGPD, aplicable
desde el 25/05/2018, y la LOPDGDD, en vigor desde el día siguiente al de su publicación en
el Boletín Oficial del Estado, que tuvo lugar el 06/12/2018.
No será objeto de análisis la información ofrecida en esta materia a través de cualquier
otro canal o documento, como pudieran ser los formularios empleados para la contratación de
productos o de servicios que, por su especialidad, incluyeran sus propias cláusulas de
protección de datos.
Tampoco se examina la actuación que pudieran desarrollar las empresas que integran
el denominado ?Grupo BBVA? en relación con los datos personales que les son comunicados
por BBVA conforme a lo indicado en la ?Declaración de actividad económica y política de
protección de datos personales?.
Se excluye igualmente el análisis de los procedimientos establecidos por BBVA para la
gestión de los derechos de los clientes, así como los mecanismos que emplee la citada
entidad para la modificación de los consentimientos prestados mediante el repetido
formulario.
Asimismo, aunque se tiene en cuenta la información contenida en las Evaluaciones de
Impacto aportadas por BBVA, que ha quedado reseñada en los Antecedentes, no se realiza
análisis alguno sobre la seguridad de los datos.
De acuerdo con lo expuesto, las conclusiones que pudieran derivarse del presente
procedimiento no supondrán ningún pronunciamiento respecto de los aspectos anteriores
descartados, ni en relación con las entidades del Grupo BBVA.
Constituye, por tanto, el objeto del procedimiento, así declarado expresamente en el
acuerdo de apertura, el formulario que da a conocer los términos aplicables a la protección de
datos personales y requiere el consentimiento de los interesados.
A juicio de BBVA, es causa que justifica el archivo de las actuaciones la inexistente
vinculación entre las reclamaciones formuladas y el expresado objeto del procedimiento, por
cuanto los hechos supuestamente infractores que se invocan no pueden ser el fundamento en
que se apoya la AEPD para la apertura del presente procedimiento. Entiende que se analiza
el alcance de la Política de Privacidad contenida en aquel formulario sin vincular ningún
razonamiento al contenido de las reclamaciones, e invoca al respecto la misma Sentencia de
la Audiencia Nacional citada en el Fundamento de Derecho anterior (SAN de 23/04/2019;
recurso 88/2017), que anula la sanción de la AEPD, entre otras razones, por existir
discrepancia entre lo denunciado y el objeto de la resolución sancionadora.
Esta alegación debe ser igualmente desestimada por varias razones, siendo la primera
de ellas (i) que la doctrina sentada en la sentencia citada es aplicable a hechos anteriores al
RGPD, el cual establece un régimen jurídico nuevo y distinto que ha de tenerse en cuenta en
el procedimiento; (ii) además, los hechos puestos de manifiesto en las reclamaciones de los
reclamantes/denunciantes están estrechamente vinculados al documento que contiene la
política de privacidad y mediante el que BBVA recaba los consentimientos para las
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
71/146
actividades que lleva a cabo, y del examen de dichas reclamaciones, de la documentación
aportada por el BBVA, y del formulario empleado resulta que la actuación del BBVA trasciende
de las cinco reclamaciones presentadas pues su actuación en esas cinco actuaciones
descritas por cada uno de los reclamantes responde a la política general de la entidad en
materia de protección de datos, que esta AEPD entiende que se realiza, en palabras del
propio RGPD, ?con infracción del Reglamento?; y (iii) que a diferencia de lo relatado en la
sentencia de tan reiterada cita de la Audiencia Nacional (véase su fundamento jurídico
Noveno), en la presente resolución se hace referencia a las concretas denuncias, se hace una
valoración de las pruebas practicadas en torno a las mismas, que son conductas concretas e
individualizadas en relación a unas determinadas personas físicas, pero que además
trascienden dichas denuncias.
El RGPD ha establecido un régimen propio y específico respecto de los
procedimientos ante las autoridades de control en materia de protección de datos. El Capítulo
VIII del RGPD lleva por título ?Recursos, responsabilidad y sanciones?, y el primero de los
artículos de dicho Capítulo VIII, el artículo 77, establece el derecho a presentar una
reclamación ante una autoridad de control. Art. 77.1 Sin perjuicio de cualquier otro recurso
administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación
ante una autoridad de control, en particular en el Estado miembro en el que tenga su
residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el
tratamiento de datos personales que le conciernen infringe el presente Reglamento. A su vez,
el art. 79 RGPD establece que [s]in perjuicio de los recursos administrativos o extrajudiciales
disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en
virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando
considere que sus derechos en virtud del presente Reglamento han sido vulnerados como
consecuencia de un tratamiento de sus datos personales.
Vemos por lo tanto que una ?reclamación? de un particular puede dar lugar a dos tipos
de procedimientos, uno de ellos relativo a infracciones del RGPD, con carácter general, y otro
por vulneración de sus derechos.
En la LOPDGDD dicha distinción se ha plasmado en el Título VIII, que regula
conjuntamente los procedimientos en caso de posible vulneración de la normativa de
protección de datos. Así, su art. 63.1, Régimen jurídico, incluye (a) los procedimientos en caso
de infracción del RGPD y la propia LOPDGDD y (b) los derivados de una posible vulneración
de los derechos de los interesados. No prevé la LOPDGDD ningún tipo adicional de
procedimiento en caso de posible vulneración de la normativa de protección de datos, de
manera que todas las funciones y poderes que el RGPD otorga a las autoridades de control
en los arts. 57 y 58 RGPD habrán de ejercitarse a través de dichos procedimientos en caso
de posible vulneración de la normativa de protección de datos. No existen otros.
De ello se desprende, teniendo en cuenta igualmente el art. 64 LOPDGDD, que
cuando el procedimiento se dirija exclusivamente a la falta de atención de una solicitud de los
derechos los artículos 15 a 22 RGPD será necesaria una reclamación, pero que (art. 64.2
LOPDGDD) [c]uando el procedimiento tenga por objeto la determinación de la posible
existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente
ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como
consecuencia de reclamación. Es decir, tanto el RGPD como la LOPDGDD consideran que
una reclamación de un afectado puede ser la vía o el medio de llevar a conocimiento de la
autoridad de control una posible infracción de la normativa de protección de datos pero en
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
72/146
ningún caso restringe la actuación de la autoridad de control a la específica y concreta queja
de los afectados. Y ello por mucha razones, entre las que destaca, como puede ser el caso en
el presente procedimiento, que de la confluencia de varias reclamaciones de personas
individuales afectadas se ponga de manifiesto una actuación del responsable que con
carácter general (esto es, no sólo en los casos concretos presentados por los reclamantes)
de la que resulte que dichos casos concretos son el reflejo de una pauta o política común
aplicada a todas aquellas personas afectadas que estén en el mismo caso que los
interesados.
Con un ejemplo distinto del procedimiento actual podrá entenderse más claramente.
Podría considerarse que una entidad incurre en una infracción de la normativa de protección
de datos en un caso concreto cuando dicha actuación individualmente considerada supone un
desvío de la norma o de las políticas generales de la empresa (por ejemplo, la introducción de
una deuda en un archivo de morosos en un caso puntual incumpliendo su propia política de
privacidad); pero cuando una actuación que se considera incorrecta deriva de una política
general adoptada por el responsable del tratamiento, de manera que no se trata de errores
puntuales en cinco casos, sino que dichos cinco casos son tan sólo el botón o la muestra de
una política general adoptada que se considera en infracción del RGPD, la infracción no
reside exclusivamente en los cinco casos examinados sino en la política de privacidad
adoptada por el responsable. Será dicha política de privacidad la que constituya una
infracción del RGPD, y no solamente las infracciones concretas basadas en dicha política de
privacidad.
Lo contrario sería inconsistente con la finalidad y la voluntad del legislador comunitario,
plasmada expresamente en el RGPD de que las autoridades de control controlen y hagan
aplicar el RGPD, y con lo previsto en el RGPD de que puedan ponerse de manifiesto
?infracciones? de la normativa de protección de datos a través de ?reclamaciones? que pueden
trascender de las propias reclamaciones individuales formuladas.
Basta señalar al respecto, ya en el presente caso concreto, que todas las acciones de
tratamiento de datos personales que son objeto de las reclamaciones formuladas se justifican
por BBVA con el mencionado documento ?Declaración de Actividad Económica y Política de
Protección de Datos? y su firma por los reclamantes, según consta en los Hechos Probados.
La propia entidad BBVA declara en sus alegaciones que la reclamación formulada por el
reclamante 2 se refiere al contenido de la política de privacidad y al proceso de obtención del
consentimiento; hace una referencia general a ?aquellos supuestos en los que el reclamante
ha mostrado su disconformidad con la forma de obtener el consentimiento?; y también en
relación con el reclamante 2 BBVA se expresa haciendo referencia a las ?acusaciones
realizadas sobre la política de privacidad? o la licitud del tratamiento de los datos?; lo que
desmonta su argumento sobre la falta de relación entre las reclamaciones y el acuerdo de
inicio. En este caso, el reclamante 2 advirtió expresamente que para prestar el consentimiento
?sólo ofrece la posibilidad de oponerse al tratamiento de datos personales para fines distintos
a los necesarios a los fines de la prestación de servicios financieros si el cliente activa las
casillas de oposición a un tratamiento que POR DEFECTO (véase artículo 25 del RGPD)
debieran considerarse como activadas? y que ?El texto informativo resulta poco coherente con
el principio de transparencia del artículo 12 del RGPD?.
En el caso del reclamante 1, se denuncia el envío a su línea de telefonía móvil de un
SMS promocional, el cual se justifica por BBVA señalando que el reclamante 1 prestó su
consentimiento mediante la firma, en fecha 07/06/2016, del documento ?Identificación del
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
73/146
cliente, tratamiento de datos personales y firma digitalizada?.
La reclamación formulada por el reclamante 3 se refiere específicamente a la
?Declaración de Actividad Económica y Política de Protección de Datos Personales?.
El reclamante 4, por su parte, denuncia el envío de comunicaciones comerciales que
no ha solicitado ni autorizado, el cual se justifica igualmente por BBVA señalando que este
reclamante no se opuso al tratamiento de datos denunciado en el documento ?Declaración de
Actividad Económica y Política de Protección de Datos?, suscrito por el mismo en fecha
26/11/2018.
Y, finalmente, el reclamante 5 formula reclamación contra BBVA por la recepción de
llamadas telefónicas y SMS publicitarios, también justificadas por aquella entidad en base al
consentimiento prestado por el reclamante con la firma del documento ?Declaración de
Actividad Económica y Política de Protección de Datos Personales? para el tratamiento de sus
datos con fines comerciales.
En base a lo expuesto, todas estas reclamaciones tienen que ver con tratamientos de
datos personales de los reclamantes que BBVA ampara en el consentimiento prestado por los
titulares de los datos mediante la firma de la repetida ?Declaración de Actividad Económica y
Política de Protección de Datos?. Para valorar la regularidad de estos tratamientos resulta
imprescindible analizar el consentimiento prestado y su validez, para lo que resulta
determinante, en especial, comprobar la información ofrecida en materia de protección de
datos personales y los mecanismos habilitados para recabar el consentimiento de los
afectados, sin olvidar el resto de principios y garantías establecidos en la normativa aplicable.
En consecuencia, la AEPD, ha decidido analizar la repercusión del repetido documento
?Declaración de actividad económica y política de protección de datos personales?, el cual
contiene la información que BBVA facilita prioritariamente a sus clientes y los mecanismos de
recogida de consentimientos. A la vista de las deficiencias advertidas en el mismo respecto de
la normativa de protección de datos, resulta que tales deficiencias tienen un alcance general,
de modo que se ven afectados todos los clientes de la entidad, y no sólo los cinco
reclamantes, de lo que resultaría, conforme se ha expuesto, que la infracción no se produce
exclusivamente respecto de los cinco reclamantes, sino con carácter general como
consecuencia de dicha política de privacidad.
No puede decirse, por tanto, que no existe vinculación entre el objeto del
procedimiento y las reclamaciones. Prueba de ello es la definición del objeto del expediente
que consta en los párrafos iniciales del presente Fundamento de Derecho.
Tal y como expone la sentencia de la AN tan meritada, ?el relato de "hechos probados",
tanto en el procedimiento penal como en el administrativo sancionador, resulta fundamental
para fijar los hechos y las conductas tipificadas, ya que solo así se viene a respetar el
principio de tipicidad, que, según la doctrina es "la descripción legal de una conducta
específica a la que se conectará la sanción administrativa ". En el presente caso, se reitera,
los hechos probados están claros en cuanto que es la propia BBVA la que pone de manifiesto
que su actuación responde a que todos los reclamantes accedieron a y firmaron la
?Declaración de actividad económica y política de protección de datos personales?, por lo que
en ningún caso existe indefensión.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
74/146
En cualquier caso, ninguna norma impide que el órgano que ejerce la potestad
sancionadora, cuando determina la apertura de un procedimiento sancionador, siempre de
oficio (art. 63.1 ley 39/2015, de 1 de octubre), determine su alcance conforme a las
circunstancias puestas de manifiesto, aunque las mismas no se ajusten estrictamente a las
manifestaciones y pretensiones del denunciante. Es decir, el acuerdo de inicio del
procedimiento sancionador no está constreñido por la denuncia (la ?reclamación?) presentada
por el particular. No ocurre así en el caso de procedimientos tramitados a solicitud del
interesado, en los que el artículo 88.2 de la LPACAP exige que la resolución sea congruente
con las peticiones formuladas por éste. Incluso, en este caso, queda a salvo la potestad de la
Administración de incoar de oficio un nuevo procedimiento.
Este mismo artículo 88 de la LPACAP, referido al contenido de la resolución, en su
apartado 1 establece la obligación de decidir todas las cuestiones planteadas por los
interesados y aquellas otras que deriven del procedimiento, incluidas cuestiones conexas no
planteadas por los interesados. Este artículo establece expresamente lo siguiente:
?1. La resolución que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los
interesados y aquellas otras derivadas del mismo.
Cuando se trate de cuestiones conexas que no hubieran sido planteadas por los interesados, el órgano
competente podrá pronunciarse sobre las mismas, poniéndolo antes de manifiesto a aquéllos por un
plazo no superior a quince días, para que formulen las alegaciones que estimen pertinentes y aporten,
en su caso, los medios de prueba?.
En el procedimiento sancionador, incluso, se tendrán en cuenta los hechos que se
pongan de manifiesto durante su instrucción, los cuales se determinarán en la propuesta de
resolución, y podrán motivar la modificación de las imputaciones contenidas en el acuerdo de
inicio del procedimiento o su calificación jurídica.
En este sentido, al referirse a las especialidades de la resolución en los
procedimientos sancionadores, el artículo 90 de la LPACAP establece:
?2. En la resolución no se podrán aceptar hechos distintos de los determinados en el curso del
procedimiento, con independencia de su diferente valoración jurídica??.
IV
El mencionado formulario habilitado por BBVA para la recogida de datos personales de
sus clientes da a conocer los nuevos términos aplicables a la protección de dichos datos
personales por razón de los servicios contratados y se requiere el consentimiento de los
interesados para su utilización con las finalidades que se indican en el documento. El
contenido íntegro de esta información consta reproducido en el Anexo 1 a este acuerdo de
apertura de procedimiento.
No obstante, se considera relevante destacar los aspectos siguientes:
En la información facilitada a los clientes, se identifica a la entidad BBVA como
responsable del tratamiento de los datos, se reseñan los tipos de datos personales que serán
objeto de tratamiento, las operaciones de tratamiento que se llevarán a cabo, incluidas las
comunicaciones de datos, y las finalidades para las que son tratados los datos en cuestión,
así como la base legitimadora del tratamiento. Los dos apartados finales están dedicados a la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
75/146
conservación de los datos personales y a los derechos de los interesados.
Sobre los tipos de datos de clientes, representantes, garantes, autorizados o
beneficiarios, en el apartado ?¿Qué datos personales tuyos trata BBVA??, incluido en la
?Información ampliada?, se especifican expresamente las siguientes categorías:
?. Datos identificativos y de contacto (incluidas direcciones postales y/o electrónicas).
. Datos de firma (incluida la firma digitalizada y electrónica que te comentamos más adelante).
. Códigos o claves de identificación para acceso y operativa en los canales a distancia que utilizas en
tu relación con BBVA.
. Datos económicos y de solvencia patrimonial (incluidos los relativos a todos los productos y servicios
que tienes contratados con BBVA o de los que BBVA es comercializador).
. Datos transaccionales (ingresos, pagos, transferencias, adeudos, recibos, así como cualquier otra
operación y movimiento asociado a cualesquiera productos y servicios que tengas contratados con
BBVA o de los que BBVA es comercializador).
. Datos sociodemográficos (tales como edad, situación familiar, residencias, estudios y ocupación)?.
En cuanto a las finalidades para las que se utilizarán los datos personales de clientes
el documento enumera las siguientes:
1. Gestionar los productos y servicios que tienes, solicites o contrates con BBVA.
2. Conocerte mejor y personalizar tu experiencia.
?En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una
relación personalizada Io más adaptada a tu perfil de cliente y a tus necesidades.
Para lograrlo tenemos que conocerte mejor, analizando no solo los datos que nos permiten identificarte
como cliente, sino también tu evolución financiera y la de los productos y servicios que tienes
contratados con nosotros o a través de BBVA como comercializador, tus operaciones -pagos. ingresos,
transferencias, adeudos, recibos- así como los usos de los productos, servicios y canales de BBVA.
Adicionalmente, aplicaremos métodos estadísticos y de clasificación para ajustar correctamente tu
perfil. En base a lo anterior, conseguimos elaborar nuestros modelos de negocio.
Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti, productos y
servicios que consideremos acordes a tu perfil (propios o comercializados por BBVA), así como ofertas
personalizadas con precios más ajustados para ti. Como te conoceremos mejor, podremos felicitarte
por tu aniversario, desearte un buen día o felices fiestas.
Si no estás de acuerdo, puedes oponerte enviando un email a: derechosprotecciondatos@bbva.com o
en cualquiera de nuestras oficinas.
Este apartado solo es aplicable a clientes BBVA?.
3. Ofrecerte productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para ti. No
vamos a inundarte con información.
?Ofrecerte productos y/o servicios de BBVA
Nos gustaría mantenerte al día sobre nuevos productos y servicios de BBVA, así como darte consejos
recomendaciones para gestionar mejor tu situación financiera.
También podemos enviarte información sobre productos y servicios de BBVA con precios más
ajustados a tu perfil, informándote de aquello que te pueda interesar como cliente.
Oferta de productos y/o servicios del Grupo BBVA y de terceros
Te podemos enviar información, acorde a tu perfil de cliente, sobre productos, servicios y ofertas
financieras y no financieras de las sociedades del Grupo BBVA y de terceros (incluidos los productos y
servicios de los que BBVA es comercializador) pertenecientes a estos sectores de actividad: financiero,
parabancario, seguros, viajes automoción, telecomunicaciones, suministros, seguridad, informática,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
76/146
educación, inmuebles. productos de consumo, ocio y tiempo libre, servicios profesionales y servicios
sociales.
Canales para el envío de la información comercial
Nos pondremos en contacto contigo a través de diferentes canales: correo postal, correo electrónico
notificaciones push, SMS, redes sociales, banners, páginas web u otro medio de comunicación
electrónica equivalente.
Este apartado solo se aplica a clientes BBVA?.
4. Comunicar tus datos a sociedades del Grupo BBVA para que te puedan ofrecer productos y servicios
propios personalizados para ti.
?Si quieres que las sociedades del Grupo BBVA incluidas en esta dirección
https://www.bbva.es/estaticos/muIt/Sociedades-grupo.pdf te puedan ofrecer productos y servicio
personalizados en características y precio, necesitamos que nos autorices a comunicarles datos
relativos a tu perfil de cliente (importe de ingresos y gastos, saldos y utilización de nuestros canales).
Esa información se tratará para intentar mejorar las características y precios de la oferta de productos y
servicios. Las sociedades del Grupo BBVA únicamente tratarán tus datos para esa finalidad?.
5. Mejorar la calidad de los productos y servicios.
?Necesitamos utilizar tu información de forma anónima sin ninguna característica que te pueda
identificar, porque en BBVA queremos:
Incrementar tu grado de satisfacción como cliente.
Atender tus expectativas.
Perfeccionar nuestros procesos internos.
Mejorar la calidad de productos y servicios existentes.
Desarrollar nuevos productos y servicios propios o de terceros.
Realizar estadísticas, encuestas, cálculos actuariales, medias y/o estudios de mercado que puedan ser
de interés de BBVA o de terceros.
Mejorar los instrumentos de lucha contra el fraude.
Dicha información se obtiene a partir del uso de productos, servicios y canales de BBVA. En todo
momento, tratamos los datos usando protocolos internos seguros y actualizados.
Este apartado solo se aplica a clientes BBVA?.
BBVA se refiere al interés legítimo como base legitimadora para el uso de los datos
con la finalidad señalada con el número 2 y al consentimiento en relación con las finalidades
3, 4 y 5.
Sobre la utilización de los datos en base al interés legítimo, se advierte sobre la
posibilidad de oponerse enviando un email a la dirección que se indica o en cualquiera de las
oficinas de la entidad. Y se añade:
?Por interés legítimo de BBVA, para que desde BBVA podamos atender mejor tus expectativas y
podamos incrementar tu grado de satisfacción como cliente al desarrollar y mejorar la calidad de
productos y servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de
mercado que puedan resultar de interés.
Asimismo, por interés legítimo de BBVA para ser un banco cercano a ti como cliente y poder
acompañarte durante nuestra relación contractual, podríamos felicitarte por tu aniversario, desearte un
buen día o felices fiestas.
Estos intereses legítimos respetan tu derecho a la protección de datos personales, al honor y a la
intimidad personal y familiar. En BBVA consideramos que, como cliente, tienes una expectativa
razonable a que se utilicen tus datos para que podamos mejorar los productos y servicios y puedas
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
77/146
disfrutar de una mejor experiencia como cliente. Además, estimamos que también tienes una
expectativa razonable a recibir felicitaciones con motivo de tu aniversario. desearte un buen día o
felices fiestas. Pero recuerda que en ambos casos basados en interés legítimo, siempre puedes ejercer
tu derecho de oposición si lo consideras oportuno en la siguiente dirección:
derechosprotecciondatos@bbva.com o en cualquiera de nuestras oficinas?.
Sobre los datos de representantes, garantes, autorizados o beneficiarios, se informa
que se tratarán únicamente para la gestión del contrato.
Por otra parte, en el repetido documento se informa que podrán realizarse
comunicaciones de datos personales a las sociedades del Grupo BBVA, basando esta
comunicación de datos en el consentimiento del interesado. En este caso, no se distingue si
los datos que se comunicarán corresponden a clientes o representantes, garantes,
autorizados y beneficiarios, pero dado que los datos de estos interesados únicamente se
utilizan para el cumplimiento de la relación contractual, se entiende que la información sobre
la comunicación de datos a las empresas del Grupo no se refiere a los mismos.
En relación con la comunicación de datos personales, en la ?información ampliada? se
indica lo siguiente:
?No cederemos tus datos personales a terceros, salvo que estemos obligados por una ley o que tú Io
hayas pactado previamente con BBVA
Como te hemos indicado, si tú lo consientes previamente, podremos comunicar a las sociedades del
Grupo BBVA incluidas en esta dirección https://www.bbva.es/estaticos/muIt/Sociedades-grupo.pdf tus
datos identificativos, de contacto y datos transaccionales para que puedas recibir ofertas
personalizadas.
Para poder prestarte un servicio adecuado y gestionar la relación que mantenemos contigo como
cliente, en la siguiente dirección http://bbva.lnfo/empresasdatos encontrarás una relación por
categorías de las empresas que tratan tus datos por cuenta de BBVA, como parte de la prestación de
servicios que les hemos contratado.
Además te informamos que, para la misma finalidad que la indicada en el párrafo anterior,
determinadas sociedades que prestan servicios a BBVA podrían acceder a tus datos personales
(transferencias internacionales de datos).
Dichas transferencias se realizan a países con un nivel de protección equiparable al de la Unión
Europea (decisiones de adecuación de la Comisión Europea, cláusulas contractuales tipo así como
mecanismos de certificación) Para más información puedes dirigirte al Delegado de Protección de
Datos de BBVA en la siguiente dirección de correo electrónico: dpogruppbbva@bbva.com?.
La firma del documento por el cliente y la fecha se incluye al final del apartado 2
?Política de protección de datos personales?, en el que se le indica que con el proceso de
firma presta su conformidad a la Declaración de Actividad Económica y Política de Protección
de Datos.
Inmediatamente antes del espacio habilitado para la firma se informa como sigue:
?Te informamos que si no estás de acuerdo con la aceptación de alguna de las siguientes finalidades,
puedes seleccionarlas a continuación.
. Productos y precios más ajustados a ti
[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí.
[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
78/146
Mejora de calidad
[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que
hacemos de tus datos?.
V
El artículo 5 ?Principios relativos al tratamiento? del RGPD establece:
?1.Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y
transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior
de los datos personales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la
finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
(«minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se
supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento de los datos personales; los datos personales podrán
conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo
en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con
el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas
apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del
interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y
confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y
capaz de demostrarlo («responsabilidad proactiva»)?.
En relación con los citados principios, se tiene en cuenta lo señalado en el
Considerando 39 del citado RGPD:
?39. Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar
totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos
personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El
principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos
datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho
principio se refiere en particular a la información de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las
personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos
relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en
relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
79/146
deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos
personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que
sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de
conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera
lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan
más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o
revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o
supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo
que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para
impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento?.
