Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00226-2020 de 04 de marzo de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 327 min
Órgano: Agencia Española de Protección de Datos
Fecha: 04/03/2022
Num. Resolución: PS-00226-2020
Cuestión
Sector:1 / 117
Expediente Nº: PS/00226/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
De las actuaciones practicadas por la Agencia Española de Protección de Datos ante
la entidad,...
Contestacion
1/117
? Expediente Nº: PS/00226/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
De las actuaciones practicadas por la Agencia Española de Protección de Datos ante
la entidad, BANKIA S.A., en la actualidad CAIXABANK, S.A. (en lo sucesivo entidad
reclamada), con motivo del análisis efectuado por la Unidad de Auditoría de la
Subdirección General de Inspección de Datos y de las reclamaciones presentadas por,
D. A.A.A. (reclamante 1); por D. B.B.B. (reclamante 2); D. C.C.C.(reclamante 3), D.
D.D.D. (reclamante 4); por Dª E.E.E. (reclamante 5) por D. F.F.F. (reclamante 6), y D.
G.G.G. (reclamante 7), y teniendo como base los siguientes:
HECHOS
PRIMERO: Con fecha 13/02/19, tuvo entrada en esta Agencia escrito, presentado por
el reclamante 1 (E/03825/2019), en la que expone lo siguiente: ?Como cliente de
Bankia, de la cuenta ON, me exigen que acepte todos los consentimientos de tratamientos
de datos personales, que aparecen ya premarcados o aceptados. Además, si
elijo que no se cedan mis datos a terceras empresas, por ejemplo, me imponen una
tasa de 5 euros al mes para seguir manteniendo mi cuenta?.
SEGUNDO: Con fecha 21/02/19, la Directora de la Agencia Española de Protección de
Datos, teniendo en cuenta el análisis efectuado por la Unidad de Auditoría de la
Subdirección General de Inspección de Datos, relativo a la comercialización de una
nueva cuenta corriente (CUENTA ON), acuerda iniciar actuaciones de investigación a
fin de acreditar la existencia de una posible vulneración de la normativa de protección
de datos respecto de la recopilación del consentimiento de los clientes de la entidad
BANKIA, S.A.
TERCERO: Con fecha 26/02/19, por parte de la Subdirección General de Inspección
de Datos se requiere a la entidad reclamada, para que remita a esta Agencia información
sobre su política de privacidad; documentos generados y la publicidad realizada
respecto de las siguientes cuentas corrientes y tarjetas asociadas a las mismas:
a) Cuenta ON y Tarjeta Débito ON
b) Cuenta ON Nómina; Tarjeta Débito ON y INE Crédito al Consumo Tarjeta
Crédito ON Nómina y
c) Cuenta Un & Dos.
CUARTO: Con fecha 19/03/19, Bankia remite a esta Agencia escrito acompañado de
documentación, en respuesta a la solicitud a la que hace referencia el punto anterior.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/117
1. En dicho escrito se pone de manifiesto respecto de la política de privacidad
lo siguiente:
?La Política de privacidad que resulta de aplicación en la Entidad, respecto del tratamiento
de los datos, se recoge en los dos documentos que se relacionan a continuación
y que se aportan como evidencia de este primer punto al presente escrito:
- El documento denominado ?Tratamiento de datos personales? (TDP), que se genera
y firma en el proceso de alta de cada cliente y que contiene toda la información exigida
por la normativa en relación con el tratamiento de datos que se derive de la relación
contractual que exista en cada momento entre el cliente y la Entidad. El TDP se edita
tanto en el alta de cliente en oficinas como en el alta de cliente a través de los canales
a distancia de que dispone la Entidad (Bankia Online y App).
- La ?Política de privacidad? de Bankia disponible en ***URL.1. Esta página contiene la
información exigible legalmente en cuanto al tratamiento de los datos de carácter personal
obtenidos a través de los sitios y herramientas web propiedad de Bankia, no
siendo aplicable para los recabados en los contratos que el usuario pueda formalizar
con la Entidad, incluso si éstos se encuentran enlazados o relacionados con los ?canales
de comunicación de Bankia?, ya que a dichos datos les resultará aplicable lo establecido
en el TDP conforme lo explicado en el punto anterior.?
2. Se adjunta modelo TDP que se genera en los canales a distancia y modelo
de TDP que se firma en oficina, (documentos 1 y 2)
En el documento TDP, relativo a la información sobre las condiciones para el tratamiento
de datos personales se recogen, bajo el título ?datos personales?, datos relativos
a identificación del cliente, sus datos de contacto, estado civil, número de hijos, fecha
y provincia de nacimiento, nacionalidad y datos profesionales. En dicho documento
se informa al interesado de que los datos personales solicitados por BANKIA serán
tratados de acuerdo con la información básica de protección de datos que describe a
continuación, instando al interesado a leer y comprender la misma, antes de firmar el
documento en el que se recoge la solicitud de consentimiento para el tratamiento de
sus datos.
En dicha información básica se manifiesta que el responsable es BANKIA, S.A., se
describen resumidamente las finalidades de tratamiento de los datos, la legitimación
con carácter general para tales tratamientos, los destinatarios de la información, se
efectúa una breve referencia a los derechos que puede ejercer el interesado, y una remisión
a información adicional a la que puede acceder a través de un enlace a una página
web.
A continuación, se solicita el consentimiento del interesado para diferentes finalidades,
para cada una de ellas debe marcarse sí o no:
o -En un primer bloque se solicita el consentimiento para el envío de comunicaciones
comerciales en los siguientes términos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/117
? En el punto 1.1 se refiere al envío de ?comunicaciones comerciales personalizadas
a través de cualquier canal (papel, medios electrónicos, telemáticos
, digitales, etc.) sobre productos, servicios, promociones o descuentos
de los sectores financiero (bancarios, de inversión y seguros), inmobiliario,
cultural, viajes, consumo y ocio en base a su perfil, elaborado a partir de
sus datos personales, los productos que tiene contratados, así como a partir
de las operaciones, movimientos o transacciones asociadas a sus productos.?
? En el punto 1.1.1 se solicita el consentimiento ?para el envío de comunicaciones
comerciales personalizadas sobre productos, servicios, promociones
o descuentos de los sectores referenciados en base a su perfil
, elaborado a partir de sus datos personales y los productos que tiene
contratados.?
? En el punto 1.1.2 se refiere ?al envío de comunicaciones comerciales
personalizadas sobre productos, servicios, promociones o descuentos
de los sectores referenciados en base a su perfil, elaborado a partir de
las operaciones, movimientos y transacciones asociadas a sus productos?.
? En el punto 1.1.3 se diferencian las siguientes opciones para el envío de
comunicaciones comerciales a las que, una a una, puede consentirse:
? Correspondencia física
? Correspondencia electrónica (correo electrónico, cajeros, etc.)
? Dispositivos móviles (mensajería instantánea, notificaciones push, SMS,
etc.)
? Plataformas de telemarketing
? Redes sociales
? Página web de Bankia y de terceros
? El punto 1.2 se refiere al consentimiento para ?la consulta de sus datos, por
parte de Bankia en los archivos de solvencia patrimonial y/o de crédito, así
como otras fuentes de información similares, con el objetivo de ofrecerle
productos de financiación personalizados.?
? En el punto 1.3 se solicita el consentimiento para participar en programas
de fidelización, sorteos, concursos, encuestas y programas de acción social
o acciones similares, así como recibir noticias y/o comunicaciones sobre los
mismos a través de cualquier canal (papel, medios electrónicos, telemáticos
, digitales, etc.) En los puntos 1.3.1 a 1.3.3 se desglosan 3 diferentes solicitudes
: para participar en programas de fidelización, para participar en
sorteos, concursos y encuestas y para participar en programas de acción
social o acciones similares
o -En otro bloque se solicita el consentimiento para la cesión de datos a terceros.
El punto 2 solicita el consentimiento para la cesión de sus datos personales
con fines comerciales, en base a su perfil, a sociedades y empresas participadas
del grupo Bankia o colaboradores, cuya composición puede consultar de
manera actualizada en un determinado enlace que se indica.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/117
? En el punto 2.1 se solicita la cesión de sus datos a colaboradores
para que realicen acciones comerciales que se ajusten a sus necesidades,
en base a sus datos personales, los productos que tiene contratados, así
como a partir de las operaciones, movimientos o transacciones asociadas a
sus productos.
? En el punto 2.2 se solicita la cesión de sus datos a empresas o participadas
del Grupo Bankia para que realicen acciones comerciales que se
ajusten a sus necesidades, en base a sus datos personales, los productos
que tiene contratados, así como a partir de las operaciones, movimientos o
transacciones asociadas a sus productos.
Se informa sobre la posibilidad de revocar y modificar en cualquier momento
los consentimientos prestados y oponerse a los tratamientos basados en el interés
legítimo y al ejercicio de los derechos de acceso, rectificación, supresión,
oposición y limitación al tratamiento y portabilidad de los datos.
3- Se adjunta la información precontractual específica de la cuenta ?ON?; de la tarjeta
de débito ON asociada, de la cuenta ?ON NOMINA?, de la tarjeta ?ON NOMINA?, de la
cuenta ?UN & DOS? y tarjeta ?UN & DOS? asociada.(documentos 8, 9, 10 y 11) En la
información precontractual de cada una de ellas, se describe el producto y se especifica
que las comisiones de administración y mantenimiento de la cuenta, así como las
cuotas de las tarjetas asociadas, transferencias en euros, nacionales y UE sujetas al
reglamento 260/2012, realizadas por canal no presencial e ingresos de cheques en euros
pagaderos en el mercado nacional serán gratuitos siempre y cuando todos los titulares
mantengan un perfil digital.
El Perfil Digital se ostentará cuando, entre otras estipulaciones, se cumpla que:
- Todos los titulares hayan facilitado a Bankia su número de teléfono móvil y correo
electrónico.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del documento
de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, el tratamiento de sus datos personales para el envío de
comunicaciones comerciales por cualquier canal de comunicación habilitado,
incluidos correo electrónico y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del documento
de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, la cesión de sus datos personales a empresas de su
grupo para el análisis de su perfil a efectos comerciales.?
En dicha información precontractual se detallan las comisiones aplicables a las distintas
cuentas, siendo las comisiones establecidas, coincidentes para todas las cuentas,
las siguientes:
- Comisión de mantenimiento X EUR. Gratuito si los titulares de la cuenta tienen
perfil digital.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/117
- Comisión de administración (por apunte) X,XX EUR. Gratuito si los titulares de
la cuenta tienen perfil digital
En lo que respecta a las comisiones de las distintas tarjetas de débito asociadas a las
cuentas antes mencionadas, son las siguientes, según dicha información precontractual
:
- Cuota de alta XX ? (gratuita si todos los clientes cumplen el perfil digital).
- Por mantenimiento XX ? (gratuita si todos los clientes cumplen el perfil digital).
Asimismo, en la información precontractual específica de la tarjeta de crédito ON se indica
que devengará las siguientes comisiones: ?XX ? tarjeta principal, en caso de que
los titulares de la cuenta asociada no mantengan el perfil digital y el primer titular de la
cuenta mantenga la nómina o pensión domiciliada.?
En el modelo de contrato Cuenta ON (documento 12) figuran las siguientes condiciones
de exención de comisiones Cuenta ON y tarjetas Débito ON asociadas a la misma
:
?Las comisiones de mantenimiento y administración de la cuenta, la cuota de las tarjetas
Débito ON asociadas a la misma (máximo una tarjeta por titular), y las comisiones
de ingresos de cheques en euros pagaderos en el mercado nacional y las de las transferencias
en euros, nacionales y UE, sujetas al reglamento 260/2012, realizadas por
canal no presencial y para cualquier importe, estarán exentas, y no serán de aplicación
siempre que todos los titulares de la cuenta cumplan las siguientes requisitos:
(?)
- Hayan autorizado a Bankia, mediante la suscripción del documento de Tratamiento
de datos Personales, documento equivalente o contrato correspondiente
, el tratamiento de sus datos personales para el envío de comunicaciones comerciales
por cualquier canal de comunicación habilitado, incluidos correo
electrónico y teléfono móvil, así como la cesión de sus datos personales a empresas
de su grupo para el análisis de su perfila efectos comerciales.
- (?)
Bankia controlará periódicamente el cumplimiento de los requisitos indicados anteriormente
y, en caso de detectar que no se cumple alguno de ellos, será de aplicación de
manera automática, tanto a la cuenta como a las tarjetas de débito asociadas, las condiciones
particulares estándar de las mismas recogidas en el presente contrato.?
En el modelo de contrato Cuenta UN & DOS (documento 14) figuran idénticas condiciones
de exención de comisiones Cuenta UN & DOS y tarjetas Débito UN &DOS asociadas
a la misma. Igualmente, en el modelo de Contrato Cuenta ON NOMINA tarjetas
Débito ON y tarjetas Crédito ON Nómina asociadas a la misma, (documento 13) se
exigen en los mismos términos los requisitos anteriormente transcritos, así como su
control periódico y las consecuencias de su incumplimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/117
QUINTO : Además de la reclamación inicial, se formularon ante esta Agencia las siguientes
reclamaciones:
? Con fecha 26/02/19, tuvo entrada en esta Agencia escrito, presentado por el
reclamante 2 (E/03826/2019 que se tramita con la referencia E/3825/2019), en el
que expone lo siguiente:
?Mi reclamación se basa en la vulneración del derecho a no consentir el envío de
comunicaciones comerciales y la penalización que se aplica por ello. En la entidad
bancaria Bankia se me ha aplicado un cargo por "cobro de servicios" el día 1 de febrero
en mi cuenta corriente. Puesto en contacto telefónicamente con la entidad
para consultar el motivo del cargo, se me indica que el tipo de mi cuenta es Cuenta
ON y que cumplo todas las características del perfil digital salvo una, la de que "todos
los titulares hayan autorizado a Bankia, mediante la suscripción del documento
de Tratamiento de datos Personales, documento equivalente o contrato correspondiente
, el tratamiento de sus datos personales para el envío de comunicaciones
comerciales por cualquier canal de comunicación habilitado, incluidos correo electrónico
y teléfono móvil".
Entiendo que no se me puede aplicar cargo alguno por el ejercicio de dichos derechos
, máxime cuando el consentimiento para el uso comercial de mis datos debe
ser consentido expresamente. Formuladas estas alegaciones al Delegado de Protección
de Datos de Bankia, me indica que, al no aceptar recibir publicidad comercial
por todas las vías, no cumplo con lo que ellos consideran "perfil digital" y, por
ende, debo asumir comisiones y gastos que, en caso de aceptar recibir publicidad
comercial, no tendría.?
? Con fecha de entrada en esta Agencia 28/02/19, se presenta escrito por el
reclamante 3 (E/04093/2019, que se tramita con la referencia E/3825/2019), en la
que pone de manifiesto, entre otros extremos, lo siguiente: ?Tras años como cliente
de la entidad bancaria mencionada, comenzaron a cobrar comisiones a partir de
noviembre de 2018 en concepto de "CARGO POR COBRO DE SERVICIOS". Al
preguntar a la entidad acerca de estos conceptos su respuesta fue que, (?)- en
relación con la reclamación que ha puesto por el cobro de comisiones en su cuenta
On, le indicamos que lo que está generando este cobro es que tiene que modificar
que SI fue similar: "Los clientes de la Cuenta ON deberán aceptar la recepción
de publicidad y la cesión de sus datos personales a terceros o, en caso contrario,
recibirán una comisión mensual de cinco euros".
? Con fecha 08/04/19, tuvo entrada en esta Agencia escrito, presentado por
el reclamante 4, (E/05449/2019), afirmando que: ?Bankia me exige la cesión completa
de mis datos personales para no cobrarme una comisión mensual de 5 euros
, por lo que se vulnera el RGPD. Una de las condiciones de su Cuenta ON para
no tener cobro de comisiones es haber aceptado la totalidad del consentimiento de
cesión de datos. Cuando se me preguntó sobre ese tema en su web, rechacé el
envío de publicidad y mensajes comerciales a mi correo electrónico y mi teléfono,
y en ningún momento recibí información de que se me cobrarían comisiones de
mantenimiento de no aceptar. Siento que me extorsionan para quedarse con mis
datos y así poder mandarme spam y correo comercial no deseado a mis cuentas?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/117
? Con fecha 19/06/19, tuvo entrada en esta Agencia escrito, presentado por
la reclamante 5, (E/06961/2019), en el que manifiesta lo siguiente: ?Abrí una Cuenta
llamada: "CUENTA ON", en la que siguiendo unas determinadas directrices sobre
utilización de correo electrónico y el móvil para comunicaciones y correspondencia
, estás exento de pagar comisiones por el mantenimiento de la cuenta.
Hace unos meses decidí retirar el consentimiento de tratamiento de datos a:
1."recibir información personalizada sobre descuentos, promociones, productos,
servicios del sector financiero u otros, por cualquier canal en base a mis preferencias
personales"
2. "que Bankia consulte mis datos en los archivos de solvencia patrimonial y/o de
crédito, así como otras fuentes de información similares con el objetivo de ofrecerme
productos de financiación personalizados"
3. "Acepto participar en programas de fidelización, sorteos, concursos, encuestas y
programas de acción social o acciones similares, así como recibir noticias y/o comunicaciones
sobre los mismos a través de cualquier canal (papel, medios electrónicos
, telemáticos, digitales, etc.)."
Y consentimiento de cesión de datos: 4. "compartir mis datos personales con sociedades
y empresas participadas o colaboradores del grupo Bankia para que puedan
ofrecerme sus productos o servicios"
Como consecuencia de ello, Bankia ha comenzado a pasarme un cargo por cobro
de servicios de mantenimiento de cuenta de 5 euros al mes?.
? Con fecha 07/08/19, tuvo entrada en esta Agencia escrito, presentado por
el reclamante 6 (E/07830/2019), en el que expone que: ?Bankia ha cambiado las
condiciones de la cuenta corriente que tengo con ellos. Me obligan a aceptar recibir
publicidad de ellos y sus socios si no me cobran 5 euros mensuales de mantenimiento
SEXTO: Con fechas 09/05/19, 26/06/2019, 16/07/2019 Y 14/08/2019, a la vista de los
hechos expuestos en las reclamaciones y documentos aportados por los reclamantes,
la Subdirección General de Inspección de Datos procedió, de conformidad con lo previsto
en el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección
de Datos Personales y garantía de los derechos digitales, a dar traslado de las reclamaciones
recibidas al delegado de Protección de Datos de la entidad reclamada, a los
efectos previstos en el artículo 37 de la citada norma.
SÉPTIMO: Con fecha 11/06/19, la entidad reclamada, presenta escrito de contestación
al traslado de las reclamaciones primera, segunda y tercera, en el que se señala
lo que a continuación se transcribe respecto de las reclamaciones presentadas, sobre
las causas que han motivado las incidencias y las medidas adoptadas e información
sobre los clientes que han contratado las cuentas ON:
Respecto del reclamante 1.-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/117
Analizados los productos asociados al reclamante 1, se ha comprobado que el reclamante
es actualmente titular de una cuenta ON. En relación con dicho cliente, no
consta que por su parte se haya ejercitado derecho alguno ante la Entidad en relación
con sus datos, ni que se hayan modificado los consentimientos que fueron prestados
con fecha 19 de enero de 2018, en cuanto al tratamiento de sus datos para el envío de
comunicaciones comerciales no consintiendo la posibilidad de cesión de los datos a
empresas del Grupo Bankia.
Se adjunta contrato formalizado por el en el que constan los consentimientos prestados
en el sentido indicado. Asimismo, se ha comprobado que no consta reclamación
alguna iniciada frente a Bankia por parte de este cliente ni a través de su oficina gestora
, ni ante el Servicio de Atención al Cliente (?SAC?), ni ante la Oficina del Delegado
de Protección de Datos (?Oficina DPO?). En consecuencia, no tenemos constancia de
que se haya generado ninguna incidencia con este cliente, asociada a su cuenta ON.
Respecto del reclamante 2.-
En relación con el (reclamante 2), se ha comprobado de igual manera que dicho cliente
ha sido titular de una cuenta On si bien actualmente la misma se encuentra cancelada.
En cuanto a los consentimientos prestados hay que indicar que conforme consta en
nuestra base de datos el tratamiento de sus datos con finalidades comerciales no fue
inicialmente consentido en octubre de 2017, y posteriormente se mantuvo este no consentimiento
a través de la firma del correspondiente TDP de fecha 18 de agosto de
2018 a través de Bankia Online (BOL); todo ello según documentos nº2 y nº3 que se
acompañan.
En cuanto a las reclamaciones presentadas por este cliente, el mismo se dirigió tanto
a protecciondedatos@bankia.com, dirección de correo que consta en los contratos y
en la que los interesados pueden ejercitar sus derechos en relación con sus datos,
como a la Oficina del Delegado de Protección de Datos los días 6 y 7 de febrero de
2019 respectivamente, solicitando en ambos casos la retrocesión de los cargos por
cobros de comisiones que se habían realizado en su cuenta ON con fecha 1 de febrero
de 2019.
La contestación a su reclamación se realizó desde la oficina del Delegado de Protección
de Datos, con fecha 22 de febrero de 2019, informándole que el cobro de las comisiones
se debía al hecho de que, conforme establece su contrato, a la fecha de cobro
de las mismas no se estaban cumpliendo por los titulares los requisitos del perfil
digital por lo que en ese periodo no procedía aplicar la bonificación de determinadas
comisiones de la cuenta ON prevista contractualmente, entre otras la comisión de
mantenimiento y administración de la cuenta y la cuota de la tarjeta de débito ON asociada
a la misma.
En este sentido, se ofreció al cliente la posibilidad de cancelar dicho producto y contratar
otro de los que Bankia tiene disponible en su catálogo y en los que no aplicasen las
condiciones del perfil digital.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/117
Se acompañan como documentos nº4 y nº5 los correos que remitió el reclamante y las
contestaciones a los mismos enviadas desde la Oficina del DPD.
Posteriormente, con fecha 22 de mayo del 2019 el reclamante procedió a la cancelación
de la cuenta ON en su oficina, y presentó una reclamación ante el SAC reiterando
la solicitud de retrocesión de las comisiones generadas y mostrando su disconformidad
con las condiciones del citado perfil digital. Con motivo de dicha reclamación, con
fecha 24 de mayo de 2019 Bankia procedió al abono de las cantidades reclamadas.
Se adjuntan como documentos nº6 y nº7 reclamación recibida en el SAC y contestación
a dicha reclamación enviada al (reclamante 2).
Respecto del reclamante 3.-
Se ha verificado que tiene contratada una cuenta ON y ha presentado varias reclamaciones
en relación con la misma, conforme se detalla a continuación.
En cuanto a los consentimientos prestados, hay que indicar que conforme consta en
nuestra base de datos el tratamiento de datos con finalidades comerciales se encuentra
prestado en noviembre de 2018, modificándose parcialmente estos consentimientos
a través de la firma del correspondiente documento ?Modificación de Tratamiento
Autorizaciones? (?MTA?) tanto el 23 de febrero de 2019 como el 28 de febrero de 2019;
todo ello conforme documentos nº8, nº9 y nº10 adjuntos.
En cuanto a las reclamaciones presentadas por este cliente, se han localizado dos reclamaciones
presentadas ante el SAC en los meses de noviembre y diciembre de
2018, reclamando el cobro de comisiones en la cuenta ON de los respectivos meses.
Como resultado de esta reclamación, dichas comisiones fueron regularizadas, siendo
la causa que dio lugar a la regularización aplicada por el SAC el hecho de no haberse
localizado el contrato firmado con el cliente. Se adjuntan como documentos nº11,
nº12, nº13 y nº14 reclamaciones recibidas en el SAC y contestación a las mismas
Sobre las incidencias y las medidas adoptadas:
El propio requerimiento traslada los hechos que motivan las reclamaciones de los
clientes, que en extracto son los siguientes: ?Obligación de aceptar como clientes de la
?Cuenta ON? el consentimiento de tratamiento de sus datos personales, que aparecen
como premarcados o aceptados y en concreto, ?la recepción de publicidad y la cesión
de sus datos personales a terceros? para evitar el cobro de comisiones por el mantenimiento
de dicha cuenta.?
Sobre la base de lo trasladado y una vez analizado dicho extracto, así como el funcionamiento
de la cuenta ON en todas sus modalidades y el proceso de recogida de consentimientos
, se han alcanzado las siguientes conclusiones:
- No existe obligación de aceptar ningún consentimiento sobre el tratamiento de
datos personales en el proceso de contratación de la cuenta ON, habiéndose
comprobado que cualquier cliente puede contratarla sin que la prestación de
ese consentimiento impida su contratación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/117
- Cosa distinta es que el cliente cumpla con las condiciones del denominado
?perfil digital?, lo que puede suponer que en determinados productos la Entidad
pueda aplicar una exención de abono, es decir una exclusión del pago de determinadas
comisiones de los productos contratados que tienen ese tipo de
perfil y siempre que el cliente mantenga el mismo, según lo ya explicado. Lo
que está justificado en base al propio perfil digital de la relación entre el cliente
y la Entidad, y la ventaja de hacer más eficiente la misma mediante la utilización
de medios digitales en las comunicaciones comerciales.
- El proceso de gestión de consentimientos por parte de los clientes, que permite
no sólo prestarlos libremente y a través de cualquiera de los canales de la Entidad
, sino también modificarlos en cualquier momento y tantas veces como el
cliente quiera de manera ágil y sencilla, garantiza que dicho consentimiento se
preste libremente.
Indica que se ha procedido a enviar con fecha 11 de junio de 2019, comunicación a
los clientes sobre la presente solicitud de información en relación con las reclamaciones
trasladadas. Se adjunta, como documentos nº17, nº18 y nº19, copia de estas.
Información sobre clientes que han contratado las cuentas ON:
Se solicita por esa Agencia a Bankia que facilite la siguiente información: Número de
clientes que han contratado con Bankia S.A. las cuentas ?Cuenta On?, ?Cuenta On Nómina?
y ?Cuenta Un&Dos?, con indicación del número de clientes de cada cuenta y de
los clientes que aceptaron ?la recepción de publicidad y la cesión de sus datos personales
a terceros? y de los que no.
A fecha 31 de mayo de 2019: Producto ON Total Clientes
Cuenta ON Nómina 27.700
Cuenta Un & dos 1.178
Cuenta ON 1.168.122
En cuanto a los consentimientos prestados por los titulares de las cuentas On informadas
, se facilita asimismo la situación de dichos consentimientos a fecha 31 de mayo
de 2019:
cuenta Nº clientes Publicidad
(SI)
Cesión de
Datos (SI)
Publicidad
(NO)
Cesión de
Datos (NO)
ON Nómina 27700 26896 26896 804 804
Un & Dos 1178 1134 1119 44 59
ON 1168122 937942 924662 23180 243460
OCTAVO: Con fechas 25/07/19, 06/08/2019 y 12/09/2019 la entidad reclamada, presenta
escritos de contestación a los traslados de las reclamaciones, cuarta, quinta y
sexta, respectivamente. En dichos escritos se afirma lo siguiente:
Respecto del reclamante 4
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/117
?La reclamación de se basa en su no conformidad con los requisitos exigidos para el
cumplimiento del perfil digital en relación con la Cuenta ON.
El reclamante alega que Bankia le exige cumplir, entre otros requisitos, el de la cesión
completa de sus datos personales para tener derecho a la bonificación de la comisión
mensual de 5 euros pactada contractualmente.
Tras la recepción del citado requerimiento, desde la Oficina del Delegado de Protección
de Datos se ha procedido a verificar si previamente a dirigirse a la AEPD, el reclamante
ha iniciado alguna reclamación por este hecho ante la Entidad, bien a través de
su oficina gestora o bien dirigiéndose al Delegado de Protección de Datos y Privacidad
o al Servicio de Atención al Cliente. Realizada dicha comprobación, no consta reclamación
alguna iniciada frente a Bankia por parte de este cliente.
Conforme consta en los sistemas de Bankia, con fecha 20 de julio de 2018 el (reclamante
) otorgó sus consentimientos a través de Bankia Online firmando el documento
?Tratamiento de Datos Personales? (en adelante, ?TDP?). Copia de dicho documento
se adjunta como documento nº1.
Estos consentimientos fueron modificados parcialmente, con fecha 8 de abril de 2019,
por el reclamante a través del mismo canal, procediendo en este caso a la firma del
documento ?Modificación de Tratamiento Autorizaciones? (en adelante, ?MTA?). Se adjunta
copia de dicho documento como documento nº2, en el que constan otorgados
positivamente todos los consentimientos y así continúan a fecha de emisión del presente
informe.
Respecto de la afirmación del reclamante sobre la exigencia de cesión completa de
los datos personales para la exención del cobro de la comisión de mantenimiento, hay
que indicar que se ha verificado que el hecho de que se consienta o no que Bankia
trate sus datos con determinadas finalidades comerciales no ha condicionado, en ningún
caso, la contratación de la Cuenta ON ni de ningún otro producto de la Entidad
por el reclamante.
Cosa distinta es que éste cumpla con las condiciones del denominado ?perfil digital?, lo
que supone que Bankia pueda aplicar una exención de abono de comisiones, es decir
una exclusión del pago de determinadas comisiones para aquellos clientes que tienen
ese tipo de perfil y siempre que se mantenga el mismo.
Respecto del reclamante 5
?Según consta en los sistemas de Bankia, con fecha 16 de junio de 2015 la reclamante
otorgó sus consentimientos en sentido positivo en una oficina de la Entidad, para lo
cual firmó el documento ?Tratamiento de Datos Personales? (?TDP?). Se adjunta copia
de dicho TDP como documento nº1.
Estos consentimientos fueron modificados por la reclamante el pasado 22 de enero de
2019, a través de Bankia Online (BOL) mediante la firma de un nuevo documento TDP
en el que constaban otorgados negativamente todos los consentimientos. Se adjunta
copia de dicho TDP como documento nº2.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/117
Posteriormente, estos consentimientos han sido modificados nuevamente y de manera
parcial por la reclamante con fecha 19 de junio (en dos ocasiones a las 18:33 y 19:13),
30 de junio y 11 de julio de 2019 a través de Bankia Online, procediendo a la firma de
los correspondientes documentos de ?Modificación de Tratamiento Autorizaciones?
(?MTA?). Se adjunta copia de los correspondientes MTA como documentos nº 3, 4, 5 y
6.
Respecto de la supuesta vulneración del derecho de oposición de la reclamante a recibir
información personalizada sobre descuentos, promociones y productos financieros,
así como a la cesión de sus datos personales a empresas del grupo o colaboradores,
ha de indicarse que el hecho de que la reclamante haya consentido o no ambos tratamientos
no ha condicionado, en ningún caso, el proceso de contratación de la Cuenta
On ni el ejercicio de sus derechos como parte interesada.
Bankia ha atendido cumplidamente su derecho de oposición, en tanto en cuanto ha
podido modificar y puede hacerlo nuevamente por cualquiera de los canales de la entidad
, sus consentimientos (en el caso de la reclamante, en hasta en cinco ocasiones).