VI
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida,
registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso,
cotejo o interconexión, limitación, supresión o destrucción?.
De acuerdo con dichas definiciones, la recogida de datos de carácter personal a través
de formularios habilitados al efecto constituye un tratamiento de datos, respecto del cual el
responsable del tratamiento ha de dar cumplimiento al principio de transparencia, establecido
en el artículo 5.1 del RGPD, según el cual los datos personales serán ?tratados de manera
lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia)?; y
desarrollado en el Capítulo III, Sección 1ª, del mismo Reglamento (artículos 12 y siguientes).
El artículo 12.1 del citado Reglamento establece la obligación del responsable del
tratamiento de tomar las medidas oportunas para ?facilitar al interesado toda información
indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos
15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida a un
niño?.
En el mismo sentido se expresa el artículo 7 del RGPD para supuestos en los que el
consentimiento del interesado se preste en el contexto de una declaración escrita, como
ocurre en el presente caso. Según este artículo, dicha solicitud del consentimiento ?se
presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible
y de fácil acceso y utilizando un lenguaje claro y sencillo?. Se añade en este precepto que
ninguna parte de la declaración que constituya infracción del presente Reglamento será
vinculante.
El artículo 13 del citado texto legal detalla la ?información que deberá facilitarse
cuando los datos personales se obtengan del interesado? y el artículo 14 mencionado se
refiere a la ?información que deberá facilitarse cuando los datos personales no se hayan
obtenido del interesado?.
En el primer caso, cuando los datos personales se recaben directamente del
interesado, la información deberá facilitarse en el momento mismo en que tiene lugar esa
recogida de datos. El artículo 13 del RGPD detalla esa información en los términos siguientes:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
80/146
1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento,
en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del
responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o,
en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo
segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de
estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al
interesado, en el momento en que se obtengan los datos personales, la siguiente información
necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios
utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales
relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al
tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte
a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario
para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está
informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo
22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así
como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un
fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho
tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor
del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el
interesado ya disponga de la información?.
El artículo 14 regula la información que deberá facilitarse en relación con los datos que
no se recaban directamente del interesado:
?1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento
le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del
tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer
país u organización internacional y la existencia o ausencia de una decisión de adecuación de la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
81/146
Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49,
apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para
obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al
interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y
transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los
criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del
responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales
relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al
tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte
a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso
público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el
artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica
aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
3.El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un
mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el
momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos
personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para
un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho
tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el
apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,
en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica
o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89,
apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo
pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales
casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses
legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los
Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas
para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una
obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros,
incluida una obligación de secreto de naturaleza estatutaria?.
Por su parte, el artículo 11.1 y 2 de la LOPDGDD dispone lo siguiente:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
82/146
?Artículo 11. Transparencia e información al afectado
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar
cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679
facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una
dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante
información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de
su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos
jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de
acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679?.
En relación con este principio de transparencia, se tiene en cuenta, además, lo
expresado en los Considerandos 32, 39, reproducido en el Fundamento de Derecho anterior,
42, 47, 58, 60, 61 y 72 del RGPD. Se reproduce a continuación parte del contenido de estos
Considerandos:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de
voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de
carácter personal que le conciernen? Por tanto, el silencio, las casillas ya marcadas o la inacción no
deben constituir consentimiento. El consentimiento debe darse para todas las actividades de
tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe
darse el consentimiento para todos ellos?
(42) ?En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe
haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la
medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (LCEur 1993, 1071), debe
proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable
del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y
sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el
interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del
tratamiento a los cuales están destinados los datos personales. El consentimiento no debe
considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no
puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se
puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el
tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado,
teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el
responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y
apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente
o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una
evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en
el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En
particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los
intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en
circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento
ulterior? El tratamiento de datos de carácter personal estrictamente necesario para la prevención del
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
83/146
fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El
tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por
interés legítimo.
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea
concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y,
además, en su caso, se visualice?
(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la
existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al
interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de
las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados,
también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que
no lo hicieran?
(61) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en
el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable,
dependiendo de las circunstancias del caso?
(72) La elaboración de perfiles está sujeta a las normas del presente Reglamento que rigen el
tratamiento de datos personales, como los fundamentos jurídicos del tratamiento o los principios de la
protección de datos?
BBVA, según consta en hechos probados, realiza tratamientos de datos personales
obtenidos de los clientes, de forma directa o ?indirectamente?, así como de datos personales
obtenidos de otras fuentes distintas a los interesados o inferidos por la propia entidad. Viene
por ello, obligada a facilitar información sobre todos los aspectos recogidos en los citados
artículos 13 y 14 del RGPD.
Analizada la información ofrecida por BBVA, se comprueba que la misma es
incompleta o inadecuada en relación con lo dispuesto en los artículos 13 y 14 del RGPD.
-
Empleo de una terminología imprecisa y formulaciones vagas
De acuerdo con lo expuesto, en el momento de la recogida de los datos personales el
responsable del tratamiento debe suministrar a los interesados la información establecida en
las normas citadas, ?en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo?.
BBVA no informa de manera clara y sistemática sobre los tratamientos de datos
personales ni las finalidades para las que serán utilizados; y tampoco delimita la naturaleza de
la información sometida a tratamiento y su posterior utilización.
Cuando hace referencia a estas cuestiones emplea una terminología imprecisa y
formulaciones vagas, ajena al cumplimiento estricto del principio de transparencia, impidiendo
a los interesados conocer el sentido y significado real de las indicaciones facilitadas y el
alcance real de los consentimientos que puedan prestarse.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
84/146
La política de privacidad analizada contiene fórmulas y expresiones imprecisas y
vagas a lo largo de todo el texto:
. ?Conocerte mejor y mejorar tu experiencia?.
. ?Ofrecerte productos y servicios? personalizados para ti?.
. ?Mejorar la calidad de los productos y servicios?.
. ?Tus datos son tuyos y los controlas tú?.
. ?? que tu experiencia sea más personalizada?.
. ?Productos y precios más ajustados a ti?.
. ?NO quiero que BBVA trate mis datos para ofrecerme productos y servicio? personalizados para mí?.
. ?NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí?.
. ?NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes?.
. ?Gestionar adecuadamente los productos y servicios que nos solicites y contrates?.
. ?Seguir la relación que mantenemos contigo y tu evolución financiera?.
. ?En BBVA tratamos tus datos personales para atenderte siempre con el mismo nivel de calidad, y así
poder ofrecerte un mejor trato y servicio adecuado a tu condición de cliente?.
. ?Si quieres agilizar el proceso de solicitud, necesitaremos?.
. ?En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una
relación personalizada Io más adaptada a tu perfil de cliente y a tus necesidades. Para lograrlo
tenemos que conocerte mejor??.
. ?Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti? así como
ofertas personalizadas con precios más ajustados para ti?.
. ?Nos gustaría mantenerte al día sobre nuevos productos y servicios de BBVA, así como darte
consejos recomendaciones para gestionar mejor tu situación financiera.
También podemos enviarte información sobre productos y servicios de BBVA con precios más
ajustados a tu perfil, informándote de aquello que te pueda interesar como cliente?.
. ?Si quieres que las sociedades del Grupo BBVA? te puedan ofrecer productos y servicio
personalizados en características y precio, necesitamos que nos autorices a comunicarles datos
relativos a tu perfil de cliente? Esa información se tratará para intentar mejorar las características y
precios de la oferta de productos y servicios?.
. ?? para que desde BBVA podamos atender mejor tus expectativas y podamos incrementar tu grado
de satisfacción?.
. ?? para ser un banco cercano a ti como cliente y poder acompañarte durante nuestra relación
contractual, podríamos felicitarte por tu aniversario, desearte un buen día o felices fiestas?.
. ?En BBVA consideramos que, como cliente, tienes una expectativa razonable a que se utilicen tus
datos para que podamos mejorar los productos y servicios y puedas disfrutar de una mejor experiencia
como cliente?.
. ?Además, estimamos que también tienes una expectativa razonable a recibir felicitaciones con motivo
de tu aniversario. desearte un buen día o felices fiestas?.
. ?Para poder prestarte un servicio adecuado y gestionar la relación que mantenemos contigo como
cliente??.
De ello se desprende que la política de protección de datos se muestra como un
beneficio para el cliente, dando a entender que su no aceptación supondrá la pérdida de
ventajas como cliente.
Según consta en los antecedentes, BBVA ha aportado a las actuaciones
documentación relativa al proceso de adaptación al nuevo RGPD, incluido, en concreto, el
plan definitivo de elaboración de la nueva ?Cláusula LOPD?, que incluía la realización de
investigaciones con clientes sobre el borrador de texto de dicha cláusula. La propia entidad ha
manifestado que la primera investigación consistía en optimizar la eficacia de la comunicación
a clientes y que la cláusula permitiera captar la atención de los clientes para lograr la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
85/146
aceptación de los tratamientos basados en el consentimiento.
En relación con esta primera investigación, en el documento aportado por BBVA,
correspondiente al extracto de la presentación realizada en octubre de 2017 sobre las
conclusiones de estos trabajos, se dice lo siguiente:
?Objetivo: Optimizar la comunicación a clientes (email y página de firma) para conseguir mayor número
de aceptación de las finalidades de tratamiento de datos?.
?Resultados generales: casi el 90% de los entrevistados acepta todas las condiciones, ya sea de
manera expresa o por defecto; dos tercios de los entrevistados aceptaron las condiciones GDPR de
manera instantánea, sin leer; la no aceptación se centra exclusivamente en la recepción de
comunicaciones comerciales, sobre todo de terceros?.
?Conclusiones: el modelo actual sería válido (tras las modificaciones), es eficiente para estimular la
aceptación de la política de protección de datos (casi 9 de cada 100 consultados acepta todas las
cláusulas); ?se echa en falta el beneficio cliente: cuesta identificar el beneficio en el día a día al
aceptar el uso de sus datos, la aceptación o rechazo de las condiciones no tendrá ninguna
repercusión??.
Se realizó una segunda investigación con el siguiente objetivo:
?Objetivo: adaptar los mensajes para que el cliente acepte las condiciones consciente de la pérdida que
supondría no hacerlo?.
Además, la información es indeterminada, considerando esas expresiones genéricas y
poco claras que utiliza, de lo que se deriva que la política de privacidad no es fácil de
entender por cualquier interesado, con independencia de su cualificación, y demuestra hasta
qué punto es necesario ser un experto para comprender dicha información y su alcance. Ello
supone entender vulnerado el derecho a la protección de datos personales, entendido como
la capacidad del afectado de decidir sobre el tratamiento.
La información sobre aspectos claves como las categorías de los datos personales
tratados, las finalidades o la base legal que habilita el tratamiento emplea expresiones poco
claras e imprecisas, con significados ambiguos en algunos casos, cuyo verdadero alcance no
se desarrolla; expresiones que se repiten a lo largo de todo el texto, como se ha indicado, y
que BBVA utiliza para fundamentar diferentes actuaciones, tratamientos, finalidades o
legitimaciones. Pueden destacarse nuevamente como ejemplo expresiones como ?conocerte
mejor? ?personalizar tu experiencia?, ?ofrecerte productos y servicios personalizados?,
?mejorar la calidad de productos?, ?relación adaptada a tu perfil?, ?precios ajustados a tu
perfil?, ?elaborar nuestros modelos de negocio?, ?analizando los usos de los productos,
servicios y canales de BBVA?, ?aplicaremos métodos estadísticos y de clasificación para
ajustar correctamente tu perfil? o ?realizar estadísticas, encuestas, cálculos actuariales,
medias y/o estudios de mercado que puedan ser de interés de BBVA o e terceros?.
Tampoco el interesado puede deducir claramente el significado de esas expresiones a
partir del contexto en el que se ofrece la información y se recaba la manifestación de voluntad
del interesado, o a partir del contexto mismo de la relación contractual que vincula al
interesado con la entidad responsable. Sobre esta base contextual o contexto fáctico, el
cliente no es capaz de entender el significado de las finalidades perseguidas por BBVA con el
tratamiento de sus datos personales, tales como ?conocerte mejor?, ?elaborar nuestros
modelos de negocio? o ?mejorar la calidad de los productos y servicios?.
Las expresiones tan repetidas por BBVA a lo largo de todo el documento ?Declaración
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
86/146
de Actividad Económica y Política de Protección de Datos Personales? se incluyen como
ejemplos de malas prácticas en el documento del Grupo de Trabajo del Artículo 29
?Directrices sobre la transparencia en virtud del Reglamento 2016/679?, adoptadas el
29/11/2017 y revisadas el 11/04/2018.
En estas Directrices se analiza el alcance que debe atribuirse a los elementos de
transparencia establecidos en el artículo 12 del RGPD, según el cual el responsable del
tratamiento tomará las medidas oportunas para ?facilitar al interesado toda información
indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos
15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo?, que ha de ponerse en relación con lo expresado en
el Considerando 39 del citado Reglamento. De lo expuesto en dichas Directrices, cabe
destacar en este momento lo siguiente:
?El requisito de que la información sea ?inteligible? quiere decir que debe resultar comprensible al
integrante medio de la audiencia objetivo. La inteligibilidad está estrechamente vinculada al requisito de
utilizar un lenguaje claro y sencillo. Un responsable del tratamiento que actúe con responsabilidad
proactiva conocerá a las personas sobre las que recopila información y puede utilizar este
conocimiento para determinar lo que dicha audiencia es susceptible de comprender??.
En el caso de la información ?escrita?» (y cuando la información escrita se comunique verbalmente, o
mediante métodos auditivos o audiovisuales, también para interesados con problemas de visión), han
de seguirse las mejores prácticas para escribir con claridad. El legislador de la UE ya ha utilizado
previamente un requisito lingüístico similar (apelando al uso de ?términos claros y comprensibles?) y
también aparece explícitamente mencionado en el contexto del consentimiento en el considerando 42
del RGPD. La obligación de utilizar un lenguaje claro y sencillo implica que la información debe
facilitarse de la forma más simple posible, evitando oraciones y estructuras lingüísticas complejas. La
información debe ser concreta y categórica; no debe formularse en términos abstractos o ambivalentes
ni dejar margen para distintas interpretaciones. En concreto, los fines y la base jurídica del tratamiento
de los datos personales deben ser claros.
Ejemplos de prácticas deficientes
Los siguientes enunciados no son suficientemente claros con respecto a la finalidad del tratamiento:
. ?Podremos utilizar sus datos personales para desarrollar nuevos servicios? (ya que no queda claro de
qué ?servicios? se trata ni cómo ayudarán los datos a desarrollarlos);
. ?Podremos utilizar sus datos personales para fines de investigación? (ya que no queda claro a qué tipo
de ?investigación? se refiere); y
. ?Podremos utilizar sus datos personales para ofrecerle servicios personalizados? (ya que no queda
claro qué implica esta ?personalización?).
Ejemplos de buenas prácticas
. ?Conservaremos su historial de compra y utilizaremos detalles de los productos que ha comprado
anteriormente para sugerirle otros productos que creemos podrían interesarle también? (está claro qué
tipos de datos se tratarán, que el interesado será objeto de publicidad de productos personalizada y
que se utilizarán sus datos en este sentido);
. ?Conservaremos y evaluaremos información sobre sus visitas recientes a nuestro sitio web y cómo
navega por las distintas secciones del mismo con el fin de analizar y comprender el uso que las
personas hacen de nuestro sitio web y poder hacerlo más intuitivo? (queda claro qué tipo de datos se
tratarán y el tipo de análisis que el responsable va a realizar); y
. ?Mantendremos un registro de los artículos de nuestro sitio web en los que ha pulsado y utilizaremos
esa información para personalizar, a partir de los artículos que ha leído, la publicidad que le mostramos
en este sitio web para que se ajuste a sus intereses? (queda claro lo que conlleva la personalización y
cómo se han identificado los intereses que se atribuyen al interesado)>>.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
87/146
Lo expuesto debe interpretarse, en todo caso, teniendo en cuenta los principios
establecidos en el artículo 5 del RGPD, en especial el principio de lealtad. El Considerando 42
del mismo texto refiere también que el formulario en el que se ofrece la información en
materia de protección de datos personales no debe contener términos no leales.
BBVA alega que la ?Guía para el cumplimiento del deber de informar?, editada por esta
Agencia, contiene algunos ejemplos al referirse a la información sobre la finalidad (?facilitar a
los interesados ofertas de productos y servicios de su interés?; ?poder ofrecerle productos y
servicios de acuerdo con sus intereses?; ?mejorar su experiencia como usuario?) que pueden
estimarse similares a las expresiones utilizadas en la Política de Privacidad. Sin embargo,
esta circunstancia no tiene virtualidad suficiente para salvar los importantes reparos que aquí
se describen.
A este respecto, debe señalarse que, si bien es cierto que dichas expresiones son
similares a las utilizadas en algunos ejemplos puntuales de la guía citada, BBVA no hace
referencia ni ha tenido en cuenta otras afirmaciones de dicha guía que son básicas para
enmarcar e interpretar el sentido de las que la entidad reproduce.
Así, omite que dichos ejemplos se encuentran incluidos en la rúbrica ?¿Qué
información se debe incluir en cada epígrafe??; rúbrica que comienza estableciendo un criterio
general que condiciona la aplicación de los ejemplos incluidos en la misma (como son los
citados por BBVA) al señalar que ?la extensión y el nivel de detalle de cada epígrafe
dependerán de la complejidad de sus circunstancias particulares? (el subrayado es de la
AEPD).
Añadiendo a continuación otra importante matización como es la de que los ejemplos
prácticos que se incluyen en la guía están ?relacionados con los casos hipotéticos anteriores
(?ediciones Warren&Brandeis S.A.?)? (Página 9).
Por otra parte, las expresiones de referencia se encuentran en el ejemplo incluido en
el epígrafe 7.2 ?finalidad? de la guía, que vincula la finalidad de ??facilitar a los interesados
ofertas de productos y servicios de su interés?? y ??de acuerdo con sus intereses??
exclusivamente a ?la información facilitada por los interesados? (el subrayado es de la AEPD).
Finalmente, la Guía completa el epígrafe citado con una nueva advertencia al señalar
que ?deben evitarse prácticas tales como incluir finalidades demasiado genéricas o
inespecíficas, que puedan conducir a tratamientos ulteriores que excedan las expectativas
razonables del interesado?.
El marco de la Guía, que se ha descrito en su integridad y no con una cita parcial y
selectiva como en las alegaciones del BBVA, presenta diferencias sustanciales con el de las
cláusulas informativas de esta entidad, como son las siguientes: la variedad de los datos
objeto de tratamiento; la diversidad de las fuentes de que se obtienen, que van más allá de
los datos facilitados por el interesado llegando a incluir hasta los obtenidos en su condición de
mero encargado del tratamiento; así como la variedad y complejidad de las finalidades objeto
de tratamiento de datos personales en su condición de entidad financiera que ocupa una
relevante posición en el mercado, a diferencia de las más esquemáticas propias de un editor,
que es el ejemplo que se cita en la Guía (el detalle de dichos datos y tratamientos se describe
en distintos apartados de la resolución omitiéndose aquí para evitar reiteraciones).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
88/146
Complementariamente, debe tenerse en cuenta que las orientaciones de la guía no
pueden tomarse como definitivas, ya que la guía antes citada advierte expresamente que el
único objetivo específico que cubre es orientar sobre las mejores prácticas y añade que debe
ser completada con otras guías que las Autoridades de Protección de Datos puedan emitir, en
relación con la aplicación del RGPD.
La argumentación anterior sobre la terminología empleada en la Política de Privacidad
no se tiene en cuenta por BBVA al formular sus alegaciones. Esta entidad se limita a realizar
afirmaciones tales como calificar los argumentos de esta Agencia como apreciaciones
subjetivas; afirmar que los términos empleados son claros y precisos; que utiliza esas
expresiones con la intención de proporcionar a sus clientes un servicio adaptado a sus
circunstancias concretas, para lo que resulta imprescindible ?conocerles?; y que el contexto en
el que se facilita la información, que viene determinado por la relación contractual, así como la
sistemática del documento en dos capas, posibilitan un mejor entendimiento de las
expresiones empleadas.
Ya se ha negado anteriormente que el contexto en el que se ofrece la información y se
recaba la manifestación de voluntad permita al interesado conocer el sentido y alcance de las
expresiones que se han señalado. Y, por otra parte, no puede decirse que el fin citado por
BBVA (conocer mejor al cliente) justifique el empleo de expresiones poco claras e
indeterminadas.
Asimismo, intenta explicar dos de las muchas a las que se ha hecho referencia
anteriormente, lo cual, obviamente, no resuelve las deficiencias apreciadas en todo el texto de
la Política de Privacidad.
En concreto, se refiere BBVA a la expresión ?aplicaremos métodos estadísticos y de
clasificación para ajustar correctamente tu perfil?, que intenta explicar sin éxito, destacando
que con esa expresión se especifican dos de las técnicas utilizadas para conocer mejor al
cliente.
En segundo lugar, se refiere a la indicación ?analizando los usos de los productos,
servicios y canales de BBVA?, la cual según BBVA se explica por esta Agencia en la
propuesta de resolución indicando que ?[t]odo ello se refiere a los datos tratados por razón de
los productos y servicios contratados?.
No comparte esta Agencia la idea expuesta por BBVA. En el primer caso, la simple
referencia a las técnicas utilizadas no ayuda al interesado el alcance de la información cuando
señala que se ajustará el perfil. En relación con la segunda expresión, ya se indicó en la
apertura del procedimiento y en la propuesta de resolución, el interesado no tiene oportunidad
de conocer el verdadero alcance de esa expresión, empezando por la información concreta a
la que se refiere.
Añade que algunas de las expresiones explicadas anteriormente guardan similitud con
expresiones ofrecidas como ejemplos en la ?Guía sobre el uso de las cookies? (a juicio de
BBVA, ?realizar estadísticas, encuestas, cálculos actuariales, medidas y/o estudios de
mercado que puedan ser de interés de BBVA o de terceros?, guarda similitud con la expresión
?para fines analíticos?; y ?analizando los usos de los productos, servicios y canales de BBVA?
guarda similitud con la expresión ?mostrarte publicidad personalizada en base a un perfil
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
89/146
elaborado a partir de tus hábitos de navegación?).
Sobre las citas que se han transcrito literalmente y entrecomilladas llama la atención,
en primer lugar, que en el momento de realizarse por parte del BBVA el proceso de
adaptación al RGPD, incluidas las cláusulas informativas, la Guía sobre cookies publicada por
la Agencia en aquel momento fue la presentada el 29 de abril de 2013 y en ella no se recogía
la literalidad de dichas expresiones.
El único ejemplo de cláusula informativa incluido en dicha Guía indicaba literalmente
que ?utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarles
publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de
navegación?.
Por tanto, BBVA no pudo, en modo alguno, tener en cuenta como referencia este texto
a la hora de elaborar sus cláusulas informativas.
Los ejemplos referidos por BBVA reproducen literalmente las redacciones recogidas en
la ?Guía sobre el uso de las cookies? publicada en noviembre de 2019 (tanto la relativa a los
fines analíticos como la relativa a la publicidad personalizada a partir de los hábitos de
navegación en el ejemplo número 2 de la página 20).
Sin embargo, su alegación al tomar como referencia dichas leyendas en orden a
justificar las cláusulas informativas de la entidad es de nuevo parcial, ya que se limita a
recoger únicamente dos incisos limitados de los ejemplos de la Guía.
Pero sin tener en cuenta otras consideraciones de fondo incluidas en la Guía que
permiten fundamentar una valoración contraria al efecto exculpatorio pretendido por la
entidad. Y, en particular, las que hacen referencia a la exigencia de ?utilizar un lenguaje claro
y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del
mensaje?.
En este sentido, la Guía indica específicamente en el apartado 3.1.2.b) lo siguiente
(página 18):
desvirtúen la claridad del mensaje.
No serían válidas, por ejemplo, frases como ?usamos cookies para personalizar su contenido y crear
una mejor experiencia para usted? o ?para mejorar su navegación?, o frases como ?podemos utilizar sus
datos personales para ofrecer servicios personalizados? para referirse a cookies publicitarias
comportamentales. También deben evitarse términos como ?puede?, ?podría?, ?algún?, ?a menudo?, y
?posible?>>.
Expresiones que vienen a confirmar los fundamentos para la declaración de las
cláusulas informativas de BBVA como ilícitas en el presente procedimiento.
Por lo expuesto, debe rechazarse la alegación de BBVA sobre la aplicación del
principio de confianza legítima.
Sobre las cuestiones anteriores también añade BBVA en sus alegaciones que actuó
con responsabilidad proactiva, como se acredita con las investigaciones realizadas por
terceros expertos para valorar el contenido y formato del texto; y que ofrecer una imagen de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
90/146
cortesía es una decisión comercial, una ?acción de marketing?, según sus propios términos,
para la que está legitimada en virtud de su derecho a la libertad de empresa.
Sobre los trabajos externos encargados por BBVA ya se ha explicado antes que su
objeto no era facilitar la comprensión del texto de la Política de Privacidad para que sirviera
adecuadamente a los fines que corresponden a una cláusula informativa en materia de
protección de datos personales, sino favorecer la aceptación de la misma en su totalidad.
Por otro lado, resulta claro e indiscutible que la Política de Privacidad no puede
utilizarse como una ?acción de marketing?. Así es como la ha calificado BBVA y el resultado es
el que se ha descrito en los párrafos anteriores.
- Información sobre las categorías de los datos personales sometidos a tratamiento;
y sobre las categorías de datos personales concretas que se tratarán para cada
una de las finalidades específicas.
Por otra parte, se comprueba que la información ofrecida es incompleta en relación
con aspectos claves establecidos en los repetidos artículos, como las categorías de los datos
personales tratados.
De acuerdo con los criterios manifestados por el Comité Europeo de Protección de
Datos, la información sobre la tipología de datos personales sería necesaria en relación con
aquellos tratamientos de datos cuya base legal venga determinada por el consentimiento del
interesado. Así lo entendió el Grupo de Trabajo del Artículo 29 en su documento ?Directrices
sobre el consentimiento en virtud del Reglamento 2016/679?, adoptado el 28/11/2017,
revisadas y aprobadas el 10/04/2018 (estas Directrices han sido actualizadas por el Comité
Europeo de Protección de Datos el 04/05/2020 mediante el documento ?Directrices 05/2020
sobre el consentimiento con arreglo al Reglamento 2016/679?, el cual mantiene literalmente
idénticas las parte que se transcriben a continuación).
El Grupo de Trabajo del Artículo 29 obtiene sus conclusiones a partir de la definición
del ?consentimiento? recogida en el artículo 4 del RGPD, que se expresa en los términos
siguientes:
?11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen?.
A partir de esta definición, se concretan como elementos necesarios para la validez del
consentimiento los siguientes:
. Manifestación de voluntad libre
. específica
. informada e
. inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara
acción afirmativa, el tratamiento de datos personales que le conciernen.
En relación con el elemento ?manifestación de voluntad específica? se dice:
?3.2. Manifestación de voluntad específica
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
91/146
(?)
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el
requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para
varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios
puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el
objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este
modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el
requisito de que los responsables faciliten información clara?.
Además, el consentimiento, para ser válido, debe ser informado. Este elemento se
analiza en las mencionadas ?directrices? como sigue:
3.3. Manifestación de voluntad informada
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad con el
artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales,
estrechamente relacionado con los principios de lealtad y licitud. Facilitar información a los interesados
antes de obtener su consentimiento es esencial para que puedan tomar decisiones informadas,
comprender qué es lo que están autorizando y, por ejemplo, ejercer su derecho a retirar su
consentimiento. Si el responsable no proporciona información accesible, el control del usuario será
ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el consentimiento no será válido
y el responsable podrá estar incumpliendo el artículo 6 de RGPD.
3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos que
son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al menos, la información
siguiente para obtener el consentimiento válido:
i) la identidad del responsable del tratamiento,
ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento,
iii) qué (tipo de) datos van a recogerse y utilizarse,
iv) la existencia del derecho a retirar el consentimiento,
v) información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo
22, apartado 2, letra c), cuando sea pertinente, e
vi) información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una
decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo 46>>.
A la vista de los criterios interpretativos sobre la noción de ?consentimiento informado?
que ofrece el Comité Europeo de Protección de Datos, se considera que BBVA no
proporciona información suficiente sobre la tipología de los datos que serán sometidos a
tratamiento en relación con todos aquellos tratamientos cuya base jurídica sea el
consentimiento de los interesados.
Esta insuficiencia se observa en relación con la finalidad ?Mejorar la calidad de los
productos y servicios?, donde se indica nuevamente que: ?Dicha información se obtiene a
partir del uso de productos, servicios y canales de BBVA?). Todo ello se refiere a los datos
tratados por razón de los productos y servicios contratados, de modo que, aunque éstos sean
conocidos por el usuario, no puede conocer los que se seleccionarán a partir del uso de tales
productos y servicios. Lo mismo puede decirse respecto del uso de canales de BBVA.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
92/146
En relación con la categoría de datos personales que podrán ser tratados, BBVA
advierte al interesado, de forma genérica, que podrá tratar ?Datos económicos y de solvencia
patrimonial (incluidos los relativos a todos los productos y servicios que tienes contratados
con BBVA o de los que BBVA es comercializador); Datos transaccionales (ingresos, pagos,
transferencias, adeudos, recibos, así como cualquier otra operación y movimiento asociado a
cualesquiera productos y servicios que tengas contratados con BBVA o de los que BBVA es
comercializador); Datos sociodemográficos (tales como edad, situación familiar, residencias,
estudios y ocupación).
A la vista de dicha información no queda claro si BBVA tratará datos económicos
ajenos a los productos contratados con la entidad o comercializados por la misma, qué datos
personales registrará por cada transacción (¿registrará el concepto y emisor correspondiente
al pago de una cuota sindical?); o qué datos sociodemográficos tratará, además de los que se
citan como ejemplo. Podría ocurrir, incluso, que la información recabada por la entidad
responsable ?a partir del uso de productos, servicios y canales de BBVA? estuviera integrada
por datos sensibles o categorías especiales de datos personales, por ejemplo, la cuota
sindical ya mencionada o cuotas abonadas a partidos políticos, o a entidades de carácter
religioso, o por uso de servicios prestados por entidades sanitarias o religiosas.
No se concluye que BBVA realice tratamientos de datos personales como los
indicados en el párrafo anterior. Se dice aquí, simplemente, en un fundamento que analiza la
información ofrecida por BBVA a sus clientes, que esta información es defectuosa en la
medida en que no permite al destinatario de la información conocer con certeza todas las
categorías de datos personales que se utilizarán por aquella entidad y que, incluso, la
repetida información, por su falta de concreción, podría estar dando cobertura a una recogida
y tratamiento de datos personales inaceptable.
También al referirse a los datos personales que se utilizarán para llevar a cabo
tratamientos de datos basados en el interés legítimo de la entidad, se hace referencia
nuevamente a los ?usos de los productos, servicios y canales de BBVA?, así como a
información relativa a la ?evolución financiera y la de los productos y servicios que tienes
contratados con nosotros o a través de BBVA como comercializador, tus operaciones -pagos.
ingresos, transferencias, adeudos, recibos?. En este caso, la insuficiente información sobre las
categorías de datos a tratar no está relacionada con la necesidad de que el consentimiento
sea informado, dado que se trata de tratamientos basados en el interés legítimo de la entidad.
Sin embargo, en estos tratamientos se utilizarán datos no proporcionados por los interesados,
de forma que resultaría de aplicación la obligación contenida en el artículo 14.1.d) del RGPD.
Todo ello sin perjuicio de la relación existente entre los tratamientos de datos basados en el
consentimiento de los interesados a las que posteriormente se hace referencia.
Para concluir la deficiente información contenida en la política de privacidad sobre los
datos económicos y de solvencia patrimonial, transaccionales y de uso de productos,
servicios y canales, basta comparar los detalles expuestos anteriormente con los recogidos
en el Informe de ponderación del interés legítimo aportado por BBVA a requerimiento del
instructor. Este es el detalle sobre los datos sometidos a tratamiento contenido al respecto en
dicho informe:
?ii. Datos económicos y de solvencia patrimonial, tales como ingresos netos mensuales, saldo medio en
cuentas, saldo de activo, recibos domiciliados, nómina domiciliada, ingresos y gastos, así como los
relacionados con la calificación financiera del cliente.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
93/146
iii. Datos transaccionales de forma categorizada, tales como saldos medios, ingresos medios, número
de recibos domiciliados, número de recibos referidos a la prestación de servicios básicos, tipología de
movimientos de cuentas y tarjetas. No se incluirían los datos referidos a los textos de los recibos por
inferencia desde el detalle de movimientos de cuentas y tarjetas (como por ejemplo, origen, destino,
concepto y tercero relacionado con la transacción)?.
?v. Datos de productos y servicios contratados, tales como número de contrato, límite asociado a los
productos contratados, tipología de productos y servicios contratados, datos de contrato (atributos
asociados al contrato), riesgo con BBVA, así como cualquier documentación asociada a cualquiera de
estos contratos?.
En relación con los tratamientos basados en el interés legítimo, la documentación
correspondiente al proyecto ?Customer Data Cube? reseña, entre otras, las variables
siguientes:
. De vinculación y negocio generales (antigüedad del clientes, categoría, importe y evolución de pasivo
y activo?)
. Variables de activo:
. Saldos, tenencia y antigüedad (importe, evolución, media trimestral, porcentaje amortizado,
último vencimiento en préstamo consumo o hipotecario).
. Cirbe (riesgo, porcentaje de avales, cartera o leasing; riesgo a largo, a corto; riesgo directo o
indirecto?).
. De recursos (importe, evolución y media trimestral en plan de pensiones, fondos, renta variable o fija,
seguros de ahorro?).
. De transaccionalidad
. Tarjetas (importes y media trimestral con tarjeta de crédito o débito en comercios, cajeros?).
. Ingresos (importe, tenencia o número de meses de nómina, pensión?).
. Cuentas (media mensual, evolución de los líquidos, descubiertos?).
. Recibos (importe total en un año de recibos básicos y no básicos, número de recibos en un año,
recibos devueltos, media mensual?).
. De seguros (prima, tenencia, número de meses de seguro de hogar, vida?).
. Empresas (importe, evolución y media de avales; de cartera; cesión de nóminas; comercio exterior;
factoring; leasing; pagos certificados; renting?).
. Digitalización e interacción del cliente
. General (bbvanet; banca_mvl, multicanal)
. Uso de canales (días en los que hay eventos de contratación, operación o consulta, según canal
-incluido oficina y telefónico).
En otro orden de cosas, en este momento, interesa destacar que la utilización de datos
personales en base al interés legítimo da lugar a la elaboración de perfiles, que son
posteriormente utilizados para la oferta de productos y servicios (finalidad 3) a los clientes que
presten su consentimiento para ello, y que dicho perfil se comunica a las sociedades del
Grupo BBVA, también en base al consentimiento del interesado. Siendo así, los defectos en la
información en relación con el tratamiento de datos en base al interés legítimo afectan por
igual a la validez del consentimiento.
Interesa destacar también, además, que la información ofrecida sobre los datos
sometidos a tratamiento por BBVA a la que se ha hecho referencia incluye ?los relativos a
todos los productos y servicios? de los que BBVA es comercializador?. Esta Agencia
cuestiona la utilización de estos datos por parte de la citada entidad y con las finalidades que
se señalan, considerando que no se trata de productos propios, sino productos de terceros
comercializados por la misma. BBVA interviene en la comercialización de esos productos bajo
la condición de encargado del tratamiento, lo que limita la posibilidad de utilizar la información
de que se trate con fines propios.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
94/146
Asimismo, el incumplimiento de la obligación de informar sobre la categoría de los
datos que se someterán a tratamiento se incumple también en relación con los datos que no
son facilitados al responsable por el interesado, sino que se obtienen por éste de fuentes
externas o son inferidos por la propia entidad. Según ha quedado expuesto, en estos casos,
el artículo 14 del RGPD obliga a facilitar esta información.
Entre esta información procedentes de terceros se encuentra la obtenida de los
productos y servicios comercializados por BBVA, pero que no son propios de la misma, a la
que ya se ha hecho referencia.
Se deduce de ello que BBVA somete a tratamiento datos personales que no obtiene
directamente de los interesados bajo la condición de responsable del tratamiento. Se
consideran datos personales procedentes de terceros que BBVA utiliza con las finalidades
expresadas en la Política de Privacidad.
La responsabilidad sobre estos datos personales corresponde a la entidad titular del
producto adquirido por el interesado o prestadora del servicio contratado por el mismo. BBVA
accede a tales datos bajo la condición de encargada de tratamiento, por su intervención
mediadora en la comercialización del producto.
En la Política de Privacidad, en el apartado ?¿Qué datos personales tuyos trata
BBVA??, se mencionan los siguientes:
?. Datos económicos y de solvencia patrimonial (incluidos los relativos a todos los productos y
servicios que tienes contratados con BBVA o de los que BBVA es comercializador);
. Datos transaccionales (ingresos, pagos, transferencias, adeudos, recibos, así como
cualquier otra operación y movimiento asociado a cualesquiera productos y servicios que
tengas contratados con BBVA o de los que BBVA es comercializador)?.
Según se ha dicho anteriormente, en relación con los tratamientos de datos basados
en el interés legítimo también se menciona la información relativa a la ?evolución financiera y
la de los productos y servicios que tienes contratados? a través de BBVA como
comercializador,
Con la información facilitada, como se ha indicado anteriormente, no queda claro qué
datos personales económicos y de solvencia son tratados o qué datos registrará BBVA por
cada transacción.
Reiteramos aquí lo indicado anteriormente sobre el detalle de las categorías de datos
personales contenido en el informe de ponderación del interés legítimo y en la documentación
correspondiente al proyecto ?Customer Data Cube?, en referencia a los datos económicos y
de solvencia patrimonial, transaccionales y de uso de productos; información ésta que BBVA
no facilita el interesado.
La utilización por BBVA de datos personales procedentes de productos y servicios de
terceros requiere que se facilite a los interesados la información adecuada y disponer de una
base jurídica que ampare el tratamiento.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
95/146
Asimismo, en el mencionado Informe de ponderación del interés legítimo consta que,
al amparo de esta base jurídica, se someten a tratamiento los siguientes datos:
?ix. Datos estadísticos sociodemográficos procedentes del Instituto Nacional de Estadística (en
adelante, "INE"), obtenidos conforme a lo dispuesto en al artículo 21.1 de la Ley 12/1989, de 9 mayo,
reguladora de la Función Estadística Pública (en adelante, "LFEP").
x. Datos obtenidos de la Central de Información de Riesgos del Banco de España (en adelante,
"CIRBE"), regulada por el Capítulo VI de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma
del Sistema Financiero (en adelante, "LMRSF").
xi. Datos obtenidos de ficheros de solvencia patrimonial y crédito, actualmente regulados por el artículo
29 de la Ley Orgánica 15/ 1999, de 13 de diciembre, de Protección de Datos de Carácter Personal?.
También en las Evaluaciones de Impacto en la protección de datos personales de los
tratamientos relacionados con la realización de perfilados comerciales y de riesgo consta la
utilización de información procedente de la Central de Información de Riesgos del Banco de
España y de ficheros externos de solvencia patrimonial y crédito, sin que se informe al
respecto en la política de privacidad. Y entre los ?datos identificativos y de contacto? se refiere
el ?uso de direcciones para realizar deducciones o inferencias tales como, p.g. estimar que
una persona que vive en una zona más cara tiene más probabilidades de tener más recursos
económicos?.
El citado proyecto ?Customer Data Cube? también hace referencia a la utilización de
?variables? procedentes de la CIRBE: ?Cirbe (riesgo, porcentaje de avales, cartera o leasing;
riesgo a largo, a corto; riesgo directo o indirecto?)?.
La única referencia a la información procedente de ficheros de solvencia patrimonial y
crédito y a la CIRBE en esta política de privacidad se contiene en la información relativa a la
utilización de los datos personales para gestionar los productos y servicios contratados,
legitimada por resultar necesaria para la ejecución del contrato.
Aun así, la consulta de los datos del cliente en ficheros de solvencia y crédito se
somete al consentimiento del interesado ?para analizar la viabilidad económica de tus
solicitudes y operaciones?; y en el segundo caso, se indica ?Podemos consultar los datos que
pueden figurar sobre ti en la CIRBE para valorar tu solvencia, si solicitas o mantienes
productos o servicios de financiación con nosotros?.
Nada se indica en la política de privacidad sobre estos datos personales y su
utilización en la elaboración de perfilados con base en el interés legítimo.
En su escrito de alegaciones a la propuesta de resolución, BBVA no hace ninguna
mención a los datos personales obtenidos de productos y servicios de terceros
comercializados por BBVA. Únicamente manifiesta que la obligación de informar sobre las
categorías de los datos sociodemográficos, lo obtenidos de la CIRBE y de ficheros de
solvencia no es aplicable en este caso, por virtud de lo dispuesto en el apartado 5 c) de dicho
precepto, teniendo en cuenta que tales datos personales se obtienen por BBVA de
conformidad con las normas que se indican.
No se cuestiona en este caso la obtención de tales datos por BBVA. Como se ha dicho
anteriormente, se considera legítima la utilización de los datos personales procedente de
ficheros de solvencia patrimonial y crédito y de CIRBE para gestionar los productos y
servicios contratados, siempre que resulte necesaria para la ejecución del contrato. Este es el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
96/146
fundamento que determina el acceso a la información dispuesto en las normas que se
invocan.
Sin embargo, la utilización de estos datos personales por parte de BBVA no se limita a
comprobar la situación del interesado para la formalización de una operación de riesgo, sino
también con otras finalidades basadas en el interés legítimo, así como para la elaboración de
perfiles que se utilizan con finalidad comercial, para ofrecer productos y servicios.
Además, en relación con los datos procedentes de ficheros de solvencia y de crédito,
la Política de Privacidad informa que sólo se consultarán con el consentimiento del interesado
y que la norma invocada por BBVA se refiere exclusivamente al deber de consultar la
información en un tipo de operaciones específicas, como son la concesión de préstamos con
garantía real o cuya finalidad sea adquirir o conservar derechos de propiedad sobre terrenos
e inmuebles; no cualquier operación de riesgo.
En relación con la información sociodemográfica, advierte BBVA que se refiere
únicamente a datos estadísticos que no constituyen datos personales ni revelan información
sobre personas físicas identificadas o identificables. Sin embargo, no tiene en cuenta que esta
información estadística se combina con otros datos personales de los clientes para obtener
otras categorías de datos sobre las que no se informa a los mismos (por ejemplo, el ?uso de
direcciones para realizar deducciones o inferencias tales como, p.g. estimar que una persona
que vive en una zona más cara tiene más probabilidades de tener más recursos
económicos?).
Y no solo no especifica qué datos someterá a tratamiento, sino que tampoco se
informa debidamente sobre las categorías de datos personales concretas que se tratarán para
cada una de las finalidades especificadas.
La necesidad de completar la información que se ofrece a los clientes en el sentido
expresado resulta especialmente relevante cuando se trata de datos no facilitados por el
cliente, sino inferidos por la propia entidad a partir del uso de productos, servicios y canales.
No cabe admitir que toda la información se destine a todos los usos, que todos los datos
recabados o inferidos puedan utilizarse para todas las finalidades, sin delimitar. Esto sirve
igual en relación con los datos personales que se comunicarán a terceros.
A este respecto, El Dictamen del Grupo de Trabajo del Artículo 29 antes citado,
?Directrices sobre el consentimiento en virtud del Reglamente 2016/679?, adoptadas el
28/11/2017, revisadas y aprobadas el 10/04/2018, y revisadas nuevamente en mayo de 2020,
al referirse a la obligación de informar sobre los datos que se recogerán y utilizarán, remite al
Dictamen 15/2011 sobre la definición del consentimiento, en tanto que ?manifestación de
voluntad específica?:
?Para ser válido, el consentimiento debe ser específico. En otras palabras, el consentimiento
indiscriminado sin especificar la finalidad exacta del tratamiento no es admisible.
Para ser específico, el consentimiento debe ser comprensible: referirse de manera clara y precisa al
alcance y las consecuencias del tratamiento de datos. No puede referirse a un conjunto indefinido de
actividades de tratamiento. Esto significa, en otras palabras, que el consentimiento se aplica en un
contexto limitado.
El consentimiento debe darse en relación con los diversos aspectos del tratamiento, claramente
identificados. Esto implica saber cuáles son los datos y los motivos del tratamiento. Este conocimiento
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
97/146
debería basarse en las expectativas razonables de las partes. Por tanto, el ?consentimiento específico?
está intrínsecamente relacionado con el hecho de que el consentimiento debe estar informado. Existe
un requisito de precisión del consentimiento con respecto a los diferentes elementos del tratamiento de
datos: no puede pretenderse que abarque ?todos los fines legítimos? perseguidos por el responsable
del tratamiento. El consentimiento debe referirse al tratamiento que es razonable y necesario en
relación con la finalidad?.
En General, como se ha dicho, el principio de transparencia debe entenderse como un
aspecto fundamental de los principios de tratamiento lícito y leal. Interesa reiterar lo
expresado en los Considerandos 39 y 60 y las referencias que contienen a la necesidad de
facilitar información para garantizar un tratamiento leal y transparente:
?39. Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar
totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos
personales que les conciernen, así como la medida en que dicho datos son o serán tratados? Dicho
principio se refiere en particular a la información de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las
personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos
relativos al tratamiento de datos personales?.
?60. Los principios de tratamiento leal y transparente exigen que se informe al interesado de la
existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al
interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales?.
Y en el también citado documento del Grupo de Trabajo del Artículo 29 ?Directrices
sobre la transparencia en virtud del Reglamento 2016/679?, adoptadas el 29/11/2017 y
revisadas el 11/04/2018, que analiza el alcance que debe atribuirse al principio de
transparencia, se indica:
?Una consideración fundamental del principio de transparencia esbozado en estas disposiciones es que
el interesado debe poder determinar de antemano el alcance y las consecuencias derivadas del
tratamiento, y que no debe verse sorprendido en un momento posterior por el uso que se ha dado a
sus datos personales. Se trata, asimismo, de un aspecto importante del principio de lealtad en virtud
del artículo 5, apartado 1, del RGPD y, efectivamente, guarda relación con el considerando 39, que
establece que ?las personas físicas deben tener conocimiento de los riesgos, las normas, las
salvaguardias y los derechos relativos al tratamiento de datos personales [...]?. En concreto, la postura
del GT29 en cuanto al tratamiento de datos complejo, técnico o imprevisto es que, además de facilitar
la información prescrita en los artículos 13 y 14 (aspecto que se tratará posteriormente en estas
directrices), los responsables del tratamiento también deben detallar por separado y en un lenguaje sin
ambigüedades cuáles serán las ?consecuencias? más importantes del tratamiento: en otras palabras,
¿qué clase de repercusiones tendrá realmente para el interesado el tratamiento específico descrito en
una declaración/aviso de privacidad? Con arreglo al principio de responsabilidad proactiva, y en
consonancia con el considerando 39, los responsables del tratamiento deben valoran si este tipo de
tratamiento plantea algún riesgo específico para las personas físicas que deba ponerse en
conocimiento de los interesados. Esto puede ayudar a obtener una visión de conjunto de los tipos de
tratamiento que podrían tener mayor impacto en los derechos y libertades fundamentales de los
interesados en relación con la protección de sus datos personales?.
En definitiva, se recogen y tratan datos personales sin que los titulares de los mismos
sean conscientes de que BBVA está accediendo a los mismos para registrarlos en sus
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
98/146
sistemas de información, los somete a tratamientos sobre los que el cliente no es informado
de forma clara precisa y sencilla, y con finalidades no explícitas e indeterminadas, en contra
de los principios relativos al tratamiento establecidos en el artículo 5 del RGPD (lealtad,
limitación de la finalidad y minimización de datos), por cuanto, a partir de la información
facilitada, considerando su inconcreción, el interesado no puede conocer, como señala el
Tribunal Constitucional, ?a qué uso lo está destinando y, por otro lado, el poder oponerse a
esa posesión y usos?. Esta falta de precisión convierte en ineficaz la información facilitada
sobre los tratamientos de datos que se pretenden.
El mismo reparo debe expresarse en relación con la comunicación de datos
personales a las empresas del Grupo BBVA. Con la información que se ofrece no es posible
que el interesado tenga una idea clara sobre la información que se cederá a las entidades que
integran el Grupo (??comunicarles datos relativos a tu perfil de cliente -importe de ingresos y
gastos, saldo y utilización de nuestros canales?; ??tus datos identificativos, de contacto y
datos transaccionales?).
La entidad BBVA considera en sus alegaciones que la incorporación de toda aquella
información relativa a la tipología de datos a un documento ya excesivamente extenso sería
susceptible de ocasionar fatiga informativa en los interesados. Las Directrices del GT29
recomiendan evitar esa consecuencia, pero tal propósito no puede tomarse como una
justificación para omitir información necesaria. Obliga a estructurar la información
adecuadamente, pero no a limitarla.
Por otra parte, BBVA ha manifestado que no puede exigírsele que informe sobre los
datos personales sometidos a tratamiento y que esa información se desglose para cada una
de las finalidades amparándose en las directrices que se han mencionado, que no tienen
carácter normativo. Sin embargo, se debe tener en cuenta que el Grupo de Trabajo del
artículo 29 se estableció en virtud de la Directiva 95/46/CE con carácter consultivo e
independiente, y cuyos dictámenes y recomendaciones sirven como elemento interpretativo
en la materia que nos ocupa, admitido por la jurisprudencia. En la actualidad es el Comité
Europeo de Protección de Datos el órgano con competencia para emitir directrices,
recomendaciones y buenas prácticas a fin de promover la aplicación coherente del RGPD.
Sobre las cuestiones anteriores, alega nuevamente que las conclusiones expuestas
modifican lo expuesto en la ?Guía sobre el cumplimiento del deber de informar? y que no
puede admitirse el establecimiento de criterios interpretativos en un procedimiento
sancionador.
Ambas cuestiones han sido contestadas anteriormente, señalando, por un lado, los
términos en que deben considerarse las expresiones de las ?Guías? editadas por esta Agencia
y, por otro lado, que esta resolución se fundamenta en criterios consolidados sobradamente
desde hace tiempo, como bien ha quedado expuesto.
- Información sobre las finalidades a que se destinarán los datos personales de los
clientes y la base jurídica del tratamiento
En cuanto a las finalidades a que se destinarán los datos personales de los clientes y
la base jurídica del tratamiento del tratamiento, la entidad BBVA, en el documento mediante el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
99/146
que facilita la información en materia de protección de datos personales, refiere tratamientos
similares en relación con finalidades distintas, amparadas en el interés legítimo en unos casos
y en el consentimiento en otro. Ello puede suponer que un ciudadano medio entienda que un
tratamiento no consentido se lleve finalmente a cabo al amparo del interés legítimo del
responsable, y sienta desvirtuada su capacidad de decidir sobre el destino de sus datos
personales.