Cosa distinta es que la reclamante cumpla con las condiciones del denominado ?perfil
digital?, que supone que Bankia pueda aplicar una exención de abono de comisiones,
es decir una exclusión del pago de determinadas comisiones pactadas contractualmente
para aquellos clientes que cumplan ese tipo de perfil y durante el tiempo que se
mantenga el mismo.
Respecto del reclamante 6:
?El reclamante contrató una Cuenta On y con esa misma fecha, otorgó positivamente
sus consentimientos mediante la firma del correspondiente documento ?Tratamiento de
Datos Personales? (en adelante, ?TDP?). Se adjunta copia del contrato de la Cuenta
On como documento nº1 y copia del TDP formalizado como documento nº2.
Estos consentimientos fueron actualizados y revocados posteriormente por el reclamante
con fecha 25 de mayo de 2019, a través de Bankia Online, mediante la firma de
un nuevo TDP. Se adjunta copia de dicho TDP como documento nº3. Posteriormente,
el reclamante modificó parcialmente sus consentimientos los días 3 y 8 de julio de
2019, procediendo en estos casos a la firma del documento ?Modificación de Tratamiento
Autorizaciones? (en adelante, ?MTA?). Se adjunta copia de ambos documentos
como documento nº4 y documento nº5 respectivamente.
Asimismo, dicho escrito concluye que ?Las condiciones que ha de cumplir el reclamante
como titular de una Cuenta On para tener perfil digital son las que constan en el
contrato firmado por el reclamante el 21 de noviembre de 2016, sin que hayan sido
modificadas por Bankia en ningún momento en contra de lo manifestado en la reclamación.
Asimismo, no existe obligación de aceptar ningún consentimiento sobre el tratamiento
de datos personales en el proceso de contratación de la Cuenta On.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/117
Cosa distinta es que el cliente cumpla con las condiciones del denominado ?perfil digital?, lo que puede suponer que en determinados productos la Entidad pueda aplicar
una exención de abono, es decir una exclusión del pago de determinadas comisiones
de los productos contratados que tienen ese tipo de perfil y siempre que el cliente
mantenga el mismo, según lo ya expuesto. Lo que está justificado en base al propio
perfil digital de la relación entre el cliente y la Entidad, y la ventaja de hacer más eficiente
la misma mediante la utilización de medios digitales en las comunicaciones comerciales.
Y en este sentido se ha contestado al reclamante, aportándose copia de dicha comunicación
como documento nº6?.
-Los 3 escritos reiteran en lo sustancial las conclusiones expuestas en el escrito de
11/06/19, y que se reflejan en el punto anterior en el apartado ?sobre las incidencias y
medidas adoptadas?
NOVENO: Se acumulan todas las reclamaciones al expediente E/02026/2019.
DÉCIMO: Con fecha 12/12/2109, al amparo de los poderes de investigación otorgados
a las autoridades de control en el artículo 57.1 del RGPD, se realiza visita de inspección
en el establecimiento de Bankia, en la que, como consta en el acta correspondiente
, los representantes de dicha entidad manifiestan, a preguntas de los inspectores
, lo siguiente:
? Respecto al denominado perfil digital
Como se ha indicado, al mantener el perfil digital, el cliente de productos ON de
BANKIA se beneficia de una serie de bonificaciones en las comisiones.
Según consta en los documentos informativos específicos (IPE ? Información contractual
Específica) actuales de los productos ON, tales como la CUENTA ON y TARJETA
DE DEBITO ON, el perfil digital se ostenta cuando:
- ?Todas las operaciones realizadas con la cuenta y la tarjeta se lleven a cabo a través
de los canales a distancia de los que disponga Bankia en cada momento (Bankia Online
, APP Bankia, Oficina Telefónica, Cajeros, ?).
- Todos los titulares tengan dado de alta el Servicio de correspondencia por Bankia
Online, no recibiendo comunicaciones de Bankia en papel.
- Todos los titulares hayan facilitado a Bankia su número de teléfono móvil y correo
electrónico.
- Tengan aceptado y activado el servicio de mensajería PUSH a través de App
Bankia.?
La cuarta condición para ostentar el perfil digital, relativa al servicio de mensajería
PUSH, ha sido añadida desde el 15/12/2019 para las nuevas contrataciones de productos
ON, a la vez que se eliminan las siguientes condiciones:
- ?Todos los titulares hayan autorizado a Bankia, mediante la suscripción del documento
de Tratamiento de datos Personales, documento equivalente o contrato correspon-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/117
diente, el tratamiento de sus datos personales para el envío de comunicaciones comerciales
por cualquier canal de comunicación habilitado, incluidos correo electrónico
y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del documento
de Tratamiento de datos Personales, documento equivalente o contrato correspondiente
, la cesión de sus datos personales a empresas de su grupo para el análisis de
su perfil a efectos comerciales.?
Para los clientes que ya disponían de algún producto ON las nuevas condiciones aplicarán
desde el 16 de febrero, es decir, transcurridos dos meses desde que se les comunica
esta modificación contractual habiéndose remitido las comunicaciones el pasado
15 de diciembre.
Indica que las dos condiciones indicadas se han eliminado en las nuevas contrataciones
, y si bien estarían previstas contractualmente para los clientes preexistentes hasta
que las mencionadas modificaciones comunicadas sean efectivas el 16 de febrero,
BANKIA no tiene en cuenta estas dos condiciones a efectos de bonificar o no las comisiones
desde el pasado 16 de octubre.
? Respecto a los consentimientos
BANKIA, para aquellos tratamientos cuya base jurídica es el consentimiento, dispone
de un sistema que permite la recogida, modificación y gestión de estos consentimientos
, así como la trazabilidad de las modificaciones efectuadas, denominado Modulo
General de Consentimientos.
Este Módulo también registra los ejercicios de derechos de los clientes y permite llevar
su gestión de forma centralizada.
El listado de consentimientos se estructura en tres bloques principales con las siguientes
finalidades asociadas:
- Envío de comunicaciones comerciales
- Participación en programas de fidelización, sorteos, de acción social y otros similares.
- Cesión de datos a terceros.
Los consentimientos constituyen así una lista multinivel numerada de tal forma que los
consentimientos más generales se encuentran en un nivel de numeración superior y
los específicos en un nivel inferior. De esta forma se otorga el consentimiento o no de
forma general, por ejemplo, para el envío de comunicaciones comerciales, y de forma
específica para cada canal a través del cual se pueden recibir las comunicaciones.
Los consentimientos quedan registrados en un documento denominado Tratamientos
de Datos Personales (TDP) que incluye información de protección de datos al cliente.
Este documento es siempre firmado por el cliente durante el proceso de alta, previo a
la contratación de cualquier producto, tanto por banca on-line (con clave de firma) o
presencialmente en la oficina, en una Tablet que le es suministrada (tableta digital que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/117
también es utilizada para recoger la firma de los contratos y las operaciones transaccionales
ejecutadas por cualquier cliente).
Cuando se modifican los consentimientos, estos quedan registrados en un documento
similar denominado Modificación Tratamiento Autorizaciones (MTA). Este documento
también queda firmado por el cliente.
BANKIA reformó y actualizó la lista de consentimientos con ocasión de la entrada en
vigor del RGPD en mayo de 2018 y remitió una comunicación a todos los clientes informando
de la entrada en vigor del nuevo Reglamento, iniciando un nuevo proceso de
recogida de consentimientos.
Cuando se puso en funcionamiento la nueva lista de consentimientos debido a una incidencia
en el canal on-line que exigió realizar adaptaciones en los sistemas (afectó
únicamente a clientes de cuenta ON contratada por canal on-line) entre el 8 de julio y
el 15 de agosto de 2018 los consentimientos se mostraban premarcados, en estado de
aceptación (?consiento?), para los nuevos clientes. Es decir, cuando un nuevo cliente
se daba de alta por el canal on-line, los consentimientos se encontraban premarcados
durante el proceso de alta, no ocurriendo en las altas en oficina.
También, para los clientes preexistentes, durante este periodo, los nuevos consentimientos
(que no existían anteriormente sobre los que por tanto el cliente no se había
expresado) se marcaron con estado de aceptación, pero los consentimientos preexistentes
sobre los cuales ya habían expresado su autorización o denegación se encontraban
en el estado que el cliente había decidido.
Hay que tener en cuenta que, a raíz de la integración de 7 Cajas de Ahorro a favor de
BANKIA del 2011, y de la fusión de Bankia con BMN de 2017 (a su vez BMN se conformó
con 4 cajas de Ahorros) se partía de consentimientos recabados de diferentes
formas para cada conjunto de clientes de cada una de las once cajas integradas, con
un total de unos ocho millones de clientes, por lo que se partía de una situación compleja.
Al unificar los consentimientos y pasar a existir una lista única y común para todos los
clientes de BANKIA, con independencia de su Caja de Ahorros de origen, quedaron situaciones
en las cuales algunos clientes originarios de algunas Cajas podían tener
consentimientos ya autorizados o denegados, y otros no. Todo ello se tuvo en cuenta
al
premarcar los consentimientos, no sobrescribiendo el estado en aquellos en los que el
cliente ya se había expresado.
A partir del 16 de agosto de 2018 los consentimientos premarcados en estado de
aceptación o ?consiento? (color verde en la aplicación) se pasan a mostrar a ?no consiento?
(color rojo), y pasaron finalmente al estado de ?no recabado? (color gris) en febrero
de 2019.
Estadística: Se han recabado los consentimientos de unos 5.842.000 clientes de los
8.281.000 que tiene la entidad en estos momentos. Los clientes que faltan por contestar
constituyen un 29%, se corresponden con clientes poco activos, y sus consentimientos
se encuentran sin marcar. No obstante, para cualquier tratamiento estos consentimientos
se consideran en estado ?no? para evitar su uso.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/117
De los que han contestado, el 89% han aceptado todos los consentimientos, el 7,5%
han contestado aceptando parcialmente, y el 3,2% han contestado a todos ?no consiento?.
El número de clientes que pasaron el proceso de alta en el periodo comprendido entre
el 08/07/2018 y el 15/08/2018 (productos ON a través de canal on-line), son un total de
2.562 (de los cuales 2.192 siguen activos y 270 han cancelados). De los clientes que
siguen activos 38 han modificado los consentimientos posteriormente.
Por todo ello quedan 2.154 clientes activos que prestaron los consentimientos premarcados
y no los han modificado posteriormente, suponiendo el 0,16% del total de consentimientos
prestados por banca on-line y el 0,03% del total de consentimientos recabados
del total de clientes que constan en la base de datos de BANKIA.
Resaltar que los clientes pueden modificar sus consentimientos on-line en cualquier
momento, tantas veces como deseen modificarlos y por cualquiera de los canales habilitados
(BANKIA Online, App BANKIA u oficina) independientemente del canal por el
que los hayan prestado.
En la actualidad, y desde antes del 25/05/2018, cuando un nuevo cliente se da de alta
en BANKIA, tanto on-line como en oficina, debe rellenar los consentimientos generándose
el documento ya mencionado denominado Tratamientos de Datos Personales
(TDP), que firma. No se puede continuar el alta del cliente sin la firma de dicho documento.
Los consentimientos se encuentran sin marcar (en gris), teniendo que marcar
el cliente su decisión de consentir o no.
Todos los empleados de BANKIA pueden consultar los consentimientos de los clientes
on-line, así como los cambios que los clientes han efectuado y los documentos de consentimientos
firmados.
Existe también trazabilidad de los consentimientos anteriores al RGPD.
Los inspectores de la Agencia solicitan el acceso al Módulo de Gestión de Consentimientos
realizando las siguientes comprobaciones:
- Se accede mediante código de usuario y contraseña de empleado de BANKIA a los
datos de los consentimientos prestados por una de las personas presente en la sala,
cliente de la entidad, comprobándose que se encuentra suscrito el documento de Tratamiento
de Datos Personales (TPD) con fecha 21 de mayo de 2018. Se accede también
a las modificaciones efectuadas posteriormente sobre los consentimientos (documentos
MTA) así como al estado de los consentimientos en la actualidad.
? Respecto a las cesiones de datos
Aunque se ha solicitado el consentimiento a los clientes, BANKIA no ha cedido sus datos
personales ni a las empresas del grupo ni a otras entidades colaboradoras tomando
como base estos consentimientos generales del TDP ni existe previsión de ello.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/117
Los consentimientos para cesiones se pidieron como medida general. En caso de realizarse
una cesión, se pediría otra vez un consentimiento específico a los clientes involucrados.
Consta adjunto al acta de inspección copia del consentimiento especifico solicitado
para la cuenta UNI&DOS para la entidad ***ENTIDAD.1 (para elaboración de
lista de bodas).
Este consentimiento específico no constituye una necesidad legal ya que se cuenta
con el consentimiento general recabado. No obstante, BANKIA ha considerado recabar
un consentimiento específico por compromiso ético con sus clientes.
Además, en caso de producirse una cesión en el futuro, el proyecto pasaría a ser informado
por la Oficina del DPO, que estudiaría y aplicaría tanto los criterios de cumplimiento
normativo como los éticos, tomando las medidas adecuadas al caso concreto
que se planteara.
No existe ningún link o documento publicado que contenga el listado de empresas colaboradoras
ya que no existe ninguna a la que se cedan datos en base al consentimiento
general recabado mediante el TDP.
Las cesiones que se realizan se llevan a cabo mediante consentimientos ad hoc de los
clientes implicados.
DECIMOPRIMERO: Con fecha 21 de febrero de 2020, se procede a declarar el
archivo de las actuaciones previas E/2026/2019, por haber transcurrido el plazo de 12
meses desde el inicio de estas, de acuerdo con lo previsto en el artículo 67 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales. Asimismo, al amparo de lo previsto en el artículo 95.3 de la Ley
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas se ordena la apertura de nuevas actuaciones de
investigación, incorporando a estas nuevas actuaciones la documentación que integra
las actuaciones previas que se declaran caducadas.
DECIMOSEGUNDO: En el marco de las nuevas actuaciones previas E/01904/2020,
con fecha 12/03/2020 se emite un requerimiento de información a BANKIA, SA (en
adelante BANKIA) solicitando información con relación a los clientes que pasaron el
proceso de alta de productos ON a través de canal on-line en el periodo comprendido
entre el 08/07/2018 y el 15/08/2018 (los 2.562 clientes que encontraron los consentimientos
premarcados, según la información que consta en el acta de inspección de referencia
E/2026/2019/I-01). También se solicita información con relación a todos los
clientes de productos ON y sobre el volumen de negocio total anual global de
BANKIA.S.A.
DECIMOTERCERO: Con fecha 26 de marzo de 2020 tiene entrada en esta Agencia
solicitud de ampliación de plazo para dar respuesta al requerimiento. Concedido el
mismo se recibe respuesta con fecha 18 de junio de 2020, en la que se señala que al
período de ampliación de plazo para contestar debe añadirse la suspensión de plazos
prevista en la Disposición Adicional Tercera del Real Decreto 463/2020 de 14 de marzo.
Respecto a la información solicitada manifiesta lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/117
?1 Respecto de los clientes que pasaron el proceso de alta de productos ON a través
de canal on-line en el periodo comprendido entre el 08/07/2018 y el 15/08/2018 (los
2.562 clientes que encontraron los consentimientos premarcados, según la información
que consta en el acta de inspección de referencia E/2026/2019/I-01):
Número de estas personas que no han modificado sus consentimientos ni han causado
baja en la entidad hasta la fecha de la respuesta al requerimiento. De los 2.562
clientes que dieron de alta una cuenta On a través de Bankia Online en el periodo indicado
, a fecha 9 de junio de 2020 seguían siendo clientes de la entidad un total de
2.171 clientes. Los 391 clientes restantes han dejado de tener posiciones activas con
Bankia, y por tanto ya no son clientes de la entidad. Asimismo, de estos 2.171 clientes,
1.359 clientes han modificado sus consentimientos al menos una vez con fecha posterior
al 15/08/2018 y los 812 clientes restantes no lo han modificado en ninguna ocasión
desde que los prestaron en el momento de alta de la cuenta On.
Estos 812 clientes representan el 0,06% del total de clientes titulares de cuenta On y el
0,009% del total de clientes de Bankia. Se trata de clientes con los que se ha intentado
contactar sin éxito, por parte de sus gestores, y que no consta que hayan tenido interacciones
en los últimos meses con la entidad por ninguno de los canales, ya que de
haber interactuado bien presencialmente en su oficina o bien a través de canales no
presenciales (incluso en modo consulta), se habrían recabado de nuevo los consentimientos
conforme se expone más adelante.
De hecho, se trata de cuentas On sin movimientos ni actividad significativa alguna en
los últimos meses o, en muchos casos, con saldos en negativo a regularizar, habiéndose
intentado el contacto con los titulares en varias ocasiones sin que se haya conseguido.
No obstante lo anterior, a todos ellos (al igual que al resto de los clientes de Bankia) se
les realizó comunicación en diciembre de 2019, informándoles de la modificación de
las condiciones para el cumplimiento del perfil digital por las que a partir de febrero de
2020 dejaban de ser condición para cumplir dicho perfil, y por ende para beneficiarse
de la exención de comisiones, las relativas a haber autorizado Bankia, mediante la
suscripción del documento de Tratamiento de Datos Personales, documento equivalente
o contrato correspondiente, el tratamiento de sus datos personales para el envío
de comunicaciones comerciales por cualquier canal de comunicación habilitado, incluidos
correo electrónico y teléfono móvil y haber autorizado a Bankia, mediante la suscripción
del documento de Tratamiento de Datos Personales, documento equivalente o
contrato correspondiente, la cesión de sus datos personales a empresas de su grupo
para el análisis de su perfil a efectos comerciales.
No obstante, lo anterior, por una decisión comercial de la Entidad que anticipaba el
cambio en la política de posicionamiento comercial de Bankia que se comunicó a los
clientes en diciembre de 2019, a partir del 16 de septiembre de 2019 no se consideró
la autorización para la cesión de datos a empresas del grupo como requisito necesario
para cumplir el perfil digital a efectos de la exención o cobro de comisiones.?
?2. De estos clientes, cuántos han sido objeto de campañas publicitarias por parte de
BANKIA desde el 15/08/2018 hasta la fecha. Fechas de las campañas publicitarias
emitidas. Los 812 clientes que no han modificado sus consentimientos ni han causado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/117
baja en la entidad, han sido objeto de alguna acción comercial a través de correo electrónico
o SMS. Estas acciones se han desarrollado en el periodo comprendido entre
agosto de 2018 (fecha de alta) y abril de 2020 (en mayo se inició el proceso de contacto
y nueva recogida de consentimientos de estos clientes que se explica en el siguiente
apartado, marcando sus consentimientos como denegados hasta tanto se recabasen
nuevamente).
3. Información sobre si BANKIA ha realizado o va a realizar alguna acción con dicho
colectivo para obtener sus consentimientos sin opciones premarcadas. La gestión de
los consentimientos respecto de los datos de carácter personal por parte de los clientes
se puede realizar en cualquier momento y tantas veces como quieran, bien presencialmente
en cualquier oficina de Bankia o bien a través de cualquiera de los canales
no presenciales de que dispone la Entidad (Bankia Online o App Bankia). Una vez
prestados e independientemente del canal por el que se hayan prestado, el cliente
puede volver a modificar dichos consentimientos cuando así lo desee por cualquiera
de los canales disponibles. En cuanto a las acciones concretas realizadas con el colectivo
de clientes que prestaron los consentimientos con opción premarcada a través
de Bankia Online y en el periodo indicado (entre el 08/07/2019 y el 15/08/2019), se
han adoptado las siguientes:
? Se ha procedido a solicitar de nuevo los consentimientos a los clientes que no los
han modificado, aprovechando la primera interacción con la entidad por cualquiera de
los canales habilitados (oficina, Bankia Online o App Bankia). Esta obtención de los
nuevos consentimientos, desde una posición neutra a la opción de aceptación o no
aceptación que en cada caso sea elegida por el propio interesado para cada uno de
los consentimientos solicitados, se ha configurado como paso necesario para poder
continuar la operativa por cualquiera de los canales.
? Aquellos clientes que no hayan pasado este proceso se han considerado como
clientes que no han prestado su consentimiento a la entidad independientemente del
sentido de los consentimientos que prestaron en el proceso de alta de la cuenta On, y
se han marcado en sistemas como si hubieran denegado todos los consentimientos.
? A todos los titulares de cuenta On se les comunicó, en diciembre de 2019, el cambio
de condiciones del perfil digital, y la eliminación de los requisitos de haber autorizado
el envío de comunicaciones comerciales y de cesión de datos a efectos del cobro o
exención de comisiones.
? Se ha contactado por vía telefónica (a través de los correspondientes gestores) con
los clientes que no han modificado los consentimientos; en el caso de los 812 clientes
que aún no han pasado el proceso, si bien se ha intentado contactar con ellos en varias
ocasiones, el resultado ha sido infructuoso.
? Se ha iniciado el proceso de cancelación de aquellas cuentas inactivas y sin actividad
en los últimos meses.
4. Número total de clientes con productos ON a fecha del presente requerimiento. A
fecha 9 de junio de 2020, son titulares/cotitulares en Bankia de una cuenta On un total
de 1.256.352 clientes (653.463 cuentas).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/117
PUNTO 5. Estimación del total de comisiones cobradas durante el año 2019 a estos
clientes tanto por cuota mensual como por comisiones por apuntes u operaciones individuales
, al no cumplir o dejar de cumplir las condiciones del perfil digital.
El importe total de comisiones cobradas durante 2019 a titulares de cuentas On que
no han cumplido alguna de las condiciones del perfil digital ha sido de 2.367.954,32?
conforme el siguiente desglose:
Comisión de administración: 27.074,59?.
Mantenimiento /Inactividad: 297.633,91?.
Comisión mantenimiento: 2.043.245,91?.
Total: 2.367.954,32?.
Del total de comisiones cobradas durante 2019 por no cumplir alguno de los requisitos
del perfil digital, que devengan mensualmente si no se han cumplido dichos requisitos
durante el mes anterior, únicamente se ha devengado comisión en el caso de 2 clientes
de los 812 informados en el punto 1 y en un solo mes, siendo el importe anual global
cobrado por este concepto a cada uno de los dos clientes de cinco (5) euros. Hay
que resaltar que el cobro se ha podido producir por el incumplimiento, en el periodo
mensual de liquidación, de cualquiera de las condiciones del perfil digital, bastando
que se incumpla una de ellas para que no proceda la exención de las comisiones, por
ejemplo, utilizar el canal de oficina física, solicitar recibir las comunicaciones en papel,
etc.?
6. Estimación de las comisiones bonificadas durante el año 2019 (no cobradas, o dejadas
de cobrar, por el cumplimiento de perfiles digitales) de estos clientes. El importe
total de comisiones bonificadas (no cobradas) en 2019 a titulares de cuentas On ha
sido de 32.110.990? conforme el siguiente desglose:
Cuentas abiertas antes de 2019: 22.101.900?.
Cuentas abiertas en 2019: 10.009.090?.
Total: 32.110.990?.
7. Promedio de los ingresos anuales o mensuales declarados por los clientes de productos
ON. El cumplimiento de las condiciones del perfil digital que da lugar en las
cuentas On a la aplicación de la exención de comisiones, no va ligado a la necesidad
de disponer de un importe de ingresos anuales o mensuales determinado. Por consiguiente
, los titulares de cuentas On no han de declarar unos determinados ingresos
para abrir la cuenta ni para cumplir las condiciones del perfil digital.
8. Información sobre el volumen de negocio total anual global de BANKIA del ejercicio
financiero 2019. A estos efectos, se facilita la información recogida en el Informe Anual
de resultados 2019, publicado en la web de la Entidad, según el cual el margen neto
antes de provisiones de 1.428 millones de euros.
DECIMOCUARTO : Con fecha Con fecha 14/12/2020, tuvo entrada en esta Agencia
escrito, presentado por el reclamante 7 (E/00869/2021), en el que expone que es
titular de una cuenta On y que, desde la fecha de apertura de la citada cuenta, se le ha
venido cobrando mensualmente una comisión de mantenimiento de 5 euros (desde
agosto a diciembre de 2019). Manifiesta que realizada consulta con la entidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/117
reclamada en fecha 7 de noviembre, se le contestó que la comisión se cobraba por no
cumplir con el perfil digital.
La AEPD procedió a dar traslado de la reclamación recibida al delegado de Protección
de Datos de la entidad reclamada, de conformidad con lo previsto en el artículo 65.4
de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales.
Con fecha 04/03/2021 se recibe respuesta de la entidad reclamada aportando entre
otros documentos el contrato del interesado en el que consta que no había dado su
consentimiento a las condiciones exigidas para la exención de las comisiones, y un escrito
de dicha entidad al interesado en el que se le comunica que ?tal y como consta
en su contrato, la bonificación de determinadas comisiones de la Cuenta ON, entre
otras la comisión de mantenimiento y administración, está sujeta a que todos los titulares
mantengan un perfil digital.
No obstante, en caso de no cumplirse alguna de las condiciones de dicho perfil, su
Cuenta ON sigue plenamente operativa y Usted puede seguir disfrutando de todos los
servicios asociados a la misma, con las condiciones económicas y comisiones y gastos
aplicables según el contrato.
Asimismo, informarle que tal y como le fue informó el Servicio de Atención al Cliente
en la carta que le fue remitida con fecha 8 de enero de 2020, con el fin de afianzar su
relación con la Entidad, pese a no cumplir con las condiciones del perfil digital, Bankia
ha procedido al abono de las cantidades cobradas por este motivo.?
DECIMOQUINTO: Se accede a la página web de BANKIA, en la que puede leer lo
siguiente:
?Se informa al usuario de este website de que se ha producido la fusión por absorción
de Bankia, S.A. por CaixaBank, S.A., sucediendo la segunda entidad a la primera, de
forma universal en todos los derechos y obligaciones. De acuerdo con lo anterior, se
ha modificado la titularidad de este website, así como las direcciones para el envío de
quejas y reclamaciones y el ejercicio de derechos en materia de protección de datos.
Para más información haz click aquí.?
Se accede al Registro Mercantil constando entre los datos relativos a la entidad
BANKIA, S.A, la siguiente observación ?Extinción?. Consta asimismo que ?en fecha 18
de septiembre de 2020, en la página web corporativa de BANKIA, S.A.
www.bankia.com ha quedado inserto el proyecto común de fusión entre las sociedades
CaixaBank, S.A. -absorbente- y BANKIA, S.A.-absorbida-.?
DECIMOSEXTO: Con fecha 7 de mayo de 2021, la Directora de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a la entidad BANKIA,
S.A., actualmente CAIXABANK, S.A., de conformidad con lo previsto en el artículo
58.2 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de
27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al
Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (Reglamento
General de Protección de Datos, en lo sucesivo RGPD), por la presunta infracción del
artículo 7 del RGPD, tipificada en el artículo 83.5.a) del citado Reglamento; y por la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/117
presunta infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) del citado
Reglamento, determinando que la sanción que pudiera corresponder ascendería a un
total de 2.100.000 euros sin perjuicio de lo que resultase de la instrucción.
El acuerdo de inicio se notifica a la reclamada por medios electrónicos en fecha 7 de
mayo de 2021. La notificación es aceptada por la destinataria el 10 de mayo de 2021.
DECIMOSÉPTIMO: Con fecha 18 de mayo de 2021 tiene entrada en esta Agencia
escrito del delegado de protección de datos de CAIXABANK, S.A. en el que afirma
actuar en nombre y representación de la misma en virtud de su condición de delegado
de protección de datos, solicitando ampliación del plazo para formular alegaciones al
acuerdo de inicio del procedimiento sancionador y entrega de copia del procedimiento
administrativo. Con fecha 24 de mayo de 2021 se requiere acreditación de la
representación que ostenta en el plazo de 3 días desde la recepción de dicho
requerimiento. Con fecha 26 de mayo de 2021, tiene entrada en esta Agencia escrito
acompañado de poder notarial mediante el que se acredita dicha representación.
Con fecha 26 de mayo de 2021 se acuerda ampliar el plazo de alegaciones hasta el
máximo legal permitido y se remite copia del expediente administrativo a CAIXABANK,
S.A. La notificación del escrito y la entrega de la copia del expediente se llevaron a
cabo mediante mensajería postal en tanto que el volumen del expediente no permitía
su entrega por medios electrónicos. Los documentos fueron recibidos por dicha
entidad en fecha 26 de mayo de 2021. Obra en el procedimiento justificante de la
empresa de mensajería que prueba la recepción de la documentación en dicha fecha.
DECIMOCTAVO: En fecha 31 de mayo de 2021, CAIXABANK, S.A., presentó escrito
de alegaciones en el que solicita que se dicte resolución declarando la nulidad de
pleno derecho del procedimiento por los motivos que expone en sus alegaciones
primera y segunda o, en su defecto, acuerde su archivo o, en su defecto, la imposición
de una advertencia o apercibimiento o una reducción significativa de la cuantía
establecida en el acuerdo de inicio.
La citada entidad basa sus peticiones en las alegaciones que, resumidamente, se
exponen a continuación:
Primera.- De la indefensión producida a CAIXABANK como consecuencia de la fijación
del importe de la sanción en el acuerdo de inicio.
La fijación del importe de la sanción en el acuerdo de inicio del procedimiento, que se
justifica en el Fundamento de Derecho IV, produce indefensión al interesado que vicia
de nulidad el mismo. Entiende que determinar en dicho acto el reproche sancionador,
evaluando incluso las atenuantes y agravantes concurrentes sin motivarlas
mínimamente, sobre las que no ha tenido ocasión de manifestarse, afecta a la
aplicación de los principios fundamentales del derecho penal, aplicables con ciertas
matizaciones al procedimiento administrativo sancionador, como ha puesto de
manifiesto reiterada jurisprudencia.
Considera que el acuerdo de inicio excede del contenido legalmente previsto, por
cuanto únicamente debería incorporar los límites de la posible sanción que pudiera
imponerse, y no determinar una cuantía específica que implica la valoración sumaria
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/117
de las circunstancias concurrentes. El acuerdo dictado va más allá de lo admitido en el
artículo 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (en lo sucesivo LOPDGDD).
Esta valoración anticipada y carente de motivación de la responsabilidad de
CAIXABANK, indicando incluso las atenuantes y agravantes, aunque sea por su mera
mención, y aun cuando se pretenda dejar a salvo lo que proceda finalmente en función
de la instrucción, a juicio de esa entidad, se realiza inaudita parte, sin alegación alguna
de la imputada que permitiera al órgano sancionador valorar las circunstancias
apreciadas a la luz de dichas alegaciones, generando indefensión a la parte.
Produce, igualmente, indefensión el hecho de que la cuantía procede de la mera
enumeración de circunstancias, sin exponer el modo en que afectan a la
responsabilidad.
El hecho de que el Órgano Sancionador establezca en el Acuerdo de Inicio el importe
de la sanción que, a su juicio, procede imponer a CAIXABANK afecta a la
imparcialidad del órgano instructor designado en el mismo acuerdo de inicio de
procedimiento, que conoce antes de iniciar el procedimiento el criterio del órgano al
que finalmente elevará el expediente, del que depende jerárquicamente. Ello supone
una ruptura del principio de separación entre la fase instructora y de sanción (artículo
63.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas -en lo sucesivo LPACAP), privando al instructor de un
conocimiento objetivo de los hechos y de la posibilidad de realizar una valoración de
las circunstancias derivadas de la instrucción.