En concreto, BBVA informa sobre la realización de ofertas personalizadas y la
utilización de los datos para la mejora de sus productos y servicios como tratamientos de
datos con base legal en el consentimiento del interesado y, al mismo tiempo, tales
tratamientos se mencionan igualmente entre aquellos que pueden realizarse para conocer
mejor al cliente y mejorar su experiencia, basados en el interés legítimo.
Sobre los tratamientos basado en el interés legítimo se facilita información en los
términos siguientes:
. ?Conocerte mejor y personalizar tu experiencia?
. ?Que tu experiencia sea lo más satisfactoria posible?
. ?Conocerte mejor analizando tu evolución financiera? los usos de los productos, servicios y canales?.
. ?Valorar nuevas funcionalidades?, productos y servicios?
. ?Valorar? ofertas personalizadas con precios más ajustados para ti?
. ?Atender mejor tus expectativas y podamos incrementar tu grado de satisfacción como cliente?
. ?Mejorar la calidad de productos y servicios?
. ?Realizar estadísticas, encuestas o estudios de mercado que puedan resultar de interés?.
Sobre los tratamientos basado en el consentimiento se facilita información en los
términos siguientes:
. ?Ofrecerte productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para ti?
. ?Darte consejos recomendaciones para gestionar mejor tu situación financiera?
. ?Mejorar la calidad de los productos y servicios?
. ?Incrementar tu grado de satisfacción como cliente?.
. ?Atender tus expectativas?.
. ?Mejorar la calidad de productos y servicios existentes?.
. Desarrollar nuevos productos y servicios?.
. ?Realizar estadísticas, encuestas, cálculos actuariales, medias y/o estudios de mercado que puedan
ser de interés de BBVA o de terceros.
. ?Dicha información se obtiene a partir del uso de productos, servicios y canales de BBVA?.
No se concluye que se trate de operaciones de tratamiento similares, sino que la
información ofrecida puede provocar confusión, a un ciudadano medio, sobre la base jurídica
que justifica el tratamiento, en el sentido expresado.
La información sobre los fines, en general, está muy ligada al principio de limitación de
la finalidad, regulado en el artículo 5.1 b) del RGPD, que establece lo siguiente:
?1. Los datos personales serán:
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior
de los datos personales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la
finalidad»)?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
100/146
La importancia de este principio viene determinada por su objeto, que no es otro que
establecer los límites dentro de los cuales los datos personales pueden ser tratados y la
medida en que pueden utilizarse, además de determinar los datos que podrán recopilarse.
Para ser ?explícito?, un fin deberá ser inequívoco y expresarse claramente, con el detalle
suficiente para que el interesado, cualquier interesado, conozca de forma cierta cómo serán o
no tratados los datos y favoreciendo el ejercicio de sus derechos y la evaluación del
cumplimiento de la normativa. Para ser ?explícita?, la finalidad también deberá ser revelada, lo
que debe tener lugar en el momento en que se recaban los datos personales
Sobre esta cuestión, el Grupo de Trabajo del Artículo 29 se pronunció en su Dictamen
03/2013, sobre limitación de los fines. En este trabajo, se consideró que deben rechazarse,
por inespecíficas, las finalidades expresadas con fórmulas vagas o demasiado generales,
tales como ?mejorar la experiencia de los usuarios?, ?propósitos de comercialización? o
?investigación futura?.
En este Dictamen se indica que cuanto más complejo sea el tratamiento de los datos
personales, los fines deben especificarse de manera más detallada y exhaustiva, ?incluyendo,
entre otras cosas, la forma en que se procesan los datos personales. También deben
revelarse los criterios de decisión utilizados parala elaboración de perfiles de clientes?.
De acuerdo con lo expuesto, las finalidades para las que se tratarán los datos
personales sobre las que BBVA informa a sus clientes, salvo la referida a la gestión de los
productos, no se ajustan a los mencionados requisitos de transparencia, especialmente si
consideramos la ingente cantidad de datos personales que somete a tratamiento, individual o
globalmente considerada, y los complejos procesos técnicos a los que son sometidos, sobre
todo para la elaboración de perfiles, que son utilizados con todos los propósitos descritos en
la política de privacidad:
?2. Para conocerte mejor y personalizar tu experiencia.
3. Para ofrecerte productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para ti. No
vamos a inundarte con información.
4. Para comunicar tus datos a sociedades del Grupo BBVA para que te puedan ofrecer productos y
servicios propios personalizados para ti.
5. Para mejorar la calidad de los productos y servicios?.
- Información sobre el interés legítimo del responsable y de terceros
Asimismo, los preceptos citados establecen la obligación del responsable de informar
sobre los intereses legítimos en los que basa el tratamiento de los datos personales (los
artículos 13 y 14 del RGPD establece la obligación de informar sobre ?los intereses legítimos
del responsable o de un tercero?). Sin embargo, la información ofrecida por BBVA queda
indefinida en cuanto a la base del tratamiento, de modo que no fundamenta debidamente esta
habilitación para el tratamiento de los datos, resultando, por ello, contraria al principio de
transparencia. Resulta insuficiente a estos efectos la definición de ?interés legítimo? que BBVA
incluye en el ?Glosario de términos?: ?El interés legítimo es una de las bases legales que
autorizan a BBVA para tratar tus datos. Eso significa que BBVA puede tratar tus datos porque
tenga interés en hacerlo, siempre que ese interés no perjudique tus derechos?.
El Considerando 47 del Reglamento (UE) 2016/679 resultan especialmente clarificador
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
101/146
en la tarea de precisar el contenido y alcance de esta base legitimadora del tratamiento,
descrita en la letra f) del artículo 6.1 del RGPD. De lo expuesto en este Considerando,
Interesa destacar como criterio interpretativo, que la aplicación de esta base legitimadora ha
de ser previsible para sus destinatarios, teniendo en cuenta sus expectativas razonables.
El Grupo de Trabajo del Artículo 29 elaboró el Dictamen 6/2014 relativo al ?Concepto de
interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la
Directiva 95/46/CE?, de fecha 09/04/2014. Aunque el Dictamen 6/2014 se emitió para
favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente, derogada por el
RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del RGPD, y habida
cuenta de que las reflexiones que el Dictamen ofrece son exponente y aplicación de principios
que inspiran también el RGPD -como el principio de proporcionalidad- o de principios
generales del Derecho comunitario ?el principio de equidad y de respeto a la ley y al
Derecho- muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual,
el Reglamento (UE) 2016/679.
El Dictamen mencionado se refiere al ?Concepto de interés? en los siguientes Términos:
?El concepto de ?interés? está estrechamente relacionado con el concepto de ?finalidad? mencionado en
el artículo 6 de la Directiva, aunque se trata de conceptos diferentes. En términos de protección de
datos, ?finalidad? es la razón específica por la que se tratan los datos: el objetivo o la intención del
tratamiento de los datos. Un interés, por otro lado, se refiere a una mayor implicación que el
responsable del tratamiento pueda tener en el tratamiento, o al beneficio que el responsable del
tratamiento obtenga -o que la sociedad pueda obtener- del tratamiento.
Por ejemplo, una empresa puede tener un interés en garantizar la salud y seguridad del personal que
trabaje en su central nuclear. Por consiguiente, la empresa puede tener como finalidad la aplicación de
procedimientos de control de acceso específicos que justifique el tratamiento de determinados datos
personales específicos con el fin de velar por la salud y la seguridad del personal.
Un interés debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento
se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado.
Además, el interés en juego debe también ser ?perseguido por el responsable del tratamiento?. Esto
exige un interés real y actual, que se corresponda con actividades presentes o beneficios que se
esperen en un futuro muy próximo. En otras palabras, los intereses que sean demasiado vagos o
especulativos no serán suficientes.
La naturaleza del interés puede variar. Algunos intereses pueden ser apremiantes y beneficiosos para
la sociedad en general, tales como el interés de la prensa en publicar información sobre la corrupción
gubernamental o el interés en llevar a cabo investigación científica (sujetos a las garantías adecuadas).
Otros intereses pueden ser menos apremiantes para la sociedad en su conjunto o, en cualquier caso,
el impacto de su búsqueda en la sociedad puede ser más dispar o controvertido. Esto puede, por
ejemplo, aplicarse al interés económico de una empresa en aprender tanto como sea posible sobre sus
potenciales clientes con el fin de orientar mejor la publicidad sobre sus productos y servicios?.
En el apartado conclusiones de este Dictamen se añade:
?El concepto de ?interés? es la implicación más amplia que el responsable del tratamiento pueda tener
en el tratamiento, o el beneficio que este obtenga, o que la sociedad pueda obtener, del tratamiento.
Este puede ser apremiante, claro o controvertido. Las situaciones a las que hace referencia el artículo
7, letra f), pueden variar, por tanto, del ejercicio de derechos fundamentales o la protección de
intereses personales o sociales importantes a otros contextos menos obvios o incluso problemáticos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
102/146
?Debe estar articulado también con la claridad suficiente y debe ser lo suficientemente específico para
permitir que la prueba de sopesamiento se realice en contraposición a los intereses y los derechos
fundamentales del interesado. Debe también representar un interés real y actual, es decir, no debe ser
especulativo?.
El ?interés? va más allá que la ?finalidad?. en términos del GT29 representa ?una mayor
implicación que el responsable del tratamiento pueda tener en el tratamiento, o el beneficio
que el responsable del tratamiento obtenga?; mientras que ?finalidad?, en términos de
protección de datos, ?es la razón específica por la que se tratan los datos: el objetivo o la
intención del tratamiento de los datos.
En este caso el ?interés? no se expresa. La entidad no informa en su política de
privacidad sobre ningún interés específico al referirse a los tratamientos de datos que tiene
previsto realizar al amparo de esta base jurídica. Se limita a señalar finalidades y objetivos
pretendidos con estos tratamientos de datos, pero ningún interés en el sentido expresado.
BBVA ha manifestado en su escrito de alegaciones que la información sobre los
concretos intereses legítimos en que se basa para estos tratamientos se incluye en el
apartado ?¿Por qué razón utilizamos tus datos personales?? de la ?Información ampliada?, en
el que se detallan las bases que legitiman el tratamiento (?? para que desde BBVA podamos
atender mejor tus expectativas y podamos incrementar tu grado de satisfacción como cliente
al desarrollar y mejorar la calidad de productos y servicios propios o de terceros, así como
realizar estadísticas, encuestas o estudios de mercado que puedan resultar de interés? para
ser un banco cercano a ti como cliente??). Así se indica también en la ?Información básica?
de la política de privacidad cuando señala ?¿por qué razón utilizamos tus datos personales
(base legal)? Conocerte mejor y que tu experiencia sea más personalizada. El interés legítimo
de BBVA se explica en el apartado "Información ampliada".
Puede comprobarse fácilmente que esta información sobre el ?interés? es similar a la
expresada al describir las finalidades:
En la información básica se indica:
¿Para qué finalidades los usaremos?
2. Para conocerte mejor y personalizar tu experiencia.
Y en la información ampliada:
¿para qué utilizamos tus datos personales?
2. Conocerte mejor y personalizar tu experiencia
En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una
relación personalizada Io más adaptada a tu perfil de cliente y a tus necesidades.
Para lograrlo tenemos que conocerte mejor, analizando no solo los datos que nos permiten identificarte
como cliente, sino también tu evolución financiera y la de los productos y servicios que tienes
contratados con nosotros o a través de BBVA como comercializador, tus operaciones -pagos. ingresos,
transferencias, adeudos, recibos- así como los usos de los productos, servicios y canales de BBVA.
Adicionalmente, aplicaremos métodos estadísticos y de clasificación para ajustar correctamente tu
perfil. En base a lo anterior, conseguimos elaborar nuestros modelos de negocio.
Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti, productos y
servicios que consideremos acordes a tu perfil (propios o comercializados por BBVA), así como ofertas
personalizadas con precios más ajustados para ti. Como te conoceremos mejor, podremos felicitarte
por tu aniversario, desearte un buen día o felices fiestas?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
103/146
El mismo defecto se aprecia incluso acudiendo al Informe de ponderación de la
prevalencia del interés legítimo en los tratamientos a los que se refiere la finalidad numerada
como 2, aportado a las actuaciones por BBVA, el cual consta reseñado en el Antecedente
Octavo.
?2. Descripción de la actividad de tratamiento?
?2.2. Finalidad perseguida por el tratamiento
La actividad de tratamiento analizada en el presente Informe tiene como finalidad la configuración por
BBVA de modelos analíticos para, a través de modelos de propensión, tener un mejor conocimiento de
sus clientes, pudiendo así optimizar su modelo de negocio, ofrecer una atención más personalizada a
aquellos y determinar sus preferencias, a fin de mejorar la calidad de los productos y servicios
ofertados y realizar las mejores sugerencias acerca de los mismos? Estas sugerencias pueden no
referirse únicamente a productos financieros sino, por ejemplo, a la forma de interactuar con la
entidad?
De este modo, el mencionado tratamiento tiene como objeto el análisis del comportamiento de los
clientes y de su interacción con BBVA en relación con los canales, productos y servicios ofertados por
la Entidad, lo que exigirá igualmente conocer su nivel de riesgo financiero. A partir de dicha
información, BBVA podrá obtener distintos indicadores que le permitirán ajustar adecuadamente su
modelo de negocio, determinando modelos de propensión de sus clientes hacia determinado tipo de
productos y servicios o hacia la utilización de distintos canales de interrelación con el Banco,
ofreciéndoles un trato más personalizado mediante la aplicación del modelo?.
?3. Descripción del interés legítimo al que responde el tratamiento
Con carácter general, el interés legítimo perseguido por el tratamiento consiste en lograr un mejor
conocimiento de los clientes y mejorar la cartera de productos y servicios BBVA, mediante modelos
analíticos de perfilado?
En este sentido, la política de privacidad de BBVA y la cláusula informativa facilitada a los clientes
señalan que este tratamiento tendrá por objeto "atender mejor (las) expectativas" del cliente e
"incrementar (su) grado de satisfacción como cliente al desarrollar y mejorar la calidad de productos y
servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de mercado que
puedan resultar de interés".
De este modo, a través del mencionado tratamiento se pretende satisfacer el interés legítimo de BBVA
consistente en llevar a cabo el estudio de la interacción de los clientes de la Entidad con sus productos
y servicios, lo que permitirá determinar:
. Cómo optimizar el modelo de negocio del BBVA.
. Cómo mejorar la calidad de los productos y servicios ofertados por BBVA.
. Cómo perfeccionar la gestión interna y la relación personalizada con el cliente.
. Cuál es el modelo de propensión de los clientes hacia un determinado producto o servicio.
. Cuáles son sus preferencias en cuanto a los canales a través de los que se relacionan con
BBVA.
. A qué colectivos de usuarios que hubieran dado su consentimiento para ello podrían
ofrecerse determinados productos o servicios específicos de la cartera de BBVA.
(?)
?determinación del nivel de riesgo del cliente??.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
104/146
En todo caso, la utilización de los datos personales con la finalidad de ?conocer? mejor
al cliente, según aparece enunciada, puede entenderse como un seguimiento del interesado
sin una razón justificable, el cual no puede ampararse en el interés legítimo. Este seguimiento
supone un análisis exhaustivo de la información sobre el cliente, que pretende justificarse con
la mención de una finalidad genérica y simple (?conocerte mejor?), cuyas consecuencias
pueden ser mucho más graves que las mencionadas como ejemplos (felicitación por el
cumpleaños).
Lo mismo puede decirse sobre la utilización de los datos de los clientes para ?mejorar
los productos y servicios? de BBVA, que esta entidad fundamenta también en el interés
legítimo, considerando, según indica la misma, que el interesado tiene una expectativa
razonable de que sus datos personales se utilicen con esa finalidad.
Esta Agencia considera que este tratamiento de los datos, tal como aparece
fundamentado en la política de privacidad de BBVA, no puede ampararse en la base jurídica
del interés legítimo, que exige una evaluación para determinar los intereses o derechos que
prevalecen. Esta ponderación ha de tener en cuenta, efectivamente, ?las expectativas
razonables de los interesados basadas en su relación con el responsable?, pero entendidas
como lo que el interesado puede percibir o deducir como razonable por sí mismo en base a
las circunstancias específicas que se dan en cada caso, lo que pudo prever en el momento de
la recogida de datos de forma razonable. No lo que la entidad responsable entienda como una
?expectativa razonable? del cliente, ni aquello sobre lo que la misma informe al cliente que
responde a esas expectativas.
El concepto ?expectativa razonable? debe utilizarse siempre con moderación,
atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de
la relación o servicio que les vincula, que podrían dar lugar al uso posterior de los datos
personales de éste. Se tiene en cuenta el contexto, al que ya se ha hecho referencia
anteriormente, para poder delimitar, en base a todo ello, el tratamiento ulterior de los datos
que el interesado puede esperar que se realice. Esta ?expectativa razonable? del cliente se
tiene que deducir por sí misma, sin que sea necesario que la información ofrecida por el
responsable al interesado o cliente defina o concrete dicha expectativa, por cuanto ello
supone que el Banco suplanta al cliente, intentando aclararle la expectativa que puede
esperar, precisamente, porque no se desprende por sí sola de la información que ofrece ni de
la relación que une a responsable e interesado. Se intenta, con ello, transmitir una apariencia
de expectativa razonable y desplazar al interesado en esta deducción.
Resulta contraria, por tanto, a todo el planteamiento anterior la información que ofrece
BBVA sobre utilizaciones de datos basadas en la expectativa que el destinatario de la
información tiene como cliente.
La determinación específica del interés de BBVA, articulado con claridad suficiente,
permitirá al interesado contraponer sus propios intereses. Posibilita, asimismo, un mejor
análisis sobre la realidad y actualidad de dicho interés.
Sobre el interés legítimo del responsable y la prueba de ponderación, el documento
del Grupo de Trabajo del Artículo 29 ?Directrices sobre la transparencia en virtud del
Reglamento 2016/679?, adoptadas el 29/11/2017 y revisadas el 11/04/2018, ofrece los
siguientes criterios:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
105/146
?El interés específico en cuestión debe identificarse en beneficio del interesado. Como cuestión de
buena práctica, el responsable del tratamiento también puede facilitar al interesado la información
resultante del ?examen de ponderación? que debe llevarse a cabo para poder acogerse a lo dispuesto
en el artículo 6, apartado 1, letra f), como base lícita para el tratamiento, con anterioridad a cualquier
recogida de los datos personales de los interesados. Para evitar la fatiga informativa, esto puede
incluirse dentro de una declaración/aviso de privacidad estructurado en niveles (véase el apartado 35).
En cualquier caso, la posición del GT29 es que la información dirigida al interesado debe dejar claro
que este puede obtener información sobre el examen de ponderación previa petición. Esto resulta
fundamental para que la transparencia sea efectiva cuando los interesados duden de si el examen de
ponderación se ha llevado a cabo lealmente o desean presentar una reclamación ante la autoridad de
control?.
En este escrito de alegaciones indica que el interés legítimo que pretende cumplir es el
de mejorar de forma continua la relación con sus clientes y la cartera de productos y servicios
que ofrece, y así anticiparse a sus necesidades en caso de que los mismos las requieran; que
este interés tiene por objeto la mejora continua del modelo de negocio y lograr la satisfacción
del cliente con el servicio prestado; prestar el mejor servicio a sus clientes y poder ofrecerles
productos que puedan ajustarse mejor a su perfil; conocer lo mejor posible a sus clientes para
poder prestar a los mismos sus servicios con el mayor grado de excelencia posible.
Añade que esta descripción es también la que se realiza en el Informe de
Ponderación, en el que no se hace referencia a la obtención de un beneficio, sino a la mejora
de la calidad, la relación con el cliente y la atención a sus necesidades.
Como puede apreciarse, no se describe claramente el interés legítimo, sino que
vuelven a reiterarse las finalidades sobre las que se informa a los clientes en la Política de
Privacidad. Según lo expuesto, y en contra de lo manifestado por BBVA en sus alegaciones a
la propuesta de resolución, el interés legítimo no es la finalidad para la que se tratan los datos
personales.
Todo ello sin olvidar lo ya indicado en relación con la utilización de términos imprecisos
y formulaciones vagas en la información facilitada, en particular en lo relativo a la definición de
las finalidades.
En relación con las indicaciones anteriores relativas a la expectativa razonable del
interesado sobre el uso posterior de sus datos personales, BBVA ha manifestado que las
referencias a esta expectativa que contiene la Política de Privacidad son consecuencia del
cumplimiento de las obligaciones impuestas por el artículo 13 del RGPD sobre la información
acerca del tratamiento basado en un interés legítimo prevalente; y se pregunta si la AEPD
pretende decir que no han de informarse los tratamientos basados en interés legítimo.
La interpretación efectuada por BBVA sobre el interés legítimo y las expectativas
razonables de los clientes no puede ser compartida por la AEPD, por los motivos ya
expuestos. Lo que esta Agencia ha cuestionado es que la Política de Privacidad defina o
intente definir al interesado cuál es su expectativa razonable.
- Información sobre elaboración de perfiles
Otro aspecto importante relativo al asunto analizado tiene que ver con la utilización de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
106/146
los datos personales para la elaboración de perfiles de los clientes, entendida como cualquier
forma de tratamiento de datos personales que evalúe aspectos personales relativos a una
persona física. Según el art. 13.1.c) del RGPD, el responsable debe informar al interesado de
los fines del tratamiento, así como de su base jurídica, lo que supone que deberá informarle
sobre la elaboración de perfiles cuando el responsable haya previsto tal finalidad y precisar la
base jurídica que ampara el tratamiento con ese fin.
El artículo 11 de la LOPDGDD establece el contenido mínimo de la información básica
que debe facilitarse al interesado:
?2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
(?)
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia?.
El Considerando 60 del RGPD también se refiere a la obligación de ?informar al
interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha
elaboración?.
Sobre los principios relativos al tratamiento de datos personales, cuando estos
consistan en la elaboración de perfiles, las Directrices del Grupo de Trabajo del Artículo 29
sobre decisiones individuales automatizadas y elaboración de perfiles a efectos del
Reglamento 2016/679, adoptadas el 03/10/2017 y revisadas el 06/02/2018, señalan lo
siguiente:
?La transparencia del tratamiento es un requisito fundamental del RGPD.
El proceso de elaboración de perfiles suele ser invisible para el interesado. Funciona creando datos
derivados o inferidos sobre las personas (datos personales «nuevos» que no han sido directamente
facilitados por los propios interesados). Las personas tienen distintos niveles de comprensión y les
puede resultar difícil entender las complejas técnicas de los procesos de elaboración de perfiles y
decisiones automatizadas?.
?Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los responsables del
tratamiento deben garantizar que explican a las personas de forma clara y sencilla el funcionamiento
de la elaboración de perfiles o las decisiones automatizadas.
En particular, cuando el tratamiento implique la toma de decisiones basada en la elaboración de
perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22), debe
aclararse al usuario el hecho de que el tratamiento tiene fines tanto de a) elaboración de perfiles como
de b) adopción de una decisión sobre la base del perfil generado
El considerando 60 establece que facilitar información acerca de la elaboración de perfiles forma parte
de las obligaciones de transparencia del responsable del tratamiento según el artículo 5, apartado 1,
letra a). El interesado tiene derecho a ser informado por el responsable del tratamiento, en
determinadas circunstancias, acerca de su derecho de oposición a la «elaboración de perfiles»
independientemente de si se han producido decisiones individuales basadas únicamente en el
tratamiento automatizado sobre la base la elaboración de perfiles?.
?El responsable del tratamiento debe mencionar explícitamente al interesado detalles sobre el derecho
de oposición según el artículo 21, apartados 1 y 2, y presentarlos claramente y al margen de cualquier
otra información (artículo 21, apartado 4).
Según el artículo 21, apartado 1, el interesado puede oponerse al tratamiento (incluida la elaboración
de perfiles) por motivos relacionados con su situación particular. Los responsables del tratamiento
están específicamente obligados a ofrecer este derecho en todos los casos en los que el tratamiento se
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
107/146
base en el artículo 6, apartado 1, letras e) o f)?.
La política de privacidad de BBVA objeto de las presentes actuaciones se refiere a la
elaboración de perfiles en numerosas ocasiones al describir las finalidades para las que se
utilizarán los datos, o se incluyen indicaciones que llevan a concluir que realizará operaciones
de perfilado. Así puede entenderse en relación con la realización de ofertas de productos y
servicios personalizados u ofertas de precios ajustados al perfil del cliente; o cuando se
informa sobre la comunicación a las sociedades del Grupo BBVA de datos personales
relativos al perfil del cliente.
Excluidas las llevadas a cabo para la ejecución del contrato entre cliente y
responsable, se citan las siguientes:
b) Conocerte mejor y personalizar su experiencia.
. ?En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una
relación personalizada lo más adaptada a tu perfil de cliente y a tus necesidades.
Para lograrlo tenemos que conocerte mejor, analizando no solo los datos que nos permiten identificarte
como cliente, sino también tu evolución financiera y la de los productos y servicios que tienes
contratados con nosotros o a través de BBVA como comercializador, tus operaciones -pagos. ingresos,
transferencias, adeudos, recibos- así como los usos de los productos, servicios y canales de BBVA.
Adicionalmente, aplicaremos métodos estadísticos y de clasificación para ajustar correctamente tu
perfil. En base a lo anterior, conseguimos elaborar nuestros modelos de negocio.
Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti, productos y
servicios que consideremos acordes a tu perfil (propios o comercializados por BBVA), así como ofertas
personalizadas con precios más ajustados para ti??.
c) Ofrecer productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para el cliente:
?? podemos enviarte información sobre productos y servicios de BBVA con precios más ajustados a tu
perfil, informándote de aquello que te pueda interesar como cliente?;
?Te podemos enviar información, acorde a tu perfil de cliente, sobre productos, servicios y ofertas
financieras y no financieras de las sociedades del Grupo BBVA y de terceros??.
d) Para comunicar los datos del cliente a sociedades del Grupo BBVA para que puedan ofrecerle
productos y servicios propios personalizados para el mismo.
?Si quieres que las sociedades del Grupo BBVA incluidas en esta dirección
https://www.bbva.es/estaticos/muIt/Sociedades-grupo.pdf te puedan ofrecer productos y servicios
personalizados en características y precio, necesitamos que nos autorices a comunicarles datos
relativos a tu perfil de cliente (importe de ingresos y gastos, saldos y utilización de nuestros canales).
Esa información se tratará para intentar mejorar las características y precios de la oferta de productos y
servicios. Las sociedades del Grupo BBVA únicamente tratarán tus datos para esa finalidad?.
Por tanto, BBVA realiza tratamientos de datos personales de sus clientes para
proceder a su perfilado, que posteriormente utiliza con las finalidades expresadas. En todos
los supuestos en los que se refiere a la elaboración de perfiles o a la utilización de datos que
sean resultado de actividades de perfilado, el fundamento de su acción está basado,
conforme a la información que facilita a los interesados-clientes, en el consentimiento de
éstos; salvo en lo que se refiere a la utilización de los datos con la finalidad de conocer mejor
al cliente y mejorar su experiencia, que BBVA ampara en el interés legítimo.
Por las razones ya expresadas en relación con la falta de justificación del interés
legítimo, han de rechazarse las operaciones de tratamiento que incluyan la elaboración de
perfiles o que estén basadas en estos perfiles y que tengan base legal en el interés legítimo
del responsable.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
108/146
Además, no se cumplen en este caso, a juicio de esta Agencia, las exigencias de
información antes descritas. BBVA se limita a informar sobre actuaciones que puede
desarrollar adaptadas al ?perfil de cliente? o ?personalizadas?, pero no ofrece una información
sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar
estos perfiles o la posibilidad de que el interesado pueda ejercer el derecho de oposición en
aplicación del artículo 21.2 RGPD, cuando el perfilado esté relacionado con actividades de
mercadotecnia directa.
En los términos del GT29, no se ?explican a las personas de forma clara y sencilla el
funcionamiento de la elaboración de perfiles? ni se les advierte sobre la adopción de
decisiones ?sobre la base del perfil generado?, independientemente de si entran en el ámbito
de las disposiciones del artículo 22.
El concepto de perfilado no se trata de forma sistematizada en la política de privacidad
de BBVA. De hecho, en la primera capa solo se habla de ?conocerte mejor y personalizar tu
experiencia?, omitiendo la elaboración de perfiles, a pesar de que esta finalidad, según
aparece enunciada, precisa hacer un perfilado previo de todos y cada uno de los clientes.
Esto supone un incumplimiento de lo establecido en el artículo 11 de la LOPDGDD.
En la segunda capa o ?información ampliada?, al describir la finalidad ?Conocerte
mejor y personalizar tu experiencia?, solo se menciona dos veces el concepto perfil, una de
ellas matizada con la expresión ?perfil de cliente? y otra cuando se indica que ?se ajustará
correctamente? el perfil con la aplicación de métodos estadísticos y de clasificación, sin
describir en qué consistirán esos métodos y las consecuencias de su aplicación, y
presentando este tipo de acciones como si fuese algo ajeno a la actividad propia del
responsable cuyo resultado es, justamente, ese perfilado. En este caso, además, las
operaciones de tratamiento basadas en el perfilado del cliente a las que se refiere el apartado
a) anterior van más allá de la mejora de la experiencia de éste, hasta el punto de que dicho
perfilado se utiliza por BBVA para elaborar su modelo de negocio, valorar nuevas
funcionalidades y productos y realizar ofertas personalizadas.
BBVA dedica un apartado de su escrito de alegaciones a la propuesta de resolución a
esta cuestión relativa a la elaboración de perfiles, pero sin ofrecer ninguna explicación sobre
las deficiencias apreciadas, a las que no se refiere. Se limita, simplemente, a intentar justificar
el uso de los datos personales para el diseño de su modelo de negocio y a señalar que
informa a los interesados sobre el tratamiento realizado (analizar y valorar los datos), la
tipología de datos y la finalidad.
Sobre esta misma cuestión, reitera que en el marco de la finalidad 2 ?Conocerte mejor
y personalizar tu experiencia? no se remiten ofertas o comunicaciones comerciales y que la
Agencia confunde ambas finalidades. Sin embargo, en lo expuesto anteriormente no se
produce ninguna confusión en el sentido expresado por BBVA. Lo que se destaca en los
párrafos anteriores son aquellas partes del texto que hacen referencia a tratamientos de datos
que conllevan la elaboración de operaciones de perfilado, sobre las que no se informa
debidamente, como se ha dicho.
Finalmente, interesa poner de manifiesto que la Política de Privacidad no advierte en
en ningún caso si aquellas operaciones de perfilado se corresponden con las decisiones
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
109/146
individuales automatizadas reguladas en el artículo 22 del RGPD, si dichos perfiles van a
servir para tomar decisiones automatizadas con efectos jurídicos para el interesado o que le
vayan a afectar significativamente de un modo similar, un cuyo caso el interesado tendría
derecho a ser informado por virtud de lo establecido en el artículo 13.2.f) del RGPD,
incluyendo en esa información todas las cuestiones que esa letra menciona (la lógica
aplicada, la importancia y las consecuencias previstas de dicho tratamiento para el
interesado, advirtiendo, además, sobre la posibilidad de oponerse a la adopción de estas
decisiones individuales automatizadas), y derecho a que sean atendidas todas las garantías
previstas (además de la información específica al interesado, el derecho a obtener
intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión
tomada después de tal evaluación y a impugnar la decisión). Aunque tampoco se dice lo
contrario, es decir, no se dice que ningún interesado será objeto de una decisión individual
automatizada de esta naturaleza, debe entenderse que este tipo de acciones no se llevan a
cabo.
No se realiza ninguna imputación por decisiones individuales automatizadas reguladas
en el artículo 22 citado (como tampoco sobre el tratamiento de datos de categorías
especiales). Este comentario se incluye como un mero aviso, considerando que la política de
privacidad informa sobre tratamiento de datos que conllevan la utilización de perfilados de los
que podrían resultar efectos discriminatorios para los interesados (como, por ejemplo, créditos
preconcedidos, precios ajustados al perfil del cliente).
De conformidad con lo expuesto, los hechos expuestos suponen una vulneración del
principio de transparencia regulado en los artículos 13 y 14 del RGPD, que da lugar a la
aplicación de los poderes correctivos que el artículo 58 del citado Reglamento otorga a la
Agencia Española de Protección de datos.
VII
Por otra parte, los artículos 6 y 7 del mismo RGPD se refieren, respectivamente, a la
?Licitud del tratamiento? y las ?Condiciones para el consentimiento?:
Artículo 6 del RGPD.
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios
fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para
la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las
autoridades públicas en el ejercicio de sus funciones.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
110/146
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar
la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del
apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras
medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas
de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al
tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de
normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del
tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados
afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal
comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las
operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento
lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo
IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será
proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales
no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados
miembros que constituya una medida necesaria y proporcional en una sociedad democrática para
salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con
objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron
inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines
del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la
relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos
personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones
penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización?.
Artículo 7 del RGPD.
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser
capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se
refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga
claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y
sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente
Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del
consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.
Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el
consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida
posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
111/146
servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para
la ejecución de dicho contrato?.
Se tiene en cuenta lo expresado en los considerandos 32, 40 a 44 y 47 (ya citado en el
Fundamento de Derecho VI) del RGPD en relación con lo establecido en los artículos 6 y 7
antes reseñados. De lo expresado en estos considerandos, cabe destacar lo siguiente:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de
voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de
carácter personal que le conciernen? Por tanto, el silencio, las casillas ya marcadas o la inacción no
deben constituir consentimiento. El consentimiento debe darse para todas las actividades de
tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe
darse el consentimiento para todos ellos?
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del
tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de
tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto,
debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de
la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (LCEur 1993, 1071),
debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el
responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje
claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el
interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del
tratamiento a los cuales están destinados los datos personales. El consentimiento no debe
considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no
puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(43) (?) Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por
separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso
concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea
dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.
Procede tener en cuenta, igualmente, lo establecido en el artículo 6 de la LOPDGDD:
?Artículo 6. Tratamiento basado en el consentimiento del afectado
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por
consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca
por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento
de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una
pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho
consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los
datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control
de la relación contractual?.
- Tratamientos de datos personales basados en el consentimiento de los interesados
De acuerdo con lo expresado, el tratamiento de datos requiere la existencia de una
base legal que lo legitime, como el consentimiento del interesado prestado válidamente,
necesario cuando no concurra alguna otra base jurídica de la mencionadas en el artículo 6.1
del RGPD o el tratamiento persiga un fin compatible con aquel para el que se recogieron los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
112/146
datos.
El artículo 4 del RGPD) define el ?consentimiento? como sigue:
?11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen?.
El consentimiento se entiende como un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar
el tratamiento de datos de carácter personal que le conciernan, prestada con garantías
suficientes para que el responsable pueda acreditar que el interesado es consciente del
hecho de que da su consentimiento y de la medida en que lo hace. Y debe darse para todas
las actividades de tratamiento realizadas con el mismo o mismos fines, de modo que, cuando
el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos de manera
específica e inequívoca, sin que pueda supeditarse la ejecución del contrato a que el afectado
consienta el tratamiento de sus datos personales para finalidades que no guarden relación
con el mantenimiento, desarrollo o control de la relación negocial. A este respecto, la licitud
del tratamiento exige que el interesado sea informado sobre los fines a que están destinados
los datos (consentimiento informado).
El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no
es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o
retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por
separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado
en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea
dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento.
Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las
condiciones generales o cuando se impone la obligación de estar de acuerdo con el uso de
datos personales adicionales a los estrictamente necesarios.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un
verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la
actividad del tratamiento.
El Grupo de Trabajo del Artículo 29 analizó estas cuestiones en su documento
?Directrices sobre el consentimiento en virtud del Reglamente 2016/679?, adoptado el
28/11/2017, revisadas y aprobadas el 10/04/2018.
Estas Directrices han sido actualizadas por el Comité Europeo de Protección de Datos
el 04/05/2020 mediante el documento ?Directrices 05/2020 sobre el consentimiento con
arreglo al Reglamento 2016/679? (mantiene literalmente idénticas las parte que se transcriben
a continuación). En este documento 5/2020 se dice expresamente que los dictámenes del
Grupo de Trabajo del artículo 29 (WP29) sobre el consentimiento siguen siendo pertinentes,
siempre que sean coherentes con el nuevo marco jurídico, declarando que esas directrices no
sustituyen los dictámenes previos, sino que los amplían y completan.
De lo indicado en el documento del GT29 anteriormente citado, interesa ahora
destacar algunos de los criterios relacionados con la validez del consentimiento, en concreto
sobre los elementos ?específico?, ?informado? e ?inequívoco?:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
113/146
?3.2. Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para el tratamiento de
sus datos debe darse «para uno o varios fines específicos» y que un interesado puede elegir con
respecto a cada uno de dichos fines. El requisito de que el consentimiento deba ser «específico» tiene
por objeto garantizar un nivel de control y transparencia para el interesado. Este requisito no ha sido
modificado por el RGPD y sigue estando estrechamente vinculado con el requisito de consentimiento
«informado». Al mismo tiempo, debe interpretarse en línea con el requisito de «disociación» para
obtener el consentimiento «libre». En suma, para cumplir con el carácter de «específico» el
responsable del tratamiento debe aplicar:
i) la especificación del fin como garantía contra la desviación del uso,
ii) la disociación en las solicitudes de consentimiento, y
iii) una clara separación entre la información relacionada con la obtención del consentimiento para las
actividades de tratamiento de datos y la información relativa a otras cuestiones.
Ad. i): De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención del consentimiento
válido va siempre precedida de la determinación de un fin específico, explícito y legítimo para la
actividad de tratamiento prevista. La necesidad del consentimiento específico en combinación con la
noción de limitación de la finalidad que figura en el artículo 5, apartado 1, letra b), funciona como
garantía frente a la ampliación o difuminación gradual de los fines para los que se realiza el tratamiento
de los datos una vez que un interesado haya dado su autorización a la recogida inicial de los datos.
Este fenómeno, también conocido como desviación del uso, supone un riesgo para los interesados ya
que puede dar lugar a un uso imprevisto de los datos personales por parte del responsable del
tratamiento o de terceras partes y a la pérdida de control por parte del interesado.
Si el responsable del tratamiento se basa en el artículo 6, apartado 1, letra a), los interesados deberán
siempre dar su consentimiento para un fin específico para el tratamiento de los datos. En consonancia
con el concepto de limitación de la finalidad, con el artículo 5, apartado 1, letra b), y con el
considerando 32, el consentimiento puede abarcar distintas operaciones, siempre que dichas
operaciones tengan un mismo fin. Huelga decir que el consentimiento específico solo puede obtenerse
cuando se informa expresamente a los interesados sobre los fines previstos para el uso de los datos
que les conciernen.
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el consentimiento debe ser
específico para cada fin. Los interesados darán su consentimiento entendiendo que tienen control
sobre sus datos y que estos solo serán tratados para dichos fines específicos. Si un responsable trata
datos basándose en el consentimiento y, además, desea tratar dichos datos para otro fin, deberá
obtener el consentimiento para ese otro fin, a menos que exista otra base jurídica que refleje mejor la
situación?
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el
requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para
varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios
puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el
objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este
modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el
requisito de que los responsables faciliten información clara, tal y como se ha expuesto anteriormente
en la sección 3.3?.
?3.3. Manifestación de voluntad informada?? (este apartado 3.3 ya reseñado en el Fundamento de
Derecho anterior).
?3.4. Manifestación de voluntad inequívoca
El RGPD establece claramente que el consentimiento requiere una declaración del interesado o una
clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
114/146
o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación
concreta de tratamiento de datos?
Una «clara acción afirmativa» significa que el interesado debe haber actuado de forma deliberada para
dar su consentimiento a ese tratamiento en particular. El considerando 32 ofrece orientación adicional
sobre este punto?
El uso de casillas de aceptación ya marcadas no es válido con arreglo al RGPD. El silencio o la
inactividad del interesado, o simplemente continuar con un servicio, no pueden considerarse como una
indicación activa de haber realizado una elección?
Un responsable del tratamiento debe tener también en cuenta que el consentimiento no puede
obtenerse mediante la misma acción por la que el usuario acuerda un contrato o acepta los términos y
condiciones generales de un servicio. La aceptación global de los términos y condiciones generales no
puede considerarse una clara acción afirmativa destinada a dar el consentimiento al uso de datos
personales. El RGPD no permite que los responsables del tratamiento ofrezcan casillas marcadas
previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para
evitar el acuerdo (por ejemplo, ?casillas de exclusión voluntaria?)...?.
Los responsables del tratamiento deben diseñar los mecanismos de consentimiento de manera que
sean claros para los interesados. Deben evitar la ambigüedad y garantizar que la acción mediante la
cual se presta el consentimiento se distinga de otras acciones??.
En este documento se cita el Dictamen 15/2011 del GT29, sobre la definición del
consentimiento. Sobre el consentimiento como manifestación de voluntad inequívoca, en este
último Dictamen se indica:
?Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su obtención y
otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado al dar su
consentimiento. En otras palabras, la manifestación mediante la cual el interesado consiente no debe
dejar lugar a ningún equívoco sobre su intención. Si existe una duda razonable sobre la intención de la
persona se producirá una situación equívoca.
Como se describe a continuación, este requisito obliga a los responsables del tratamiento a crear
procedimientos rigurosos para que las personas den su consentimiento??.
?Este ejemplo ilustra el caso de la persona que permanece pasiva (por ejemplo, inacción o «silencio»).
El consentimiento inequívoco no encaja bien con los procedimientos para obtener el consentimiento a
partir de la inacción o el silencio de las personas: el silencio o la inacción de una parte es
intrínsecamente equívoco (la intención del interesado podría ser de asentimiento o simplemente no
realizar la acción)?.
?? el comportamiento individual (o más bien, la falta de acción), plantea serias dudas sobre la voluntad
de acuerdo de la persona. El hecho de que la persona no realice una acción positiva no permite
concluir que ha dado su consentimiento. Por tanto, no cumple el requisito de consentimiento
inequívoco?. Además, como se ilustra a continuación, también será muy difícil para el responsable del
tratamiento de datos aportar la prueba que demuestre que la persona ha consentido?.
En el presente caso, BBVA contempla en su política de privacidad la utilización de los
datos personales de sus clientes con finalidades distintas del mero cumplimiento de la
relación negocial. En concreto, la citada entidad menciona las siguientes finalidades, excluida
la relativa a la gestión de los productos y servicios contratados:
?2) Para conocerte mejor y personalizar tu experiencia.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
115/146
3) Para ofrecerte productos y servicios de BBVA, del Grupo BBVA y de otros, personalizados para ti.
No vamos a inundarte con información.
4) Para comunicar tus datos a sociedades del Grupo BBVA para que te puedan ofrecer productos y
servicios propios personalizados para ti.
5) Para mejorar la calidad de los productos y servicios?.
En relación con estas finalidades, BBVA se refiere al interés legítimo como base
legitimadora para el uso de los datos con la finalidad señalada en el apartado 2) anterior y al
consentimiento en relación con las demás finalidades señaladas.
La entidad responsable no diseñó un mecanismo específico para recabar el
consentimiento de sus clientes en orden a la utilización de los datos personales con las
finalidades 3), 4) y 5), habiendo estimado BBVA que la aceptación sin más de la política de
privacidad, mediante la firma por el cliente del repetido formulario, conlleva la prestación de
ese consentimiento.
BBVA limita las opciones del interesado a la marcación de una casilla mediante la cual
deja constancia de su oposición a los indicados tratamientos de datos. El formulario de
recogida de datos y prestación del consentimiento dice así:
?Te informamos que si no estás de acuerdo con la aceptación de alguna de las siguientes finalidades,
puedes seleccionarlas a continuación.
. Productos y precios más ajustados a ti
[ ] NO quiero que BBVA trate mis datos para ofrecerme productos y servicios de BBVA, del Grupo
BBVA y de otros personalizados para mí.
[ ] NO quiero que BBVA comunique mis datos a sociedades del Grupo BBVA para que me puedan
ofrecer productos y servicios propios personalizados para mí.
Mejora de calidad
[ ] NO quiero que BBVA trate mis datos para mejorar la calidad de los productos y servicios nuevos y
existentes. Queremos recordarte que siempre podrás cambiar o suprimir fácilmente el uso que
hacemos de tus datos.
Te recordamos que cuando introduzcas la clave que se solicite en el proceso de firma, estarás dando tu
conformidad a esta Declaración de Actividad Económica y Política de Protección de Datos Personales.
FIRMA DEL DOCUMENTO "DECLARACIÓN DE ACTIVIDAD ECONÓMICA Y POLÍTICA DE
PROTECCIÓN DE DATOS PERSONALES", incluida su Información ampliada (modelo LOPD NORMAL
DATOS PERSONALES / DAE, versión 13 23-09-2018)?.
En contra de lo establecido en el RGPD, con este mecanismo no se da opción para
que el cliente preste su consentimiento a los tratamientos de que se trate, sino que el
consentimiento se pretende recabar mediante la inacción del interesado (no marcar las
casillas en las que se indica ?NO quiero??). No se trata de una acción afirmativa, sino de una
pura inacción que no asegura que el interesado otorgue inequívocamente el consentimiento
(normalmente cuando marcas algo es porque lo quieres, no porque no lo quieres; puede no
haber entendido la doble negación; puede no haber prestado la atención debida al leer
rápidamente las indicaciones en cuestión).
Se trata, en definitiva, de un consentimiento que pretende deducirse de la inacción y,
por tanto, contrario al RGPD. No se cumple el requisito según el cual ?el consentimiento debe
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
116/146
darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre,
específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de
carácter personal que le conciernen?, entendiéndose que ?la inacción no debe constituir
consentimiento? (Considerando 32).
Con el mecanismo diseñado, BBVA entiende consentidos todos los tratamientos
detallados con la firma de la Política de Privacidad. Esta aceptación mediante una acción
única de todos los tratamientos, que resulta de la aceptación de la política de privacidad (dice
expresamente el repetido documento: ?Te recordamos que cuando introduzcas la clave que
se solicita en el proceso de firma, estarás dando tu conformidad a esta Declaración de
Actividad Económica y Política de Protección de Datos Personales?), también deviene en
inválido el consentimiento prestado por el interesado, respecto de la utilización de los datos
con finalidades distintas a la ejecución del contrato o relación negocial mantenida por el
interesado y la entidad responsable o, lo que es lo mismo, respecto de todos aquellos
tratamientos que requieren un consentimiento diferenciado y granular.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con
el mismo o los mismos fines y, cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos, si bien mediante una manifestación de voluntad expresada
para cada uno de los fines de forma separada o diferenciada, permitiendo al interesado optar
por elegir todos, una parte o ninguno de ellos. Según lo expresado en el Considerando 43, no
puede entenderse libremente prestado el consentimiento al no haberse permitido ?autorizar
por separado las distintas operaciones de tratamiento de datos personales pese a ser
adecuado en el caso concreto?. En el considerando 32 se afirma que "el consentimiento debe
abarcar todas las actividades de tratamiento realizadas con el mismo fin o fines. Cuando el
procesamiento tenga múltiples propósitos, debe darse el consentimiento para todos ellos?.
?Cuando el tratamiento de datos se realiza con varios fines, la solución para cumplir
con las condiciones de consentimiento válido reside en la granularidad, es decir, la
separación de estos fines y la obtención de consentimiento para cada fin? (Directrices del
GT29). Entender que la firma del formulario habilitado por BBVA para la recogida de datos
personales y para la prestación del consentimiento supone la aceptación de todos ellos no
cumple esta exigencia de autorizar por separado las distintas opciones. Aceptar como válida
la firma del documento como única acción sería lo misma que aceptar la prestación de un
consentimiento global para todas las operaciones de tratamiento sin considerar si sus
finalidades son diversas o no, lo cual resulta contrario a todos los fundamentos expresados
sobre esta cuestión.
Además, según se ha señalado, la fórmula empleada no está articulada como una
autorización o consentimiento, sino en el sentido inverso. Con esta fórmula, que únicamente
permite al interesado ?no autorizar?, BBVA entiende prestado el consentimiento cuando no se
marca la opción ofrecida. En estos casos, es decir, cuando el interesado no marca las
opciones ?No quiero??, no podrá concluirse con certeza absoluta si el interesado actuó
deliberadamente al dejar esas casillas sin marcar. Por la misma razón, el responsable nunca
estará en disposición de demostrar que actuó con el consentimiento de los titulares de los
datos personales.
Esa fórmula responde a lo que el Grupo de Trabajo del Artículo 29 denomina
?mecanismos de exclusión voluntaria?: RGPD no permite que los responsables del
tratamiento ofrezcan casillas marcadas previamente o mecanismos de exclusión voluntaria
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
117/146
que requieran la intervención del interesado para evitar el acuerdo (por ejemplo, casillas de
exclusión voluntaria?)>>.
Asimismo, procede destacar que el mecanismo habilitado por BBVA responde a un
diseño consciente, elaborado por la entidad con el propósito de favorecer la prestación del
consentimiento por la mayoría de clientes. BBVA era consciente, según las conclusiones
reflejadas en sus propios trabajos preparatorios, de que un altísimo porcentaje de personas
suscribe el formulario sin siquiera leer la información de la Política de Privacidad y sin reparar
en las opciones ofrecidas. Por tanto, cuando estableció el ?mecanismo de exclusión
voluntaria?, en lugar de un mecanismo de aceptación para cada operación de tratamiento, ya
sabía que tendría un resultado favorable a sus propios intereses.
A este respecto, en el documento aportado por BBVA sobre el resultado de las
investigaciones realizadas sobre el borrador de cláusula informativa se dice:
?Resultados generales: casi el 90% de los entrevistados acepta todas las condiciones, ya sea de
manera expresa o por defecto; dos tercios de los entrevistados aceptaron las condiciones GDPR de
manera instantánea, sin leer; la no aceptación se centra exclusivamente en la recepción de
comunicaciones comerciales, sobre todo de terceros?.
?Conclusiones: (?) en mobile se presta menos atención: se vincula a una actualización y se lee menos
(se acepta directamente)?.
?Consideraciones generales: en general los clientes no se detienen en la pantalla y los que lo hacen
leen en ?diagonal?. Aceptan sin leer ya que la confianza en BBVA es elevada y propicia un análisis
menos exhaustivo de la cláusula?.
El consentimiento prestado, además, no se considera informado. Ya se ha dicho aquí
la importancia de facilitar información a los interesados antes de obtener su consentimiento,
esencial para que puedan tomar decisiones habiendo comprendido qué está autorizando. Si
el responsable no proporciona información clara y accesible, el control del usuario será
ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.
Lo expuesto en el Fundamento de Derecho VI, sobre los reparos observados en la
información que BBVA facilita en materia de protección de datos de carácter personal, afectan
por igual al consentimiento que hubiera podido prestarse, haciéndolo inválido al no tratarse de
un consentimiento informado, en relación con las operaciones de recogida de datos o
tratamientos de datos respecto de los cuales se apreciaron aquellos defectos en la
información, incluido el tratamiento de datos que no hayan sido facilitados directamente por el
interesado o que no sean necesarios para el cumplimiento de la relación contractual que le
vincule con la entidad.