Alega que el artículo 64 de la LPACAP, invocado en el Acuerdo de Inicio no supone
una importante innovación del ordenamiento jurídico respecto al régimen sancionador
vigente con anterioridad, todas las normas reguladoras del procedimiento
administrativo desde la originaria Ley de 1975 han impuesto siempre que se determine
el importe de la sanción que pudiera proceder. Entiende que la mera entrada en vigor
de una disposición que nada afecta al régimen anteriormente vigente puede habilitar al
órgano sancionador en un procedimiento a valorar, a priori, y sin haber tramitado el
procedimiento, las circunstancias atenuantes y agravantes en su conducta,
estableciendo expresamente sin instrucción alguna el importe de una sanción e
influyendo en la decisión del órgano instructor.
Asimismo, tampoco el artículo 85.1 de la LPACAP exige esa previa determinación del
importe, dado que no se refiere a una sanción preestablecida, sino a la imposición de
la sanción que proceda. Esta norma, aplicable ?iniciado el procedimiento?, prevé que el
reconocimiento de responsabilidad podrá determinar la imposición de la sanción ?que
proceda?, de forma que esa fijación parece preverse con posterioridad al propio
reconocimiento de responsabilidad.
Además en su apartado 3, el mismo artículo prevé que las reducciones deberán
adoptarse sobre la sanción ?propuesta?, lo que exige que efectivamente se haya
determinado en el procedimiento cuál es ese importe, lo que conduce a la conclusión
de que será en la propuesta de resolución el momento idóneo para la determinación
del citado importe, dado que solo entonces el encartado ya habrá podido ser oído y
sus argumentos tomados en consideración en la propuesta de resolución, que además
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/117
habrá podido ser adoptada libremente por el órgano competente para la instrucción sin
influencia alguna del órgano sancionador sobre la acción instructora.
Segunda.- De la indefensión generada a CAIXABANK en la tramitación del presente
procedimiento.
Alega, en primer término, que el expediente solamente ha sido trasladado a
CAIXABANK el día 27 de mayo de 2021, cuando únicamente quedaban dos días
hábiles para la formulación de alegaciones, sin ni siquiera acordar en la mencionada
fecha la ampliación del plazo para su formulación por cinco días a partir de la
recepción del expediente, dado que en la misma fecha se aclaró que el plazo de
ampliación solicitado comenzaba a computarse el día 24 de mayo, es decir 3 días
antes de la recepción del expediente. Considera que en la práctica, la emisión de
alegaciones se ha reducido a un plazo de dos días hábiles lo que le genera una
situación de absoluta indefensión.
En segundo lugar, señala que al margen de los traslados de las distintas
reclamaciones y la actuación de la AEPD se ha limitado a un requerimiento inicial de
información, una visita de inspección nueve meses después de iniciarse las
actuaciones de investigación y a la realización de un requerimiento de información
cuando aquéllas ya habían caducado y no habían sido ?reemplazadas por otras?, no
acordando la apertura del procedimiento hasta transcurridos casi once meses desde
que se dio respuesta a ese requerimiento.
Entiende que dada la secuencia de los hechos que se desprende del acuerdo de
inicio, la AEPD había decidido admitir a trámite la primera de las reclamaciones en
fecha 21 de febrero de 2019, dado que en la misma acordó la iniciación de la
actuaciones previas de investigación. Considera así que aun cuando con las siete
reclamaciones formuladas contra su entidad se indique que las mismas se fundaban
en lo dispuesto en el artículo 65.4 de la LOPDGDD, tal base jurídica falta a la realidad
del contenido de dicha norma, puesto que la misma se aplica únicamente en los
supuestos en que el traslado se lleva a cabo a fin de resolver sobre la admisión a
trámite y siempre con el objetivo de determinar cuál será la decisión que sobre esta
cuestión haya de adoptarse. No obstante, la AEPD había decidido investigar los
hechos sobre los que versaban las reclamaciones mediante la iniciación de
actuaciones de investigación el día 21 de febrero de 2019.
Lo que acaba de indicarse, unido al carácter completamente idéntico de las
reclamaciones formuladas, no hace sino poner de manifiesto la manifiesta inactividad
en que ha incurrido la AEPD a lo largo de la tramitación del presente procedimiento, en
perjuicio de los derechos y de las garantías de CAIXABANK, siendo así que, además,
la AEPD ha acordado prolongar de un modo completamente artificial la duración de
dichas actuaciones hasta el punto de duplicar su duración frente a la legalmente
establecida en el artículo 67 de la LOPDGDD sobre la única base de la declaración de
caducidad de dichas actuaciones para proceder a la apertura en la misma fecha de
otras distintas sobre idénticos hechos y supuestas infracciones de la normativa de
protección de datos personales.
Entiende que frente a ello no cabe alegar que durante esos más de nueve meses se
realizaron sucesivos traslados de información a su entidad, debiendo estar la AEPD a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/117
la respuesta otorgada a los mismos por aquél, dado que, como ha quedado ya
señalado, los traslados tienen por objeto resolver sobre la admisión a trámite de las
reclamaciones, siendo así que en este caso dichas actuaciones, relacionadas con los
hechos objeto de las reclamaciones, se encontraban admitidas a trámite desde el
acuerdo de inicio de actuaciones de investigación.
De este modo, la realización de únicamente dos actuaciones concretas de
investigación a lo largo de más de veinticuatro meses evidenciaría la existencia de una
situación que podría ser constitutiva de fraude de ley en la utilización, en perjuicio de la
entidad investigada, de la facultad otorgada por el artículo 95.3 de la LPACAP para
alargar de forma completamente artificiosa la duración de las actuaciones de
investigación, mediante el archivo de las inicialmente llevadas a cabo y la apertura (o,
permítasenos, ?reapertura?) en perjuicio de CAIXABANK.
Alega que en este sentido resulta aplicable al presente caso, mutatis mutandis, la
doctrina sentada por la Audiencia Nacional en su sentencia de 17 de octubre de 2007
(recurso 180/2006), en la que se ponía de manifiesto la ilicitud de la prolongación
inadecuada o infundada, y fundada exclusivamente en su inactividad de las
actuaciones previas de investigación. Considera CAIXABANK que puede apreciarse
en la actuación de la AEPD, la concurrencia de los elementos exigidos por el artículo
6.4 del Código Civil para apreciar la concurrencia en la misma de fraude de ley, lo que
debería conducir a la nulidad del presente procedimiento sancionador.
Tercera.- Sobre la libertad del consentimiento prestado por los clientes en el momento
de suscribir la cuenta ON y la inexistencia de vulneración del artículo 7 del RGPD.
1. Del contenido del Acuerdo de Inicio.
Entiende CAIXABANK que el razonamiento de la AEPD en el que viene a considerarse
que el cobro de comisiones como consecuencia de la contratación de los productos a
los que se refiere el Acuerdo de Inicio a quienes no reunieran los requisitos
establecidos para que pudiera considerarse que el cliente mantenía el denominado
?perfil digital?, implica una consecuencia negativa para el mismo, supone un
desconocimiento de la naturaleza de los contratos a los que se viene haciendo
referencia y de los elementos objetivos que forman parte de los mismos lo que, a su
vez, da lugar a una incorrecta interpretación del requisito del consentimiento
relacionado con su carácter ?libre?.
La aplicación al cliente de una comisión no puede en modo alguno considerarse como
una ?consecuencia negativa? de la celebración de un contrato de cuenta corriente
bancaria, sino como la contraprestación que el cliente ha de satisfacer como
consecuencia del servicio contratado con la entidad financiera. De este modo, no
cabría nunca hacer referencia a la existencia de una carga, gravamen o ?consecuencia
negativa? impuesta a quien no preste su consentimiento al tratamiento de sus datos
personales en el marco de la delimitación del denominado ?perfil digital?, sino de la
obtención de un beneficio a quien sí preste ese consentimiento, consistente en la
rebaja o exención del abono de su contraprestación en el citado contrato.
Considera que la actuación de la entidad que podría derivar en una limitación del
requisito de libertad del consentimiento prestado al tratamiento de sus datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/117
personales no puede ser la exigencia del abono de la contraprestación que por
definición forma parte del contenido del contrato, sino la imposición de un gravamen o
carga adicional a dicha contraprestación. En este sentido se pronuncian las propias
Directrices del EDPB, que en el ejemplo mencionado en el Acuerdo de Inicio no
consideran limitación a la libertad del consentimiento la exigencia del abono de
comisiones, sino el ?aumento? de las mismas.
Por el contrario, nada en el RGPD ni en su desarrollo en el derecho español por la
LOPDGDD, viene a determinar que el consentimiento deje de ser libre por el hecho de
que se otorgue a quien lo facilita algún tipo de beneficio, ventaja o incentivo (ya que la
exención del abono de una comisión reúne estos caracteres) sobre las condiciones
que, conforme a las cláusulas del contrato, deberían cumplirse con carácter general. Y
es ésta, y no la indicada en el Acuerdo de Inicio, la situación que concurre en el
presente supuesto.
Indica, respecto a la naturaleza jurídica y elementos del contrato de cuenta corriente
bancaria, que se trata de un contrato bilateral o sinalagmático y oneroso en que las
prestaciones realizadas por la entidad bancaria y que resultan complementarias a la
mera entrega de fondos y conservación por parte del cliente no se limitan al abono, en
su caso, del correspondiente interés, sino igualmente a la prestación de servicios que,
conforme a la naturaleza misma del contrato de comisión mercantil, tendrán
igualmente un carácter remunerado.
Ello implica que las comisiones no se constituyen como un gravamen impuesto al
cliente, sino como la contraprestación a los servicios prestados al mismo por la entidad
de crédito, configurándose así como un elemento objetivo necesario del contrato de
cuenta corriente bancaria, que deberá incorporar las mismas salvo en aquellos
supuestos excepcionales en que, debido a la propia naturaleza del contrato celebrado,
quede difuminado en el desarrollo del contrato la actividad que es propia de la
comisión mercantil.
En definitiva, las comisiones forman parte esencial del contrato, por cuanto suponen la
contraprestación que el interesado cliente debe satisfacer por los servicios que la
entidad bancaria lleva a cabo en nombre de aquél que ordena a la misma la
realización de los pagos y el ingreso de los abonos, así como por las restantes
actividades de naturaleza complementaria que constituyen la esencia de la cuenta
corriente mercantil.
Afirma, asimismo, que las comisiones son un elemento esencial del contrato según el
derecho interno y de la Unión Europea. El artículo 2.15 de la Directiva 2014/92/UE del
Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre la comparabilidad de
las comisiones conexas a las cuentas de pago, el traslado de cuentas de pago y el
acceso a cuentas de pago básicas (en adelante, la ?Directiva?) define las comisiones
como ?todos los gastos y penalizaciones que, en su caso, deba abonar el consumidor
al proveedor de servicios de pago por servicios vinculados a una cuenta de pago o en
relación con los mismos?, teniendo en cuenta que, conforme al artículo 1.6 del propio
texto legal las cuentas de pago deben al menos permitir a los consumidores realizar,
como mínimo, operaciones consistentes en ?depositar fondos en una cuenta de pago?,
?retirar dinero en efectivo de una cuenta de pago? y ?efectuar pagos a terceros y recibir
pagos de terceros, incluidas las transferencias?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/117
En España la trasposición de la Directiva se llevó a cabo por medio del Real Decreto-
Ley 19/2017, de 24 de noviembre, de cuentas de pago básicas, traslado de cuentas de
pago y comparabilidad de comisiones (en adelante, el ?RDL 19/2017?), cuyo artículo 9
establece, en su apartado 1 que ?las comisiones percibidas por los servicios prestados
por las entidades de crédito en relación con las cuentas de pago básicas serán las que
se pacten libremente entre dichas entidades y los clientes?, sin perjuicio de la posible
fijación por el Gobierno de comisiones máximas con arreglo a los criterios fijados en el
apartado 3 del precepto (facultad plasmada en la Orden ECE/228/2019, de 28 de
febrero). Asimismo, se establece que ?reglamentariamente se podrán establecer
distintos regímenes de condiciones más ventajosas en materia de comisiones en
función de la especial situación de vulnerabilidad o riesgo de exclusión financiera de
los potenciales clientes?, siendo éste el único supuesto en que existe una limitación
legal expresa o una exención del abono de las comisiones.
Igualmente, a los efectos de garantizar la comparabilidad en las comisiones
incorporadas a los contratos de cuentas de pago, el artículo 15 del RDL 19/2017
establece en su artículo 15.1 que ?el Banco de España publicará y mantendrá
actualizada la lista de los servicios más representativos asociados a una cuenta de
pago, incorporando la terminología normalizada recogida en el acto delegado a que
hace referencia el artículo 3.4 de la Directiva 2014/92/UE del Parlamento Europeo y
del Consejo, de 23 de julio de 2014?
Esta lista se recoge en el Anexo de la Circular 2/2019, de 29 de marzo, del Banco de
España, sobre los requisitos del Documento Informativo de las Comisiones y del
Estado de Comisiones, y los sitios web de comparación de cuentas de pago, que
modifica la Circular 5/2012, de 27 de junio, a entidades de crédito y proveedores de
servicios de pago, sobre transparencia de los servicios bancarios y responsabilidad en
la concesión de préstamos, que incluye los servicios más representativos asociados a
las cuentas de pago que, en consecuencia, implicarán la exigencia por la entidad
bancaria del abono de la consiguiente comisión en contraprestación por su realización
del siguiente modo: Mantenimiento de la cuenta; emisión y mantenimiento de una
tarjeta de débito; emisión y mantenimiento de una tarjeta de crédito; descubierto
expreso; descubierto tácito; transferencia; orden permanente; retirada de efectivo a
débito mediante tarjeta en cajeros automáticos; retirada de efectivo a crédito mediante
tarjeta en cajeros automáticos; servicio de alertas (SMS, e-mail o similar); negociación
y compensación de cheques; devolución de cheques.
Por último, el Real Decreto 164/2019, de 22 de marzo, por el que se establece un
régimen gratuito de cuentas de pago básicas en beneficio de personas en situación de
vulnerabilidad o con riesgo de exclusión financiera, prohíbe en su artículo 2.1 a las
entidades de crédito exigir el abono de las comisiones ?cuando todos los titulares y
autorizados de una cuenta de pago básica se encuentren en la situación especial de
vulnerabilidad o riesgo de exclusión financiera señalada en el artículo 3 y así se haya
reconocido de conformidad con lo previsto en este real decreto?, estableciendo los
requisitos para el reconocimiento de este derecho.
Concluye que:
? Las comisiones son un elemento esencial de los contratos asociados a las
denominadas cuentas de pago y al contrato de cuenta corriente bancaria, y tienen por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/117
finalidad la remuneración de los servicios prestados por las entidades bancarias por la
realización de los distintos servicios asociados al contrato.
? Las partes podrán fijar libremente las comisiones que proceda abonar como
remuneración de dichos servicios, no pudiendo considerarse que las mismas vengan
impuestas unilateralmente como gravamen del contrato, respetando siempre los
límites máximos que, en su caso, sean aprobados por el Gobierno.
? Sólo quedarán exceptuados del régimen general de las comisiones que acaba de
describirse los supuestos en los que la naturaleza de los servicios contratados con la
entidad bancaria no resulte asimilable a la de una cuenta de pago por implicar
?funciones más limitadas? que las propias de la misma.
? Únicamente quedará excluida la exigibilidad de comisiones a los titulares y
autorizados de una cuenta de pago básica se encuentren en la situación especial de
vulnerabilidad o riesgo de exclusión financiera.
Partiendo de todo lo que ha venido indicándose, bajo ningún concepto sería posible
catalogar las comisiones como un gravamen, carga o perjuicio ocasionado al cliente
de una entidad de crédito, siendo simplemente un elemento de cuenta de pago por el
que el interesado remunera a la entidad bancaria los servicios que se acaban de
detallar, figurando necesariamente en el contrato y procediendo, en cuanto a su
fijación, de la libre autonomía de la voluntad de las partes, siempre dentro de los
límites máximos que en su caso se estableciesen.
Por este motivo, la exención de comisiones a los clientes que mantengan un perfil
digital se configurará como una ventaja o beneficio para el cliente que opera como
excepción al cobro de las comisiones, que es consustancial a la celebración del
contrato, procediendo dicha exención de la libre aceptación de las condiciones que la
determinen.
No existirá, en consecuencia, y en términos diametralmente opuestos por tanto a lo
razonado por el Acuerdo de Inicio, un gravamen sujeto a la no prestación de un
determinado consentimiento vinculado al tratamiento de los datos personales, sino un
beneficio derivado de dicha prestación.
2. Alega asimismo que no existe perjuicio, gravamen o carga alguna derivada del
hecho de que los clientes no presten su consentimiento al tratamiento de sus datos
personales.
Como ha venido indicándose hasta aquí, el hecho de que el cliente de una entidad
bancaria esté obligado al abono de comisiones asociadas a la gestión de una cuenta
de pago no puede considerarse en absoluto un perjuicio para éste, toda vez que las
comisiones son un elemento integrante del contrato, de forma que los productos
bancarios, en todo caso, llevan asociado el abono de dichas comisiones.
La consecuencia lógica de lo anterior es que no puede considerarse que en un caso
como el que es objeto del presente procedimiento sancionador pueda apreciarse
como, erróneamente aprecia esa AEPD, que la exención del pago de determinadas
comisiones suponga un elemento que condicione la libertad del consentimiento
libremente prestado por el interesado para la celebración del contrato ni que el
consentimiento para el tratamiento de sus datos no haya sido otorgado libremente.
El Acuerdo de Inicio hace referencia en su razonamiento al considerando (42) del
RGPD que indica que ?el consentimiento no debe considerarse libremente prestado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/117
cuando el interesado no goza de verdadera o libre elección o no puede denegar o
retirar su consentimiento sin sufrir perjuicio alguno?. Lo que deriva, según dicho
razonamiento, en la reiterada referencia que aquél efectúa al artículo 7.4 del RGPD, a
cuyo tenor ?al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta
en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un
contrato, incluida la prestación de un servicio, se supedita al consentimiento al
tratamiento de datos personales que no son necesarios para la ejecución de dicho
contrato?.
Entiende que lo establecido en el considerando (42) anteriormente reproducido no
resulta aplicable al supuesto analizado ni al tratamiento de datos personales llevado a
cabo por CAIXABANK, y ello en la medida en que no se cumple ninguna de las
premisas contenidas en el mismo.
Así, en primer lugar, entiende que en el presente supuesto el cliente goza de
verdadera y absoluta libertad para decidir si otorga o no los distintos consentimientos
que le son solicitados, tanto en el momento en el que adquiere la condición de cliente
mediante el proceso de alta en la entidad, la apertura de la correspondiente cuenta y la
celebración del contrato, como en cualquier momento posterior en que puede
modificar los consentimientos prestados sin ninguna limitación.
En este sentido, tal y como consta en los antecedentes del propio acuerdo de inicio y
ha tenido la ocasión de verificar esa AEPD, en el proceso de alta de cliente se somete
a la voluntad del interesado la cumplimentación de una serie de casillas, referidas a los
tratamientos controvertidos en el procedimiento sancionador, informándole, de manera
explícita, clara, sencilla y concisa, tal y como impone el artículo 12.1 del RGPD, de las
finalidades para las que el cliente otorgaría, en caso de así prestarlo, cada uno de los
distintos consentimientos que son sujetos a su decisión. Y como se analizará
posteriormente, la marcación o no marcación de las mencionadas casillas en ningún
modo influirá en la celebración del contrato, que tendrá lugar en caso de que el
interesado firme los términos del mismo con absoluta independencia de que por aquél
se hayan o no consentido los tratamientos sometidos a su decisión.
Del mismo modo, como también consta acreditado en los antecedentes del Acuerdo
de Inicio, y se puso de manifiesto a los inspectores de la AEPD durante la visita girada
el 12 de diciembre de 2019, el cliente puede, a lo largo de su relación con
CAIXABANK y cuantas veces lo considere conveniente, modificar sus
consentimientos, tanto on-line, accediendo a su área personal, como por cualquiera de
los restantes canales puestos a su disposición (telefónico, app, oficina, etc.) y ello, en
todo caso, con independencia del canal que hubiera utilizado para prestar o denegar
inicialmente su consentimiento al tratamiento de sus datos personales para las
finalidades respecto de las que se le requiere. Igualmente, se puso en conocimiento de
la AEPD que CAIXABANK (entonces BANKIA) tenía establecidos procedimientos para
garantizar la trazabilidad de todos los consentimientos otorgados por los interesados y
el estado de los mismos en cada momento determinado. Así, tal y como consta en el
Acuerdo de Inicio, durante la inspección llevada a cabo por los inspectores de esa
AEPD consta la realización de la siguiente diligencia:
?Se accede mediante código de usuario y contraseña de empleado de BANKIA a los
datos de los consentimientos prestados por una de las personas presente en la sala,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/117
cliente de la entidad, comprobándose que se encuentra suscrito el documento de
Tratamiento de Datos Personales (TPD) con fecha 21 de mayo de 2018. Se accede
también a las modificaciones efectuadas posteriormente sobre los consentimientos
(documentos MTA) así como al estado de los consentimientos en la actualidad.?
Es decir, el interesado goza de absoluta libertad para, siempre que lo considere
pertinente, prestar su consentimiento o revocar cualquiera de los consentimientos
previamente prestados de manera sencilla y susceptible de ser plenamente
acreditada, sin que se condicione, y menos menoscabe, en ningún caso, la libertad de
su elección ni se vincule el tenor de la misma con la continuidad del servicio prestado
al cliente por CAIXABANK.
En consecuencia, en el supuesto de que el cliente no quiera otorgar su consentimiento
durante el proceso de contratación, o considere oportuno revocar en un momento
posterior el consentimiento previamente prestado, lo puede llevar a cabo de forma
enteramente libre y sin la imposición al mismo de ninguna dificultad sin que ello impida
tampoco en forma alguna la formalización del contrato o su formalización en
condiciones de naturaleza prestacional menos beneficiosas que aquellos otros que
hubieran otorgado el consentimiento para alguna o todas la finalidades previstas.
En segundo lugar, la no prestación del consentimiento o la revocación del
consentimiento previamente prestado no suponen en ningún caso la producción de un
perjuicio para el interesado ni la imposición a aquél de ningún tipo de carga o
gravamen, dado que el contrato seguirá rigiendo la relación de CAIXABANK con sus
clientes bajo las mismas cláusulas, sin verse afectada en modo alguno la prestación
del servicio al cliente. Y es que, como se ha indicado anteriormente, en ningún
momento se condiciona la prestación del servicio a la prestación por el interesado de
su consentimiento, condición sine qua non para la aplicación del artículo 7.4 del RGPD
invocado por el Acuerdo de Inicio, toda vez que la prestación del consentimiento no
afecta ni al modo de prestarse el servicio ni al contenido de la relación, ni supone
tampoco gravamen adicional alguno para el interesado. Al contrario: la prestación del
consentimiento implica un beneficio para el cliente, en la medida en que se ve exento
del abono de unas comisiones que, como se ha indicado anteriormente, son un
elemento integrante de la relación contractual que vincula a CAIXABANK con su
cliente. En definitiva, el cliente no sufre perjuicio alguno como consecuencia de no
haber prestado su consentimiento, dado que en ningún caso ello implica un
agravamiento de las condiciones generales que rigen el contrato, sino simplemente la
no exención del pago de las comisiones asociadas a los servicios prestados que
aparecen en todo caso asociadas al mismo.
En este sentido, conviene también recordar el análisis que realiza el EDPB en sus
Directrices sobre el concepto de ?perjuicio?. Así el EDPB señala en las citadas
Directrices (§13) que el consentimiento no será realmente libre si el interesado ?se
siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da?
añadiendo posteriormente (§14; el subrayado es nuestro) que el consentimiento
?quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el
interesado (que puede manifestarse de formas muy distintas) que impida que este
ejerza su libre voluntad?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/117
Y, en especial (§24): ?[?] el consentimiento solo puede ser válido si el interesado
puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o
consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si
no da su consentimiento?.
Pues bien, la aplicación de estos criterios hace difícilmente asumible y defendible la
tesis sostenida en el Acuerdo de Inicio, de la que se desprendería que la entidad
reclamada condicionaría o ejercería una influencia inadecuada sobre sus clientes al
someter a los mismos a unas ?consecuencias negativas importantes? por el mero
hecho de no otorgarles un beneficio al que, con carácter general, no tendrían derecho
alguno.
Y es que incluso, en línea con lo que se acaba de exponer, debe atenderse a lo
señalado en el ejemplo 6 de las Directrices del EDPB, al que se refiere el Acuerdo de
Inicio y que, sin embargo, describe un supuesto que en ningún caso guarda relación
con el que es objeto del presente procedimiento sancionador. En efecto, en el citado
ejemplo el EDPB señala lo siguiente (el subrayado es nuestro):
?Un banco pide a sus clientes el consentimiento para que terceras partes puedan usar
sus datos de pago para fines directos de mercadotecnia. Esta actividad de tratamiento
no es necesaria para la ejecución del contrato con el cliente y la prestación de los
servicios habituales de la cuenta bancaria. Si la negativa del cliente a dar su
consentimiento a dicho tratamiento diera lugar a la negativa por parte del banco de
prestar sus servicios, al cierre de la cuenta bancaria o, dependiendo del caso, a un
aumento de las comisiones, el consentimiento no podría darse libremente.?
De este modo, el EDPB indica que podría considerarse que el consentimiento no se ha
otorgado libremente en aquellos supuestos en los que el banco (i) no procediese a la
apertura de una cuenta bancaria al cliente por el hecho de no haber prestado su
consentimiento (condicionando así la firma del contrato a la prestación de un
consentimiento que no se refiere al objeto del mismo, sino a ?otros asuntos?, en
terminología del artículo 7.2 del RGPD); o (ii) se produjera un aumento de las
comisiones que dicho cliente debe abonar en relación con los productos contratados
(es decir, imponiendo a aquél un gravamen por la no prestación del consentimiento).
Pero incluso en este segundo supuesto, que como se ha indicado no concurre en este
caso, no debe olvidarse que ni siquiera el EDPB establece una regla incondicional,
sino que señala que cabría apreciar que el consentimiento no sería libre ?si la negativa
del cliente a dar su consentimiento a dicho tratamiento diera lugar [?] dependiendo
del caso, a un aumento de las comisiones?.
Pues bien, al margen de lo indicado en relación con el concepto y naturaleza de las
comisiones en los supuestos de cuentas de pago, es evidente que en este caso no
concurre ninguno de los supuestos descritos en el ejemplo citado, en la medida en que
el cliente puede, en todo caso, contratar un determinado producto bancario sin
necesidad de prestar su consentimiento y en ningún caso se produce un aumento de
las comisiones asociadas al servicio prestado, dado que las mismas aparecen
expresamente previstas en el contrato. No existe, en definitiva ningún aumento de
dichas comisiones, sino la no aplicación de una exención.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/117
Y no debe considerarse que lo hasta ahora argumentado puede ser rebatido
considerando que la no concesión de una exención en el pago de comisiones implica
la generación de un perjuicio, dado que ambas situaciones son incompatibles: en el
primer caso el statu quo sería el pago de las comisiones, que resulta bonificado en
caso de prestarse el consentimiento.
Por el contrario, la imposición de un gravamen supondría que las comisiones se verían
acrecidas como consecuencia de la no prestación del consentimiento, lo que no
sucede en este caso.
De este modo, una interpretación similar a la mantenida en el acuerdo de inicio
conduciría, por ejemplo, a considerar que la pérdida de los requisitos que permiten a
un contribuyente disfrutar de una exención o deducción fiscal supone la generación de
un perjuicio, consistente en el pago del impuesto, al que ha estado siempre sujeto.
Debe igualmente hacerse referencia al ?Manual de legislación europea en materia de
protección de datos?, adoptado por la Agencia de los Derechos Fundamentales de la
Unión Europea y el Consejo de Europa, en colaboración con el Tribunal Europeo de
Derechos Humanos y el Supervisor Europeo de Protección de Datos, en donde se
señala, en relación con el carácter libre del consentimiento, lo siguiente:
?Esto no significa, sin embargo, que el consentimiento nunca pueda ser válido en
circunstancias en que la falta de consentimiento tuviera algunas consecuencias
negativas. Por ejemplo, si la consecuencia de la falta de consentimiento para tener
una tarjeta de cliente de un supermercado es únicamente que no se recibirán
pequeños descuentos en los precios de algunos productos, el consentimiento podría
ser una base jurídica válida para tratar los datos personales de aquellos clientes que
otorguen su consentimiento para tener dicha tarjeta. No existe subordinación entre la
empresa y el cliente, y las consecuencias de la falta de consentimiento no son lo
suficientemente graves como para limitar la libertad de elección del interesado
(siempre que la reducción de precio sea lo suficientemente pequeña como para no
afectar a dicha libertad de elección)?.
De lo que acaba de reproducirse se infiere claramente que, si la prestación del
consentimiento supone el establecimiento por un responsable del tratamiento de
descuentos en los precios de sus productos, que no se obtendrían si no se otorga el
consentimiento para el tratamiento, esta consecuencia no tendría ninguna relevancia
que hiciera perder al citado consentimiento la condición de libre, por cuanto no cabría
apreciar la existencia de un perjuicio para el interesado.
Y este caso es similar en todo punto al analizado por el Acuerdo de Inicio por cuanto,
necesario es reiterarlo nuevamente, no se produce ninguna minoración de los
derechos de los clientes de CAIXABANK por el hecho de no haberse prestado el
consentimiento para el tratamiento de sus datos personales, sino que simplemente se
producirá la aplicación, en ese caso, de las condiciones ordinarias del contrato.
En definitiva, en el supuesto objeto del presente procedimiento no se produce ningún
tipo de perjuicio al interesado como consecuencia de la negativa a prestar su
consentimiento para el tratamiento de sus datos personales que pueda incidir
negativamente en su configuración de ?consentimiento libre?, dado que lo único que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/117
prevén las condiciones del contrato es la obtención de un beneficio sobre la base de
dichas condiciones generales en caso de que ese consentimiento sea prestado. No
cabe por tanto equiparar, como pretende hacer el acuerdo de inicio, la obtención de un
beneficio con la imposición de un gravamen a quien, libremente, opta por no acogerse
a aquél.
3. Inexistencia de condicionalidad al consentimiento del interesado para la contratación
de los servicios.
Como ya se ha indicado con anterioridad, el Acuerdo de Inicio considera que en el
presente supuesto se ha producido una supuesta vulneración del artículo 7.4 del
RGPD referida, como ya se ha anticipado, al hecho de que ?la ejecución de un
contrato, incluida la prestación de un servicio, se supedita al consentimiento al
tratamiento de datos personales que no son necesarios para la ejecución de dicho
contrato?.
En relación con la aplicación de esta norma, el Acuerdo de Inicio toma en
consideración para la interpretación del precepto lo indicado por el considerando (43)
del RGPD, que indica que ?se presume que el consentimiento no se ha dado
libremente cuando [?] el cumplimiento de un contrato, incluida la prestación de un
servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para
dicho cumplimiento?
Pero es que la presunción que se incluye en este precepto, y que en todo caso no
podría considerarse iuris et de iure, como parece entender la AEPD, al no justificar en
modo alguno la aplicación al caso del mencionado considerando del RGPD, no sería
en modo alguno aplicable al supuesto que aquí se está analizando, dado que en el
mismo no se produce una condicionalidad como la descrita en el artículo 7.4 del
RGPD (con el que guarda relación el citado considerando 42 del RGPD), dado que la
prestación del consentimiento no es una condición sine qua non para la firma del
contrato, pudiendo el cliente contratar los servicios de CAIXABANK sin necesidad de
proceder a la prestación del consentimiento y sin que se vean en absoluto afectados
los servicios que se prestarán al mismo, que serán los mismos en uno u otro caso, al
margen completamente de la prestación o no del citado consentimiento.
En efecto, no nos encontramos ante un supuesto en que la no prestación del
consentimiento condicione la contratación de los servicios, como sucede en el caso del
primero de los ejemplos incorporado a las Directrices del EDPB, y reproducido por el
Acuerdo de Inicio, toda vez que el mismo se refiere a una situación en la que no se
permite a los usuarios hacer uso de un determinado servicio cuando los interesados
no otorguen su consentimiento para un tratamiento no directamente relacionado con el
mismo, algo que bajo ningún concepto sucede en el caso que nos ocupa ya que, como
se ha venido indicando, los clientes pueden contratar libremente los servicios de
CAIXABANK sin necesidad de otorgar el consentimiento al tratamiento de sus datos
personales. Recordemos que según el citado ejemplo se condiciona el uso de una
aplicación de móvil para edición de fotografías a que el interesado preste su
consentimiento a la activación de su localización GPS para el uso de sus servicios, de
forma que en caso de no procederse a la misma no resulta tampoco posible el uso de
la aplicación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/117
Y en este punto vuelve a ser especialmente relevante lo señalado por el EDPB en el §
37 de sus Directrices, en que se señala lo siguiente: ?El responsable del tratamiento
podría argumentar que su organización ofrece a los interesados una elección real si
estos pudieran escoger entre un servicio que incluya el consentimiento para el uso de
datos personales con fines adicionales, y un servicio equivalente ofrecido por el mismo
responsable que no implicara prestar el consentimiento para el uso de datos con fines
adicionales. Siempre que exista una posibilidad de que dicho responsable del
tratamiento ejecute el contrato o preste los servicios contratados sin el consentimiento
para el otro uso o el uso adicional de los datos en cuestión, significará que ya no hay
condicionalidad con respecto al servicio. No obstante, ambos servicios deben ser
realmente equivalentes.?
Pues bien, no sólo se ofrece a quienes no hayan prestado su consentimiento para el
tratamiento de los datos como parte del denominado ?perfil digital? un servicio
equivalente o similar al prestado a quienes sí hayan accedido a la prestación de dicho
consentimiento, sino que simple y llanamente ofrece a aquéllos el mismo servicio que
el que presta a sus clientes con ?perfil digital?. Es decir, el producto financiero que
unos y otros podrán contratar será el mismo y no simplemente uno equivalente, y los
servicios prestados serán exactamente los mismos en uno y otro caso. De este modo
sería plenamente aplicable a CAIXABANK lo señalado en el texto transcrito de las
Directrices, por cuanto no existe ninguna condicionalidad para la contratación a los
clientes de los servicios relacionados con los productos controvertidos a la prestación
del consentimiento para el tratamiento de sus datos personales.
Y es que, en modo alguno es posible considerar, como parece desprenderse del tenor
del Acuerdo de Inicio, que no exista esa plena identidad entre los servicios contratados
por quienes prestan el consentimiento al ostentar un ?perfil digital? respecto de quienes
no prestasen el mismo, por cuanto los servicios que se ofrecen, asociados a las
cuentas que se citan en el Acuerdo de Inicio, son exactamente los mismos y también
serán los mismos los elementos que integrarán los contratos en que se formalicen los
citados servicios, incluyendo las comisiones, aun cuando en caso de que el usuario
ostente el denominado ?perfil digital? dichas comisiones se encontrarán bonificadas en
la totalidad de su cuantía mientras el ?perfil digital? se mantenga.
La interpretación del concepto de equivalencia que se contiene en las directrices del
EDPB no puede ser tan forzada como la que parece derivarse del Acuerdo de Inicio,
en que dicho concepto se convierte en sinónimo de ?completa identidad?, de modo que
el simple hecho de la fijación de una bonificación en el importe de la prestación a
satisfacer por el cliente pueda conducir a la consideración de que el servicio bonificado
y el no bonificado no son ?equivalentes? por no resultar ?completamente idénticos?.
En tal supuesto, entiende que se incurriría en la manifiesta contradicción de que se
consideraría por la AEPD que un mismo proveedor ofrecería simultáneamente dos
productos o servicios idénticos por el solo hecho de que el mismo producto o servicio
fuera ofrecido con y sin bonificación alguna como consecuencia del hecho de que el
interesado prestase su consentimiento. Ello inevitablemente encerraría un evidente
sofisma que vaciaría de contenido cualquier oferta o promoción que pudiera aplicar
una entidad privada si guardase relación con el consentimiento prestado, dado que en
opinión de la AEPD no existiría una bonificación, sino la oferta de un producto distinto,
aun cuando el contenido de los servicios fuese en toda su extensión idéntico.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/117
Y debe tenerse en cuenta que incluso el EDPB rechaza semejante interpretación, por
cuanto, como se señalará posteriormente, no considera contraria al artículo 7.4 del
RGPD la posibilidad de que el responsable del tratamiento pueda ofrecer a sus
clientes incentivos o beneficios adicionales en caso de que se autorice el tratamiento
de sus datos personales, lo que implícitamente supone aceptar que no existe una
diferencia entre la prestación del servicio incentivado y no incentivado, por lo que, aún
en menor medida, ambos servicios podrán considerarse no ?equivalentes?.
Pero es que incluso, y aun cuando no se considerase que existe una absoluta
identidad en la prestación del servicio con independencia de que el interesado otorgue
o no el consentimiento al tratamiento de sus datos, debe igualmente recordarse que
los mismos no son los únicos que conforman el catálogo de productos o servicios
financieros consistentes en cuentas de pago, en el concepto jurídico de dicho término.
Así lo reconoce el propio Acuerdo de Inicio cuando señala que comercializa a través
de su plataforma digital los tres productos financieros a los que se refiere el
procedimiento dentro de la oferta general de otros productos similares, igualmente
comercializados por la entidad. Así, en el Acuerdo se indica que ?la entidad reclamada,
ha comercializado, a través de su plataforma digital, (www.bankia.es), entre otros, tres
productos financieros: Cuenta ON; Cuenta ON Nomina y Cuenta UN&DOS, junto con
sus tarjetas de débito asociadas. También comercializa una tarjeta de crédito (Tarjeta
de Crédito ON), que debe ser asociada a una Cuenta ON abierta?.
A título de ejemplo, señala que facilita a los potenciales clientes la posibilidad de
contratar, si así lo desean, otros productos financieros como la Cuenta Fácil, la Cuenta
Joven o la Cuenta de Pago Básica.
Como ya se ha dicho, la regla señalada por el EDPB sería aplicable incluso aun
cuando los servicios compartiesen finalidades y características sustanciales, aun
cuando no fuera posible determinar su absoluta identidad.
En este sentido, y desde la perspectiva de la teoría económica, aplicable también al
derecho sobre la competencia, debe recordarse que la sustituibilidad entre dos
productos y servicios concurre en los supuestos en que un consumidor pueda acceder
de forma inmediata, en caso de una variación del precio corriente del producto original,
a su producto sustitutivo. Este carácter sustitutivo del producto en ningún caso supone
una coincidencia perfecta y total de todas las características de los productos o
servicios, sino su posible uso indistinto por el consumidor.
Así, las características de los productos financieros antes relacionados, si bien no son
idénticas a las que concurriría en los tres productos analizados en el Acuerdo de Inicio,
sí pueden ser consideradas sin ningún género de dudas similares o equivalentes a
éstos. Y es que la equivalencia radica en que proporcionan la posibilidad al interesado
de capitalizar de forma pasiva los distintos montantes dinerarios que decida depositar
en dichos productos financieros sin privarle de un acceso directo a sus fondos,
desarrollando la totalidad de las prestaciones que participan de la naturaleza de los
contratos relacionados con la tenencia de cuentas de pago, en los términos
establecidos por la normativa interna y de la Unión Europea, analizadas con detalle en
el apartado 2 de esta alegación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/117
Concluye que teniendo en cuenta la propia dicción del artículo 7.4 y el considerando
42 del RGPD, así como el tenor y la lógica del Dictamen del EDPB, considera que sí
proporciona una libre elección a los interesados para la contratación de sus distintos
productos de pasivo y, en particular, para optar por la contratación de las cuentas de
pago controvertidas en este expediente con independencia absoluta de la prestación
de su consentimiento al tratamiento de sus datos personales.
4. Consideraciones adicionales acerca de la libertad del consentimiento prestado
conforme a la doctrina del EDPB y de esa AEPD.
Partiendo de lo hasta ahora argumentado y, en consecuencia, teniendo en cuenta que
la exención del abono de comisiones no puede en ningún caso considerarse un
perjuicio, carga o gravamen para el interesado, sin que se condicione en modo alguno
la prestación de los servicios que configuran los productos controvertidos al
otorgamiento del consentimiento por parte del interesado, es preciso indicar que ni la
normativa de protección de datos personales ni la interpretación que de la misma
realiza el EDPB consideran improcedente o contraria a la libertad en la prestación del
consentimiento la concesión de beneficios, promociones, incentivos o mejoras de los
servicios en caso de que el interesado prestase el mismo.
Así declara el EDPB en sus Directrices (§ 48) que ?el RGPD no excluye los incentivos,
pero correspondería al responsable del tratamiento demostrar que el consentimiento
se haya seguido dando libremente en cualquier circunstancia?.
De este modo, el EDPB considera perfectamente admisible la conexión del
consentimiento con la obtención de un incentivo siempre que quepa acreditar la
concurrencia de la nota de libertad en el consentimiento, algo que como ha venido
indicándose hasta este lugar sí se produce en este caso.
En este sentido, parece relevante hacer referencia a sensu contrario, al ejemplo
incorporado como 8 por el EDPB en sus Directrices, en que se señala lo siguiente (el
subrayado es nuestro): Ejemplo 8: Cuando se descarga una aplicación de estilo de
vida para teléfono móvil, la aplicación pide el consentimiento para acceder al
acelerómetro del teléfono. Esto no es necesario para que la aplicación funcione, pero
resulta útil para el responsable del tratamiento que desee saber más sobre los
movimientos y niveles de actividad de sus usuarios. Cuando posteriormente el usuario
retira su consentimiento, descubre que la aplicación solo funciona de forma limitada.
Este es un ejemplo de perjuicio en el sentido del considerando 42, es decir, que el
consentimiento no se obtuvo de manera válida [?]? .
En este caso la incompatibilidad del incentivo ofrecido con el RGPD estribaría en el
hecho de que la entidad ofertante de la aplicación limita el funcionamiento de la propia
aplicación.
Y este caso es diametralmente opuesto al enjuiciado en este procedimiento, por
cuanto la libre decisión de no prestar el consentimiento en nada afecta a la prestación
al cliente por parte de CAIXABANK de la totalidad de los servicios que configuran el
contrato firmado por el interesado. La única consecuencia de no prestar el
consentimiento al tratamiento de sus datos es el desarrollo ordinario del contrato en
cuanto a la contraprestación que, como elemento del mismo, se ha incorporado a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/117
aquél, y que consiste en el abono de las comisiones que procedan, en los términos
establecidos en el derecho interno y de la Unión Europea.
Por último, y en consonancia con lo que acaba de indicarse, debe tenerse en cuenta
que, conforme a lo indicado por la propia AEPD en el Informe 0292/2010 de su
Gabinete Jurídico, el atributo de ?libre? exigible del consentimiento implica que el
mismo ?deberá haber sido obtenido sin la intervención de vicio alguno del
consentimiento en los términos regulados por el Código Civil?.
De este modo, presumir, como hace el Acuerdo de Inicio, que el consentimiento
prestado en el presente caso lo ha sido sujeto a la existencia de una coacción en la
libre voluntad de los interesados como consecuencia de la mera circunstancia de
otorgar un beneficio como consecuencia de su otorgamiento, como sería la exención
en el abono de comisiones, implicaría de facto que la AEPD, excediendo
completamente de las competencias que le otorga la normativa de protección de
datos, se consideraría competente para apreciar por sí sola la posible nulidad de un
contrato en que se establezcan incentivos o beneficios, al apreciar la existencia de un
vicio en el consentimiento prestado por los clientes, entrando así a valorar la validez
de un contrato, cuestión ésta que únicamente incumbe a los órganos integrantes de la
jurisdicción civil.
Cuarta.- Sobre los consentimientos recabados de los clientes que contrataron los
productos controvertidos a través del canal on line entre los días 8 de julio y 15 de
agosto de 2018.
Alega que CAIXABANK en ningún momento ha negado que, como consecuencia de
las adaptaciones llevadas a cabo en los sistemas de información de BANKIA como
consecuencia del establecimiento de una nueva lista de consentimientos, a fin de
unificar los que habían sido obtenidos por las distintas entidades que finalmente fueron
integradas en aquélla, se produjo una incidencia en sus sistemas, cuya duración es la
especificada en el Acuerdo de Inicio, en virtud de la cual los consentimientos de los
interesados aparecieron premarcados por defecto, de forma que en caso de no
llevarse a cabo ninguna acción por parte del interesado que contrataba las cuentas
controvertidas en este expediente, aparecía marcada por defecto la opción de que el
consentimiento había sido efectivamente prestado. Esta incidencia fue puesta en
conocimiento de esa AEPD con ocasión de la visita de inspección girada el día 12 de
diciembre de 2019 y analizada con detalle en el escrito de la misma de 18 de junio de
2020, en respuesta al requerimiento realizado por la AEPD.
No obstante, alega en primer lugar la improcedencia de la sanción por aplicación del
principio ?non bis in ídem?. La AEPD considera en el Acuerdo de Inicio que al
encontrarse las casillas marcadas por defecto se está produciendo una vulneración del
artículo 6 del RGPD por cuanto, no siendo el consentimiento lícitamente obtenido se
carece de una base jurídica que fundamente el tratamiento conforme al mencionado
precepto.
Por otra parte, y recapitulando lo señalado en la alegación tercera de este escrito, la
AEPD ha considerado que la totalidad de los consentimientos prestados por parte de
los clientes que contrataron en su día los productos controvertidos se han recabado
sin dar cumplimiento al requisito de que dicho consentimiento sea libre, apreciando la
Agencia la existencia de una supuesta vulneración del artículo 7 del RGPD, cuya
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/117
inexistencia CAIXABANK ya ha acreditado conforme a lo argumentado en la citada
alegación.
Pues bien, si se siguiera el razonamiento de la AEPD en relación con esta última
infracción, la inexistencia de un consentimiento que cumpliera la totalidad de los
requisitos establecidos en la normativa de protección de datos personales (lo que esta
parte, obvio es reiterarlo, niega rotundamente) abocaría en una supuesta infracción del
artículo 6 del RGPD, por cuanto no siendo, a juicio de la AEPD, válido el
consentimiento obtenido el tratamiento de los datos personales se habría llevado a
cabo sin base jurídica para ello. De este modo, la AEPD considera, en relación con la
totalidad de los clientes que contrataron estos productos, que el tratamiento de sus
datos personales resulta contrario a lo dispuesto en el artículo 6 del RGPD, al no
considerar que el consentimiento otorgado por dichos clientes pueda ser un
consentimiento válido a los efectos de la citada normativa.
Por su parte, en relación con la infracción a la que ahora se está haciendo referencia,
la AEPD considera que el consentimiento de los clientes que contrataron estos
productos por el canal on-line en las fechas comprendidas entre el 8 de julio y el 15 de
agosto de 2018 no resulta válido por encontrarse las casillas premarcadas, pero al
propio tiempo ya ha considerado, con arreglo a lo razonado en el fundamento de
derecho segundo del Acuerdo de Inicio, que ese consentimiento no resultaba válido
(con independencia de que las casillas se encontrasen premarcadas o no) al no poder
considerarse, siempre a juicio de esa AEPD, que el consentimiento prestado es libre.
De este modo, la AEPD estaría sancionando doblemente la falta de base jurídica para
el tratamiento de los datos personales de los clientes que hubieran contratado los
productos controvertidos por el canal on-line en las fechas comprendidas entre el 8 de
julio y el 15 de agosto de 2018, dado que, por una parte, afirma que el consentimiento
otorgado no es válido por no ser libre y, en segundo lugar, que dicho consentimiento
no es válido por encontrarse las casillas premarcadas.
De este modo nos encontraríamos ante un supuesto en que la AEPD procedería a la
imposición de dos sanciones por la vulneración del mismo precepto en relación con un
mismo consentimiento prestado, al entender que ese consentimiento es, según su
criterio, doblemente vulnerador de las reglas exigibles al consentimiento y, por ende,
doblemente considerado carente de base jurídica suficiente.
En consecuencia, se estaría sancionando doblemente por la comisión de los mismos
hechos (tratamiento sin base jurídica para ello por no ser, a juicio de la AEPD, válido el
consentimiento) en relación con el tratamiento de los datos que hubieran autorizado
quienes contrataron los productos en las fechas que han venido reiterándose en esta
alegación, con la consiguiente y palmaria quiebra del principio non bis in ídem.
Y a ello no cabe oponer el hecho de que el Acuerdo de Inicio invoque como infringidos,
respectivamente, los artículos 7 y 6 del RGPD, por cuanto la supuesta infracción del
artículo 7 de dicho texto legal implica, en definitiva, el mismo principio de protección de
datos que la considerada infracción del artículo 6, es decir, el principio de licitud del
tratamiento, regulado en el artículo 5.1 a) del RGPD, dado que en ambos casos lo que
se viene a sancionar es la supuesta ausencia de una base jurídica adecuada para el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/117
tratamiento de los datos personales, por considerarse que el consentimiento del
interesado no ha sido, siempre a juicio de la AEPD válidamente prestado.
De este modo, si la AEPD, frente a lo manifestado por esta parte, considera
concurrente en el tratamiento de los datos de todos los clientes que contrataron los
productos de BANKIA sujetos a las exenciones derivadas del mantenimiento de un
?perfil digital? la infracción a la que se ha hecho referencia en la alegación tercera de
este escrito, dicha infracción subsumiría a la que ahora se está analizando, por
aplicación del principio non bis in ídem, por lo que no sería posible imponer, respecto
de los clientes que contrataron los productos por el canal on-line entre los días 8 de
julio y 15 de agosto de 2018, una doble vulneración del mismo principio de protección
de datos, como pretende realizar el Acuerdo de Inicio.
En segundo lugar, alega que incidencia ha producido una mínima repercusión en los
clientes como criterio esencial para valorar su responsabilidad.
Alega que la incidencia afectó a un total de 2.562 clientes, de los cuales sólo 812 (un
0,009% de los clientes de BANKIA) se habrían visto realmente afectados por aquélla,
al no ser materialmente posible, pese a desplegar un nivel de diligencia extremo,
lograr contactar con los mismos, al tratarse de clientes inactivos que no han
interactuado con la entidad a través de los canales que la misma pone a su disposición
y que no han efectuado movimiento o actividad alguna en sus cuentas desde el
momento en que dicha entidad, consciente de la incidencia producida, ha intentado de
forma reiterada contactar con ellos.
Afirma que, como ya puso de manifiesto en la inspección realizada el día 12 de
diciembre de 2019 y detalló igualmente en su escrito dirigido a esa AEPD en fecha 18
de junio de 2020, se han adoptado todas las acciones necesarias encaminadas a la
resolución de la incidencia y a contar únicamente con los consentimientos de quienes
efectivamente, de forma libre, consciente y carente de ningún tipo de
condicionamiento, como el que las casillas aparezca premarcadas por defecto, fueran
prestados por sus clientes.
El propio Acuerdo de Inicio enumera en su hecho decimotercero las citadas medidas,
en los siguientes términos: ? Se ha procedido a solicitar de nuevo los consentimientos
a los clientes que no los han modificado, aprovechando la primera interacción con la
entidad por cualquiera de los canales habilitados (oficina, Bankia Online o App
Bankia). Esta obtención de los nuevos consentimientos, desde una posición neutra a
la opción de aceptación o no aceptación que en cada caso sea elegida por el propio
interesado para cada uno de los consentimientos solicitados, se ha configurado como
paso necesario para poder continuar la operativa por cualquiera de los canales.
Aquellos clientes que no hayan pasado este proceso se han considerado como
clientes que no han prestado su consentimiento a la entidad independientemente del
sentido de los consentimientos que prestaron en el proceso de alta de la cuenta On, y
se han marcado en sistemas como si hubieran denegado todos los consentimientos.
A todos los titulares de cuenta On se les comunicó, en diciembre de 2019, el cambio
de condiciones del perfil digital, y la eliminación de los requisitos de haber autorizado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/117
el envío de comunicaciones comerciales y de cesión de datos a efectos del cobro o
exención de comisiones.
Se ha contactado por vía telefónica (a través de los correspondientes gestores) con los
clientes que no han modificado los consentimientos; en el caso de los 812 clientes que
aún no han pasado el proceso, si bien se ha intentado contactar con ellos en varias
ocasiones, el resultado ha sido infructuoso.
Se ha iniciado el proceso de cancelación de aquellas cuentas inactivas y sin actividad
en los últimos meses.?
De las medidas descritas se desprende de forma evidente que se desplegó de forma
inmediata cuantas acciones fueron necesarias para garantizar que los consentimientos
prestados lo fueran con absoluta libertad y sin condicionamiento alguno, decidiendo
finalmente considerar denegados los consentimientos de quienes, tras los reiterados
intentos llevado a cabo, no pudieron ser contactados ni interactuaron en ningún
momento con la misma.
Esta medida se adoptó de forma definitiva en mayo de 2020, tal y como consta en el
Acuerdo de Inicio, aun cuando ya desde el 16 de octubre de 2019 se suprimió de las
condiciones necesarias para la exención de comisiones en los productos
controvertidos la prestación del consentimiento para el tratamiento de los datos como
parte del denominado ?perfil digital?.
Reconoce la incidencia producida, pero considera que la diligencia con la que adoptó
medidas encaminadas a minimizar los efectos de la infracción, debería ser motivo
suficiente para que la AEPD le exima de culpabilidad o, en el peor de los supuestos,
aperciba a su entidad por los hechos cometidos.
DECIMONOVENO. Se accede a las cuentas anuales consolidadas del grupo
Caixabank, disponible en ***URL.2, en cuya pagina 249 señala que el volumen de
negocio del grupo en el año 2020 es de 12.172 millones.
VIGÉSIMO: Con fecha 20/ de diciembre de 2021, se emitió propuesta de resolución en
el sentido siguiente:
PRIMERO: Que por la Directora de la Agencia Española de Protección de Datos se
sancione a CAIXABANK, S.A., con CIF A08663619, por una infracción del artículo 6 en
relación con el 7 del RGPD, tipificada en el artículo 83.5.a del RGPD, con una multa de
2.000.000 de euros (dos millones de euros).
SEGUNDO: Que por la Directora de la Agencia Española de Protección de Datos se
sancione a CAIXABANK S.A., con CIF A08663619, por una infracción del artículo 6 del
RGPD, tipificada en el artículo 83.5.a del RGPD, con una multa de 100.000 euros (cien
mil euros).
VIGESIMOPRIMERO: Notificada electrónicamente a la entidad CAIXABANK S.A. la
citada propuesta de resolución y aceptada la notificación por dicha entidad con fecha
22 de diciembre de 2021, con fecha 23 de diciembre de 2021 tuvo entrada en esta
Agencia escrito en el que se solicitaba ampliación de plazo para formular alegaciones.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/117
Concedida la ampliación de plazo, con fecha 13 de enero de 2022 tuvo entrada en
esta Agencia escrito de alegaciones, en el que se solicita nuevamente que se declare
la nulidad de pleno derecho del procedimiento por los motivos descritos en su
alegación primera, subsidiariamente que se acuerde su archivo y subsidiariamente al
archivo que se imponga la sanción de apercibimiento consagrada en el artículo 58.2.b)
del RGPD o, en su defecto, una reducción significativa de las cuantías establecidas en
la propuesta de resolución en atención a lo señalado en la alegación cuarta.
Se reitera en la totalidad de sus alegaciones al acuerdo de inicio y formula las
consideraciones que, resumidamente, se exponen a continuación:
PRIMERA. DE LOS VICIOS DE NULIDAD CONCURRENTES EN EL PRESENTE
PROCEDIMIENTO.
1. Sobre la nulidad radical del procedimiento como consecuencia de la fijación del
importe de la sanción en el acuerdo de inicio.
Señala que ya puso de manifiesto en sus alegaciones al Acuerdo de Inicio la
manifiesta indefensión que se le había ocasionado como consecuencia de la fijación
en el mismo de la cuantía de la sanción que, a juicio de esa AEPD, procedía imponer
en el presente procedimiento, y ello sobre dos bases fundamentales:
? La AEPD ha procedido a la valoración del grado de culpabilidad de CAIXABANK y
de las circunstancias que afectan a aquél, y esta valoración la ha efectuado in audita
parte, sin que haya tenido la posibilidad de efectuar alegación alguna o efectuar la más
mínima prueba en defensa de su derecho, quedando así privada de su derecho a la
defensa.
? Esa valoración se lleva a cabo por el propio órgano competente para resolver del
presente procedimiento, es decir, la Directora de la AEPD, que en su Acuerdo de Inicio
indica específicamente al instructor del procedimiento cuál es el reproche que, a su
juicio, habrá de apreciar en la conducta de CAIXABANK y cuáles son las
circunstancias que afectan a su culpabilidad, lo que supone una manifiesta intromisión
del órgano sancionador en la actuación inspectora y una dilución de las fases de
instrucción y resolución del presente procedimiento sancionador, con el consiguiente
perjuicio a dicha entidad.
Considera que es evidente que, puesta de manifiesto la existencia de una palmaria
indefensión, al prescindirse de las garantías otorgadas por la normativa reguladora del
procedimiento sancionador, con la consiguiente quiebra de su derecho a la tutela
judicial efectiva, aplicable, mutatis mutandis, como tiene manifiestamente reiterada la
jurisprudencia de nuestro Tribunal Constitucional, al procedimiento administrativo
sancionador, se está poniendo de manifiesto que se ha incurrido en el vicio de nulidad
consagrado por el artículo 47.1 a) de la LPACAP, toda vez que han resultado
lesionados los derechos y libertades susceptibles de amparo constitucional, algo que
aun resultando obvio la Propuesta considera que no resulta suficientemente
clarificado, por lo que reitera
Sentado lo anterior, la Propuesta de Resolución señala, en primer lugar que la
evaluación in audita parte de las circunstancias concurrentes en el caso y, en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/117
consecuencia, la determinación por el órgano competente para sancionar del importe
de la sanción procedente con anterioridad a la instrucción del asunto derivaban directa
e inmediatamente de lo establecido en el artículo 64 de la Ley 39/2015, de 1 de
octubre, de Procedimiento Administrativo Común de las Administraciones Públicas (en
adelante, ?LPACAP?), no sin pecar, no obstante, de una manifiesta contradicción, al
indicarse, como se hace en la Resolución que la actuación de la AEPD ?va más allá?
de lo previsto en la norma.
Y es que, efectivamente, la AEPD señala en la Propuesta que la fijación del importe de
la sanción que procedería imponer al encartado es una exigencia de lo dispuesto en la
Ley, pero al mismo tiempo considera que no lo es, dado que parece indicar que, de
una forma completamente graciable y beneficiosa para el encartado, la AEPD ha
decidido ?ir más allá? de lo establecido en la norma, otorgando una suerte de beneficio
al administrado, aun cuando ello sea a costa de menoscabar los derechos
consagrados en el artículo 24 de la Constitución.
La Propuesta de Resolución considera igualmente que la determinación de la cuantía
de la sanción, y la consiguiente evaluación de las circunstancias concurrentes en el
caso deviene de la opción, otorgada al encartado por la LPACAP de proceder al abono
anticipado de la sanción y al reconocimiento de la culpa concurrente en su conducta,
establecido en el artículo 85 de la LPACAP, con la consiguiente reducción del importe
de la sanción.
La literalidad de esta norma no supone, a juicio de CAIXABANK, una habilitación al
órgano sancionador para prejuzgar el caso proponiendo ab initio el importe de una
sanción, dado que con ello se quebrantan los más elementales principios del
procedimiento sancionador con la consiguiente quiebra de los derechos del encartado
en dicho procedimiento. En efecto, el artículo 85.1 de la LPACAP no exige una previa
determinación de la sanción, dado que en ningún lugar se refiere a una sanción
preestablecida (lo que sucedería en caso de su fijación en el momento de iniciación
del procedimiento), sino a la imposición de la sanción que proceda. Es decir, la norma,
que en todo caso es aplicable ?iniciado el procedimiento?, prevé el posible
reconocimiento de responsabilidad que podrá determinar la imposición de la sanción
?que proceda?, de forma que esa fijación parece preverse con posterioridad al propio
reconocimiento de responsabilidad.
Pero además, el artículo 85.3 prevé que las reducciones deberán adoptarse sobre la
sanción ?propuesta?, lo que exige que efectivamente se haya determinado en el seno
del procedimiento, previa audiencia del administrado, cuál es ese importe, lo que
conduce literalmente a la conclusión de que será la propuesta de resolución, por
mucho que se indique lo contrario en la Propuesta de Resolución, el momento idóneo
para la determinación del citado importe, toda vez que el Acuerdo de Inicio no es el
lugar idóneo para ?proponer? la imposición de una sanción, sino para simplemente
iniciar la tramitación del procedimiento.
La AEPD trata de justificar en la Resolución que no es la propuesta de resolución sino
el acuerdo de inicio el lugar apropiado para la fijación del importe de la sanción. Sin
embargo, olvida la AEPD que existe una sustancial diferencia entre ambos momentos
del procedimiento, dado que el encartado ya habrá podido ser oído y sus argumentos
tomados en consideración en la propuesta de resolución y que, además, dicha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/117
propuesta habrá podido ser adoptada libremente por el órgano competente para la
instrucción, no produciéndose así influencia alguna del órgano sancionador sobre la
actuación instructora.