No hace falta reiterar aquí las circunstancias ya expresadas en relación con el
lenguaje empleado en la política de privacidad o la falta de un formulación clara e inteligible
de las finalidades y de las operaciones de tratamiento.
Todas esas deficiencias impiden a los interesados conocer el sentido y significado real
de las indicaciones facilitadas y el alcance real de los consentimientos que pudieran prestar.
Por tanto, devienen en ilícitos todos los tratamientos detallados cuya base legal venga
determinada, conforme a lo expresado por la propia entidad BBVA, por el consentimiento de
los interesados, entre los que figuran los siguientes tratamientos de datos personales, con el
detalle que en cada caso se recoge en la información ofrecida por BBVA, ya detallada:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
118/146
. La utilización de los datos personales de clientes para ofrecerles productos y servicios de
BBVA, del Grupo BBVA y de terceros.
. La comunicación de datos personales a sociedades del Grupo BBVA.
. La utilización de los datos personales para mejorar la calidad de los productos y servicios.
BBVA, en su escrito de alegaciones, ha realizado un esfuerzo considerable para
justificar el mecanismo diseñado, es decir, para justificar que la firma del documento de
política de privacidad es una acción afirmativa. Sin embargo, ningún argumento aportado por
la entidad es válido para salvar la necesidad de prestar el consentimiento de forma separada
mediante una acción afirmativa (no lo es el consentimiento que BBVA entiende prestado a
partir de una casilla que el interesado deja sin marcar). Esta conclusión anterior es tan nítida
que lo expuesto anteriormente para fundamentarla se estima suficiente para desestimar
dichas alegaciones.
En contra de lo indicado en el escrito de alegaciones elaborado por BBVA, no se
ofrece al interesado la posibilidad de optar y elegir sus preferencias, sino la posibilidad de
rechazar u oponerse; no es cierto que se garantice el control sobre los datos por parte del
cliente; y tampoco lo es que BBVA haya optado por una clara acción afirmativa, refiriéndose a
la firma de la ?Declaración?.
Sobre las fórmulas para obtener el consentimiento, advierte BBVA que el
Considerando 32 admite muchas distintas. Esto es cierto, pero el mismo Considerando 32
exige para todas esas fórmulas que el consentimiento se preste mediante un acto afirmativo
que refleje una manifestación de voluntad libre, específica, informada e inequívoca del
interesado de aceptar el tratamiento de datos de carácter personal que le conciernen. Ya se
ha explicado anteriormente el alcance de estas exigencias.
BBVA cita ejemplos de consentimientos que dice válidos, si bien ninguno de ellos
puede estimarse similar al mecanismo diseñado por esta entidad en el repetido formulario de
recogida de datos.
Uno de los ejemplos que cita es el caso numerado como ?ejemplo 17? en las
Directrices sobre el consentimiento del GT29. Entiende BBVA que puede asimilarse al que es
objeto de este expediente, al admitir un escenario que contiene las opciones de marcación de
un ?si? y un ?no?:
?Un responsable del tratamiento puede obtener también consentimiento explícito de una persona que
visita su sitio web ofreciendo una pantalla de consentimiento explícito que contenga casillas de Sí y No,
siempre que el texto indique claramente el consentimiento, por ejemplo, «Yo, doy mi consentimiento al
tratamiento de mis datos» y no, por ejemplo, «Tengo claro que mis datos van a ser tratados». Huelga
decir que deben cumplirse las condiciones del consentimiento informado, así como el resto de
condiciones necesarias para obtener un consentimiento válido?.
A juicio de esta Agencia, este ejemplo no es asimilable al caso presente. En ese
ejemplo se da validez a la marcación de la casilla, prestando o denegando el consentimiento,
mientras que el mecanismo de la Política de Privacidad de BBVA se tiene por prestado el
consentimiento sin necesidad de realizar ninguna acción. Distinto sería si en el ejemplo
mostrado se estimara prestado el consentimiento en caso de no marcar ninguna de las dos
casillas dispuestas, en cuyo caso, esa presunta ?manifestación de voluntad? no sería
aceptable.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
119/146
Asimismo, en su escrito de alegaciones a la propuesta de resolución insiste en los
mismos razonamientos ya contenidos en su escrito de alegaciones a la apertura y señala que
la Agencia no ha argumentado nada al respecto.
Esta Agencia, sin embargo, estima lo contrario. Las normas reseñadas y los
argumentos expuestos en este Fundamento de Derecho se consideran suficientes para dar
respuesta y desvirtuar las alegaciones presentadas por BBVA, y son estas alegaciones las
que no han tomado en consideración lo establecido en las normas y los argumentos de la
Agencia.
En cuanto a las consideraciones formuladas por esta Agencia sobre el ?diseño
consciente? realizado por BBVA con el propósito de favorecer la prestación del consentimiento
de la mayoría de sus clientes, se limita a señalar que no son jurídicamente relevantes. Esta
Agencia no comparte este criterio.
Añade que es lícito y legítimo tratar gran cantidad de datos personales y que este
hecho no puede ser objeto de sanción. Y ello es así, siempre que se respeten los principios y
garantías previstos y cualquier norma de aplicación.
- Otros tratamientos de datos personales sin base jurídica
Por otra parte, esta Agencia considera que existen otros tratamientos de datos que
constan en la política de privacidad que se llevan a cabo sin ninguna base de legitimación:
. La finalidad 4 se refiere a la comunicación de los datos del cliente a sociedades del Grupo
BBVA para que puedan ofrecerle productos y servicio personalizados. Sin embargo, en la
política de privacidad se añade que la información comunicada ?se tratará para intentar
mejorar las características y precios de la oferta de productos y servicios?. La utilización de los
datos por las empresas del Grupo BBVA con esta finalidad no queda amparada por el
consentimiento prestado por el cliente en relación con esta finalidad.
. Tampoco existe base jurídica que legitime la utilización de datos personales ?relativos a
todos los productos y servicios? de los que BBVA es comercializador? con las finalidades que
se indican en la política de privacidad. BBVA no es la entidad responsable de estos datos
obtenidos de productos de terceros comercializados por la misma, lo que limita la posibilidad
de utilizar la información de que se trate con fines propios, como se dijo anteriormente.
Las alegaciones a la propuesta de resolución formuladas por la entidad BBVA no
contienen ninguna observación sobre estas cuestiones.
- Tratamiento de datos personales basados en el interés legítimo del responsable o
de terceros
Se considera, por otra parte, que no existe base legal suficiente para el tratamiento de
datos personales que BBVA basa en su interés legítimo, llevado a cabo con la finalidad de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
120/146
conocer mejor al cliente y mejorar su experiencia, incluida la elaboración de perfiles, según
los términos empleados en el formulario objeto de análisis.
A este respecto, no se estima suficientemente justificado el interés legítimo en el
tratamiento de los datos de los clientes con la finalidad de elaborar el modelo de negocio de la
entidad, valorar nuevas funcionalidades o remitir felicitaciones a los clientes.
Cabe señalar, asimismo, que en la descripción de los tratamientos de datos que BBVA
tiene previsto realizar sobre la base del interés legítimo, incluye la realización de ofertas
personalizadas o el desarrollo y mejora de la calidad de productos y servicios; siendo estos
tratamiento de datos similares a los reseñados al citar otras finalidades basadas en el
consentimiento (ofrecer productos y servicios personalizados y mejorar la calidad de los
productos y servicios), motivando que la descripción de las finalidades y enumeración de
tratamientos de datos contenida en la información que se ofrece provoque confusión a los
interesados. De este modo, no puede admitirse un tratamiento de datos basado en el interés
legítimo similar a otros llevados a cabo sobre la base del consentimiento del cliente, el cual,
además, no se presta de un modo válido.
A continuación, se reproduce nuevamente la información incluida en la ?Declaración
de actividad económica y política de protección de datos personales? sobre estos tratamientos
de datos basados en el interés legítimo de BBVA:
¿para qué utilizamos tus datos personales?
2. Conocerte mejor y personalizar tu experiencia
En BBVA queremos que tu experiencia como cliente sea lo más satisfactoria posible, a través de una
relación personalizada Io más adaptada a tu perfil de cliente y a tus necesidades.
Para lograrlo tenemos que conocerte mejor, analizando no solo los datos que nos permiten identificarte
como cliente, sino también tu evolución financiera y la de los productos y servicios que tienes
contratados con nosotros o a través de BBVA como comercializador, tus operaciones -pagos. ingresos,
transferencias, adeudos, recibos- así como los usos de los productos, servicios y canales de BBVA.
Adicionalmente, aplicaremos métodos estadísticos y de clasificación para ajustar correctamente tu
perfil. En base a lo anterior, conseguimos elaborar nuestros modelos de negocio.
Gracias a este análisis podremos conocerte mejor, valorar nuevas funcionalidades para ti, productos y
servicios que consideremos acordes a tu perfil (propios o comercializados por BBVA), así como ofertas
personalizadas con precios más ajustados para ti. Como te conoceremos mejor, podremos felicitarte
por tu aniversario, desearte un buen día o felices fiestas.
Si no estás de acuerdo, puedes oponerte enviando un email a: derechosprotecciondatos@bbva.com o
en cualquiera de nuestras oficinas.
Este apartado solo es aplicable a clientes BBVA.
¿por qué razón utilizamos tus datos personales?
2. Conocerte mejor y personalizar tu experiencia: por el interés legítimo de BBVA.
Por interés legítimo de BBVA, para que desde BBVA podamos atender mejor tus expectativas y
podamos incrementar tu grado de satisfacción como cliente al desarrollar y mejorar la calidad de
productos y servicios propios o de terceros, así como realizar estadísticas, encuestas o estudios de
mercado que puedan resultar de interés.
Asimismo, por interés legítimo de BBVA para ser un banco cercano a ti como cliente y poder
acompañarte durante nuestra relación contractual, podríamos felicitarte por tu aniversario, desearte un
buen día o felices fiestas.
Estos intereses legítimos respetan tu derecho a la protección de datos personales, al honor y a la
intimidad personal y familiar. En BBVA consideramos que, como cliente, tienes una expectativa
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
121/146
razonable a que se utilicen tus datos para que podamos mejorar los productos y servicios y puedas
disfrutar de una mejor experiencia como cliente. Además, estimamos que también tienes una
expectativa razonable a recibir felicitaciones con motivo de tu aniversario. desearte un buen día o
felices fiestas. Pero recuerda que en ambos casos basados en interés legítimo, siempre puedes ejercer
tu derecho de oposición si lo consideras oportuno en la siguiente dirección:
derechosprotecciondatos@bbva.com o en cualquiera de nuestras oficinas.
Con esta información, difícilmente el interesado puede tener una idea clara sobre los
tratamientos de datos que se llevarán a cabo. Basta con examinar los tratamientos que se
citan en el Informe de ponderación de la prevalencia del interés legítimo en los tratamientos a
los que se refiere la finalidad 2 del apartado ?¿Para qué finalidades los usaremos?? para
comprobar esa dificultad. Estos son los tratamientos que se indican en dicho informe:
?. Asignación límites preconcedidos
. Aplicación perfil
. Modelos de Propensión
. Contact Center - Módulo de ofrecimientos
. Hechos Relevantes e insights
. Análisis y propuestas de rentabilización de cartera de tarjetas?.
Según consta en el citado Informe de ponderación, los datos personales sometidos a
tratamiento son los siguientes:
i. Datos ldentificativos y de contacto, tales como el nombre, apellidos, fotografía, DNI, pasaporte o NIE,
nacionalidad, direcciones postales, direcciones electrónicas, teléfono fijo, teléfono móvil, voz e imagen.
ii. Datos económicos y de solvencia patrimonial, tales como ingresos netos mensuales, saldo medio en
cuentas, saldo de activo, recibos domiciliados, nómina domiciliada, ingresos y gastos, así como los
relacionados con la calificación financiera del cliente.
iii. Datos transaccionales de forma categorizada, tales como saldos medios, ingresos medios, número
de recibos domiciliados, número de recibos referidos a la prestación de servicios básicos, tipología de
movimientos de cuentas y tarjetas. No se incluirían los datos referidos a los textos de los recibos por
inferencia desde el detalle de movimientos de cuentas y tarjetas (como por ejemplo, origen, destino,
concepto y tercero relacionado con la transacción).
iv. Datos sociodemográficos, tales como edad, estado civil, situación familiar, residencia, estudios y
ocupación (tipo de contrato, antigüedad en el empleo) o pertenencia a colectivos.
v. Datos de productos y servicios contratados, tales como número de contrato, límite asociado a los
productos contratados, tipología de productos y servicios contratados, datos de contrato (atributos
asociados al contrato), riesgo con BBVA, así como cualquier documentación asociada a cualquiera de
estos contratos.
vi. Datos de comunicaciones y del uso de los canales que BBVA pone a disposición del cliente para la
gestión de los productos y servicios.
vii. Datos sobre el uso de los canales digitales de BBVA,
viii. Datos resultantes de estadísticas y estudios de mercado llevados a cabo por BBVA.
ix. Datos estadísticos sociodemográficos procedentes del Instituto Nacional de Estadística (en
adelante, "INE"), obtenidos conforme a lo dispuesto en al artículo 21.1 de la Ley 12/1989, de 9 mayo,
reguladora de la Función Estadística Pública (en adelante, "LFEP").
x. Datos obtenidos de la Central de Información de Riesgos del Banco de España (en adelante,
"CIRBE"), regulada por el Capítulo VI de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma
del Sistema Financiero (en adelante, "LMRSF").
xi. Datos obtenidos de ficheros de solvencia patrimonial y crédito, actualmente regulados por el artículo
29 de la Ley Orgánica 15/ 1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
La información inferida por BBVA en base al interés legítimo, incluidos los perfiles
elaborados, se utiliza también, sobre la base del consentimiento del interesado, para ofrecer
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
122/146
productos y servicios de BBVA, del Grupo BBVA y de terceros personalizados; y con la misma
base jurídica se comunica a las sociedades del Grupo BBVA para que también puedan ofrecer
productos y servicios personalizados e ?intentar mejorar las características y precios de la
oferta de productos y servicios?.
El análisis de la cuestión suscitada debe tener en cuenta inicialmente lo dispuesto en
el artículo 1.2 del RGPD, según el cual ?El presente Reglamento protege los derechos y
libertades fundamentales de las personas físicas y, en particular, su derecho a la protección
de los datos personales?. Para ello habrán de tenerse en cuenta todas las circunstancias que
rodean la recogida y tratamiento de los datos y el modo en que se ven cumplidos o reforzados
los principios, derechos y obligaciones exigidos por la normativa de protección de datos de
carácter personal.
El artículo 6 del RGPD exige que el tratamiento de datos personales, para que sea
lícito, pueda ampararse en alguna de las bases de legitimación que establece y que el
responsable del tratamiento sea capaz de demostrar que, efectivamente, concurría en la
operación de tratamiento el fundamento jurídico que invoca (artículo 5.2, principio de
responsabilidad proactiva).
Las bases jurídicas del tratamiento que se detallan en el artículo 6.1 RGPD están
relacionados con el principio, más amplio, de licitud, del artículo 5.1.a) del RGPD, precepto
que dispone que los datos personales serán tratados de manera ?lícita, leal y transparente en
relación con el interesado?.
En relación con la base jurídica del interés legítimo, invocada por BBVA para los
tratamientos descritos en los apartados anteriores, el artículo 6 citado establece:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño...?.
El Considerando 47 del RGPD precisa el contenido y alcance de esta base
legitimadora del tratamiento.
Los criterios interpretativos que se extraen de este Considerando son, entre otros, (i)
que el interés legítimo del responsable prevalezca sobre los intereses o derechos y libertades
fundamentales del titular de los datos, a la vista de las expectativas razonables que éste
tenga, fundadas en la relación que mantiene con el responsable del tratamiento; (ii) será
imprescindible que se efectúe una ?evaluación meticulosa? de los derechos e interés en juego,
también en aquellos supuestos en los que el interesado pueda prever de forma razonable, en
el momento y en el contexto de la recogida de datos, que pueda producirse el tratamiento con
tal fin; (iii) los intereses y derechos fundamentales del titular de los datos personales podrían
prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos
se efectúe en circunstancias tales en las que el interesado ?no espere razonablemente? que
se lleve a cabo un tratamiento ulterior de sus datos personales.
Debe añadirse que el interesado, en todos los casos, puede ejercer el derecho de
oposición, que también supone una nueva evaluación de los intereses de responsable y titular
de los datos, salvo en los casos de prospección comercial, en los que el ejercicio del derecho
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
123/146
obliga a interrumpir los tratamientos sin ninguna evaluación (artículo 21.3 del RGPD).
Interesa destacar algunos aspectos recogidos en el Dictamen 6/2014 elaborado por el
Grupo de Trabajo del Artículo 29 relativo al ?Concepto de interés legítimo del responsable del
tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE?, de fecha
09/04/2014, especialmente los factores que pueden ser valorados cuando se efectúa la
preceptiva ponderación de los derechos e intereses en juego. Aunque el Dictamen 6/2014 se
emitió para favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente,
derogada por el RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del
RGPD, y que las reflexiones ofrecidas son exponente y aplicación de principios que inspiran
también el RGPD, como el principio de proporcionalidad, o de principios generales del
Derecho comunitario, como los principios de equidad y de respeto a la ley y al Derecho,
muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual.
Según se ha indicado, para que el apartado f) del artículo 6.1. RGPD pueda constituir
la base legitimadora del tratamiento de los datos personales que se efectúa, preceptivamente,
y con carácter previo al tratamiento, ha de hacerse una ponderación, una ?evaluación
meticulosa?, de los derechos e intereses en juego: el interés legítimo del responsable del
tratamiento, de una parte, y de otra, tanto los intereses como los derechos y libertades
fundamentales de los afectados. Ponderación que es imprescindible, pues sólo cuando como
resultado de ella prevalece el interés legítimo del responsable del tratamiento sobre los
derechos o intereses de los titulares de los datos podrá operar como fundamento jurídico del
tratamiento el referido interés.
Sobre la prueba de ponderación, el repetido Dictamen señala lo siguiente:
?El interés legítimo del responsable del tratamiento, cuando es menor y no muy apremiante, en general,
solo anula los intereses y los derechos de los interesados en casos en los que el impacto sobre estos
derechos e intereses sea incluso más trivial. Por otro lado, un interés legítimo importante y apremiante
puede, en algunos casos y sujeto a garantías y medidas, justificar incluso una intrusión significativa en
la privacidad o cualquier otra repercusión importante en los intereses o derechos de los interesados.
Aquí es importante destacar el papel especial que las garantías pueden desempeñar para reducir un
impacto indebido sobre los interesados y, por tanto, para cambiar el equilibrio de derechos e intereses
hasta el punto de que prevalezca el interés legítimo del responsable del tratamiento de datos. Por
supuesto, el uso de garantías exclusivamente no es suficiente para justificar cualquier tipo de
tratamiento en cualquier contexto. Además, las garantías en cuestión deben ser adecuadas y
suficientes, y deben, incuestionable y significativamente, reducir la repercusión para los interesados?.
El Dictamen mencionado hace referencia a los múltiples factores que pueden operar
en la ponderación de los intereses en juego y los agrupa en estas categorías:
(a) la evaluación del interés legítimo del responsable del tratamiento, la naturaleza y fuente
del interés legítimo y si el tratamiento de datos es necesario para el ejercicio de un derecho
fundamental, resulta de otro modo de interés público o se beneficia del reconocimiento de la
comunidad afectada;
(b) el impacto o repercusión sobre los interesados y sus expectativas razonables sobre qué
sucederá con sus datos (?lo que una persona considera razonablemente aceptable en virtud
de las circunstancias?), así como la naturaleza de los datos y la manera en la que sean
tramitados; subrayando que la pretensión no es que el tratamiento de datos efectuado por el
responsable no tenga ningún impacto negativo sobre los interesados sino impedir que el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
124/146
impacto sea ?desproporcionado?;
(c) el equilibrio provisional y
(d) las garantías adicionales que podrían limitar un impacto indebido sobre el interesado, tales
como la minimización de los datos, las tecnologías de protección de la intimidad, el aumento
de la transparencia, el derecho general e incondicional de exclusión voluntaria y la
portabilidad de los datos.
En primer término, el Dictamen subraya que la implicación que el responsable del
tratamiento puede tener en el tratamiento de datos efectuado es la de ?interés?, al que ya se
hizo referencia en el Fundamento de Derecho anterior para señalar que está relacionado con
la finalidad, pero es un concepto más amplio (?finalidad es la razón específica por la que se
tratan los datos: el objetivo o la intención del tratamiento de los datos. Un interés, por otro
lado, se refiere a una mayor implicación que el responsable del tratamiento pueda tener en el
tratamiento, o al beneficio que el responsable del tratamiento obtenga del tratamiento?).
También es más amplio que el de derechos y libertades fundamentales, de ahí que respecto a
los afectados se ponderen no solo sus derechos y libertades fundamentales, sino también sus
?intereses?.
Según el GT29, ?un interés debe estar articulado con la claridad suficiente para
permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los
derechos fundamentales del interesado. Además, el interés en juego debe también ser
perseguido por el responsable del tratamiento. Esto exige un interés real y actual, que se
corresponda con actividades presentes o beneficios que se esperen en un futuro muy
próximo. En otras palabras, los intereses que sean demasiado vagos o especulativos no
serán suficientes?.
Además, el ?interés? del responsable del tratamiento, según establece el artículo 6.1.f)
del RGPD y antes el artículo 7.f) de la Directiva, debe ser ?legítimo?, lo que significa, dice el
Dictamen, que ha de ser ?lícito? (respetuoso con la legislación nacional y de la U.E aplicable).
Sin embargo, el GT29 añade que ?La legitimidad del interés del responsable del tratamiento
es solo un punto de partida, uno de los elementos que deben analizarse en virtud del artículo
7, letra f). Si el artículo 7, letra f), puede utilizarse como fundamento jurídico o no dependerá
del resultado de la prueba de sopesamiento siguiente?; ?si el interés perseguido por el
responsable del tratamiento no es apremiante, es más probable que el interés y los derechos
del interesado prevalezcan sobre el interés legítimo ?pero menos importante? del
responsable del tratamiento. Del mismo modo, esto no significa que un interés menos
apremiante del responsable del tratamiento no pueda prevalecer a veces sobre los intereses
y derechos de los interesados: esto sucede normalmente cuando el impacto del tratamiento
sobre los interesados es también menos importante?.
Y expone el siguiente ejemplo:
?Sirva como ejemplo: los responsables del tratamiento pueden tener un interés legítimo en conocer las
preferencias de sus clientes de manera que esto les permita personalizar mejor sus ofertas y, en último
término, ofrecer productos y servicios que respondan mejor a las necesidades y los deseos de sus
clientes. A la luz de esto, el artículo 7, letra f), puede constituir un fundamento jurídico apropiado en
algunos tipos de actividades de mercado, en línea y fuera de línea, siempre que se prevean las
garantías adecuadas (incluido, entre otros, un mecanismo viable que permita oponerse al tratamiento
en virtud del artículo 14, letra b), tal como se explicará en la sección III.3.6 El derecho de oposición y
más allá).
Sin embargo, esto no quiere decir que los responsables del tratamiento puedan remitirse al artículo 7,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
125/146
letra f), como fundamento jurídico para supervisar de manera indebida las actividades en línea y fuera
de línea de sus clientes, combinar enormes cantidades de datos sobre ellos, provenientes de diferentes
fuentes, que fueran inicialmente recopilados en otros contextos y con fines diferentes, y crear -y, por
ejemplo, con la intermediación de corredores de datos, también comerciar con ellos- perfiles complejos
de las personalidades y preferencias de los clientes sin su conocimiento, sin un mecanismo viable de
oposición, por no mencionar la ausencia de un consentimiento informado. Es probable que dicha
actividad de elaboración de perfiles represente una intrusión importante en la privacidad del cliente y,
cuando esto suceda, los intereses y derechos del interesado prevalecerán sobre el interés del
responsable del tratamiento?.
En definitiva, la concurrencia de dicho interés en el responsable del tratamiento no
significa necesariamente que se pueda utilizar el artículo 6.1 f) RGPD, como fundamento
jurídico del tratamiento. El hecho de que pueda utilizarse o no como fundamento jurídico
dependerá del resultado de la prueba de sopesamiento.
Además, el tratamiento ha de ser el necesario para la satisfacción del interés legítimo
perseguido por el responsable, de forma que sean preferidos siempre medios menos invasivos
para servir a un mismo fin. Necesidad supone aquí que el tratamiento resulte imprescindible
para la satisfacción del referido interés, de modo que, si dicho objetivo se puede alcanzar de
forma razonable de otra manera que produzca menos impacto o menos intrusiva, el interés
legítimo no puede ser invocado.
El término ?necesidad? que utiliza el artículo 6.1 f) del RGPD tiene a juicio del TJUE un
significado propio e independiente en la legislación comunitaria. Se trata de un ?concepto
autónomo del Derecho Comunitario? (STJUE de 16/12/2008, asunto C-524/2006, apartado
52). De otra parte, el Tribunal Europeo de Derechos Humanos (TEDH) ha ofrecido también
directrices para interpretar el concepto de necesidad. En el apartado 97 de su Sentencia de
25/03/1983 afirma que el ?adjetivo necesario no es sinónimo de ?indispensable? ni tiene la
flexibilidad de las expresiones ?admisible, ?ordinario?, ?útil?, ?razonable? o ?deseable?.
Sobre el impacto o repercusión que el tratamiento de datos tiene en los intereses o
derechos y libertades fundamentales de los interesados, indica que cuanto más ?negativo? o
?incierto? pueda ser el impacto del tratamiento, es más improbable que el tratamiento en su
conjunto pueda considerarse legítimo.