En efecto, el interesado no ostenta, con anterioridad al Acuerdo de Inicio, el derecho
consagrado por el artículo 53.1 e) de la LPACAP, que sólo podrá ejercitar a partir de
ese momento, y esta circunstancia, lejos de ser interpretada en el sentido que se
contiene en la Propuesta de Resolución (considerando por ese motivo lícita la fijación
in audita parte de la cuantía de la sanción ?propuesta?), lo que pone de manifiesto es la
manifiesta y palmaria indefensión ocasionada a CAIXABANK, dado que el importe de
la sanción ?propuesta? le viene dado con anterioridad a la tramitación del
procedimiento y la posibilidad de alegar lo que a su derecho convenga en el mismo a
fin de que sea tenido en cuenta en la valoración de las circunstancias concurrentes en
el caso
Y es que, a diferencia de lo que indica la Resolución recurrida, en que parece
afirmarse que la fijación de la cuantía de la infracción es un beneficio otorgado a
CAIXABANK, al ir aquélla ?más allá? de lo establecido en la LPACAP, la determinación
in audita parte del importe de la sanción y la determinación por la AEPD de las
circunstancias concurrentes en el caso sin que el encartado haya tenido la más
mínima oportunidad de alegar lo que a su derecho convenga, nunca podría ser
considerado como tal beneficio, dado que en modo alguno puede considerarse que
una transgresión del derecho a la defensa de CAIXABANK pueda en ningún caso
considerarse nada menos que un beneficio.
De este modo, se incurre en la contradicción consistente en considerar que el no
haber hecho CAIXABANK uso del supuesto beneficio que se le generaba, en
aplicación del artículo 85 de la LPACAP deviene en motivo para que no pueda invocar
la vulneración de sus derechos derivada de la interpretación errónea que la AEPD
hace de la citada norma. Así, la vulneración de la presunción de inocencia en que
incurre el Acuerdo de Inicio se subsanaría como consecuencia del hecho de que
CAIXABANK no ha satisfecho anticipadamente la sanción, incurriéndose en la
paradoja de que para gozar del beneficio concedido por el artículo 85 de la LPACAP el
encartado debe soportar la quiebra de tan fundamental derecho.
En efecto, la indefensión generada a CAIXABANK por la actuación de la AEPD en este
caso no podría considerarse subsanada por el hecho de que la misma haya podido
formular alegaciones al acuerdo de inicio. Y ello es así porque el mero hecho de su
formulación implica un incremento del importe que se vería obligado a satisfacer, por
cuanto la AEPD no reconoce al encartado la posibilidad de ejercer la opción contenida
en el artículo 85.1 de la LPACAP (es decir, reconocer su culpa en cualquier momento
del procedimiento) en caso de que haya emitido alegaciones al acuerdo de inicio.
Señala la diferencia que existe entre el acuerdo de inicio y la propuesta de resolución
puesto que en la primera se permite el reconocimiento de responsabilidad dentro del
plazo para ejercer alegaciones lo que lleva aparejada una reducción del 20% de la
sanción y se le indica que en cualquier momento anterior a la resolución del
procedimiento, podrá llevar a cabo el pago voluntario de la sanción propuesta, de
conformidad con lo establecido en el artículo 85.2 de la LPACAP, lo que supondrá una
reducción de un 20% de su importe. También se le indica que la reducción por el pago
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/117
voluntario de la sanción es acumulable a la que corresponde aplicar por el
reconocimiento de la responsabilidad, siempre que este reconocimiento de la
responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. Expone que, sin embargo, en la
propuesta de resolución se establece únicamente que ?de conformidad con lo
establecido en el artículo 85.2 de la LPACAP, se le informa de que podrá, en cualquier
momento anterior a la resolución del presente procedimiento, llevar a cabo el pago
voluntario de la sanción propuesta, lo que supondrá una reducción de un 20% del
importe de la misma?.
Considera que el encartado se ve en la tesitura de (i) o bien reconocer su culpa a
limine para lograr una reducción de la cuantía de una sanción fijada in audita parte; o
bien (ii) ejercer los derechos que le otorgan la Constitución y las leyes, si bien ello le
supondrá un coste, en su caso, de 420.000 euros, al no poder ya disfrutar del primero
de los beneficios concedidos por el artículo 85 de la LPACAP. Es decir, para la AEPD
el mero hecho de ejercer el derecho de defensa, que permitiría a la Administración
actuante conocer realmente, a la vista de lo que pudiera ser aportado por el encartado,
las circunstancias concurrentes en el caso y determinar adecuadamente el importe de
la sanción que pudiera proceder imponer, ha de llevar aparejado un coste económico,
ciertamente desmesurado (420.000 euros), para el encartado, lo que, obvio es decirlo,
supone un quebrantamiento radical de los derechos que asisten a éste.
La consecuencia de todo lo indicado es que existe un vicio radical en la tramitación de
este expediente sancionador, derivado de una interpretación contraria a la
Constitución de los artículos 64 y 85 de la LPACAP, que incide en la nulidad del
procedimiento, al haberse vulnerado los derechos fundamentales de CAIXABANK, tal
y como establece el artículo 47.1 a) de la LPACAP.
2. Sobre la indefensión ocasionada a CAIXABANK como consecuencia de la
prolongación fraudulenta de las actuaciones de investigación.
Alega que ya puso de manifiesto en las alegaciones al Acuerdo de Inicio la
concurrencia en la fase de investigación del presente procedimiento de un cúmulo de
irregularidades que abocaban necesariamente a la generación a aquélla de una
palmaria indefensión, y una utilización fraudulenta por parte de la AEPD de la facultad
que le atribuye el artículo 94.5 de la LRJPAC, en perjuicio de los derechos
CAIXABANK.
Afirma que, tal y como indica la Propuesta de Resolución el traslado al delegado de
protección de datos, a efectos de resolver sobre la admisión a trámite de la
reclamación ?si bien tiene carácter potestativo para la AEPD, viene a suponer una
garantía para el reclamado, al que se le da la oportunidad de exponer las razones de
su actuación frente a la reclamación formulada y, en su caso, las medidas correctivas
adoptadas encaminadas a poner fin a un posible incumplimiento de la legislación de
protección de datos, con carácter previo a su admisión o no a trámite?
Es decir, el citado traslado pretende garantizar los derechos de CAIXABANK en este
caso, a fin de que la AEPD pueda determinar si procede o no proseguir con el
procedimiento, acordando, conforme al artículo 65.1 esa prosecución en relación con
los hechos denunciados y la posible vulneración de los derechos de los interesados en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/117
lo que respecta a la protección de sus datos personales, bien mediante la realización
de actuaciones de inspección encaminadas al esclarecimiento bien, en caso de
encontrarse los mismos suficientemente acreditados, mediante la apertura del
correspondiente procedimiento sancionador (artículo 64.2 de la LOPDGDD).
Sin embargo, en el presente supuesto encontramos dos situaciones que parecen
contradecir lo argumentado por la AEPD en su propuesta:
? En primer lugar, no aparecen en ningún lugar del expediente las admisiones a trámite
de las reclamaciones formuladas por los Reclamantes 1, 2 y 3, constando únicamente
las referidas a los Reclamantes 4 (el día 14 de agosto de 2019, folio 405 del
expediente), 5 (el día 14 de agosto de 2019, folio 411 del expediente). 6 (el día 19 de
septiembre de 2019, folio 472 del expediente) y 7 (el día 28 de abril de 2021, folio 785
del expediente). ? En segundo lugar, los hechos sobre los que versan las siete
reclamaciones formuladas contra mi mandante ya se encontraban sometidos a
actuaciones de inspección, iniciadas por propia iniciativa de la AEPD (tal y como indica
la Propuesta de Resolución) el día 21 de febrero de 2019 (folios 5 y 6 del expediente).
Es decir, en las fechas en que se acordó la admisión a trámite de las reclamaciones
respecto de las que existió este acuerdo (que no son las presentadas en primer lugar,
sino únicamente las cuatro últimas de las presentadas), el traslado efectuado por la
AEPD a CAIXABANK carecía absolutamente de sentido, toda vez que fuera cual fuera
la respuesta que éste ofreciera en relación con las citadas reclamaciones, los hechos
a los que las mismas se referían ya estaban siendo objeto de investigación por parte
de la AEPD.
En consecuencia, aun cuando la AEPD manifieste que se pretendían reforzar los
derechos de CAIXABANK a fin de decidir si procedía o no la prosecución del
procedimiento referido a las reclamaciones formuladas, lo cierto es que la decisión ya
se había adoptado mediante el acuerdo de 21 de febrero de 2019. Por ello, el traslado
de la reclamación se convertía en un trámite meramente burocrático cuya decisión ya
había sido previamente adoptada, toda vez que en caso de inadmisión de la
reclamación, la AEPD estaría yendo contra sus propios actos, consistentes en el inicio
de la investigación en fecha 21 de febrero de 2019.
A ello coadyuva igualmente el hecho de que la AEPD niega toda relevancia a los
citados acuerdos de admisión a trámite, que no despliegan ningún efecto en los
términos previstos en el artículo 64 de la LOPDGDD. En efecto, dichos acuerdos no
determinan ni la realización de actuaciones investigadoras ni la apertura de
procedimiento sancionador alguno, por el mero hecho de que esas actuaciones,
respecto de las que la AEPD considera tan relevante la admisión a trámite, ya se
encontraban en curso, limitándose a acordar, según consta en los antecedentes
fácticos del Acuerdo de Inicio y la Propuesta de Resolución, su acumulación a aquellas
actuaciones de investigación (aun cuando ni siquiera consta en el expediente el
acuerdo por el que dicha acumulación tuvo lugar). Prueba de ello es que la propia
AEPD es conocedora de que el dies ad quem para la culminación del plazo máximo de
duración de las actuaciones de investigación no es otro que el 21 de febrero de 2020,
en que se cumplió el plazo de un año a contar desde su apertura.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/117
En segundo lugar, la Propuesta de Resolución se limita a invocar el artículo 95.4 de la
LRJPAC, indicando que el mismo le atribuye la potestad de llevar a cabo una suerte
de reapertura de las actuaciones de investigación en caso de que lo estime pertinente,
por más que la LOPDGDD establezca un plazo máximo de duración de las
actuaciones de investigación.
Ciertamente, el citado precepto establece que ?[l]a caducidad no producirá por sí sola
la prescripción de las acciones del particular o de la Administración, pero los
procedimientos caducados no interrumpirán el plazo de prescripción?, añadiendo que
?[e]n los casos en los que sea posible la iniciación de un nuevo procedimiento por no
haberse producido la prescripción, podrán incorporarse a éste los actos y trámites
cuyo contenido se hubiera mantenido igual de no haberse producido la caducidad. En
todo caso, en el nuevo procedimiento deberán cumplimentarse los trámites de
alegaciones, proposición de prueba y audiencia al interesado?.
Por su parte, el artículo 67.1 de la LOPDGDD es claro al indicar que ?[a]ntes de la
adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la
reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a
cabo actuaciones previas de investigación a fin de lograr una mejor determinación de
los hechos y las circunstancias que justifican la tramitación del procedimiento?,
añadiendo de forma taxativa su apartado 2 que dichas actuaciones ?no podrán tener
una duración superior a doce meses a contar desde la fecha del acuerdo de admisión
a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la
Agencia Española de Protección de Datos actúe por propia iniciativa?. Pues bien, si la
norma especial aplicable a la actuación de la AEPD establece de forma
completamente tajante que las actuaciones de investigación ?no podrán tener una
duración superior a doce meses?, dicha norma deberá ser la única aplicable al
presente procedimiento toda vez que la propia LOPDGDD establece que la aplicación
de la normativa reguladora del procedimiento administrativo común es únicamente de
aplicación subsidiaria a los procedimientos tramitados por la AEPD. Es decir, no se
trata sólo de que la LRJPAC no sea de aplicación como consecuencia del hecho de
ser la LOPDGDD la norma especial reguladora del procedimiento; es que la propia
LOPDGDD señala en su artículo 63.2 que ?[l]os procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos?
Y ello no hace sino poner de manifiesto la contradicción en que incurre la Propuesta
de Resolución cuando al mismo tiempo indica que la legislación especial que resulta
de aplicación al procedimiento establece un plazo máximo de duración de las
actuaciones inspectoras, pero al propio tiempo considera que dicho plazo
taxativamente establecido debe interpretarse en el sentido de que la duración podrá
ser siempre superior, so pena de impedir la aplicación del artículo 95.3 de la LRJPAC
que, como norma de aplicación subsidiaria al caso resulta, precisamente por ese
motivo, inaplicable.
En tercer lugar, afirma que la AEPD considera errónea la aplicación de la doctrina
sustentada por la Audiencia Nacional en su sentencia de 17 de octubre de 2007
(recurso 180/2006). A juicio de la AEPD dicha doctrina no resulta de aplicación al caso
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/117
por dos motivos esenciales: (i) fue revocada por la propia Sala a partir de su sentencia
de 19 de noviembre de 2008 (recurso 90/2008); y (ii) es anterior al establecimiento de
un plazo máximo de duración de las actuaciones de investigación.
Pues bien, respecto del primero de los motivos citados, es preciso recordar que la
sentencia de 19 de noviembre de 2008 no se fundó, para modificar el criterio de la
Sala, en el hecho de considerar errónea la doctrina sustentada por la anterior
sentencia, sino que fundó su doctrina en la documentación aportada por el legal
representante de la AEPD junto con su contestación a la demanda.
En efecto, según la citada sentencia: ?[?] concurren sin embargo en el presente
supuesto una serie de circunstancias específicas que han de ser puestas de
manifiesto. Así el Abogado del Estado hace notar en la contestación a la demanda que
el retraso producido en la tramitación de las actuaciones previas está en el caso
claramente justificado. Y ello porque del estudio de la documentación que aporta
queda patente, de modo inequívoco, el importantísimo incremento de asuntos
tramitados ante la AEPD, no acompañado del mismo incremento proporcional de
recursos y medios personales. Documentación que pone en evidencia que entre los
años 2003 y 2007 han aumentado los procedimientos iniciados en un 108,33% y las
resoluciones dictadas en un 105,67%, por lo que los retrasos en dicha tramitación, y
lógicamente en las actuaciones previas ( que se incrementaron un 120,03 % en el
referido periodo), no han sido debidos a la intención fraudulenta de evitar la caducidad
del expediente sancionador, sino a dicho significativo incremento del trabajo a realizar
por los distintos departamentos de la AEPD, que claramente justifican el mencionado
retraso. Frente a dicha argumentación de la defensa de la Administración esta Sala
considera que tal documentación adjuntada efectivamente evidencia el significativo
aumento del número de asuntos tramitados en la AEPD en los últimos cuatro o cinco
años, que lógicamente ha tenido que implicar la consiguiente prolongación del tiempo
de duración de tramitación de los mismos y, por ende, de su fase preliminar o de
diligencias previas.?
Es decir, la doctrina de la sentencia invocada por CAIXABANK en sus alegaciones al
Acuerdo de Inicio no es errónea ni ha sido revocada por la Audiencia Nacional, sino
que fue matizada por la misma en atención a las peculiarísimas circunstancias
derivadas de la documental que obraba en autos. Precisamente, y a fin de evitar esta
situación anómala para los derechos del investigado, el artículo 122.4 del Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre estableció un plazo
taxativo de duración de las actuaciones de investigación, que no podrían exceder de
un plazo máximo de doce meses ?a contar desde la fecha en la que la denuncia o
petición razonada a las que se refiere el apartado 2 hubieran tenido entrada en la
Agencia Española de Protección de Datos o, en caso de no existir aquéllas, desde que
el Director de la Agencia acordase la realización de dichas actuaciones?, añadiendo
que ?[e]l vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio
de procedimiento sancionador producirá la caducidad de las actuaciones previas?.
Es decir, no es dable a la AEPD la sucesiva declaración de caducidad y posterior
reapertura de las actuaciones de investigación seguidas por propia iniciativa en un
caso concreto, toda vez que ello entra en flagrante contradicción con el principio de
seguridad jurídica y con las garantías que el ordenamiento jurídico otorga al
administrado, que no ha de verse sujeto a la perpetua incertidumbre derivada del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/117
hecho de que la AEPD podrá, en el momento en que lo considere conveniente, reabrir
las actuaciones de investigación por los mismos hechos o incoar directamente el
procedimiento sancionador.
Y es esto lo que establece, y no otra cosa, la LOPDGDD: formulada una reclamación,
la AEPD dispone de unos plazos tasados para la investigación de los hechos, de
forma que transcurrido el plazo máximo fijado por el legislador en la norma que resulta
de aplicación al procedimiento tramitado por la AEPD ésta únicamente podrá acordar
la caducidad del procedimiento y no proceder a su reapertura, al no ser de aplicación
el artículo 95.3 de la LRJPAC, por ser norma general y de aplicación subsidiaria a los
procedimientos tramitados por la AEPD, que establecen un plazo taxativo y limitado de
duración de las actuaciones de investigación.
Y es precisamente la aplicación del artículo 95.3 de la LRJPAC la que determina lo
fraudulento de la actuación de la AEPD en este procedimiento conforme a la doctrina
sustentada por la sentencia de la Audiencia Nacional de 17 de octubre de 2007, no
debiendo impedir la debida aplicación del artículo 67.2 de la LOPDGDD, que se trata
de eludir, en los términos establecidos por el artículo 6.4 del Código Civil, mediante la
invocación de una norma que no resulta aplicable.
SEGUNDA. SOBRE LA VALIDEZ DEL CONSENTIMIENTO PRESTADO POR LOS
CLIENTES EN EL PRESENTE CASO.
Declara íntegramente reproducidas las alegaciones formuladas al Acuerdo de Inicio
del presente procedimiento y afirma que la Propuesta de Resolución se limita a negar
la procedencia de lo afirmado en las alegaciones citadas sobre la mera base de su
simple apreciación, incurriendo a lo largo de su razonamiento en evidentes
contradicciones, amparando su criterio en su simple aseveración, sin llevar a cabo
razonamiento alguno para fundar aquél, y contradiciendo no sólo la propia naturaleza
jurídica del contrato de cuenta corriente, sino incluso las propias interpretaciones
efectuadas por el EDPB en los documentos en que, aparentemente, pretende fundar
su resolución sancionadora.
Señala que la AEPD afirma que ?esta Agencia considera que, efectivamente, las
comisiones pueden formar parte del contrato de cuenta corriente remunerando los
servicios que se presten por la entidad bancaria, como ya indicaba en el Acuerdo de
Inicio del presente procedimiento?, entendiendo que frente a tal afirmación no
podemos sino reiterar que las comisiones no ?pueden formar parte? del contrato, sino
que son uno de los elementos objetivos consustanciales al mismo, de tal forma que en
caso de no concurrir el contrato podrá tener la naturaleza que se quiera, pero no nos
encontraremos ante un contrato de cuenta corriente bancaria, dado que su carácter es
bilateral y oneroso, de forma que no es posible considerar que el mismo ?puede? existir
a título gratuito o sin contraprestación por parte del cliente de la entidad, entendiendo
que esa conclusión hace que el razonamiento seguido posteriormente por la AEPD
deba necesariamente decaer: no existe ningún perjuicio por el mantenimiento de las
condiciones del contrato, sino únicamente una exención o beneficio derivada de la
prestación de los consentimientos a los que se está haciendo referencia en este
procedimiento sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/117
Y es esta circunstancia la que el EDPB pone de manifiesto en sus ?Directrices 5/2020
sobre el consentimiento en el sentido del Reglamento (UE) 2016/679? (en adelante,
indistintamente, las ?Directrices del EDPB? o las ?Directrices del EDPB sobre el
consentimiento?), cuando en el sexto de los ejemplos que menciona, señala lo
siguiente: ?Un banco pide a sus clientes el consentimiento para que terceras partes
puedan usar sus datos de pago para fines directos de mercadotecnia. Esta actividad
de tratamiento no es necesaria para la ejecución del contrato con el cliente y la
prestación de los servicios habituales de la cuenta bancaria. Si la negativa del cliente a
dar su consentimiento a dicho tratamiento diera lugar a la negativa por parte del banco
de prestar sus servicios, al cierre de la cuenta bancaria o, dependiendo del caso, a un
aumento de las comisiones, el consentimiento no podría darse libremente.?
De este modo, el EDPB indica que podría considerarse que el consentimiento no se ha
otorgado libremente en aquellos supuestos en los que el banco:
i. No procediese a la apertura de una cuenta bancaria al cliente por el hecho de no
haber prestado su consentimiento (condicionando así la firma del contrato a la
prestación de un consentimiento que no se refiere al objeto del mismo, sino a ?otros
asuntos?, en terminología del artículo 7.2 del RGPD), de forma que condicionase la
celebración del contrato a la prestación del consentimiento;
ii. Acordase el cierre de la cuenta como consecuencia de la no prestación del
consentimiento, en los términos ya mencionados, lo que supondría un
condicionamiento de la misma naturaleza, por cuanto la revocación o no prestación del
consentimiento implicaría la resolución del contrato; o
iii. Se produjera un aumento de las comisiones que dicho cliente debe abonar en
relación con los productos contratados, es decir, imponiendo a aquél un gravamen por
la no prestación del consentimiento.
Aun cuando el ejemplo es sumamente claro y taxativo, la AEPD se limita, frente a todo
lo manifestado hasta ese momento, a negarle validez, señalando lo siguiente: ?Esta
Agencia entiende que, con independencia de que el EDPB mencione solamente
algunos ejemplos de lo que constituye un perjuicio, sin pretensión de contemplar todos
los posibles supuestos, la referencia al ?aumento de las comisiones? no puede
interpretarse en el sentido literal que CAIXABANK manifiesta en sus alegaciones.
Cuando el EDPB hace referencia a un ?aumento de las comisiones? es evidente que
toma como punto de partida el supuesto en que existen unas comisiones establecidas
que se cobran en todo caso, de ahí que, si la negativa a prestar el consentimiento da
lugar a que estas aumenten, considere que el consentimiento no se presta libremente,
en tanto ese aumento supone un perjuicio para el interesado. Esto es, el
consentimiento no es libre porque se condiciona su prestación a evitar un cobro que
no se venía produciendo. Y este ejemplo es equivalente al que se produce en el caso
objeto del presente procedimiento, en el que la exención del cobro de las comisiones
se vincula a la prestación del consentimiento, de forma que el interesado no presta
dicho consentimiento libremente, sino condicionado por esa circunstancia.?
Entiende CAIXABANK que la argumentación de la AEPD se trata de una interpretación
forzada, ya que en primer lugar, la AEPD en sus distintas resoluciones eleva hasta la
categoría de fuente del derecho el contenido de los distintos documentos y directrices
emanados del EDPB, hasta el punto de considerar que la contravención de dichos
documentos ha de ser considerado como una transgresión directa del propio RGPD y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/117
la LOPDGDD que adapta al mismo el derecho español. Esta transgresión se entiende
producida incluso en los supuestos en los que el EDPB se limita a efectuar
consideraciones de carácter general acerca de la interpretación de un determinado
precepto, considerando la AEPD que el RGPD se encuentra completado con el criterio
extra legem y en ocasiones contra legem incluido en dichas opiniones. Baste recordar
a tal efecto, las resoluciones recaídas en los procedimientos PS/00070/2019,
PS/00477/2019 y PS/00500/2020 (estos dos últimos dirigidos respectivamente contra
CAIXABANK y una de las empresas del Grupo en que se integra) para comprobar
cómo los requisitos legalmente exigidos para la validez de la obligación de información
a los afectados o la prestación del consentimiento se ven ampliados más allá de lo
establecido en la norma como consecuencia de la aplicación, como si de una norma
jurídica se tratase, de los criterios sustentados por el EDPB.
Sin embargo, en la presente Propuesta de Resolución, y aun habiendo citado
nuevamente como si de una norma legal se tratase las citadas Directrices sobre el
consentimiento, la AEPD realiza una nueva interpretación de los criterios sustentados
por el EDPB, ya que en caso de no resultar acordes (cuando no diametralmente
opuestos) a las tesis que aquélla pretende mantener ello sólo podrá deberse a dos
posible causas: (i) su ánimo de no resultar exhaustivos, de forma que no han
contemplado un caso como el analizado por la Agencia; o (ii) la efectiva contemplación
de dicho supuesto, entendiendo que el dictamen interpretativo debe ser a su vez
interpretado en el sentido que la AEPD considera procedente defender.
El propio contenido de la Propuesta de Resolución pone de manifiesto la evidente
contradicción del razonamiento de la AEPD.
En efecto, en primer lugar, en cuanto a la consideración de que el contenido de las
Directrices no resulta exhaustivo, debe tenerse en cuenta que el ejemplo parece hacer
referencia a todos los supuestos en los que cabría considerar que existiría afección del
principio de libertad del consentimiento en un supuesto como el analizado. Y en cuanto
a las comisiones en ningún momento se refiere al cobro de las comisiones pactadas
en el contrato o a la desaparición de una exención de dicho pago, sino única y
exclusivamente a un ?aumento? de las mismas como consecuencia de la no prestación
del consentimiento. Y además ese supuesto, a diferencia de los dos citados por el
EDPB con anterioridad no se incorpora de una forma incondicional, sino ?dependiendo
del caso?, es decir, de las circunstancias que concurriesen en el mismo, de forma que
habrá supuestos en los que incluso tal aumento no determinaría una ausencia de
libertad del consentimiento.
La propia AEPD razona cómo sería éste (y no el analizado el presente procedimiento)
el supuesto que podría afectar, ya se ha dicho que condicionadamente, a la libertad
del consentimiento. Para ello téngase en cuenta que la propia AEPD señala que el
criterio del EDPB es que ?si la negativa a prestar el consentimiento da lugar a que
estas [las comisiones] aumenten, considere que el consentimiento no se presta
libremente?, añadiendo que este ejemplo es equivalente al analizado en el presente
procedimiento. Pues bien, tal afirmación no puede sino calificarse de errónea: en
ningún caso cabe considerar que en el supuesto analizado la negativa a prestar el
consentimiento hace que las comisiones aumenten. Las comisiones están pactadas en
el contrato firmado por el interesado y no aumentan ni en mayor ni en menor cuantía
como consecuencia de la falta de prestación de dicho consentimiento. Es decir, y por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/117
si no fuera suficientemente claro, simplemente se producirá la plena eficacia del
contrato y la exigibilidad de dichas comisiones, ya acordadas con el interesado en el
momento de la firma del contrato.
Cuestión distinta es que la prestación del consentimiento suponga una rebaja o
exención del abono de dichas comisiones. En ese caso no se establece un gravamen
por la negativa a prestar el consentimiento, sino una rebaja o exención del pago de la
contraprestación que a aquél corresponde satisfacer por los servicios prestados por su
cliente. Es decir, la no prestación del consentimiento no supone gravamen alguno, sino
el mantenimiento de las condiciones generales del contrato, que imponen el abono de
una comisión.
Finalmente, la AEPD, sin embargo, niega efectividad para la defensa de los derechos
de CAIXABANK porque se limita a considerar que ?[c]uando el EDPB hace referencia
a un ?aumento de las comisiones? es evidente que toma como punto de partida el
supuesto en que existen unas comisiones establecidas que se cobran en todo caso?.
En relación con semejante afirmación, que en un supuesto en que el EDPB se
manifiesta con meridiana claridad no es dable a la AEPD ampliar (o más bien limitar) la
interpretación del supuesto a aquél que considere ajustado a sus tesis, por muy
evidente que pretenda considerar este hecho. Si la AEPD considera que es ?evidente?
la interpretación que pretende realizar, debería justificar en qué se funda para apreciar
esa supuesta evidencia y no limitarse a incorporar a su razonamiento tan apodíctica
conclusión.
Y también incurre en una evidente contradicción el razonamiento sostenido por la
AEPD en su Propuesta de Resolución cuando, tras reproducir la cita del ?Manual de
legislación europea en materia de protección de datos?, adoptado por la Agencia de
los Derechos Fundamentales de la Unión Europea y el Consejo de Europa, en
colaboración con el Tribunal Europeo de Derechos Humanos y el Supervisor Europeo
de Protección de Datos, que CAIXABANK realizaba en su escrito de alegaciones al
Acuerdo de Inicio, y tras haber insistido en que en el supuesto controvertido no existía
beneficio alguno derivado de la prestación del consentimiento, sino un manifiesto
perjuicio en caso de que el mismo no fuera otorgado concluye, de forma ciertamente
escueta, que de lo señalado en el citado Manual se desprende que ?el beneficio debe
ser de pequeña entidad, esto es no lo suficientemente importante como para afectar a
la libertad de elección?.
Esta parte no puede a ciencia cierta aventurar si de tal afirmación se desprende que
finalmente, y pese a lo razonado hasta ese momento, la AEPD considera que en el
presente caso nos encontraríamos ante un beneficio que, no obstante, debe ser
rechazado. Lo que sí considera es que ni siquiera la afirmación reproducida se
complementa con el más mínimo razonamiento que justifique por qué entiende la
AEPD que el ?beneficio? no es ?de pequeña entidad? en este caso. De este modo, la
AEPD se limita nuevamente a rebatir lo argumentado por CAIXABANK sobre una
afirmación completamente terminante, carente del más mínimo sustrato probatorio que
permita a CAIXABANK rebatirla. De este modo, la AEPD parece considerar que la
entidad del beneficio obtenido por la prestación del consentimiento debe ser
significativa, pero en ningún caso aporta los argumentos que conducen a tal
conclusión, con la evidente quiebra de la presunción de inocencia de CAIXABANK,
que debería, según parece derivarse del razonamiento de la Propuesta de Resolución,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/117
acreditar que la cuantía del beneficio es reducida para evitar la aplicación de la norma
sancionadora.
Pues bien, debe recordarse que el considerando 9 del RGPD indica lo siguiente:
?Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello
no ha impedido que la protección de los datos en el territorio de la Unión se aplique de
manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la
opinión pública de que existen riesgos importantes para la protección de las personas
físicas, en particular en relación con las actividades en línea. Las diferencias en el
nivel de protección de los derechos y libertades de las personas físicas, en particular
del derecho a la protección de los datos de carácter personal, en lo que respecta al
tratamiento de dichos datos en los Estados miembros pueden impedir la libre
circulación de los datos de carácter personal en la Unión. Estas diferencias pueden
constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel
de la Unión, falsear la competencia e impedir que las autoridades cumplan las
funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los
niveles de protección se debe a la existencia de divergencias en la ejecución y
aplicación de la Directiva 95/46/CE.? En el supuesto analizado, el beneficio que se
obtendría como consecuencia de la prestación del consentimiento es la exención del
abono de una comisión mensual de 5 euros, que la AEPD, aun sin justificarlo en
ningún momento, parece considerar excesiva.
Este criterio resulta opuesto al mantenido por la Autoridad Austriaca de Protección de
Datos (Datenschutzbehörde) en su resolución de 30 de noviembre de 2018, que puede
consultarse en su versión alemana en el sitio web ***URL.3.
En el supuesto analizado por la citada resolución, la autoridad se pronunció sobre el
caso de una página web austríaca que otorgaba a sus clientes tres opciones en cuanto
a su acceso a la información publicada en el sitio web:
a. Acceso parcial al sitio web libre de cookies no esenciales.
b. Pago de una suscripción a cambio del acceso al sitio web sin cookies no esenciales.
c. Acceso al sitio web a cambio de la instalación de cookies de publicidad y terceros.
A la vista de este escenario, la resolución considera que es posible ofrecer un acceso
completo al sitio web a cambio de que se instalen cookies en el navegador del usuario
dado que se dan las siguientes condiciones previas:
a. El sitio web esté basado en la suscripción de todos modos.
b. La política de cookies es muy clara con respecto al tipo de cookies instaladas y a los
terceros que tienen acceso a los datos recibidos.
c. No se instalan cookies antes de que el cliente consienta, o no, su instalación.
d. Negar el consentimiento no tiene consecuencias significativamente negativas para
el usuario.
En especial, entiende la Autoridad Austriaca que las consecuencias de negar el
consentimiento no son significativamente negativas en la medida en la que la cuota de
suscripción -de 6 euros mensuales sin tratamiento de datos-es razonable por no
ejercer un poder coercitivo suficiente sobre el interesado, que no se ve en la disyuntiva
de consentir el tratamiento de sus datos o pagar una suscripción que no es asequible.
Pues bien, en el presente caso (i) la cuantía de la comisión de cuyo pago quedaría
eximido el cliente por la prestación del consentimiento es inferior a la que se recogía
en el supuesto al que acaba de hacerse referencia; y (ii) las comisiones forman parte
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/117
integrante del contrato, de forma que estas son elemento esencial del mismo, es decir,
el contrato es bilateral y oneroso por naturaleza. De este modo, cabría alcanzar la
misma conclusión a la que llega la citada resolución, en el sentido de considerar que
no existe una consecuencia negativa por la falta de prestación del consentimiento.
CAIXABANK es consciente de que la resolución procede de una autoridad de control
distinta de la AEPD y que tampoco nos encontramos ante un criterio sustentado por el
EDPB (aun cuando ya se demostró que el mismo no considera que exista un
gravamen en caso de exención de comisiones). Sin embargo, es evidente que si el
propósito del RGPD es el de establecer un marco uniforme en la aplicación de las
normas y principios configuradores del derecho fundamental a la protección de datos,
no cabe duda que el criterio sustentado en la citada resolución (debe a tal efecto
recordarse que el EDPB en sus directrices exige para el consentimiento a la
instalación de cookies los mismos requisitos establecidos en el artículo 4.11 del
RGPD) ha de ser tomado en consideración como elemento a tener en cuenta en la
interpretación de los requisitos exigidos al consentimiento de los interesados por la
normativa de protección de datos personales.
Sin embargo, como ya se indicó, la AEPD en su Propuesta de Resolución indica que
existe un ?elemento de compulsión o presión?, que ?viene determinado, a juicio de la
AEPD, por el cobro de esas comisiones establecidas de forma que suponen un coste
de suficiente entidad como para determinar a los clientes de tales cuentas a aceptar el
consentimiento para el tratamiento de datos con fines distintos a los propios del
contrato?. No obstante, como ya se ha indicado, ningún razonamiento efectúa la AEPD
para determinar por qué la exención de una comisión de cinco euros mensuales ha de
ser considerada como un elemento de presión ni por qué el mismo ha de considerarse
de una entidad suficiente para forzar la prestación del consentimiento, máxime si se
tiene en cuenta que, como se pone de manifiesto por las cifras incluidas en el hecho
sexto de la resolución, el mismo no fue prestado por casi 250.000 clientes de la
entidad, lo que no puede considerarse una cifra baladí.
Y, necesario es reiterarlo, la no prestación o revocación del consentimiento no lleva
aparejado coste alguno para el interesado, por cuanto únicamente implica la aplicación
de las condiciones generales del contrato previamente suscritas por el interesado. No
se está haciendo referencia a un contrato gratuito que, como consecuencia de dicha
falta de prestación o revocación, se convierte en oneroso, dado que el contrato tiene
esta naturaleza desde el momento de su firma. Ni tampoco se está haciendo
referencia a la modificación de las condiciones generales del contrato mediante un
incremento de su ?precio?, es decir, de las comisiones, por cuanto las mismas serán
las que constan en el contrato firmado por el interesado, sin incrementarse en ningún
momento.
Afirma por otra parte la AEPD que en el presente caso el consentimiento no es libre,
sino condicionado, por cuanto CAIXABANK no ofrece a sus clientes ningún servicio
equivalente al prestado en caso de que los mismos no presten su consentimiento al
tratamiento o cesión de sus datos personales.
CAIXABANK ya puso de manifiesto en sus alegaciones al Acuerdo de Inicio la
inexactitud de semejante afirmación, por cuanto el producto que se ofrece a quienes
no hayan prestado el citado consentimiento no es ?equivalente?, sino el mismo que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/117
habían contratado, aun cuando al no prestarse el consentimiento no se produce una
exención en el pago de las comisiones. Es decir, el producto, la Cuenta ON, con sus
condiciones generales y con las especificaciones establecidas en el contrato es el
mismo para todos los clientes que suscriban el contrato. No existen dos contratos
distintos, sujetos a distintas condiciones generales, sino un solo contrato que es
firmado por todos y cada uno de los clientes de la Cuenta ON. Por esta razón se
ignora el motivo por el que la AEPD considera que no existe la mencionada
equivalencia, cuando lo que existe es una absoluta identidad, al ser uno y el mismo el
producto contratado.
Y es que, como señalan las Directrices del EDPB el responsable ?podría argumentar
que su organización ofrece a los interesados una elección real si estos pudieran
escoger entre un servicio que incluya el consentimiento para el uso de datos
personales con fines adicionales, y un servicio equivalente ofrecido por el mismo
responsable que no implicara prestar el consentimiento para el uso de datos con fines
adicionales?, lo que sucede en este caso, en que no se condiciona la prestación del
servicio, en las mismas condiciones firmadas por el interesado, a la prestación del
consentimiento para el tratamiento de sus datos personales.
Incluso en el negado supuesto de que no pudiese apreciarse la citada equivalencia,
CAIXABANK puso de relieve en sus alegaciones que existían otros productos de
idéntica naturaleza al objeto del presente procedimiento por los que podía optar el
interesado sin necesidad de prestar su consentimiento al tratamiento o cesión de sus
datos personales. A esta afirmación se limita la AEPD a responder que CAIXABANK
?no acredita que se trate de un servicio equivalente?, añadiendo que ?[n]o cabe admitir
que cualquier cuenta corriente sea un servicio equivalente si las condiciones en que se
presta son diferentes o están dirigidas a un determinado colectivo, de modo que se
excluye que otros puedan contratarlo?. Semejante afirmación vuelve a contradecir la
propia naturaleza del contrato de cuenta corriente, dado que si nos encontramos ante
contratos que participan de la misma naturaleza debe concluirse que los servicios
prestados son equivalentes.
En particular, cabe hacer referencia a la ?Cuenta Fácil? a la que ya se aludía en el
escrito de alegaciones al Acuerdo de inicio. Ante todo, y como punto de partida, se
trata de un contrato de cuenta corriente bancaria, lo que determina la identidad de
naturaleza con la cuenta ON. Por otra parte, se trata de una cuenta exenta del pago de
comisiones siempre y cuando se cumplan determinados requisitos por parte del titular,
que en ningún caso se condicionan ni al establecimiento de un ?perfil digital? ni a la
prestación de consentimiento alguno para el tratamiento o cesión de sus datos
personales, emitiéndose de modo gratuito una tarjeta de débito. Dichas condiciones
consisten en la existencia de una nómina igual o superior a 700 euros o prestación por
desempleo o pensión igual o superior a 200 euros, así como una de las tres
siguientes:
? Realizar dos compras al mes con una tarjeta de crédito
? Aportación de 135 euros en primas de seguro de riesgo.
? Tenencia de más de 30.000 euros en fondos de inversión, planes de pensiones o
seguros de ahorro (este requisito se cumplía igualmente en caso de tenencia de
40.000 euros en productos de inversión de la entidad, quedando excluidas de esta
exigencia las personas menores de 26 años).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/117
En definitiva, los clientes de CAIXABANK podían optar libremente no sólo por la
prestación de su consentimiento al tratamiento de sus datos personales, sino también
por la posibilidad de contratar otro producto de idéntica naturaleza, exento asimismo
del pago de comisiones.
Y es que, como la propia Propuesta de Resolución reconoce, con la cita del Manual de
protección de datos anteriormente reproducida, su razonamiento conduciría a
considerar nula la afirmación que claramente se contiene en el mismo e incluso la
afirmación contenida en la Propuesta de que el beneficio debería no ser significativo o
debería ser de escasa entidad. En este sentido, si se sigue ad pedem litterae el
establecimiento de un descuento a quienes hubieran aceptado su inclusión en un
programa de fidelización de cualquier empresa, con la consiguiente aceptación del
tratamiento de sus datos sería nulo, dado que no se establece la posibilidad de gozar
del mismo descuento en caso de no optarse por la adhesión al programa de
fidelización, lo que, obvio es decirlo, encierra, respetuosamente, un sofisma en sus
propios términos.
Cuestión distinta es que la AEPD considere que es necesario que las entidades
financieras cuenten con un contrato en que no se establezca por aquéllas comisión
alguna para la contratación de una cuenta corriente, como parece derivarse de lo
señalado en la propuesta de resolución. En ese caso, y como ya indicamos en
nuestras alegaciones al Acuerdo de Inicio, la AEPD estaría extralimitándose en el
alcance de las funciones y potestades que le atribuye el RGPD, imponiendo
condiciones a las entidades de crédito para la contratación de sus productos y
servicios, lo que supondría, como ya se indicó una extralimitación manifiesta en
aquéllas.
La AEPD, en relación con esta afirmación sostenida por CAIXABANK en las
alegaciones al Acuerdo de Inicio, indica que ?[e]sta Agencia no valora la validez del
contrato, sino la del consentimiento para llevar a cabo otros tratamientos distintos a los
propios del contrato y que se condiciona mediante la exención del cobro de
comisiones, lo que a juicio de esta Agencia es contrario a lo previsto en el artículo 7.4
del RGPD?.
CAIXABANK discrepa de esta afirmación: la AEPD en su razonamiento no sólo está
afectando a la libertad de la prestación del consentimiento para el tratamiento de los
datos personales del interesado, sino que afirma que ese consentimiento, como
elemento esencial del contrato de cuenta corriente, se ve afectado como consecuencia
del hecho de que dicha entidad exima del abono de las comisiones a quienes presten
su consentimiento al denominado ?perfil digital?, lo que no sólo afecta a la aplicación
de la normativa de protección de datos personales, sino a la licitud del propio contrato,
dado que si el consentimiento para la contratación del producto financiero es nulo por
encontrarse, en opinión de la AEPD, sujeto a una suerte de coerción, existiría un vicio
invalidante del propio contrato, al quedar afectado el consentimiento contractual.
De este modo, la única conclusión que cabe deducir de la propuesta de resolución es
la de que no debe otorgarse beneficio alguno por la prestación del consentimiento para
el tratamiento de los datos, dado que en ese caso el contrato quedaría viciado en su
propia firma, y ello pese a que la propia AEPD reconoce en su razonamiento la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/117
posibilidad de conceder beneficios, aunque, en sus propios términos, ?no significativos?
o ?de escasa entidad?.
Finalmente, la AEPD parece considerar que el consentimiento prestado por los
clientes CAIXABANK no sería informado, puesto que afirma ?se desconoce al tiempo
de firmar el contrato quienes son tales entidades colaboradoras, debiendo el particular
acudir a la página web de la entidad para conocer en cada momento a quien se han
cedido sus datos?.
Pero al propio tiempo, debe recordarse que el artículo 11 de la LOPDGDD establece el
modo en que el interesado deberá ser informado acerca del tratamiento de sus datos
mediante lo que se denomina ?información por capas?. Dicho precepto establece en su
apartado 1 que ?[c]uando los datos personales sean obtenidos del afectado el
responsable del tratamiento podrá dar cumplimiento al deber de información
establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la
información básica a la que se refiere el apartado siguiente e indicándole una dirección
electrónica u otro medio que permita acceder de forma sencilla e inmediata a la
restante información? y en su apartado 2 no incluye a los destinatarios de los datos
dentro de la información básica mencionada, siendo perfectamente posible que la
enumeración de los mismos se recoja en la segunda capa informativa mediante la
inclusión de un enlace en que aparezca la lista de los mismos.
Pero es que, además, tal y como aparece recogido en el hecho cuarto de la
Propuesta, dicho enlace no existe por la sencilla razón de que, tal y como se indicó, no
se ha producido cesión alguna de datos a entidades del Grupo o colaboradoras. Así, la
Propuesta recoge como probado lo señalado por la entidad en el sentido de indicar
que ?[a]unque se ha solicitado el consentimiento a los clientes, BANKIA no ha cedido
sus datos personales ni a las empresas del grupo ni a otras entidades colaboradoras
tomando como base estos consentimientos generales del TDP ni existe previsión de
ello? y se concluye que ?[n]o existe ningún link o documento publicado que contenga el
listado de empresas colaboradoras ya que no existe ninguna a la que se cedan datos
en base al consentimiento general recabado mediante el TDP?.
Es decir, la afirmación sostenida por la Propuesta de Resolución en este punto entra
en directa contradicción con lo que la propia Propuesta ha considerado probado.
Concluye que el consentimiento recabado por CAIXABANK en el supuesto objeto del
presente procedimiento resulta completamente conforme a los requisitos exigidos por
el artículo 7 del RGPD, por cuanto:
? CAIXABANK es capaz de demostrar la efectiva prestación del consentimiento y
efectuar una trazabilidad de los consentimientos recabados (artículo 7.1), lo
que aparece probado en la Propuesta.
? El consentimiento solicitado del interesado se presenta ?de tal forma que se
distinga claramente de los demás asuntos [del contrato], de forma inteligible y
de fácil acceso y utilizando un lenguaje claro y sencillo?, como ha reconocido la
propia AEPD (artículo 7.2).
? El interesado puede en cualquier momento, y con la misma sencillez que
prestó su consentimiento, revocar dicho consentimiento (artículo 7.3), lo que en
ningún momento niega la AEPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/117
? La ejecución de un contrato, incluida la prestación de los servicios que
constituyen el contrato de cuenta corriente por parte de mi CAIXABANK, no se
supedita al consentimiento al tratamiento de datos personales, dado que el
interesado podrá libremente prestar o no este consentimiento, no
produciéndose ninguna modificación en las condiciones generales del mismo
(artículo 7.4).
Afirma que si el consentimiento recabado por CAIXABANK cumple las condiciones
establecidas en el artículo 7 del RGPD, obvio es concluir que no puede considerarse
en ningún caso que el mismo haya incurrido en una infracción del citado precepto en
conexión con el artículo 6.1 a) del RGPD. Y ello debería abocar al archivo del presente
expediente.
TERCERA. SOBRE LOS CONSENTIMIENTOS RECABADOS DE LOS CLIENTES
QUE CONTRATARON LOS PRODUCTOS CONTROVERTIDOS A TRAVÉS DEL
CANAL ON-LINE ENTRE LOS DIAS 8 DE JULIO Y 15 DE AGOSTO DE 2018
CAIXABANK da por reproducidas las alegaciones al Acuerdo de Inicio y señala que,
en lo argumentado en la propuesta de resolución, la AEPD olvida que en todo el
razonamiento efectuado en relación con la primera de las imputaciones dirigidas
contra CAIXABANK ha tachado como nulo, al no concurrir el elemento de libertad, el
consentimiento prestado por los clientes de dicha entidad, y ello, obvio es decirlo, aun
cuando CAIXABANK considera que la causa de nulidad apreciada por la AEPD no
concurre en el supuesto de los consentimientos prestados por los clientes de la
Cuenta ON.
CAIXABANK señala que, como ya se indicó, no ha negado que se haya producido una
anomalía en sus sistemas que afectó a un número sumamente limitado de sus clientes
(sólo 812 de un total, según la propia Propuesta de Resolución, de en torno a
1.200.000 clientes). Lo que sí niega es que en caso de que se considere que el
consentimiento solicitado no era lícito, al no ser considerado libre, lo que nuevamente
niega, pueda igualmente apreciarse que esa ilicitud se ve ?reforzada? por el hecho de
que la casilla de prestación del consentimiento se encuentre premarcada. En este
sentido, respetuosamente, entendemos que el razonamiento de la resolución debería
haber sido, precisamente, el inverso al sostenido en el texto trascrito, y que parece
que ha sido incorporado con la única finalidad de incrementar el reproche sancionador
a CAIXABANK: si el consentimiento solicitado es nulo por considerarse contrario a los
requisitos establecidos para su validez en el artículo 4.11 del RGPD, resultaría en todo
punto irrelevante que el mismo se hubiera solicitado por medio de una casilla
premarcada, dado que, al igual que sucedería para los restantes 1.199.188 clientes)
ese consentimiento en ningún caso gozaría de la validez exigida por la AEPD.
Es decir, si se sigue el razonamiento de la AEPD, lo que esta parte niega en todo
caso, ninguno de los consentimientos prestados (se encontrase o no premarcada la
casilla) sería válido, por lo que imponer una sanción adicional por el hecho de que en
un número tan sumamente reducido de supuestos dicha casilla resultase premarcada
no es sino una contravención del principio non bis ídem. Y ello debería aparejar
inmediatamente la subsunción de esta supuesta infracción en la recogida por la AEPD
en primer lugar, en caso de que por la misma se insista, pese a lo alegado por
CAIXABANK, en la nulidad del consentimiento otorgado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/117
Sólo en caso de que no se apreciase la infracción analizada en la alegación Segunda
de este escrito, podría proceder la apreciación de un reproche sancionador contra
CAIXABANK.
CUARTA: VULNERACIÓN DEL PRINCIPIO DE PROPORCIONALIDAD.
INADECUADA APLICACIÓN DE LAS CIRCUNSTANCIAS CONCURRENTES EN EL
PRESENTE CASO
1.Consideración general acerca del principio de proporcionalidad
De lo que ha venido indicándose se desprende indudablemente la procedencia de que
la resolución que, en definitiva, se dicte en el presente procedimiento acuerde el
archivo del mismo, exonerando a CAIXABANK de toda responsabilidad.
No obstante, para el hipotético supuesto de que por parte de esa AEPD no se
apreciase la concurrencia de los requisitos necesarios para acordar el citado archivo,
debe particularmente tenerse en consideración en la determinación de la sanción que
pudiera imponer la aplicación del principio de proporcionalidad.
En este sentido, debe recordarse, en los términos en que se ha manifestado el
Tribunal Supremo en su sentencia de 20 de noviembre de 2001 (Recurso de Casación
núm. 7686/1997):
?Tal como ya ha mantenido el Tribunal Supremo en sentencias de 24 de noviembre de
1987, 23 de octubre de 1989 y 14 de mayo de 1990, el principio de proporcionalidad
no puede sustraerse al control jurisdiccional, pues como se precisa en las sentencias
de este Tribunal de 26 de septiembre y 30 de octubre de 1990, la discrecionalidad que
se otorga a la Administración debe ser desarrollada ponderando en todo caso las
circunstancias concurrentes al objeto de alcanzar la necesaria y debida
proporcionalidad entre los hechos imputados y la responsabilidad exigida, según las
sentencias de 24 de noviembre de 1987 y 15 de marzo de 1988, dado que toda
sanción debe de determinarse en congruencia con la entidad de la infracción cometida
y según un criterio de proporcionalidad atento a las circunstancias objetivas del hecho,
proporcionalidad que constituye un principio normativo que se impone como un
precepto más a la Administración y que reduce al ámbito de sus potestades
sancionadoras, pues a la actividad jurisdiccional corresponde no tan sólo la calificación
para subsumir la conducta en el tipo legal, sino también el adecuar la sanción al hecho
cometido, ya que en uno y otro caso el tema es la aplicación de criterios valorativos
jurídicos plasmados en la norma escrita inferibles de principios integradores del
ordenamiento jurídico, como son en este campo sancionador, los de congruencia y
proporcionalidad entre la infracción y la sanción.?
De este modo, resulta necesario que por el órgano sancionador se proceda a evaluar
meticulosamente las circunstancias concurrentes en el presente supuesto, con la
finalidad de determinar la cuantía de la medida punitiva que en su caso proceda
adoptar contra CAIXABANK en el negado supuesto en que así procediese hacerlo.
2. Del carácter desproporcionado de la medida sancionadora adoptada por la AEPD
en relación con la segunda de las infracciones imputadas a CAIXABANK
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/117
Como ya indicó CAIXABANK en las alegaciones al Acuerdo de Inicio, que son
perfectamente trasladables a la Propuesta de Resolución, se produce una absoluta
vulneración del principio de proporcionalidad en lo que a la supuesta infracción deriva
del hecho de que las casillas de consentimiento se encontrasen premarcadas durante
el período que medió entre el 8 de julio y el 15 de agosto de 2018, dado que adoptó,
con la debida diligencia todas las medidas encaminadas a la subsanación de la
deficiencia producida en sus sistemas de información, afectando la incidencia
únicamente a un total de 812 cliente de un total de 1.200.000.
Esta cuestión se analizaba detalladamente en las alegaciones efectuadas por
CAIXABANK al Acuerdo de Inicio, que ya reproducía, como hace igualmente la
Propuesta de Resolución, las medidas adoptadas por dicha entidad. Asimismo, se
ponía de manifiesto que los 812 clientes afectados son clientes inactivos que no han
mantenido relación alguna con la entidad desde el momento de la apertura de la
cuenta a través de ningún canal, resultando imposible para mi dicha entidad su
localización y el establecimiento de contacto alguno con ellos. A ello hay que añadir
que no ha existido denuncia ni reclamación alguna ante ella por parte de los citados
interesados como consecuencia de una supuesta vulneración del derecho fundamental
a la protección de sus datos personales.
Las autoridades de control gozan, conforme al RGPD, de un amplísimo margen de
discrecionalidad en la adopción de las medidas coercitivas o represivas. Sin embargo
tal discrecionalidad no puede devenir en una vulneración del principio de
proporcionalidad y del de interdicción de la arbitrariedad de los poderes públicos,
máxime si se tiene en cuenta que, como esta parte ha reconocido reiteradamente, en
el presente supuesto únicamente se ha producido una incidencia en el funcionamiento
de sus sistemas, habiendo adoptado todas las medidas correctoras necesarias y
procediendo en definitiva a tener por no prestados los consentimientos otorgados
como consecuencia de esta incidencia.
Hecha la anterior consideración, CAIXABANK considera que en el presente caso no
resultarían aplicables las agravantes que, indebidamente considera concurrentes la
AEPD, considerando asimismo procedente, en el negado supuesto de apreciarse la
responsabilidad de CAIXABANK, la imposición de la medida de apercibimiento
establecida en el artículo 58.2 b) del RGPD.
La Propuesta de Resolución se limita a citar el contenido del considerando 148 del
RGPD para concluir, ciertamente de una forma completamente escueta que ?[e]n este
caso, considerando la gravedad de las infracciones constatadas procede la imposición
de multa sin que quepa aceptar la solicitud formulada por CAIXABANK para que se
impongan otros poderes correctivos que hubiesen permitido la corrección de la
situación irregular, como es el apercibimiento, que está previsto para personas físicas
y cuando la sanción constituya un carga desproporcionada?. De este modo,
CAIXABANK no puede conocer cuáles son los elementos que la AEPD considera que
de forma ?patente? excluyen la posibilidad de aplicar la medida que acaba de indicarse.
Y es que la Propuesta parece hacer énfasis no en las circunstancias concurrentes en
el presente supuesto o las que resultan necesarias para la apreciación de la
procedencia de reemplazar la sanción económica por el apercibimiento, sino que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/117
centra en la referencia efectuada por el considerando 148 del RGPD a las
circunstancias a tomar en consideración para la determinación de la cuantía de la
multa económica como si las mismas fueran elementos determinantes de la
improcedencia de adoptar el apercibimiento, apresurándose inmediatamente a
apreciar su concurrencia en el supuesto, aun cuando no era consideradas en el
Acuerdo de Inicio, con la finalidad de reforzar la conclusión previamente alcanzada.
El considerando 148 citado únicamente se refiere, para la apreciación del
apercibimiento al hecho de que nos encontremos ante una ?infracción leve? o una
multa ?que probablemente se impusiera constituyese una carga desproporcionada
para una persona física?. No siendo aplicable a CAIXABANK el segundo de los
supuestos debe analizarse si nos encontramos ante un supuesto que pudiera
considerarse de escasa gravedad o ?leve? en el presente caso. Y debe tenerse en
cuenta que cuando el RGPD hace referencia a una ?infracción leve? no lo hace por
remisión a lo dispuesto en el artículo 74 de la LOPDGDD, toda vez que, por una parte,
dicha norma no existía en el momento de aprobación del RGPD y, por otra, dicho texto
legal no diferencia entre distintos grados de gravedad de la sanción en su artículo 85.
Cuando el considerando 148 del RGPD hace referencia a la gravedad o levedad de la
sanción se refiere a los supuestos en que se ha producido o no un compromiso
particularmente relevante para el derecho fundamental a la protección de datos, de
forma que en caso de no ser el mismo tolerante y ser manifiesta la vulneración no
sería posible acudir al apercibimiento como respuesta ante el incumplimiento.
En este sentido se manifestaba el Grupo de Trabajo del artículo 29 en su documento
WP253 de ?Directrices sobre la aplicación y la fijación de multas administrativas a
efectos del Reglamento 2016/679?, ratificado por el Comité Europeo de Protección de
Datos en su sesión constitutiva, cuando indica lo siguiente (el subrayado es nuestro):
?En el considerando 148 se presenta la noción de «infracciones leves». Dichas
infracciones pueden constituir violaciones de una o varias disposiciones del
Reglamento citadas en el artículo 83, apartados 4 o 5. No obstante, la evaluación de
los criterios previstos en el artículo 83, apartado 2, puede dar lugar a que la autoridad
de control estime, por ejemplo, que en las circunstancias concretas del caso la
violación no entraña un riesgo importante para los derechos de los interesados y no
afecta a la esencia de la obligación en cuestión. En tales casos, la multa puede ser
sustituida (aunque no siempre) por un apercibimiento.
Pues bien, en el presente caso nos encontramos ante un supuesto que ha afectado
únicamente a 812 de un total de 1.200.000 clientes, sin que exista ningún tipo de
reclamación por su parte y sin que dichos afectados hayan mantenido, desde el
momento de producirse la incidencia ningún tipo de relación con CAIXABANK, al
tratarse de clientes inactivos respecto de los que, además, dicha entidad apreció como
no prestado el consentimiento, absteniéndose de proceder al tratamiento de sus datos
personales, y todo ello después de haber adoptado medidas extremadamente
diligentes encaminadas a lograr un contacto con los citados clientes.
De este modo, y sin perjuicio de que ya se ha advertido de que la imposición de esta
sanción implicaría una vulneración del principio non bis in idem, en el negado supuesto
en que esa AEPD considere que la conducta de CAIXABANK podría ser constitutiva
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/117
de reproche, de lo que no cabría duda alguna sería de la absoluta levedad de la
infracción presuntamente cometida, lo que debería abocar a que, en caso de que se
apreciase frente al criterio sostenido por CAIXABANK la existencia de reproche
sancionador, éste a debería lo sumo consistir en la adopción de la medida de
apercibimiento establecido en el artículo 58.2 b) del RGPD
3.Sobre las circunstancias apreciadas en relación con la primera de las infracciones
recogidas en la Propuesta de Resolución.
a)De la supuesta concurrencia de la agravante prevista en el artículo 83.2.a) RGPD,
que valora la naturaleza, gravedad y duración de la infracción. Considera la AEPD la
procedencia de aplicar a CAIXABANK esta circunstancia agravante por cuanto ?[n]o se
trata de una conducta infractora aislada. Se trata del diseño de un producto financiero
con la finalidad de condicionar a los clientes de la entidad que contraten el mismo,
mediante la exención del cobro de las comisiones del contrato, a prestar su
consentimiento para fines distintos a los de dicho contrato?.
No obstante, entiende CAIXABANK que la circunstancia mencionada, así como las
restantes que se citan en este apartado no deben considerarse agravantes de su
conducta, por cuanto integran la propia conducta típica sobre la que la AEPD aplica su
potestad sancionadora.
En efecto, tal y como señala la Propuesta de Resolución, se considera que la conducta
infractora consiste en el supuesto condicionamiento de su consentimiento para el
tratamiento de sus datos personales al haberse establecido una exención del pago de
las comisiones. De este modo, si dicha conducta integra el tipo de la infracción
apreciada difícilmente la misma puede igualmente ser considerada una circunstancia
que agrave la responsabilidad.
Por otra parte, la propia cita de las cifras mencionada en la Propuesta de Resolución
pone de manifiesto cómo el consentimiento no quedó condicionado de forma
automática como consecuencia de la conducta de CAIXABANK, dado que cerca de
250.000 clientes, lo que no puede ser considerado bajo ningún concepto como una
cifra meramente residual, decidieron no prestar todos los consentimientos establecidos
por CAIXABANK para poder ser considerados usuarios con ?perfil digital?.
Finalmente, indica la AEPD en su Propuesta de Resolución que ?se lleva a cabo
además el tratamiento de un gran volumen de datos de los interesados que consienten
que el perfilado se lleve a cabo con los datos que se califican en el TDP como
personales e incluyen datos relativos a identificación del cliente, sus datos de contacto,
estado civil, número de hijos, fecha y provincia de nacimiento, nacionalidad y datos
profesionales; con los datos obtenidos de los productos contratados y con los
obtenidos a partir de las operaciones, movimientos o transacciones asociadas a sus
productos?. Debe recordarse que, conforme se indica en los hechos probados, el
perfilado al que se refiere la Propuesta de Resolución tendría un carácter previo a la
cesión de los datos personales de los clientes que hubieran prestado su
consentimiento para ello a las empresas del Grupo o colaboradoras de dicha entidad.
Sin embargo, la propia Propuesta recoge como hecho probado que la citada cesión no
tuvo lugar en ningún caso, al indicar que ?[a]unque se ha solicitado el consentimiento a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/117
los clientes, BANKIA no ha cedido sus datos personales ni a las empresas del grupo ni
a otras entidades colaboradoras tomando como base estos consentimientos generales
del TDP ni existe previsión de ello? y se concluye que ?[n]o existe ningún link o
documento publicado que contenga el listado de empresas colaboradoras ya que no
existe ninguna a la que se cedan datos en base al consentimiento general recabado
mediante el TDP?. De este modo, si el tratamiento no tuvo lugar según la propia
Propuesta de Resolución, difícilmente será admisible indicar que dicho tratamiento ?se
lleva a cabo?, siendo así que o bien los hechos declarados probados en la Propuesta o
bien esta afirmación son contrarias a la realidad. De este modo difícilmente es posible
aplicar como agravante una circunstancia que en modo alguno ha concurrido en este
caso según el propio relato fáctico de la Propuesta de Resolución.
Todo ello concluye en la inaplicación al caso de la agravante mencionada, dado que,
por una parte, implica agravar la sanción a partir de un elemento del tipo infractor y por
otra entra en contradicción con la relación de hechos que la Propuesta declara
probados.
b)De la supuesta concurrencia de la agravante prevista en el artículo 83.2.b)
La propuesta de Resolución señala en este punto que ?[s]e trata de una conducta
intencionada en relación con la vulneración de la normativa de protección de datos
personales, siendo consciente la entidad reclamada de que la exención del pago de
comisiones tendría como resultado que la mayoría de los clientes de dichas cuentas
consintieran los tratamientos de datos de publicidad y cesión de datos a las empresas
del grupo?.