?El Grupo de trabajo pone de manifiesto que es crucial entender que «impacto» pertinente es un
concepto mucho más amplio que daño o perjuicio a uno o más interesados en concreto. El término
«impacto» tal como se utiliza en este Dictamen cubre cualquier posible consecuencia (potencial o real)
del tratamiento de datos. En aras de la claridad, también subrayamos que el concepto no está
relacionado con la noción de violación de los datos personales y es mucho más amplio que las
repercusiones que puedan derivarse de dicha violación. Por el contrario, la noción de impacto, tal como
se utiliza aquí, engloba las diversas maneras en las que un individuo pueda verse afectado, positiva o
negativamente, por el tratamiento de sus datos personales?.
?En general, cuanto más negativo e incierto pueda ser el impacto del tratamiento, más improbable es
que el tratamiento se considere, en conjunto, legítimo. La disponibilidad de métodos
alternativos para conseguir los objetivos perseguidos por el responsable del tratamiento, con
menos impacto negativo sobre el interesado, debería ser, sin duda, una consideración
pertinente en este contexto?.
Como fuentes de repercusiones potenciales para los interesados cita la probabilidad
de que el riesgo pueda materializarse y la gravedad de las consecuencias, señalando que
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
126/146
este concepto de ?gravedad puede tener en cuenta el número de individuos potencialmente
afectado?.
Se encuadra aquí la valoración de la naturaleza de los datos personales que han sido
objeto de tratamiento), si los datos se han puesto a disposición del público por el interesado o
por un tercero, hecho -dice el Dictamen- que puede ser un factor de evaluación especialmente
si la publicación se llevó a cabo con una expectativa razonable de reutilización de los datos
para determinados fines:
??no significa que los datos que parezcan en sí mismos y por sí mismos inocuos puedan tratarse
libremente?, incluso dichos datos, dependiendo del modo en que se traten, pueden tener un impacto
significativo sobre las personas?.
La manera en la que el responsable trata los datos; si se han revelado al público o se
han puesto a disposición de un gran número de personas o si grandes cantidades de datos se
tratan o combinan con otros datos (?por ejemplo, en el caso de la elaboración de perfiles, con
fines mercantiles, con fines de cumplimiento de la ley u otros?). Sobre esta cuestión se dice:
?Los datos aparentemente inocuos, cuando se tratan a gran escala y se combinan con otros datos,
pueden dar lugar a injerencias en datos más sensibles, como se demuestra en el anterior escenario 3,
que pone como ejemplo la relación entre los patrones de consumo de pizza y las primas de seguro de
asistencia sanitaria.
Además de dar lugar, potencialmente, al tratamiento de datos más sensibles, dicho análisis puede
llevar también a predicciones extrañas, inesperadas y a veces inexactas, por ejemplo, relativas al
comportamiento o la personalidad de las personas afectadas. Dependiendo de la naturaleza y del
impacto de dichas predicciones, esto puede resultar altamente intrusivo en la intimidad de la persona?.
Todo ello, sin olvidar las expectativas razonables de los interesados:
?? es importante considerar si la posición del responsable de los datos, la naturaleza de la relación o
del servicio prestado, o las obligaciones jurídicas o contractuales aplicables (u otras promesas hechas
en el momento de la recopilación de los datos) podrían dar lugar a expectativas razonables de una
confidencialidad más estricta y de limitaciones más estrictas relativas a su uso ulterior. En general,
cuanto más específico y restrictivo sea el contexto de la recopilación de los datos, más limitaciones es
probable que se utilicen. En este caso, de nuevo, es necesario tener en cuenta el contexto fáctico y no
basarse simplemente en la letra pequeña del texto?.
El Dictamen ve también pertinente al evaluar el impacto del tratamiento analizar la
posición del responsable del tratamiento y del interesado; su posición puede ser más o menos
dominante respecto al interesado dependiendo de si el responsable del tratamiento es una
persona, una pequeña organización o una gran empresa, incluso una empresa multinacional:
?Una empresa multinacional puede, por ejemplo, tener más recursos y poder de negociación que el
interesado individual y, por tanto, puede encontrarse en una mejor posición para imponer al interesado
lo que cree que corresponde a su «interés legítimo». Esto puede producirse con más razón si la
empresa tiene una posición dominante en el mercado?.
A la hora de ponderar los intereses y derechos en juego, el GT29 entiende que el
cumplimiento de las obligaciones generales que impone la normativa, incluidos los principios
de proporcionalidad y transparencia, contribuyen a garantizar que se cumplan los requisitos
del interés legítimo. Si bien, aclara que eso no significa que el cumplimiento de esos
requisitos horizontales, por sí mismo, sea siempre suficiente.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
127/146
Si, finalmente, efectuada la evaluación, no queda claro cómo alcanzar el equilibrio, la
adopción de garantías adicionales puede ayudar a reducir el impacto indebido y a garantizar
que el tratamiento pueda basarse en el interés legítimo. Como medidas adicionales se
contempla, por ejemplo, la facilitación de mecanismos de exclusión voluntaria e incondicional,
o el aumento de la transparencia:
?El concepto de responsabilidad está íntimamente ligado al concepto de transparencia. Con el fin de
permitir que los interesados ejerciten sus derechos y que haya un escrutinio público más amplio por
parte de los interesados, el Grupo de trabajo recomienda que los responsables del tratamiento
expliquen a los interesados de manera clara y fácil las razones por las que creen que sus intereses
prevalecen sobre los intereses o los derechos y las libertades fundamentales de los interesados, y
también les expliquen las garantías que hayan adoptado para proteger sus datos personales, incluido,
cuando así proceda, el derecho de exclusión voluntaria del tratamiento?.
?Tal como se explica en la página 46 del Dictamen 3/2013 del Grupo de trabajo sobre la limitación de la
finalidad (citado en el pie de página 9 anterior), en el caso de la elaboración de perfiles y la toma de
decisiones automatizada, se deberá dar acceso a los interesados o consumidores a sus perfiles para
garantizar la transparencia, así como a la lógica del proceso de toma de decisiones (algoritmo) que dio
lugar al desarrollo de dichos perfiles. En otras palabras: las organizaciones deberán revelar sus
criterios para la toma de decisiones. Se trata de una garantía fundamental y resulta especialmente
importante en el mundo de los macrodatos. El hecho de que una organización ofrezca o no esta
transparencia es un factor muy pertinente que se deberá considerar también en la prueba de
sopesamiento?.
Al referirse al derecho de oposición y al mecanismo de exclusión voluntaria o derecho
de oposición incondicional, el GT29 reflexiona sobre la publicidad basada en perfiles del
cliente, que requiere un seguimiento de las actividades y los datos personales de los
interesados, que son analizados con métodos automáticos sofisticados. Concluye lo siguiente:
?En este sentido, resulta útil recordar el Dictamen del Grupo de trabajo sobre la limitación de la
finalidad, donde se afirmaba concretamente que cuando una organización desea analizar o predecir de
manera específica las preferencias personales, el comportamiento y las actitudes de los clientes
individuales que posteriormente motivarán las «decisiones o medidas» adoptadas en relación con
dichos clientes... debería exigirse casi siempre un consentimiento gratuito, específico, informado e
inequívoco de «inclusión voluntaria», pues de otro modo la reutilización de los datos no podrá
considerarse compatible. Y lo que es más importante, dicho consentimiento deberá exigirse, por
ejemplo, para el seguimiento y la elaboración de perfiles con fines de prospección, publicidad
comportamental, comercialización de datos, publicidad basada en la localización, o investigación digital
de mercado basada en el seguimiento?.
En este caso, no se aprecia la existencia de un interés legítimo prevalente del
responsable que legitime los tratamientos de datos que BBVA pretende basar en esta base
jurídica.
Cabe destacar en primer término, los defectos expresados en el Fundamento de
Derecho anterior en relación con el cumplimiento del principio de transparencia, por las
limitaciones y dificultades, si no impedimento, que suponen a la hora de realizar una
verdadera evaluación sobre la concurrencia de un interés legítimo prevalente, real y no
especulativo.
Se reitera aquí lo ya indicado sobre el lenguaje empleado; la indefinición de las
finalidades para las que se usarán los datos personales (?conocer mejor al cliente? y ?mejorar
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
128/146
los productos y servicio? o ?elaborar el modelo de negocio?, etc.) y el análisis exhaustivo de la
información relativa a los clientes que conllevan tales finalidades; o sobre los tipos de perfiles
que se van a realizar y los usos específicos y aplicaciones que se darán a esos perfilados; y,
especialmente, la falta de información sobre el interés específico del responsable, que no se
expresa con la claridad y precisión que exige la normativa.
Considerando que ni siquiera es posible conocer claramente las finalidades del
tratamiento difícilmente las mismas pueden asociarse a intereses legítimos de BBVA que
puedan, además, prevalecer sobre los derechos de los interesados, a los que no se informa
claramente acerca de los extremos exigidos por las normas de protección de datos.
El interés legítimo expresado, que se describe en los mismos términos que las
finalidades, resulta vago y especulativo (los detalles sobre la descripción del interés legítimo
constan reseñados en el Fundamento de Derecho anterior, y coinciden con la descripción
contenida en el Informe de ponderación de la prevalencia aportado por BBVA). Ello tiene
como consecuencia que los tratamientos que se realizan no resulten previsibles para un
ciudadano medio.
Siendo así, resulta imposible que el interesado, o esta autoridad de control, pueda
valorar si las operaciones de tratamiento realizadas son necesarias, o si, por el contrario,
podría obtenerse el mismo resultado por medios menos invasivos; tampoco podrá concluirse,
menos aún, que el interés invocado sea prevalente.
Más bien parece que los ?intereses? expresados por BBVA, ya sea en la Política de
Privacidad o en el Informe de Ponderación responden a intereses económicos de la entidad,
que no se expresan. La obtención de un beneficio económico a través de la actividad
empresarial que BBVA desarrolla no deja de ser un interés legítimo, pero en ningún caso
podrá prevalecer sobre el derecho fundamental a la protección de datos de las personas
afectadas. Con total claridad se ha pronunciado recientemente sobre esta cuestión la STS de
20/06/2020 (R. casación 1074/2019). En el Fundamento Jurídico sexto dice, a propósito de
una de las cuestiones de interés casacional planteadas en el Auto de admisión del recurso,
?Los intereses comerciales de una empresa responsable de un fichero de datos han de ceder
ante el interés legítimo del titular de los datos a la protección de los mismos?. Estos intereses
económicos no pueden calificarse como apremiantes.
No se dice, como parece indicar BBVA en sus alegaciones a la propuesta, que el
interés perseguido responda a intereses económicos y que, en base a ello, se rechacen los
tratamientos de datos personales basados en el interés legítimo. Lo que se destaca aquí es
que de ser ese el interés legítimo, en sí mismo considerado y sin tener en cuenta el resto de
factores que pueden operar en la ponderación de los intereses en juego, no se estima
suficiente para aceptar la existencia de un interés legítimo que ampare el tratamiento de los
datos conforme a lo previsto en el artículo 6.1 f) del RGPD.
Ahora bien, incluso admitiendo la tesis de BBVA, que califica como interés jurídico del
responsable o de terceros lo que estimamos que no es sino la finalidad del tratamiento, ese
pretendido interés en ningún caso podría calificarse como necesario.
Sobre la idoneidad de los tratamientos de datos, el Informe de ponderación de
intereses solo se refiere a la generación de modelos analíticos de propensión, que declara
adecuados para conocer las preferencias de los clientes, a pesar de que la utilización de los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
129/146
datos es mucho más amplia, y sin ningún argumento al respecto que justifique la utilización de
toda la información relativa al cliente o la imposibilidad de alcanzar el mismo fin por otro
medio menos invasivo.
Lo mismo puede decirse sobre la necesidad del tratamiento. En el repetido informe
únicamente se declara que el tratamiento de los datos es imprescindible para la gestión
adecuada de los recursos. A juicio de esta Agencia, esta valoración, que se reduce a calificar
como ?imprescindible? el tratamiento de los datos personales, no es suficiente para apreciar la
?necesidad? de este tratamiento, en el sentido en que el concepto de necesidad se interpreta
por el Tribunal Europeo de Derechos Humanos (TEDH). Sin perjuicio de que el tratamiento de
los datos de los reclamantes sea ?útil?, ?deseable? o ?razonable?, como precisó el TEDH en su
Sentencia de 25/3/1983, el término ?necesario? no tiene la flexibilidad que está implícita en
esas expresiones.
Como puede apreciarse, lo expresado anteriormente se ajusta a la doctrina del
Tribunal Constitucional sobre el juicio de proporcionalidad que debe realizarse sobre una
medida restrictiva de un derecho fundamental, a la que se refiere BBVA en sus alegaciones a
la propuesta de resolución. Según esta doctrina, deberán constatarse tres requisitos:
idoneidad (si la medida permite conseguir el objetivo propuesto); necesidad (que no exista
otra medida más moderada); proporcionalidad en sentido estricto (más beneficios o ventajas
que perjuicios).
Sobre estas cuestiones, no se entiende lo indicado por BBVA en aquellas alegaciones
cuando señala que ha adoptado las medidas necesarias para minimizar la información
tratada, y clara que se excluyen los datos identificativos del cliente. Ya se ha dicho antes que
la información relativa al cliente utilizada es toda la información relativa al cliente, incluidos los
datos identificativos. No hay más que ver el detalle de los datos personales tratados que
consta en el Informe de Ponderación aportado por BBVA, ya reseñado.
Además de lo expuesto, se tienen en cuenta las circunstancias siguientes:
. La manera en la que se recopilan los datos utilizados en base al interés legítimo y la escala
en la recopilación de datos, que resulta excesiva; así como la utilización de datos personales
recabados de terceros sin el conocimiento del interesado (ficheros externos de solvencia
patrimonial y créditos) o de productos de terceros comercializados por BBVA.
. Las técnicas utilizadas (tratamiento de datos con la finalidad de obtener algoritmos) y la falta
de transparencia sobre la lógica del tratamiento consistente en la elaboración de perfiles, que
puede llevar a una discriminación de precios y suponer una repercusión potencial financiera
que puede tener el carácter de excesiva.
. El elevado número de afectados, así como la gran cantidad de datos que se tratan y
combinan con otros datos. La combinación ilimitada de datos personales de todos los
productos y servicios contratados por el cliente, incluidos productos de terceros
comercializados por BBVA y otros obtenidos de fuentes externas, y la falta de medios que
permitan al usuario el control real de sus datos bastan para considerar que el interés de BBVA
no puede prevalecer sobre los derechos de los afectados. Dicha combinación de datos, por su
carácter masivo y por la indefinición de los datos que se utilizarán y de las finalidades, no
respeta la proporcionalidad antes señalada ni posibilita el juicio de ponderación necesario
para valorar la concurrencia de un interés legítimo que justifique el tratamiento de los datos.
Es significativo que se utilice información correspondiente a dos años, que se estima un plazo
excesivo que incrementa la intromisión; y que se utilice, incluso, la información obtenida de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
130/146
conformidad con la normativa de prevención del blanqueo de capitales y financiación del
terrorismo (en las evaluaciones de impacto, en el apartado ?Destrucción? se indica ?24 meses
(profundidad del tratamiento)? y ?Datos personales usados en el modelo 10 años x Ley de
Prevención de Blanqueo de Capitales?).
. La posición dominante del responsable frente al interesado, por su condición de gran
empresa y una de las líderes del mercado en su sector.
Ninguna consideración realiza BBVA sobre las circunstancias anteriores en su escrito
de alegaciones a la propuesta, a pesar de su importancia, salvo en lo relacionado con el plazo
de conservación. Entiende BBVA que la AEPD interpreta erróneamente lo señalado sobre el
plazo de conservación de los datos para la realización del tratamiento. Este plazo será de dos
años, no utilizándose datos que tengan una mayor antigüedad ni conservándose los datos
para este tratamiento durante un período superior. Y aclara que los datos recabados en
cumplimiento de la legislación de prevención del blanqueo de capitales se conservan durante
el plazo establecido en esta legislación, a los fines previstos en la misma, pero no para el
tratamiento controvertido.
Como puede comprobarse, esta Agencia no interpreta erróneamente la cuestión
relativa a la antigüedad de los datos sometidos a tratamiento en base al interés legítimo y no
cuestiona la conservación de los datos que correspondan en cumplimiento de la legislación de
blanqueo de capitales. Lo que se cuestiona es, precisamente, que se utilicen datos
personales con dos años de antigüedad, que se califica como excesiva; y se cuestiona, de
forma significativa, la utilización de datos recabados de conformidad con dicha normativa para
las operaciones de tratamiento que nos ocupan.
Una importancia especial ha de prestarse, asimismo, a la ausencia de medidas o
garantías adicionales. Entre ellas, se han destacado el aumento de la transparencia y la
habilitación de mecanismos de exclusión voluntaria.
En cuanto a la transparencia, BBVA se remite a lo informado en la ?Declaración de
Actividad Económica y Política de Protección de Datos?, sin poner a disposición de los
interesados el Informe de ponderación del interés legítimo ni las evaluaciones de impacto; y
menciona como garantía el ejercicio del derecho de oposición, que no es sino una exigencia
normativa. Este derecho exige una nueva ponderación, conforme a lo establecido en el
artículo 21 del RGPD (?el responsable del tratamiento dejará de tratar los datos personales,
salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre
los intereses, los derechos y las libertades del interesado?) y nada tiene que ver con los
mecanismos de exclusión voluntaria o incondicional que se recomiendan.
En el informe citado, la entidad BBVA menciona también como garantías otras
cuestiones que no tiene relevancia significativa para la ponderación de los intereses, como
son la adopción de medidas para garantizar la integridad y confidencialidad de la información,
las cuales no explica, la designación de un DPD y la minimización de datos, sobre la que esta
Agencia ya se ha pronunciado anteriormente.
Dicho informe dedica uno de sus apartados a la ?ponderación del interés legítimo y el
cumplimiento del principio de proporcionalidad en el tratamiento de los datos?. Comienza este
apartado exponiendo una serie de consideraciones generales, entre las que menciona el
Informe del Gabinete Jurídico de la AEPD 195/2017, al que se hará referencia seguidamente;
y las obligaciones específicas que se imponen a las entidades financieras de crédito sobre la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
131/146
realización de exámenes de evaluación de riesgos (cabe recordar, a este respecto, que los
tratamientos que aquí se analizan no están referidos a esta evaluación de riesgos para el
cumplimiento de una ley, sino que sus finalidades son mucho más amplias -definición del
modelo de negocio, productos y servicios, etc.-, del exclusivo interés de BBVA).
En este apartado del Informe de ponderación se analiza la expectativa razonable del
interesado, que BBVA describe como la expectativa que mantiene el cliente sobre la
posibilidad de que la entidad le asesore acerca de productos y servicios que puedan
satisfacer sus necesidades. Se justifica esta idea con un estudio realizado por la propia
entidad, según el cual el 40,3% de los nuevos clientes respondió que esperaba un trato
personalizado. Sin embargo, este estudio se basa en una pregunta de carácter comercial
(?¿Qué aspectos son para usted más importantes y que espera recibir de BBVA en esta
nueva relación??), a la que no puede atribuirse el efecto pretendido por BBVA en cuanto a la
expectativa razonable del interesado respecto del tratamiento de sus datos personales. Nada
se dice sobre la expectativa razonable del interesado en relación con el seguimiento posterior
que supone la realización de perfilados, ni se valora la intromisión que ello conlleva.
BBVA invoca este estudio para justificar la concurrencia de la expectativa razonable
del cliente y acude al significado que el Diccionario de la Real Academia Española recoge de
los términos ?expectativa? y ?esperar?. Pero no tiene en cuenta la circunstancia antes
expresada sobre la naturaleza comercial del estudio. La respuesta del cliente a la pregunta
?¿qué espera recibir de BBVA en esta nueva relación?? no puede extrapolarse al juicio de
ponderación del interés legítimo como base para la realización de los tratamientos de datos
que nos ocupan, cuyo nivel de intrusión es excesivo, dada la cantidad de datos utilizados
(todos los datos relativos a os clientes disponibles por BBVA) y la naturaleza de los
tratamientos, que incluyen la elaboración de perfiles, como se ha dicho. En esta materia, se
ponen en juego todos los factores que se han indicado, los cuales no se valoran en forma
alguna a la hora de responder una encuesta comercial como la realizado por la entidad.
Procede añadir que la cuestión relativa al interés legítimo en el tratamiento de los
datos, dadas las implicaciones que puede representar para el cliente, no puede justificarse,
como dice BBVA, a partir de los ?usos? que rigen las relaciones jurídicas entabladas por una
entidad financiera con sus clientes o por el supuesto vínculo de confianza en el que según
esa entidad se basa dicha relación.
Por último, debe señalarse que BBVA repetidamente, a lo largo de su escrito de
alegaciones, manifiesta que los tratamientos de datos personales que realiza con esta base
jurídica redundan en beneficio del cliente. Considera que lograr la excelencia en el servicio
mediante un conocimiento adecuado de sus clientes, que permita anticiparse a sus
necesidades y mejorar la cartera de productos y servicios de BBVA para que se ajusten a las
preferencias de aquellos; así como posibilitar el uso de los canales óptimos para cada cliente,
no solo se realiza en beneficio del Banco sino, en particular, de sus clientes.
Llega a afirmar esa entidad que el tratamiento es necesario para el cumplimiento de
ese interés legítimo de BBVA y del cliente.
El interés legítimo del cliente se considera, en los términos del artículo 6.1 f) del
RGPD, como el interés legítimo de terceros. En este caso, no cabe tal planteamiento, según
el cual las operaciones de tratamiento de datos personales se realizan sobre la base del
interés legítimo del cliente. Aceptarlo sería tanto como admitir un interés legítimo sobrevenido,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
132/146
o a posteriori, respecto del cual no se han respetado las exigencias previstas en la normativa
de protección de datos personales y sobre el que no se informa en la Política de Privacidad.
En resumen, por las razones expresadas, no se acredita que el interés legítimo alegado
para el tratamiento de datos que manifiesta tener BBVA prevalezca sobre los intereses y
derechos y libertades fundamentales de los clientes. Además, las garantías ofrecidas no son
suficientes para salvar el desequilibrio que se produce con estas operaciones de tratamiento
de datos personales.
En consecuencia, se ha de concluir que no prevalece el interés legítimo de BBVA como
base legitima para el tratamiento.
La conclusión obtenida de este examen no contradice lo expresado en el Informe del
Gabinete Jurídico de la AEPD 195/2017, al que se refiere BBVA repetidamente, tanto en el
mencionado Informe de ponderación del interés legítimo, como en su escrito de alegaciones.
Según BBVA, este Informe 195/2017 concluye la prevalencia del interés legítimo de las
entidades financieras para el análisis de los movimientos transaccionales y/o capacidad de
ahorro del cliente, para realizar observaciones y ofrecer recomendaciones sobre productos y
servicios, así como para realizar un perfilado más detallado que permita concretar con
precisión los productos que deben ofrecerse.
Sin embargo, las premisas valoradas en dicho informe no se ajustan al supuesto
presente, en el que los tratamientos de datos personales tienen un propósito mucho más
amplio que los analizados en dicho informe, tanto en lo que se refiere a los fines del
tratamiento como a la información o datos personales utilizados. No hay más que señalar que
ese informe analiza simplemente la realización de tratamientos con fines de mercadotecnia,
siempre que la oferta se refiera a productos similares a los contratados por el interesado y se
utilice únicamente la información disponible como consecuencia de la gestión de los
productos.
Por otra parte, el Informe del Gabinete Jurídico aludido responde, asimismo, a las
consultas planteadas en relación con la anonimización de los datos transaccionales para
desarrollar nuevos productos, para analizar patrones de uso de los servicios para desarrollar
otros nuevos. Estos usos coinciden con los tratamientos de datos que BBVA realiza en base
al interés legítimo, pero con información no anónima.
En cuanto a la anonimización de datos expresada, se concluye que deben distinguirse
dos tratamientos. A saber, el que dé lugar a la información anónima (la anonimización
propiamente dicha), sometido a la normativa de protección de datos, y el tratamiento que se
lleve a cabo con los datos ya anonimizados, excluidos de dicha normativa. Expone el informe
que cuando la anonimización sea completa, siendo imposible la vinculación de la información
de forma directa o indirecta con un determinado afectado, y mucho más si los datos
resultantes son agregados, el tratamiento podrá ampararse en el interés legítimo.
En base a todo lo expuesto en este informe, alega BBVA que los tratamientos de datos
que se realizan con las finalidades 3 y 5 de la ?Declaración de Actividad Económica y Política
de Protección de Datos? (3. Ofrecer productos y servicios personalizados de BBVA, del Grupo
BBVA y de otros; 5. Mejorar la calidad de los productos y servicios) podrían haberse basado
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
133/146
en la concurrencia del interés legítimo, de modo que al recabar el consentimiento de los
interesados ha adoptado por medidas reforzadas de responsabilidad activa.
No comparte esta Agencia la idea de que el consentimiento constituya una base
jurídica reforzada. Como ha quedado aquí expuesto, el consentimiento está sometido a
requisitos concretos en su prestación, de modo que su prestación por sí misma no garantiza
la legalidad de los tratamientos.
Lo mismo puede decirse sobre la realización de aquellos tratamientos en base al
interés legítimo. Sería necesario, como aquí se ha visto, un análisis exhaustivo de todas las
circunstancias concurrentes en relación con los tratamientos pretendidos para valorar esta la
pertinencia de base jurídica.
En todo caso, ha sido la propia entidad BBVA la que dispuso, en el diseño de sus
operaciones de tratamiento, amparar en el consentimiento aquellos que se describen en las
finalidades 3 y 5.