El propio texto de la propuesta en este punto pone de manifiesto hasta qué punto el
razonamiento contenido en su fundamento de derecho III se contradice con la realidad
de los hechos, dado que como, la misma indica, en este punto no se ha producido
gravamen o perjuicio alguno para los interesados que no han prestado su
consentimiento al tratamiento de sus datos personales, sino únicamente la exención
del abono de las comisiones, lo que pura y simplemente constituye un beneficio.
CAIXABANK entiende que, en todo caso, no es dable a la AEPD valorar como
circunstancia agravante lo que no es sino una mera estrategia empresarial y menos
aún prejuzgar la valoración que CAIXABANK pudo llevar a cabo acerca del número de
clientes que podrían prestar su consentimiento al tratamiento de sus datos personales,
dado que difícilmente puede la AEPD conocer, y menos aún acreditar, las realidades o
hechos de los que dicha entidad pudiera o no ser consciente.
De este modo, la Propuesta eleva nada menos que al grado de circunstancia
agravante de la responsabilidad lo que no es más que una mera conjetura o valoración
meramente subjetiva acerca de lo que pudo o no pudo considerar CAIXABANK en el
momento de lanzar el producto, dando además por probada la realidad de esa
conjetura.
A ello se añade además el hecho de que, como ya se ha indicado en el apartado
anterior, ha quedado probado que más de un 20% de los clientes que suscribieron la
Cuenta ON optaron por no prestar su consentimiento al tratamiento y la cesión de sus
datos, no asumiendo así el denominado ?perfil digital?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/117
c)De la supuesta concurrencia de la agravante prevista en el artículo 83.2.k) RGPD,
considerando incluida en el mismo como agravante el carácter de gran empresa de
CAIXABANK.
Afirma CAIXABANK que la Propuesta de Resolución, sin mayores consideraciones,
considera agravante, al amparo de la regla residual establecida en el artículo 83.2 k)
del RGPD, la condición de CAIXABANK de gran empresa. Considera que en relación
con esta circunstancia no ha encontrado en el régimen del RGPD ni en el de la
LOPDGDD ninguna norma que considere la misma como agravante de una infracción.
A lo más que coadyuvará la dimensión de la empresa es a la cuantificación del límite
máximo de la sanción que pudiera corresponder, al depender la misma, si es superior
a los límites establecidos, del volumen total mundial anual de negocio del responsable.
Sin embargo, esta consideración ya se efectúa por la AEPD al calcular la cifra de
negocio de CAIXABANK, por lo que parece que la misma es simplemente añadida, de
forma completamente arbitraria, al catálogo establecido en las normas vigentes, con la
consiguiente quiebra del principio de legalidad.
d)Del supuesto carácter continuado de la infracción.
Alega CAIXABANK que la AEPD aprecia la existencia de un carácter continuado en la
infracción cometida, ?en el sentido interpretado por la Audiencia Nacional como
infracción permanente?. Pues bien, para que una infracción pueda ser catalogada
como permanente, en los supuestos en que se invoca la inexistencia del
consentimiento del interesado, resulta preciso haya quedado acreditado que el
tratamiento ha tenido efectivamente lugar, siendo así que de los hechos acreditados
como probados en la Propuesta de Resolución no se desprende la realización del
tratamiento y, lo que aún resulta más relevante, que en ningún caso se produjo
efectivamente la cesión de datos respecto de la que se solicitó el consentimiento del
interesado. Así, la Audiencia Nacional en numerosas sentencias, por todas la de 21 de
octubre de 2014, recaída en el recurso 367/2013, recuerda que: ?[?] en este ámbito
administrativo sancionador existen las denominadas infracciones permanentes (que no
continuadas), que se caracterizan porque la conducta constitutiva de un único ilícito se
mantiene durante un espacio prolongado de tiempo, lo que implica que el plazo de
prescripción no se inicia hasta que no cesa la situación de infracción perseguida
SSAN, 21 de septiembre 2001 (Rec. 95/2000), 21 de noviembre 2007 (Rec.117/2006);
23 de abril de 2008 (Rec. 274/2007), 20 de mayo 2010 (Rec. 337/2009), 14 de octubre
2010 (Rec. 64/2010) etc. Así, en el caso de tratamiento de datos sin consentimiento,
existe lesión permanente del bien jurídico mientras consta acreditada la existencia del
tratamiento sin consentimiento?.
De este modo, y al margen de que, como se indica en la citada sentencia, la
circunstancia de infracción continuada, que es la establecida en el artículo 76.2 a) de
la LOPDGDD no puede asimilarse a la de infracción permanente, similitud que, por el
contrario, sí aprecia la AEPD, es preciso tener en cuenta que no consta como probado
en la Propuesta que el tratamiento sin consentimiento (en la opinión de la AEPD) haya
tenido lugar, lo que invalidaría la aplicación de esta circunstancia.
e)De los supuestos beneficios obtenidos por CAIXABANK.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/117
La AEPD considera en la Propuesta de resolución que debe agravarse la
responsabilidad de CAIXABANK, dado que ?[s]e tiene en cuenta que entre sus
actividades comerciales se encuentra la del envío de comunicaciones comerciales a
sus clientes de los siguientes sectores: financiero (bancarios, de inversión y seguros),
inmobiliario, cultural, viajes, consumo y ocio?. Esta parte no alcanza a comprender por
qué motivo se considera que la realización de las citadas comunicaciones constituye,
según parece indicar la Propuesta de Resolución la actividad de CAIXABANK, que
como es notorio es una entidad bancaria.
Además, en todo caso, semejante conclusión a lo sumo podría implicar la existencia
de una vinculación de la actividad de dicha entidad con la realización de tratamientos
de datos, pero en ningún caso supone la obtención de un supuesto beneficio para la
misma, a menos que se considere que la realización de un envío (hecho que además
no se ha acreditado, como se ha señalado reiteradamente) implica intrínsecamente un
beneficio para CAIXABANK.
Si la AEPD considera aplicable como agravante la supuesta obtención de un beneficio
debería, cuando menos, acreditarlo en la resolución. Sin embargo, nuevamente, la
AEPD realiza en su propuesta una afirmación completamente apodíctica, carente del
más mínimo soporte probatorio que, además, utiliza como agravante para elevar la
cuantía del reproche sancionador dirigido contra CAIXABANK.
3.Sobre las circunstancias apreciadas en relación con la segunda de las infracciones
recogidas en la Propuesta de Resolución
a)Consideración general acerca de la aplicación de las agravantes relacionadas con el
tamaño de CAIXABANK, el carácter continuado de la infracción y los beneficios
obtenidos.
La AEPD considera concurrentes en la segunda de las infracciones impuestas las
mismas circunstancias agravantes apreciadas respecto de la primera, por cuanto, con
independencia de su dicción, junto con las mencionadas en la rúbrica del presente
apartado, la Propuesta de Resolución se refiere igualmente a las incluidas en los
apartados a) y b) del artículo 83.2 del RGPD.
Respecto de las restantes circunstancias, CAIXABANK desea dar por reproducido lo
indicado en los apartados c), d) y e) del apartado anterior, lo que se ve además
reforzado por el hecho, que la Propuesta ignora, de que la conducta ahora analizada
únicamente afectó, como se ha señalado reiteradamente, a un total de 812 personas
de una masa de clientes de la cuenta ON cercana a 1.200.000 personas.
Tampoco se ha acreditado, respecto de dichos clientes ni el carácter continuado de la
infracción ni la obtención de beneficio alguno por dicha entidad, lo que excluiría la
aplicación de estas circunstancias agravantes, toda vez que si la AEPD considera
procedente su aplicación ello únicamente debe basarse en la acreditación de la
concurrencia de los requisitos necesarios para que la misma pueda tener lugar.
b) Sobre la supuesta concurrencia de la restantes agravantes a las que se refiere la
Propuesta de Resolución.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/117
La AEPD considera que procede agravar el reproche sancionador en este caso dado
que ?[n]o se trata de un hecho aislado, sino que afecta al procedimiento de recogida
del consentimiento durante un periodo de tiempo, durante el cual los consentimientos
aparecían premarcados para aquellos clientes que contrataron on line?. Igualmente,
considera que existió negligencia por parte de CAIXABANK, dado que ?[e]l defecto que
constituye la infracción, esto es la existencia de consentimientos premarcados, dada
su evidencia debió ser advertido y evitado por una entidad de las características de la
entidad reclamada?.
Ante todo, debe recordarse que la incidencia que supuso la recogida de los
consentimientos mencionados en la Propuesta se limitó a un breve espacio de tiempo
(desde el 8 de julio hasta el 15 de agosto de 2018) afectando, en definitiva, tal y como
consta acreditado, únicamente a 812 clientes, que además no mantienen ningún tipo
de relación activa con CAIXABANK.
Pero es que, además, el defecto fue detectado por CAIXABANK, que una vez
apreciado el error procedió a subsanarlo, de forma que a partir del 15 de agosto de
2018, es decir, más de seis meses antes de la apertura de las actuaciones de
investigación se subsanó la citada incidencia.
Es decir, como se analizará inmediatamente, no nos encontramos ante la reacción de
CAIXABANK ante un requerimiento o siquiera algún tipo de actuación de la AEPD,
sino a la subsanación de la incidencia que tuvo lugar como consecuencia del proceso
de integración de diversas entidades financieras, y que se resolvió con la mayor
celeridad por la misma, por lo que la apreciación de una supuesta intencionalidad o
negligencia en su actuación resulta contraria a la realidad de los hechos.
5. Sobre la actuación de CAIXABANK, que determinaría la aplicación de la
circunstancia establecida en las letras c) y f) del artículo 83.2 del RGPD.
El artículo 83.2 c) del RGPD impone a las autoridades de control tener debidamente
en cuenta al decidir la imposición de una multa administrativa y su cuantía ?cualquier
medida tomada por el responsable o encargado del tratamiento para paliar los daños y
perjuicios sufridos por los interesados?. Igualmente, deberá tenerse en cuenta según el
apartado f) de dicho precepto ?el grado de cooperación con la autoridad de control con
el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la
infracción?.
CAIXABANK ha adoptado todas las medidas de diligencia necesarias para garantizar
adecuadamente el cumplimiento de la normativa de protección de datos personales,
minimizando, si es que hubiera existido, lo que en modo alguno consta acreditado, el
supuesto perjuicio que pudiera haber sido causado a sus clientes no sólo como
consecuencia de la incidencia acaecida entre el 8 de julio y el 15 de agosto de 2018,
sino suprimiendo, una vez tuvo conocimiento de la actuación de la AEPD, y en todo
caso con anterioridad a la realización de la visita de inspección que tuvo lugar el 12 de
diciembre de 2019, la vinculación entre la exención del abono de comisiones por parte
de los titulares de la cuenta ON en caso de que los mismos hubiera adquirido la
condición de ?perfil digital? y la consiguiente prestación de los consentimientos
controvertidos en el presente procedimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/117
En efecto, en primer lugar, como ya se ha anticipado en el apartado anterior de esta
alegación, la entidad bancaria resolvió la incidencia acaecida en sus sistemas, y que
para la AEPD merece el reproche analizado en el fundamento de derecho IV de la
Propuesta de Resolución, el día 15 de agosto de 2018, es decir, cuando no existía
denuncia o reclamación alguna dirigida contra ella. De este modo, advertida la
incidencia, se adoptaron las medidas pertinentes para su desaparición. Estas medidas
se complementaron con la realización de distintas actuaciones que la propia Propuesta
de Resolución considera probadas en el hecho probado cuarto de la misma. Es decir,
no se limitó a eliminar la premarcación de los consentimientos de sus clientes, sino
que adoptó medidas efectivas para garantizar que éstos prestaban efectivamente su
consentimiento, o lo denegaban, sin ningún tipo de condicionamiento.
Fruto de tales medidas fue que no se ha producido la modificación de la adecuada
prestación del consentimiento únicamente por 812 clientes, respecto de los que la
propia Propuesta reconoce como probado que, como acreditó dicha entidad, se trata
de ?cuentas On sin movimientos ni actividad significativa alguna en los últimos meses
o, en muchos casos, con saldos en negativo a regularizar, habiéndose intentado el
contacto con los titulares en varias ocasiones sin que se haya conseguido?.
Incluso respecto de estos clientes, la Propuesta considera acreditada la realización
por CAIXABANK de actuaciones adicionales con la finalidad de obtener una
declaración, afirmativa o negativa, acerca de su consentimiento para el tratamiento de
sus datos personales. Dichas medidas, como se indica en el hecho quinto de la
Propuesta han consistido en las siguientes:
?- Se ha procedido a solicitar de nuevo los consentimientos a los clientes que no los
han modificado, aprovechando la primera interacción con la entidad por cualquiera de
los canales habilitados (oficina, Bankia Online o App Bankia). Esta obtención de los
nuevos consentimientos, desde una posición neutra a la opción de aceptación o no
aceptación que en cada caso sea elegida por el propio interesado para cada uno de
los consentimientos solicitados, se ha configurado como paso necesario para poder
continuar la operativa por cualquiera de los canales.
- Aquellos clientes que no hayan pasado este proceso se han considerado como
clientes que no han prestado su consentimiento a la entidad independientemente del
sentido de los consentimientos que prestaron en el proceso de alta de la cuenta On, y
se han marcado en sistemas como si hubieran denegado todos los consentimientos.
- A todos los titulares de cuenta On se les comunicó, en diciembre de 2019, el cambio
de condiciones del perfil digital, y la eliminación de los requisitos de haber autorizado
el envío de comunicaciones comerciales y de cesión de datos a efectos del cobro o
exención de comisiones.
- Se ha contactado por vía telefónica (a través de los correspondientes gestores) con
los clientes que no han modificado los consentimientos; en el caso de los 812 clientes
que aún no han pasado el proceso, si bien se ha intentado contactar con ellos en
varias ocasiones, el resultado ha sido infructuoso.
- Se ha iniciado el proceso de cancelación de aquellas cuentas inactivas y sin actividad
en los últimos meses.?
Pero las medidas proactivas de CAIXABANK en este caso no sólo se han referido a la
segunda de las imputaciones realizadas por la AEPD, sino que han determinado la
supresión de la obtención de los consentimientos de los interesados para el
tratamiento de sus datos personales como requisito para la ostentación del ?perfil
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/117
digital? y la consiguiente exención del pago de las comisiones, pese a que
CAIXABANK siempre ha considerado que dichas condiciones resultaban
perfectamente respetuosas de la normativa de protección de datos personales.
Y esta modificación se produjo con anterioridad a que CAIXABANK tuviera
conocimiento de la existencia de actuaciones concretas de investigación contra la
misma, lo que no conoció hasta el momento en que se realizó la inspección presencia
de la AEPD en las instalaciones de mi representada. Hasta esa fecha lo único que
constaba a dicha entidad era la solicitud por parte de la AEPD de información en
relación con el tratamiento de los datos de clientes de la Cuenta ON, que fue
respondida a aquélla en fecha 19 de marzo de 2019 y el traslado de determinadas
reclamaciones, sin tener conocimiento de si las mismas habían o no sido admitidas a
trámite.
En este sentido, consta acreditado en el hecho probado cuarto que dicha entidad, a la
fecha de realización de la citada inspección había modificado las condiciones de la
cuenta ON, desapareciendo la referencia al consentimiento al tratamiento de datos
como necesaria para la ostentación del ?perfil digital?.
Así el hecho probado cuarto de la Propuesta indica lo siguiente: ?La cuarta condición
para ostentar el perfil digital, relativa al servicio de mensajería PUSH, ha sido añadida
desde el 15/12/2019 para las nuevas contrataciones de productos ON, a la vez que se
eliminan las siguientes condiciones:
- ?Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, el tratamiento de sus datos personales para el envío de
comunicaciones comerciales por cualquier canal de comunicación habilitado, incluidos
correo electrónico y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, la cesión de sus datos personales a empresas de su grupo para el
análisis de su perfil a efectos comerciales.?
Para los clientes que ya disponían de algún producto ON las nuevas condiciones
aplicaran desde el 16 de febrero, es decir, transcurridos dos meses desde que se les
comunica esta modificación contractual habiéndose remitido las comunicaciones el
pasado 15 de diciembre. Indica que las dos condiciones indicadas se han eliminado en
las nuevas contrataciones, y si bien estarían previstas contractualmente para los
clientes preexistentes hasta que las mencionadas modificaciones comunicadas sean
efectivas el 16 de febrero, BANKIA no tiene en cuenta estas dos condiciones a efectos
de bonificar o no las comisiones desde el pasado 16 de octubre.?
De este modo, desde el 16 de octubre de 2019 no operaba para ningún cliente de mi
CAIXABANK la exención del abono de las comisiones de la cuenta ON respecto de
aquellos clientes que hubieran consentido el tratamiento de los datos. De esta forma,
la conducta que la AEPD considera reprochable había dejado de ser llevada a la
práctica incluso con anterioridad a que dicha entidad tuviera conocimiento de la
existencia de actuaciones de inspección dirigidas contra la misma, habiendo además
prestado a la AEPD toda su colaboración en la investigación de los hechos y en la
minimización de los supuestos perjuicios ocasionados a sus clientes.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/117
Por todo ello, y en relación con ambas imputaciones operaría, en caso de proceder el
reproche sancionador de la AEPD, lo que CAIXABANK niega, la aplicación de las
atenuantes contenidas en las letras c) y f) del artículo 83.2 del RGPD.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: Con fecha 13/02/19, tuvo entrada en esta Agencia escrito, presentado por
el reclamante 1 (E/03825/2019), en la que expone lo siguiente: ?Como cliente de
Bankia, de la cuenta ON, me exigen que acepte todos los consentimientos de
tratamientos de datos personales, que aparecen ya premarcados o aceptados.
Además, si elijo que no se cedan mis datos a terceras empresas, por ejemplo, me
imponen una tasa de 5 euros al mes para seguir manteniendo mi cuenta?.
Con fecha 26/02/19, tuvo entrada en esta Agencia escrito, presentado por el
reclamante 2 (E/03826/2019 que se tramita con la referencia E/3825/2019), en el que
expone lo siguiente: ?Mi reclamación se basa en la vulneración del derecho a no
consentir el envío de comunicaciones comerciales y la penalización que se aplica por
ello. En la entidad bancaria Bankia se me ha aplicado un cargo por "cobro de
servicios" el día 1 de febrero en mi cuenta corriente. Puesto en contacto
telefónicamente con la entidad para consultar el motivo del cargo, se me indica que el
tipo de mi cuenta es Cuenta ON y que cumplo todas las características del perfil digital
salvo una, la de que "todos los titulares hayan autorizado a Bankia, mediante la
suscripción del documento de Tratamiento de datos Personales, documento
equivalente o contrato correspondiente, el tratamiento de sus datos personales para el
envío de comunicaciones comerciales por cualquier canal de comunicación habilitado,
incluidos correo electrónico y teléfono móvil".
Con fecha de entrada en esta Agencia 28/02/19, se presenta escrito por el reclamante
3 (E/04093/2019, que se tramita con la referencia E/3825/2019), en la que pone de
manifiesto, entre otros extremos, lo siguiente: ?Tras años como cliente de la entidad
bancaria mencionada, comenzaron a cobrar comisiones a partir de noviembre de 2018
en concepto de "CARGO POR COBRO DE SERVICIOS". Al preguntar a la entidad
acerca de estos conceptos su respuesta fue que, (?)- en relación con la reclamación
que ha puesto por el cobro de comisiones en su cuenta On, le indicamos que lo que
está generando este cobro es que tiene que modificar que SI fue similar: "Los clientes
de la Cuenta ON deberán aceptar la recepción de publicidad y la cesión de sus datos
personales a terceros o, en caso contrario, recibirán una comisión mensual de cinco
euros".
Con fecha 08/04/19, tuvo entrada en esta Agencia escrito, presentado por el
reclamante 4, (E/05449/2019), afirmando que: ?Bankia me exige la cesión completa de
mis datos personales para no cobrarme una comisión mensual de X euros, por lo que
se vulnera el RGPD. Una de las condiciones de su Cuenta ON para no tener cobro de
comisiones es haber aceptado la totalidad del consentimiento de cesión de datos.
Cuando se me preguntó sobre ese tema en su web, rechacé el envío de publicidad y
mensajes comerciales a mi correo electrónico y mi teléfono, y en ningún momento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/117
recibí información de que se me cobrarían comisiones de mantenimiento de no
aceptar. Siento que me extorsionan para quedarse con mis datos y así poder
mandarme spam y correo comercial no deseado a mis cuentas?.
Con fecha 19/06/19, tuvo entrada en esta Agencia escrito, presentado por la
reclamante 5, (E/06961/2019), en el que manifiesta lo siguiente: ?Abrí una Cuenta
llamada: "CUENTA ON", en la que siguiendo unas determinadas directrices sobre
utilización de correo electrónico y el móvil para comunicaciones y correspondencia,
estás exento de pagar comisiones por el mantenimiento de la cuenta.
Hace unos meses decidí retirar el consentimiento de tratamiento de datos a:
1."recibir información personalizada sobre descuentos, promociones, productos,
servicios del sector financiero u otros, por cualquier canal en base a mis preferencias
personales"
2. "que Bankia consulte mis datos en los archivos de solvencia patrimonial y/o de
crédito, así como otras fuentes de información similares con el objetivo de ofrecerme
productos de financiación personalizados",
3. "Acepto participar en programas de fidelización, sorteos, concursos, encuestas y
programas de acción social o acciones similares, así como recibir noticias y/o
comunicaciones sobre los mismos a través de cualquier canal (papel, medios
electrónicos, telemáticos, digitales, etc.)."
Y consentimiento de cesión de datos: 4. "compartir mis datos personales con
sociedades y empresas participadas o colaboradores del grupo Bankia para que
puedan ofrecerme sus productos o servicios"
Como consecuencia de ello, Bankia ha comenzado a pasarme un cargo por cobro de
servicios de mantenimiento de cuenta de X euros al mes?.
Con fecha 07/08/19, tuvo entrada en esta Agencia escrito, presentado por el
reclamante 6 (E/07830/2019), en el que expone que: ?Bankia ha cambiado las
condiciones de la cuenta corriente que tengo con ellos. Me obligan a aceptar recibir
publicidad de ellos y sus socios si no me cobran X euros mensuales de
mantenimiento.
Con fecha 14/12/2020, tuvo entrada en esta Agencia escrito, presentado por el
reclamante 7 (E/00869/2021), en el que expone que es titular de una cuenta On y que,
desde la fecha de apertura de la citada cuenta, se le ha venido cobrando
mensualmente una comisión de mantenimiento de 5 euros (desde agosto a diciembre
de 2019). Manifiesta que realizada consulta con la entidad reclamada en fecha 7 de
noviembre, se le contestó que la comisión se cobraba por no cumplir con el perfil
digital.
SEGUNDO: Trasladadas las reclamaciones al delegado de protección de datos de la
entidad reclamada, de conformidad con lo previsto en el artículo 65.4 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales, se reciben las siguientes respuestas:
Respecto del reclamante 1.-
?Analizados los productos asociados al reclamante 1, se ha comprobado que el
reclamante es actualmente titular de una cuenta ON. En relación con dicho cliente, no
consta que por su parte se haya ejercitado derecho alguno ante la Entidad en relación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/117
con sus datos, ni que se hayan modificado los consentimientos que fueron prestados
con fecha 19 de enero de 2018, en cuanto al tratamiento de sus datos para el envío de
comunicaciones comerciales no consintiendo la posibilidad de cesión de los datos a
empresas del Grupo Bankia.
Se adjunta contrato formalizado por el en el que constan los consentimientos
prestados en el sentido indicado. Asimismo, se ha comprobado que no consta
reclamación alguna iniciada frente a Bankia por parte de este cliente ni a través de su
oficina gestora, ni ante el Servicio de Atención al Cliente (?SAC?), ni ante la Oficina del
Delegado de Protección de Datos (?Oficina DPO?). En consecuencia, no tenemos
constancia de que se haya generado ninguna incidencia con este cliente, asociada a
su cuenta ON.?
Respecto del reclamante 2.-
?En relación con el (reclamante 2), se ha comprobado de igual manera que dicho
cliente ha sido titular de una cuenta On si bien actualmente la misma se encuentra
cancelada.
En cuanto a los consentimientos prestados hay que indicar que conforme consta en
nuestra base de datos el tratamiento de sus datos con finalidades comerciales no fue
inicialmente consentido en octubre de 2017, y posteriormente se mantuvo este no
consentimiento a través de la firma del correspondiente TDP de fecha 18 de agosto de
2018 a través de Bankia Online (BOL); todo ello según documentos nº2 y nº3 que se
acompañan.
En cuanto a las reclamaciones presentadas por este cliente, el mismo se dirigió tanto
a ***EMAIL.1, dirección de correo que consta en los contratos y en la que los
interesados pueden ejercitar sus derechos en relación con sus datos, como a la
Oficina del Delegado de Protección de Datos los días 6 y 7 de febrero de 2019
respectivamente, solicitando en ambos casos la retrocesión de los cargos por cobros
de comisiones que se habían realizado en su cuenta ON con fecha 1 de febrero de
2019.
La contestación a su reclamación se realizó desde la oficina del Delegado de
Protección de Datos, con fecha 22 de febrero de 2019, informándole que el cobro de
las comisiones se debía al hecho de que, conforme establece su contrato, a la fecha
de cobro de las mismas no se estaban cumpliendo por los titulares los requisitos del
perfil digital por lo que en ese periodo no procedía aplicar la bonificación de
determinadas comisiones de la cuenta ON prevista contractualmente, entre otras la
comisión de mantenimiento y administración de la cuenta y la cuota de la tarjeta de
débito ON asociada a la misma.
En este sentido, se ofreció al cliente la posibilidad de cancelar dicho producto y
contratar otro de los que Bankia tiene disponible en su catálogo y en los que no
aplicasen las condiciones del perfil digital.
Se acompañan como documentos nº4 y nº5 los correos que remitió el reclamante y las
contestaciones a los mismos enviadas desde la Oficina del DPD.
Posteriormente, con fecha 22 de mayo del 2019 el reclamante procedió a la
cancelación de la cuenta ON en su oficina, y presentó una reclamación ante el SAC
reiterando la solicitud de retrocesión de las comisiones generadas y mostrando su
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/117
disconformidad con las condiciones del citado perfil digital. Con motivo de dicha
reclamación, con fecha 24 de mayo de 2019 Bankia procedió al abono de las
cantidades reclamadas. Se adjuntan como documentos nº6 y nº7 reclamación recibida
en el SAC y contestación a dicha reclamación enviada al (reclamante 2).?
Respecto del reclamante 3.-
?Se ha verificado que tiene contratada una cuenta ON y ha presentado varias
reclamaciones en relación con la misma, conforme se detalla a continuación.
En cuanto a los consentimientos prestados, hay que indicar que conforme consta en
nuestra base de datos el tratamiento de datos con finalidades comerciales se
encuentra prestado en noviembre de 2018, modificándose parcialmente estos
consentimientos a través de la firma del correspondiente documento ?Modificación de
Tratamiento Autorizaciones? (?MTA?) tanto el 23 de febrero de 2019 como el 28 de
febrero de 2019; todo ello conforme documentos nº8, nº9 y nº10 adjuntos.
En cuanto a las reclamaciones presentadas por este cliente, se han localizado dos
reclamaciones presentadas ante el SAC en los meses de noviembre y diciembre de
2018, reclamando el cobro de comisiones en la cuenta ON de los respectivos meses.
Como resultado de esta reclamación, dichas comisiones fueron regularizadas, siendo
la causa que dio lugar a la regularización aplicada por el SAC el hecho de no haberse
localizado el contrato firmado con el cliente. Se adjuntan como documentos nº11,
nº12, nº13 y nº14 reclamaciones recibidas en el SAC y contestación a las mismas.
EL delegado de protección de datos aporta la siguiente información Sobre las
incidencias y las medidas adoptadas:
El propio requerimiento traslada los hechos que motivan las reclamaciones de los
clientes, que en extracto son los siguientes: ?Obligación de aceptar como clientes de la
?Cuenta ON? el consentimiento de tratamiento de sus datos personales, que aparecen
como premarcados o aceptados y en concreto, ?la recepción de publicidad y la cesión
de sus datos personales a terceros? para evitar el cobro de comisiones por el
mantenimiento de dicha cuenta.?
Sobre la base de lo trasladado y una vez analizado dicho extracto, así como el
funcionamiento de la cuenta ON en todas sus modalidades y el proceso de recogida
de consentimientos, se han alcanzado las siguientes conclusiones:
No existe obligación de aceptar ningún consentimiento sobre el tratamiento de datos
personales en el proceso de contratación de la cuenta ON, habiéndose comprobado
que cualquier cliente puede contratarla sin que la prestación de ese consentimiento
impida su contratación.
- Cosa distinta es que el cliente cumpla con las condiciones del denominado
?perfil digital?, lo que puede suponer que en determinados productos la Entidad
pueda aplicar una exención de abono, es decir una exclusión del pago de
determinadas comisiones de los productos contratados que tienen ese tipo de
perfil y siempre que el cliente mantenga el mismo, según lo ya explicado. Lo
que está justificado en base al propio perfil digital de la relación entre el cliente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/117
y la Entidad, y la ventaja de hacer más eficiente la misma mediante la
utilización de medios digitales en las comunicaciones comerciales.
- El proceso de gestión de consentimientos por parte de los clientes, que permite
no sólo prestarlos libremente y a través de cualquiera de los canales de la
Entidad, sino también modificarlos en cualquier momento y tantas veces como
el cliente quiera de manera ágil y sencilla, garantiza que dicho consentimiento
se preste libremente.?
-
Indica que se ha procedido a enviar con fecha 11 de junio de 2019, comunicación a los
clientes sobre la presente solicitud de información en relación con las reclamaciones
trasladadas. Se adjunta, como documentos nº17, nº18 y nº19, copia de estas.
Respecto del reclamante 4
?La reclamación de se basa en su no conformidad con los requisitos exigidos para el
cumplimiento del perfil digital en relación con la Cuenta ON.
El reclamante alega que Bankia le exige cumplir, entre otros requisitos, el de la cesión
completa de sus datos personales para tener derecho a la bonificación de la comisión
mensual de 5 euros pactada contractualmente.
Tras la recepción del citado requerimiento, desde la Oficina del Delegado de
Protección de Datos se ha procedido a verificar si previamente a dirigirse a la AEPD,
el reclamante ha iniciado alguna reclamación por este hecho ante la Entidad, bien a
través de su oficina gestora o bien dirigiéndose al Delegado de Protección de Datos y
Privacidad o al Servicio de Atención al Cliente. Realizada dicha comprobación, no
consta reclamación alguna iniciada frente a Bankia por parte de este cliente.
Conforme consta en los sistemas de Bankia, con fecha 20 de julio de 2018 el
(reclamante) otorgó sus consentimientos a través de Bankia Online firmando el
documento ?Tratamiento de Datos Personales? (en adelante, ?TDP?). Copia de dicho
documento se adjunta como documento nº1.