En consecuencia, de conformidad con las constataciones expuestas, los citados
hechos suponen una vulneración del artículo 6 del RGPD, en relación con el artículo 7 del
mismo texto legal y artículo 6 de la LOPDGDD, que da lugar a la aplicación de los poderes
correctivos que el artículo 58 del RGPD otorga a la Agencia Española de Protección de datos.
VIII
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos, como
autoridad de control, el artículo 58.2 de dicho Reglamento contempla los siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las
operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a
las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de
un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas
mencionadas en el presente apartado, según las circunstancias de cada caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
IX
En el presente caso, ha quedado acreditado el incumplimiento del principio de
trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
134/146
del tratamiento regulado en el artículo 6 del mismo Reglamento, con el alcance expresado en
los Fundamentos de Derecho anteriores, lo que supone la comisión de sendas infracciones
tipificadas en el artículo 83.5 del RGPD, que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone lo siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con
multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una
cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio
financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de
los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;(?)?.
A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83
del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica?.
A efectos del plazo de prescripción, los artículos 72 y 74 de la LOPDGDD indican:
?Artículo 72. Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy
graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los
artículos mencionados en aquel y, en particular, las siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del
tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679?.
?Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en
particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de información del
afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE)
2016/679?.
A fin de determinar la multa administrativa a imponer se han de observar las previsiones
de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al
presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean
en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a
título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y
j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá
debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o
propósito de la operación de tratamiento de que se trate así como el número de interesados afectados
y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
135/146
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y
perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las
medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y
mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el
responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente
contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento
de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los
beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la
infracción?.
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se
aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado
artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán
tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no
puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de
resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre
aquellos y cualquier interesado?.
En este caso, considerando la gravedad de las infracciones constatadas procede la
imposición de multa, además de la adopción de medidas. No cabe aceptar la solicitud
formulada por BBVA para que se impongan otros poderes correctivos que hubiesen permitido
la corrección de la situación irregular, como es el apercibimiento, que está previsto para
personas físicas y cuando la sanción constituya una carga desproporcionada (considerando
148 del RGPD).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
136/146
BBVA manifiesta no entender que en el pasado la Agencia acudiera a planes
sectoriales y en este caso se inicie expediente sancionador. No considera dicha entidad que
esos planes se realizan de oficio con el propósito de examinar un sector en general y concluir
recomendaciones que faciliten a las entidades ajustar sus procesos en materia de protección
de datos personales.
Asimismo, en su escrito de alegaciones a la propuesta de resolución, BBVA ha
solicitado que en la determinación de la sanción que pueda imponerse se tenga en cuenta la
aplicación de los principios de culpabilidad y proporcionalidad.
Alega la no concurrencia de culpabilidad en su actuación, considerando que ha
actuado en todo momento con total diligencia. Destaca que ha seguido las directrices de la
AEPD recogidas en la ?Guía para el cumplimiento del deber de informar? y que ha informado
sobre todos los extremos establecidos en el artículo 13 del RGPD, así como sobre otros
extremos que esa norma no impone y que tampoco imponía la interpretación de la AEPD; y
añade que actuó en el convencimiento, después de haber informado sobre las reclamaciones
formuladas, de que la Agencia no había advertido elemento que contraviniera lo establecido
en el RGPD y LOPDGDD. En base a ello, invoca el principio de confianza legítima, al haber
actuado en la creencia de que su conducta se ajustaba a la legalidad, y la Sentencia de la
Audiencia Nacional de 15/10/2012 (recurso 608/2011), en la que se valora ?la activa
participación de la Administración?, que pudo llevar al interesado a la conclusión de que su
actuación era conforme a derecho; que su conducta no se halla amparada por una
interpretación jurídica razonable de las normas aplicables; y las dificultades en la
interpretación descritas por la Administración?.
Se refiere BBVA a la diferente apreciación de algunas concretas expresiones
contenidas en la Política de Privacidad respecto a las indicaciones contenidas al respecto en
la Guía citada y a lo que BBVA ha calificado como ?inactividad de la Administración?, por el
tiempo transcurrido entre la admisión a trámite de las reclamaciones formuladas por los
reclamantes 1 y 2, que tuvo lugar el 01/02/2019, y la adopción del acuerdo de apertura del
presente procedimiento sancionador, en fecha 02/12/2019. En base a ello, invoca el principio
de confianza legítima y entiende que la actuación de esta Agencia ha influido en la comisión
de las infracciones.
Esta alegación debe ser desestimada por las razones que ya se han expuesto en esta
resolución al tratar estas alegaciones.
Por un lado, es preciso reiterar que BBVA ha interpretado parcialmente la ?Guía para el
cumplimiento del deber de informar?, basando sus conclusiones en tres expresiones
puntuales que se citan como ejemplo en la misma, pero sin considerar los criterios generales
y advertencias que contiene, los cuales también dan cobertura a los importantes reparos que
han determinado la calificación de los hechos como constitutivos de infracción, referidos no
solo al lenguaje sino también al contenido de la Política de Privacidad, en lo que dice y en lo
que omite, así como a todas las operaciones de tratamiento que lleva a cabo BBVA.
También se indica en la propia Guía citada que debe ser completada con otras que
tengan relación con el RGPD, como ocurre en este caso en relación con el aspecto al que nos
referimos. En concreto, el documento del Grupo de Trabajo del Artículo 29 ?Directrices sobre
la transparencia en virtud del Reglamento 2016/679?, adoptadas el 29/11/2017 y revisadas el
11/04/2018, que debe ser conocido por una entidad como BBVA, al referirse al lenguaje que
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
137/146
deberá emplearse en la información en materia de protección de datos personales cita las
expresiones en cuestión como ?ejemplos de prácticas deficientes?.
Por otro lado, la actuación de esta Agencia no ha influido en modo alguno en la
conducta de BBVA determinante de las infracciones analizadas. La supuesta ?inactividad de la
Administración?, por el tiempo transcurrido entre la admisión a trámite de las primeras
reclamaciones formuladas y la adopción del acuerdo de apertura del procedimiento, no influye
en absoluto en la comisión de las infracciones ni las agrava, y esta Agencia no ha realizado
actuación alguna que haya permitido a BBVA concluir que esta Autoridad de Control no
advirtió en las reclamaciones formuladas ningún elemento que contraviniera lo establecido en
el RGPD y LOPDGDD. BBVA no puede aportar ningún pronunciamiento o actuación de esta
Agencia que le llevase a esa presunta confusión, simplemente porque no existe actuación
alguna en ese sentido.
Sí se realizaron, en cambio, actuaciones frente a BBVA de las que pudo deducir que el
asunto se encontraba en curso. Nos referimos a los trámites realizados por esta Agencia
durante el proceso de admisión a trámite de las reclamaciones recibidas con posterioridad al
01/02/2019, previos al acuerdo de admisión de la reclamación respectiva, consistentes en
trasladar esas reclamaciones a la propia entidad BBVA para que procediese a su análisis y
diera respuesta a esta Agencia y al reclamante.
Como se ha dicho en los Fundamentos de Derecho anteriores, BBVA conocía las
reclamaciones formuladas y conocía también que no existía pronunciamiento alguno de esta
Agencia al respecto.
Así, no puede hablarse de ?inactividad de la Administración?, dado que durante ese
tiempo se realizaron los trámites de admisión del resto de reclamaciones. Según ha quedado
detallado, las reclamaciones presentadas por los reclamantes 3 a 5 tuvieron entrada en esta
Agencia en las fechas 13/02/2019 (unos días después de aquella admisión a trámite de
01/02/2019), 23/05/2019 y 27/08/2019; y se admitieron a trámite mediante acuerdos de
06/08/2019, 13/09/2019 y 30/10/2019, respectivamente.
Con carácter previo a la admisión, las reclamaciones formuladas por los reclamantes 3
a 5 fueron trasladadas a BBVA con el propósito indicado. El traslado de estas reclamaciones
fue notificado a BBVA en fechas 21/05/2019, 28/06/2019 y 19/09/2019. En el caso del
reclamante 4, BBVA solicitó ampliación del plazo habilitado para dar respuesta y se concedió
dicha ampliación mediante escrito notificado a esa entidad el 19/08/2019.
En definitiva, ninguna consecuencia jurídica puede atribuirse al tiempo transcurrido
entre la admisión a trámite de las reclamaciones y la apertura del procedimiento, menos aún
la pretendida por BBVA.
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las sanciones
de multa a imponer en el presente caso al reclamado, como responsable de infracciones
tipificadas en el artículo 83.5.a) y b) del RGPD, procede graduar la multa que correspondería
imponer por cada una de las infracciones imputadas como sigue:
1. Infracción por incumplimiento de lo establecido en los artículos 13 y 14 del RGPD, tipificada
en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
138/146
LOPDGDD.
Se estima que concurren en calidad de agravantes los siguientes factores que revelan
una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad BBVA:
a) La naturaleza, gravedad y duración de la infracción: los hechos constatados afectan muy
gravemente a uno de los principios básicos relativos al tratamiento de los datos, como es el
de la transparencia, poniendo en cuestión toda la actuación desarrollada por BBVA, en su
conjunto, por cuanto las infracciones resultan de los procedimientos de gestión de datos
personales diseñados por BBVA para la adecuación de esos procesos al RGPD, los cuales se
consideran irregulares desde el mismo momento de la recogida de los datos personales. Sin
embargo, el presente caso no se refiere a un supuesto de ausencia total de información, sino
que los hechos controvertidos resultan de no proporcionar a los interesados información
suficiente en relación con los diversos tratamientos realizados.
BBVA considera que no es aceptable en Derecho valorar como una circunstancia
agravante un elemento del tipo infractor, como es el principio de transparencia. Sin embargo,
lo que aquí se tiene en cuenta no es el tipo infractor, aunque se mencione en la presentación
del argumento. Como ha quedado indicado, se valora como agravante el hecho de que las
deficiencias apreciadas ponen en cuestión toda la actuación desarrollada por BBVA desde el
mismo momento de la recogida de los datos personales de sus clientes.
Ninguna alusión realiza BBVA a estas circunstancias específicas.
b) La intencionalidad o negligencia apreciada en la comisión de la infracción: las actuaciones
han acreditado una conducta intencionada en relación con la vulneración de la normativa de
protección de datos personales. Ya se ha dicho en el presente documento como BBVA llevó a
cabo estudios sobre el diseño de la cláusula informativa, con el propósito de optimizarla de
forma que se lograra su aceptación por los clientes.
La entidad interesada considera que la labor realizada desde 2016 para la plena
adaptación al RGPD, que incluyó la elaboración de una nueva Política de Privacidad y un plan
para hacerla llegar a los clientes, después de haberla testado con la participación de los
mismos para hacerla clara y sencilla, dan fe de buena voluntad, responsabilidad proactiva y
diligencia en cuanto al cumplimiento de la normativa de protección de datos. Así, entiende que
haber desarrollado esas actuaciones no puede resultar en su contra como una agravante de
su responsabilidad, especialmente, habiendo ajustado su actuación a las directrices de la
AEPD. Al contrario, entiende que tales actuaciones han de tomarse como una circunstancia
atenuante por falta de intencionalidad.
Es obvio que no se agrava la responsabilidad por las actuaciones aludidas por BBVA.
Lo que se considera, como puede verse, no es la realización de esos trabajos o los estudios
previos.
No vemos, por otra parte, a qué ?directrices emanadas de la AEPD? ha ajustado el
diseño de este mecanismo.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
139/146
c) El carácter continuado de la infracción, en el sentido interpretado por la Audiencia Nacional,
como infracción permanente.
Advierte BBVA en sus alegaciones que este reproche es imputable a esta Agencia,
que conocía la Política de Privacidad casi un año antes de la apertura del procedimiento y,
mediante su inacción, ?facilitó que BBVA no adoptase medida alguna para subsanar o
modificar la Política de Privacidad?.
Esta alegación debe ser igualmente desestimada. Nos remitimos a lo ya expuesto en
este mismo Fundamento de Derecho sobre la supuesta ?inactividad de la Administración?.
d) La alta vinculación de la actividad del infractor con la realización de tratamientos de datos
personales: todas las operaciones que constituyen la actividad empresarial desarrollada por
BBVA implican operaciones de tratamiento de datos personales.
e) La condición de gran empresa de la entidad responsable y su volumen de negocio: es una
empresa líder en el sector financiero con una fuerte implantación internacional. Según la
información que consta en la web ?bbva.com?, la Cuenta de Resultados del ejercicio 2019, a
fecha 30/09/2019, refleja un ?Margen neto? de 9.304 millones de euros. En el apartado
?Diversificación geográfica? se indica el desglose por países, correspondiendo a España el
23,4%.
f) Elevado volumen de datos y tratamientos que constituye el objeto del expediente: las
infracciones afectan a todos los tratamientos de datos que realiza BBVA que no resulten
necesarios para la ejecución del contrato, para los que se utiliza la totalidad de la información
relativa a los clientes.
g) Elevado número de interesados: los defectos apreciados afectan a todos los clientes
personas físicas de la entidad (ocho millones treinta y un mil, según ha declarado BBVA en su
escrito de alegaciones).
h) La entidad imputada no tiene implantados procedimientos adecuados de actuación en la
recogida y tratamiento de los datos de carácter personal, de modo que la infracción no es
consecuencia de una anomalía en el funcionamiento de dichos procedimientos, sino un
defecto del sistema de gestión de los datos personales diseñado por la responsable.
En relación con esta circunstancia agravante, BBVA alega nuevamente que no puede
considerarse como tal el tipo infractor, entendiendo que el incumplimiento de las obligaciones
de información y de los requisitos de obtención del consentimiento ya implican que el
responsable no tiene procedimientos adecuados.
Esta alegación debe ser rechazada. La circunstancia expresada se toma en el sentido
literal establecido en la norma. Además, en este caso, no se toma en consideración para
justificar esta agravante la obligación de información. Se tiene en cuenta que la infracción
consistente en llevar a cabo operaciones de tratamiento de datos sin base jurídica es
estructural y no resulta de un incumplimiento puntual. Y ello resulta no solo del incumplimiento
de los requisitos de obtención del consentimiento y no solo afecta a operaciones realizadas
con esta base jurídica. Por ello se habla de ausencia de procedimientos adecuados en la
recogida y tratamiento de datos personales.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
140/146
Considerando los factores expuestos, la valoración que alcanza la multa por esta
infracción es de 2.000.000 euros.
2. Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, tipificada en el
artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de
la LOPDGDD:
Se estima que concurren en calidad de agravantes, además de todos los factores
expuestos en relación con la infracción anterior señalados con las letras c), d), e), f), g) y h),
los siguientes factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta
de la entidad BBVA:
a) La naturaleza, gravedad y duración de la infracción: las infracciones resultan de los
procedimientos de gestión de datos personales diseñados por BBVA para la adecuación de
esos procesos al RGPD, los cuales se consideran irregulares desde el mismo momento de la
recogida de los datos personales y de la prestación de los consentimientos solicitados a los
clientes en el mismo momento. La gravedad de las infracciones se incrementa atendiendo al
alcance o propósito de las operaciones de tratamiento de que se trata, que incluyen la
elaboración de perfilados utilizando una información excesiva.
b) La intencionalidad o negligencia apreciada en la comisión de la infracción: las actuaciones
han acreditado una conducta intencionada en relación con la vulneración de la normativa de
protección de datos personales. Ya se ha dicho en el presente documento que BBVA era
consciente de que el mecanismo habilitado para recabar el consentimiento al tratamiento de
los datos personales tendría como resultado que la mayoría aceptara todas las finalidades por
defecto. La ausencia de garantías específicas en relación con los tratamientos de datos
basados en el interés legítimo es una circunstancia más a considerar en este caso,
considerando el alcance de tales tratamientos.
Los trabajos y estudios previos han revelado que la citada entidad era consciente de
las consecuencias del irregular mecanismo diseñado para recabar el consentimiento. BBVA
conocía que la Política de Privacidad se aceptaba en la mayoría de casos sin leer y que,
como consecuencia de ello, las casillas diseñadas quedaban sin marcar (lo que equivalía,
según su propio diseño, a entender prestado el consentimiento).
b) Los beneficios obtenidos como consecuencia de la comisión de la infracción: la información
relativa a los clientes se utiliza para la mejora del negocio de la entidad y para la difusión de
sus productos.
c) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas:
se tiene en cuenta el alto grado de intromisión en la privacidad de los clientes de BBVA y que
la información es comunicada a terceros (empresas del Grupo BBVA) con fines no legítimos.
Considerando los factores expuestos, la valoración que alcanza la multa por esta
infracción es de 3.000.000 euros.
Las alegaciones a la propuesta de resolución formuladas por la entidad BBVA no
contienen ninguna observación sobre las circunstancias señaladas con las letras d), e), f) y g)
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
141/146
del punto 1 (incumplimiento de los artículos 13 y 14 del RGPD), y las señaladas con las letras
a) y b) del punto 2 anterior (incumplimiento del artículo 6 del RGPD).
En cambio, solicita que se tengan en cuenta como atenuante las medidas tomadas
para regularizar la situación de los reclamantes y la elaboración de una nueva versión de la
Política de Privacidad de BBVA, en julio de 2020.
En cuanto a las actuaciones realizadas en relación con las reclamaciones formuladas,
se limitan, básicamente, a marcar a los reclamantes como excluidos de acciones comerciales.
En unos casos como consecuencia del ejercicio del derecho de oposición por el interesado y,
en otros, a la vista de la reclamación formulada. En dos de los casos, la acción llevada a cabo
consistió en la formalización de la ?Declaración de actividad económica y política de
protección de datos personales? en los mismos términos analizados en esta resolución.
Estas acciones no tienen relevancia suficiente para ser consideradas en este
procedimiento a los efectos pretendidos por BBVA. Puede decirse que, en unos casos,
aquellos en los que se formaliza la suscripción por el cliente de la ?Declaración? no existe
ninguna regularización; y en los otros la actuación viene a cumplir la normativa en lo referido
al ejercicio de los derechos por los interesados. No es una verdadera regularización de la
situación irregular que se determina en el presente procedimiento sancionador. Por tanto, se
desestima la solicitud de considerar tales actuaciones como una circunstancia atenuante.
Por otra parte, BBVA considera que deben tenerse en cuenta como circunstancias
atenuantes la diligencia, proactividad y celeridad mostrada, una vez conocida la apertura del
procedimiento, con la mejora de la información proporcionada a los interesados y el
establecimiento de un nuevo mecanismo de obtención del consentimiento del interesado,
incluyendo en la primera capa informativa casillas diferenciadas y granulares que el
interesado debe marcar si desea autorizar que BBVA trate sus datos con cada una de las
finalidades que se indican
Señala que ha llevado a cabo un conjunto de actuaciones internas y ha intensificado
su actividad con el propósito de reforzar la información proporcionada a los clientes, habiendo
elaborado, en julio de 2020 una nueva versión de la Política de Privacidad.
Sin embargo, no aporta ningún detalle ni justificación sobre las actuaciones que dice
haber desarrollado.
En cuanto a la nueva versión de la Política de Privacidad, con la que pretende
subsanar o dejar sin ?contenido la totalidad de los reproches realizados por la AEPD?, y se
modifica el mecanismo habilitado para recabar el consentimiento, ni si quiera aporta el texto
íntegro de la misma, sino únicamente algunos fragmentos.
Tampoco BBVA aporta ningún informe o evaluación, ni explica cómo ha adaptado el
resto de documentos que determinan la configuración de esa nueva Política de Privacidad y
su posterior análisis (ej., el registro de actividades de tratamiento, los informes de evaluación
de impacto o la ponderación del interés legítimo).
Esta documentación resulta especialmente necesaria considerando que los
fragmentos de esta nueva Política de Privacidad incluidos en las alegaciones hacen
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
142/146
referencia a operaciones de tratamiento y otros aspectos concretos que no figuran en la
documentación que integra el expediente.
Además, BBVA no ha justificado haber trasladado a sus clientes esta nueva
información en materia de protección de datos, ni tan siquiera haber planificado este traslado.
Y lo mismo puede decirse en relación con los consentimientos prestados y con los
tratamientos de datos que realiza. BBVA, en sus alegaciones, no hace mención alguna a la
regularización en sus registros de las anotaciones correspondientes a los consentimientos
recabados hasta la fecha, ni a la suspensión de los tratamientos de datos personales
calificados como ilícitos en las presentes actuaciones o la supresión de los datos personales
recabados de terceros o inferidos por la propia entidad.
BBVA ha disfrutado de numerosas oportunidades para aportar esta documentación
durante la tramitación del procedimiento. En todas y cada una de las comunicaciones que le
han sido remitidas ha sido advertida sobre el principio de acceso permanente regulado en el
artículo 53 ?Derechos del interesado en el procedimiento administrativo? de la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que
reconoce a los interesados en el procedimiento el derecho a conocer, en cualquier momento,
el estado de la tramitación y a formular alegaciones, utilizar los medios de defensa admitidos
por el Ordenamiento Jurídico, y a aportar documentos en cualquier fase del procedimiento
anterior al trámite de audiencia. De modo que
No es posible, en consecuencia, considerar regularizada la situación irregular.
X
De acuerdo con lo establecido en el artículo 58.2.d) del RGPD, cada autoridad de
control podrá ?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una
determinada manera y dentro de un plazo especificado??.
En este caso, considerando las circunstancias expresadas en relación con los
incumplimientos apreciados, desde el punto de vista de la normativa de protección de datos
personales, procede requerir a la entidad BBVA para que, en el plazo que se indica en la parte
dispositiva, adecúe a la normativa de protección de datos personales las operaciones de
tratamiento de datos personales que realiza, la información ofrecida a sus clientes y el
procedimiento mediante el que los mismos prestan su consentimiento para la recogida y
tratamiento de sus datos personales. Todo ello con el alcance y en el sentido expresado en
los Fundamentos de Derecho del presente acto.
En aquellos casos en los que el cliente no haya sido debidamente informado sobre las
circunstancias reguladas en los artículos 13 y 14 del RGPD o no hubiese prestado su
consentimiento válido, BBVA no podrá llevar a cabo la recogida y tratamiento de los datos
personales. Lo mismo procede en relación con los tratamientos de datos basados en el
interés legítimo de BBVA o de terceros.
De acuerdo con lo expresado anteriormente, en relación con los datos personales de
los clientes que hubiesen prestado su consentimiento mediante el formulario denominado
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
143/146
?Declaración de actividad económica y política de protección de datos personales?, procede
que BBVA, en el plazo que se indica en la parte dispositiva, cese en los tratamientos de datos
personales siguientes: tratamientos de datos personales consistentes en ofrecer a los clientes
productos y servicios de la propia entidad BBVA, del Grupo BBVA y otros personalizados para
el cliente; cese en los tratamientos de datos personales de sus clientes consistentes en
comunicar tales datos a las empresas del Grupo BBVA para que puedan ofrecerles productos
y servicios propios personalizados para el cliente; y cese en el tratamiento de los datos
personales de sus clientes para mejorar la calidad de los productos y servicios nuevos y
existentes.
Asimismo, procede requerir a BBVA para que, en el plazo que se indica en la parte
dispositiva, comunique a las entidades del Grupo BBVA a las que hubiese comunicado datos
personales de los clientes que hubiesen prestado su consentimiento mediante el formulario
denominado ?Declaración de actividad económica y política de protección de datos
personales? que deberán suprimir tales datos y cesar en la utilización de los mismos para
ofrecer a sus titulares productos y servicios propios de las entidades del Grupo
personalizados para el cliente y para la mejorar las características y precios de la oferta de
productos y servicios.
De la misma forma, procede requerir a BBVA para que, en el plazo que se indica en la
parte dispositiva, cese en los tratamientos de datos personales que la citada entidad
fundamenta en el interés legítimo de BBVA o de terceros.
Se advierte que no atender los requerimientos de la AEPD puede ser considerado
como una infracción administrativa grave al ?no cooperar con la Autoridad de control? ante los
requerimientos efectuados, pudiendo ser sancionada tal conducta con multa pecuniaria.
Las alegaciones a la propuesta de resolución formuladas por la entidad BBVA no
contienen ninguna observación sobre estas cuestiones.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de
las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad BANCO BILBAO VIZCAYA ARGENTARIA, S.A., con NIF
A48265169, por una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo
83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD,
una multa por importe de 2.000.000 euros (dos millones de euros).
SEGUNDO: IMPONER a la entidad BANCO BILBAO VIZCAYA ARGENTARIA, S.A., por una
infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave
a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, una multa por importe de
3.000.000 euros (tres millones de euros).
TERCERO: REQUERIR a la entidad BANCO BILBAO VIZCAYA ARGENTARIA, S.A. para que,
en el plazo de seis meses, adecúe a la normativa de protección de datos personales las
operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el
procedimiento mediante el que los mismos deben prestar su consentimiento para la recogida
y tratamiento de sus datos personales, con el alcance expresado en el Fundamento de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
144/146
Derecho X. En el plazo indicado, BBVA deberá justificar ante esta Agencia Española de
Protección de Datos la atención del presente requerimiento.
CUARTO: NOTIFICAR la presente resolución a BANCO BILBAO VIZCAYA ARGENTARIA,
S.A.
QUINTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez que
la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la
ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario establecido
en el art. 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005,
de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su
ingreso, indicando el NIF del sancionado y el número de procedimiento que figura en el
encabezamiento de este documento, en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria
CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta
el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y
último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes
siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados
podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia
Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala
de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de
julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-300320
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
145/146
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
146/146
ANEXO 1
?DECLARACIÓN DE ACTIVIDAD ECONÓMICA Y POLÍTICA DE PROTECCIÓN DE DATOS
PERSONALES?
(?)
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es