Estos consentimientos fueron modificados parcialmente, con fecha 8 de abril de 2019,
por el reclamante a través del mismo canal, procediendo en este caso a la firma del
documento ?Modificación de Tratamiento Autorizaciones? (en adelante, ?MTA?). Se
adjunta copia de dicho documento como documento nº2, en el que constan otorgados
positivamente todos los consentimientos y así continúan a fecha de emisión del
presente informe.
Respecto de la afirmación del reclamante sobre la exigencia de cesión completa de
los datos personales para la exención del cobro de la comisión de mantenimiento, hay
que indicar que se ha verificado que el hecho de que se consienta o no que Bankia
trate sus datos con determinadas finalidades comerciales no ha condicionado, en
ningún caso, la contratación de la Cuenta ON ni de ningún otro producto de la Entidad
por el reclamante.
Cosa distinta es que éste cumpla con las condiciones del denominado ?perfil digital?, lo
que supone que Bankia pueda aplicar una exención de abono de comisiones, es decir
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/117
una exclusión del pago de determinadas comisiones para aquellos clientes que tienen
ese tipo de perfil y siempre que se mantenga el mismo.
Respecto del reclamante 5
?Según consta en los sistemas de Bankia, con fecha 16 de junio de 2015 la
reclamante otorgó sus consentimientos en sentido positivo en una oficina de la
Entidad, para lo cual firmó el documento ?Tratamiento de Datos Personales? (?TDP?).
Se adjunta copia de dicho TDP como documento nº1.
Estos consentimientos fueron modificados por la reclamante el pasado 22 de enero de
2019, a través de Bankia Online (BOL) mediante la firma de un nuevo documento TDP
en el que constaban otorgados negativamente todos los consentimientos. Se adjunta
copia de dicho TDP como documento nº2.
Posteriormente, estos consentimientos han sido modificados nuevamente y de
manera parcial por la reclamante con fecha 19 de junio (en dos ocasiones a las 18:33
y 19:13), 30 de junio y 11 de julio de 2019 a través de Bankia Online, procediendo a la
firma de los correspondientes documentos de ?Modificación de Tratamiento
Autorizaciones? (?MTA?). Se adjunta copia de los correspondientes MTA como
documentos nº 3, 4, 5 y 6.
Respecto de la supuesta vulneración del derecho de oposición de la reclamante a
recibir información personalizada sobre descuentos, promociones y productos
financieros, así como a la cesión de sus datos personales a empresas del grupo o
colaboradores, ha de indicarse que el hecho de que la reclamante haya consentido o
no ambos tratamientos no ha condicionado, en ningún caso, el proceso de
contratación de la Cuenta On ni el ejercicio de sus derechos como parte interesada.
Bankia ha atendido cumplidamente su derecho de oposición, en tanto en cuanto ha
podido modificar y puede hacerlo nuevamente por cualquiera de los canales de la
entidad, sus consentimientos (en el caso de la reclamante, en hasta en cinco
ocasiones).
Cosa distinta es que la reclamante cumpla con las condiciones del denominado ?perfil
digital?, que supone que Bankia pueda aplicar una exención de abono de comisiones,
es decir una exclusión del pago de determinadas comisiones pactadas
contractualmente para aquellos clientes que cumplan ese tipo de perfil y durante el
tiempo que se mantenga el mismo.?
Respecto del reclamante 6:
?El reclamante contrató una Cuenta On y con esa misma fecha, otorgó positivamente
sus consentimientos mediante la firma del correspondiente documento ?Tratamiento
de Datos Personales? (en adelante, ?TDP?). Se adjunta copia del contrato de la
Cuenta On como documento nº1 y copia del TDP formalizado como documento nº2.
Estos consentimientos fueron actualizados y revocados posteriormente por el
reclamante con fecha 25 de mayo de 2019, a través de Bankia Online, mediante la
firma de un nuevo TDP. Se adjunta copia de dicho TDP como documento nº3.
Posteriormente, el reclamante modificó parcialmente sus consentimientos los días 3 y
8 de julio de 2019, procediendo en estos casos a la firma del documento ?Modificación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/117
de Tratamiento Autorizaciones? (en adelante, ?MTA?). Se adjunta copia de ambos
documentos como documento nº4 y documento nº5 respectivamente.
Asimismo, dicho escrito concluye que ?Las condiciones que ha de cumplir el
reclamante como titular de una Cuenta On para tener perfil digital son las que constan
en el contrato firmado por el reclamante el 21 de noviembre de 2016, sin que hayan
sido modificadas por Bankia en ningún momento en contra de lo manifestado en la
reclamación.
Asimismo, no existe obligación de aceptar ningún consentimiento sobre el tratamiento
de datos personales en el proceso de contratación de la Cuenta On.
Cosa distinta es que el cliente cumpla con las condiciones del denominado ?perfil
digital?, lo que puede suponer que en determinados productos la Entidad pueda aplicar
una exención de abono, es decir una exclusión del pago de determinadas comisiones
de los productos contratados que tienen ese tipo de perfil y siempre que el cliente
mantenga el mismo, según lo ya expuesto. Lo que está justificado en base al propio
perfil digital de la relación entre el cliente y la Entidad, y la ventaja de hacer más
eficiente la misma mediante la utilización de medios digitales en las comunicaciones
comerciales.
Y en este sentido se ha contestado al reclamante, aportándose copia de dicha
comunicación como documento nº6?.
Respecto al reclamante 7 con fecha 04/03/2021 se recibe respuesta de la entidad
reclamada aportando entre otros documentos el contrato del interesado en el que
consta que no había dado su consentimiento a las condiciones exigidas para la
exención de las comisiones, y un escrito de dicha entidad al interesado en el que se le
comunica que ?tal y como consta en su contrato, la bonificación de determinadas
comisiones de la Cuenta ON, entre otras la comisión de mantenimiento y
administración, está sujeta a que todos los titulares mantengan un perfil digital. No
obstante, en caso de no cumplirse alguna de las condiciones de dicho perfil, su
Cuenta ON sigue plenamente operativa y Usted puede seguir disfrutando de todos los
servicios asociados a la misma, con las condiciones económicas y comisiones y
gastos aplicables según el contrato. Asimismo, informarle que tal y como le fue
informó el Servicio de Atención al Cliente en la carta que le fue remitida con fecha 8 de
enero de 2020, con el fin de afianzar su relación con la Entidad, pese a no cumplir con
las condiciones del perfil digital, Bankia ha procedido al abono de las cantidades
cobradas por este motivo.?
TERCERO: Consta en escrito de Bankia recibido por esta Agencia con fecha 19/03/19,
en respuesta a la solicitud formulada por la Inspección de Datos en el marco de las
actuaciones de investigación acordadas por la Directora de la Agencia Española de
Protección de Datos, en fecha 21 de marzo de 2019, lo siguiente respecto de la
política de privacidad:
?La Política de privacidad que resulta de aplicación en la Entidad, respecto del
tratamiento de los datos, se recoge en los dos documentos que se relacionan a
continuación y que se aportan como evidencia de este primer punto al presente
escrito:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/117
- El documento denominado ?Tratamiento de datos personales? (TDP), que se genera
y firma en el proceso de alta de cada cliente y que contiene toda la información exigida
por la normativa en relación con el tratamiento de datos que se derive de la relación
contractual que exista en cada momento entre el cliente y la Entidad. El TDP se edita
tanto en el alta de cliente en oficinas como en el alta de cliente a través de los canales
a distancia de que dispone la Entidad (Bankia Online y App).
- La ?Política de privacidad? de Bankia disponible en
https://www.bankia.es/es/particulares/privacidad. Esta página contiene la información
exigible legalmente en cuanto al tratamiento de los datos de carácter personal
obtenidos a través de los sitios y herramientas web propiedad de Bankia, no siendo
aplicable para los recabados en los contratos que el usuario pueda formalizar con la
Entidad, incluso si éstos se encuentran enlazados o relacionados con los ?canales de
comunicación de Bankia?, ya que a dichos datos les resultará aplicable lo establecido
en el TDP conforme lo explicado en el punto anterior.?
Consta en el documento TDP relativo a la información sobre las condiciones para el
tratamiento de datos personales, aportado por Bankia, tanto en el modelo que se
genera en los canales a distancia como el que se firma en la oficina( documentos 1 y
2), que se recogen, bajo el título ?datos personales?, datos relativos a identificación del
cliente, sus datos de contacto, estado civil, número de hijos, fecha y provincia de
nacimiento, nacionalidad y datos profesionales. En dicho documento se informa al
interesado de que los datos personales solicitados por Bankia serán tratados de
acuerdo con la información básica de protección de datos que describe a continuación,
instando al interesado a leer y comprender la misma, antes de firmar el documento en
el que se recoge la solicitud de consentimiento para el tratamiento de sus datos.
En dicha información básica se manifiesta que el responsable es BANKIA, S.A., se
describen resumidamente las finalidades de tratamiento de los datos, la legitimación
con carácter general para tales tratamientos, los destinatarios de la información, se
efectúa una breve referencia a los derechos que puede ejercer el interesado, y una
remisión a información adicional a la que puede acceder a través de un enlace a una
página web.
A continuación, se solicita el consentimiento del interesado para diferentes finalidades,
para cada una de ellas debe marcarse sí o no:
o -En un primer bloque se solicita el consentimiento para el envío de
comunicaciones comerciales en los siguientes términos:
? En el punto 1.1 se refiere al envío de ?comunicaciones comerciales
personalizadas a través de cualquier canal (papel, medios electrónicos,
telemáticos, digitales, etc.) sobre productos, servicios, promociones o
descuentos de los sectores financiero (bancarios, de inversión y seguros),
inmobiliario, cultural, viajes, consumo y ocio en base a su perfil, elaborado a
partir de sus datos personales, los productos que tiene contratados, así
como a partir de las operaciones, movimientos o transacciones asociadas a
sus productos.?
? En el punto 1.1.1 se solicita el consentimiento ?para el envío de
comunicaciones comerciales personalizadas sobre productos, servicios,
promociones o descuentos de los sectores referenciados en base a su
perfil, elaborado a partir de sus datos personales y los productos que
tiene contratados.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/117
? En el punto 1.1.2 se refiere ?al envío de comunicaciones comerciales
personalizadas sobre productos, servicios, promociones o descuentos
de los sectores referenciados en base a su perfil, elaborado a partir de
las operaciones, movimientos y transacciones asociadas a sus
productos?.
? En el punto 1.1.3 se diferencian las siguientes opciones para el envío de
comunicaciones comerciales a las que, una a una, puede consentirse:
? Correspondencia física
? Correspondencia electrónica (correo electrónico, cajeros, etc.)
? Dispositivos móviles (mensajería instantánea, notificaciones push, SMS,
etc.)
? Plataformas de telemarketing
? Redes sociales
? Página web de Bankia y de terceros
? El punto 1.2 se refiere al consentimiento para ?la consulta de sus datos, por
parte de Bankia en los archivos de solvencia patrimonial y/o de crédito, así
como otras fuentes de información similares, con el objetivo de ofrecerle
productos de financiación personalizados.?
? En el punto 1.3 se solicita el consentimiento para participar en programas
de fidelización, sorteos, concursos, encuestas y programas de acción social
o acciones similares, así como recibir noticias y/o comunicaciones sobre los
mismos a través de cualquier canal (papel, medios electrónicos,
telemáticos, digitales, etc.) En los puntos 1.3.1 a 1.3.3 se desglosan 3
diferentes solicitudes: para participar en programas de fidelización, para
participar en sorteos, concursos y encuestas y para participar en programas
de acción social o acciones similares.
o -En otro bloque se solicita el consentimiento para la cesión de datos a terceros.
El punto 2 solicita el consentimiento para la cesión de sus datos personales
con fines comerciales, en base a su perfil, a sociedades y empresas
participadas del grupo Bankia o colaboradores, cuya composición puede
consultar de manera actualizada en un determinado enlace que se indica.
? En el punto 2.1 se solicita la cesión de sus datos a colaboradores para que
realicen acciones comerciales que se ajusten a sus necesidades, en base a
sus datos personales, los productos que tiene contratados, así como a partir de
las operaciones, movimientos o transacciones asociadas a sus productos.
? En el punto 2.2 se solicita la cesión de sus datos a empresas o participadas del
Grupo Bankia para que realicen acciones comerciales que se ajusten a sus
necesidades, en base a sus datos personales, los productos que tiene
contratados, así como a partir de las operaciones, movimientos o transacciones
asociadas a sus productos.
Se informa sobre la posibilidad de revocar y modificar en cualquier momento los
consentimientos prestados y oponerse a los tratamientos basados en el interés
legítimo y al ejercicio de los derechos de acceso, rectificación, supresión, oposición y
limitación al tratamiento y portabilidad de los datos.
Consta en la información precontractual de la cuenta ?ON?; de la tarjeta de débito ON
asociada, de la cuenta ?ON NOMINA?, de la tarjeta ?ON NOMINA?, de la cuenta ?UN &
DOS? y tarjeta ?UN & DOS? asociada.(documentos 8, 9, 10 y 11), además de la
descripción de cada producto la especificación de las comisiones de administración y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
77/117
mantenimiento de la cuenta, así como las cuotas de las tarjetas asociadas,
transferencias en euros, nacionales y UE sujetas al reglamento 260/2012, realizadas
por canal no presencial e ingresos de cheques en euros pagaderos en el mercado
nacional serán gratuitos siempre y cuando todos los titulares mantengan un perfil
digital.
El Perfil Digital se ostentará cuando, entre otras estipulaciones, se cumpla que:
- Todos los titulares hayan facilitado a Bankia su número de teléfono móvil y
correo electrónico.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o
contrato correspondiente, el tratamiento de sus datos personales para el envío
de comunicaciones comerciales por cualquier canal de comunicación
habilitado, incluidos correo electrónico y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o
contrato correspondiente, la cesión de sus datos personales a empresas de su
grupo para el análisis de su perfil a efectos comerciales.?
En dicha información precontractual se detallan las comisiones aplicables a las
distintas cuentas, siendo las comisiones establecidas, coincidentes para todas las
cuentas, las siguientes:
- Comisión de mantenimiento X EUR. Gratuito si los titulares de la cuenta tienen
perfil digital.
- Comisión de administración (por apunte) X,XX EUR. Gratuito si los titulares de
la cuenta tienen perfil digital.
-
En lo que respecta a las comisiones de las distintas tarjetas de débito asociadas a las
cuentas antes mencionadas, son las siguientes, según dicha información
precontractual:
- Cuota de alta XX ? (gratuita si todos los clientes cumplen el perfil digital).
- Por mantenimiento XX ? (gratuita si todos los clientes cumplen el perfil digital).
Asimismo, en la información precontractual específica de la tarjeta de crédito ON se
indica que devengará las siguientes comisiones: ?XX ? tarjeta principal, en caso de
que los titulares de la cuenta asociada no mantengan el perfil digital y el primer titular
de la cuenta mantenga la nómina o pensión domiciliada.?
En el modelo de contrato Cuenta ON (documento 12) figuran las siguientes
condiciones de exención de comisiones Cuenta ON y tarjetas Débito ON asociadas a
la misma:
?Las comisiones de mantenimiento y administración de la cuenta, la cuota de las
tarjetas Débito ON asociadas a la misma (máximo una tarjeta por titular), y las
comisiones de ingresos de cheques en euros pagaderos en el mercado nacional y las
de las transferencias en euros, nacionales y UE, sujetas al reglamento 260/2012,
realizadas por canal no presencial y para cualquier importe, estarán exentas, y no
serán de aplicación siempre que todos los titulares de la cuenta cumplan las
siguientes requisitos:
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
78/117
Hayan autorizado a Bankia, mediante la suscripción del documento de
Tratamiento de datos Personales, documento equivalente o contrato correspondiente,
el tratamiento de sus datos personales para el envío de comunicaciones comerciales
por cualquier canal de comunicación habilitado, incluidos correo electrónico y teléfono
móvil, así como la cesión de sus datos personales a empresas de su grupo para el
análisis de su perfil a efectos comerciales.
- (?)
Bankia controlará periódicamente el cumplimiento de los requisitos indicados
anteriormente y, en caso de detectar que no se cumple alguno de ellos, será de
aplicación de manera automática, tanto a la cuenta como a las tarjetas de débito
asociadas, las condiciones particulares estándar de las mismas recogidas en el
presente contrato.?
En el modelo de contrato Cuenta UN & DOS (documento 14) figuran idénticas
condiciones de exención de comisiones de la Cuenta UN & DOS y tarjetas Débito UN
&DOS asociadas a la misma. Igualmente, en el modelo de Contrato Cuenta ON
NOMINA tarjetas Débito ON y tarjetas Crédito ON Nómina asociadas a la misma,
(documento 13) se exigen en los mismos términos los requisitos anteriormente
transcritos, así como su control periódico y las consecuencias de su incumplimiento.
CUARTO: Consta en el acta de la visita de Inspección realizada en el establecimiento
de Bankia con fecha 12/12/2109, que los representantes de dicha entidad manifiestan,
a preguntas de los inspectores, lo siguiente:
? Respecto al denominado perfil digital
Como se ha indicado, al mantener el perfil digital, el cliente de productos ON de
BANKIA se beneficia de una serie de bonificaciones en las comisiones.
Según consta en los documentos informativos específicos (IPE ? Información
contractual Específica) actuales de los productos ON, tales como la CUENTA ON y
TARJETA DE DEBITO ON, el perfil digital se ostenta cuando:
- ?Todas las operaciones realizadas con la cuenta y la tarjeta se lleven a cabo a través
de los canales a distancia de los que disponga Bankia en cada momento (Bankia
Online, APP Bankia, Oficina Telefónica, Cajeros, ?).
- Todos los titulares tengan dado de alta el Servicio de correspondencia por Bankia
Online, no recibiendo comunicaciones de Bankia en papel.
- Todos los titulares hayan facilitado a Bankia su número de teléfono móvil y correo
electrónico.
- Tengan aceptado y activado el servicio de mensajería PUSH a través de App
Bankia.?
La cuarta condición para ostentar el perfil digital, relativa al servicio de mensajería
PUSH, ha sido añadida desde el 15/12/2019 para las nuevas contrataciones de
productos ON, a la vez que se eliminan las siguientes condiciones:
- ?Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, el tratamiento de sus datos personales para el envío de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
79/117
comunicaciones comerciales por cualquier canal de comunicación habilitado, incluidos
correo electrónico y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o contrato
correspondiente, la cesión de sus datos personales a empresas de su grupo para el
análisis de su perfil a efectos comerciales.?
Para los clientes que ya disponían de algún producto ON las nuevas condiciones
aplicarán desde el 16 de febrero, es decir, transcurridos dos meses desde que se les
comunica esta modificación contractual habiéndose remitido las comunicaciones el
pasado 15 de diciembre.
Indica que las dos condiciones indicadas se han eliminado en las nuevas
contrataciones, y si bien estarían previstas contractualmente para los clientes
preexistentes hasta que las mencionadas modificaciones comunicadas sean efectivas
el 16 de febrero, BANKIA no tiene en cuenta estas dos condiciones a efectos de
bonificar o no las comisiones desde el pasado 16 de octubre.
? Respecto a los consentimientos
BANKIA, para aquellos tratamientos cuya base jurídica es el consentimiento, dispone
de un sistema que permite la recogida, modificación y gestión de estos
consentimientos, así como la trazabilidad de las modificaciones efectuadas,
denominado Modulo General de Consentimientos.
Este Módulo también registra los ejercicios de derechos de los clientes y permite llevar
su gestión de forma centralizada.
El listado de consentimientos se estructura en tres bloques principales con las
siguientes finalidades asociadas:
- Envío de comunicaciones comerciales
- Participación en programas de fidelización, sorteos, de acción social y otros
similares.
- Cesión de datos a terceros.
Los consentimientos constituyen así una lista multinivel numerada de tal forma que los
consentimientos más generales se encuentran en un nivel de numeración superior y
los específicos en un nivel inferior. De esta forma se otorga el consentimiento o no de
forma general, por ejemplo, para el envío de comunicaciones comerciales, y de forma
específica para cada canal a través del cual se pueden recibir las comunicaciones.
Los consentimientos quedan registrados en un documento denominado Tratamientos
de Datos Personales (TDP) que incluye información de protección de datos al cliente.
Este documento es siempre firmado por el cliente durante el proceso de alta, previo a
la contratación de cualquier producto, tanto por banca on-line (con clave de firma) o
presencialmente en la oficina, en una Tablet que le es suministrada (tableta digital que
también es utilizada para recoger la firma de los contratos y las operaciones
transaccionales ejecutadas por cualquier cliente).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
80/117
Cuando se modifican los consentimientos, estos quedan registrados en un documento
similar denominado Modificación Tratamiento Autorizaciones (MTA). Este documento
también queda firmado por el cliente.
BANKIA reformó y actualizó la lista de consentimientos con ocasión de la entrada en
vigor del RGPD en mayo de 2018 y remitió una comunicación a todos los clientes
informando de la entrada en vigor del nuevo Reglamento, iniciando un nuevo proceso
de recogida de consentimientos.
Cuando se puso en funcionamiento la nueva lista de consentimientos debido a una
incidencia en el canal on-line que exigió realizar adaptaciones en los sistemas (afectó
únicamente a clientes de cuenta ON contratada por canal on-line) entre el 8 de julio y
el 15 de agosto de 2018 los consentimientos se mostraban premarcados, en estado de
aceptación (?consiento?), para los nuevos clientes. Es decir, cuando un nuevo cliente
se daba de alta por el canal on-line, los consentimientos se encontraban premarcados
durante el proceso de alta, no ocurriendo en las altas en oficina.
También, para los clientes preexistentes, durante este periodo, los nuevos
consentimientos (que no existían anteriormente sobre los que por tanto el cliente no se
había expresado) se marcaron con estado de aceptación, pero los consentimientos
preexistentes sobre los cuales ya habían expresado su autorización o denegación se
encontraban en el estado que el cliente había decidido.
A partir del 16 de agosto de 2018 los consentimientos premarcados en estado de
aceptación o ?consiento? (color verde en la aplicación) se pasan a mostrar a ?no
consiento? (color rojo), y pasaron finalmente al estado de ?no recabado? (color gris) en
febrero de 2019.
Estadística: Se han recabado los consentimientos de unos 5.842.000 clientes de los
8.281.000 que tiene la entidad en estos momentos. Los clientes que faltan por
contestar constituyen un 29%, se corresponden con clientes poco activos, y sus
consentimientos se encuentran sin marcar. No obstante, para cualquier tratamiento
estos consentimientos se consideran en estado ?no? para evitar su uso.
De los que han contestado, el 89% han aceptado todos los consentimientos, el 7,5%
han contestado aceptando parcialmente, y el 3,2% han contestado a todos ?no
consiento?.
El número de clientes que pasaron el proceso de alta en el periodo comprendido entre
el 08/07/2018 y el 15/08/2018 (productos ON a través de canal on-line), son un total de
2.562 (de los cuales 2.192 siguen activos y 270 han cancelados). De los clientes que
siguen activos 38 han modificado los consentimientos posteriormente.
Por todo ello quedan 2.154 clientes activos que prestaron los consentimientos
premarcados y no los han modificado posteriormente, suponiendo el 0,16% del total de
consentimientos prestados por banca on-line y el 0,03% del total de consentimientos
recabados del total de clientes que constan en la base de datos de BANKIA.
En la actualidad, y desde antes del 25/05/2018, cuando un nuevo cliente se da de alta
en BANKIA, tanto on-line como en oficina, debe rellenar los consentimientos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
81/117
generándose el documento ya mencionado denominado Tratamientos de Datos
Personales (TDP), que firma. No se puede continuar el alta del cliente sin la firma de
dicho documento. Los consentimientos se encuentran sin marcar (en gris), teniendo
que marcar el cliente su decisión de consentir o no.
Todos los empleados de BANKIA pueden consultar los consentimientos de los clientes
on-line, así como los cambios que los clientes han efectuado y los documentos de
consentimientos firmados.
Existe también trazabilidad de los consentimientos anteriores al RGPD.
Consta que los inspectores de la Agencia realizaron las siguientes comprobaciones
tras solicitar el acceso al Módulo de Gestión de Consentimientos:
- Se accede mediante código de usuario y contraseña de empleado de BANKIA a los
datos de los consentimientos prestados por una de las personas presente en la sala,
cliente de la entidad, comprobándose que se encuentra suscrito el documento de
Tratamiento de Datos Personales (TPD) con fecha 21 de mayo de 2018. Se accede
también a las modificaciones efectuadas posteriormente sobre los consentimientos
(documentos MTA) así como al estado de los consentimientos en la actualidad.
? Respecto a las cesiones de datos.
Aunque se ha solicitado el consentimiento a los clientes, BANKIA no ha cedido sus
datos personales ni a las empresas del grupo ni a otras entidades colaboradoras
tomando como base estos consentimientos generales del TDP ni existe previsión de
ello.
Los consentimientos para cesiones se pidieron como medida general. En caso de
realizarse una cesión, se pediría otra vez un consentimiento específico a los clientes
involucrados. Consta adjunto al acta de inspección copia del consentimiento especifico
solicitado para la cuenta UNI&DOS para la entidad ***ENTIDAD.1 (para elaboración
de lista de bodas).
Este consentimiento específico no constituye una necesidad legal ya que se cuenta
con el consentimiento general recabado. No obstante, BANKIA ha considerado
recabar un consentimiento específico por compromiso ético con sus clientes.
Además, en caso de producirse una cesión en el futuro, el proyecto pasaría a ser
informado por la Oficina del DPO, que estudiaría y aplicaría tanto los criterios de
cumplimiento normativo como los éticos, tomando las medidas adecuadas al caso
concreto que se planteara.
No existe ningún link o documento publicado que contenga el listado de empresas
colaboradoras ya que no existe ninguna a la que se cedan datos en base al
consentimiento general recabado mediante el TDP.
Las cesiones que se realizan se llevan a cabo mediante consentimientos ad hoc de los
clientes implicados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
82/117
QUINTO: Consta en la contestación recibida en esta Agencia el 19 de junio de 2020,
en respuesta al requerimiento formulado por la Inspección de datos respecto a los
clientes que realizaron el proceso de alta de productos ON a través del canal on line
en el período comprendido entre el 08(07/2018 y el 15/08/2018, período durante el
cual los consentimientos se encontraban premarcados en dicho canal que, de los
2.562 clientes que dieron de alta una cuenta On a través de Bankia Online en el
periodo indicado, a fecha 9 de junio de 2020 seguían siendo clientes de la entidad un
total de 2.171 clientes. Los 391 clientes restantes han dejado de tener posiciones
activas con Bankia, y por tanto ya no son clientes de la entidad. Asimismo, de estos
2.171 clientes, 1.359 clientes han modificado sus consentimientos al menos una vez
con fecha posterior al 15/08/2018 y los 812 clientes restantes no lo han modificado en
ninguna ocasión desde que los prestaron en el momento de alta de la cuenta On.
Consta asimismo en la contestación al requerimiento formulado por la Inspección lo
siguiente:
Estos 812 clientes representan el 0,06% del total de clientes titulares de cuenta On y el
0,009% del total de clientes de Bankia. Se trata de cuentas On sin movimientos ni
actividad significativa alguna en los últimos meses o, en muchos casos, con saldos en
negativo a regularizar, habiéndose intentado el contacto con los titulares en varias
ocasiones sin que se haya conseguido.
A todos ellos se les realizó comunicación en diciembre de 2019, informándoles de la
modificación de las condiciones para el cumplimiento del perfil digital por las que a
partir de febrero de 2020 dejaban de ser condición para cumplir dicho perfil, y por ende
para beneficiarse de la exención de comisiones, las relativas a haber autorizado
Bankia, mediante la suscripción del documento de Tratamiento de Datos Personales,
documento equivalente o contrato correspondiente, el tratamiento de sus datos
personales para el envío de comunicaciones comerciales por cualquier canal de
comunicación habilitado, incluidos correo electrónico y teléfono móvil y haber
autorizado a Bankia, mediante la suscripción del documento de Tratamiento de Datos
Personales, documento equivalente o contrato correspondiente, la cesión de sus datos
personales a empresas de su grupo para el análisis de su perfil a efectos comerciales.
No obstante, por decisión comercial de la Entidad a partir del 16 de septiembre de
2019 no se consideró la autorización para la cesión de datos a empresas del grupo
como requisito necesario para cumplir el perfil digital a efectos de la exención o cobro
de comisiones.
Los 812 clientes que no han modificado sus consentimientos ni han causado baja en la
entidad, han sido objeto de alguna acción comercial a través de correo electrónico o
SMS. Estas acciones se han desarrollado en el periodo comprendido entre agosto de
2018 (fecha de alta) y abril de 2020 (en mayo se inició el proceso de contacto y nueva
recogida de consentimientos de estos clientes que se explica en el siguiente apartado,
marcando sus consentimientos como denegados hasta tanto se recabasen
nuevamente).
Respecto de las acciones a realizar con dicho colectivo para obtener sus
consentimientos sin opciones premarcadas se han adoptado las siguientes:
? Se ha procedido a solicitar de nuevo los consentimientos a los clientes que no
los han modificado, aprovechando la primera interacción con la entidad por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
83/117
cualquiera de los canales habilitados (oficina, Bankia Online o App Bankia).
Esta obtención de los nuevos consentimientos, desde una posición neutra a la
opción de aceptación o no aceptación que en cada caso sea elegida por el
propio interesado para cada uno de los consentimientos solicitados, se ha
configurado como paso necesario para poder continuar la operativa por
cualquiera de los canales.
? Aquellos clientes que no hayan pasado este proceso se han considerado como
clientes que no han prestado su consentimiento a la entidad
independientemente del sentido de los consentimientos que prestaron en el
proceso de alta de la cuenta On, y se han marcado en sistemas como si
hubieran denegado todos los consentimientos.
? A todos los titulares de cuenta On se les comunicó, en diciembre de 2019, el
cambio de condiciones del perfil digital, y la eliminación de los requisitos de
haber autorizado el envío de comunicaciones comerciales y de cesión de datos
a efectos del cobro o exención de comisiones.
? Se ha contactado por vía telefónica (a través de los correspondientes gestores)
con los clientes que no han modificado los consentimientos; en el caso de los
812 clientes que aún no han pasado el proceso, si bien se ha intentado
contactar con ellos en varias ocasiones, el resultado ha sido infructuoso.
? Se ha iniciado el proceso de cancelación de aquellas cuentas inactivas y sin
actividad en los últimos meses.
SEXTO: Consta en escrito con entrada en esta Agencia de 11 de junio de 2109 la
siguiente información sobre clientes que han contratado las cuentas ON:
A fecha 31 de mayo de 2019: Producto ON Total Clientes
Cuenta ON Nómina 27.700
Cuenta Un & dos 1.178
Cuenta ON 1.168.122
Información sobre los consentimientos prestados por los titulares de las cuentas On a
fecha 31 de mayo de 2019:
cuenta Nº clientes Publicidad
(SI)
Cesión de
Datos (SI)
Publicidad
(NO)
Cesión de
Datos (NO)
ON Nómina 27700 26896 26896 804 804
Un & Dos 1178 1134 1119 44 59
ON 1168122 937942 924662 23180 243460
Consta en escrito recibido por esta Agencia en fecha 19 de junio de 2020 que el
número total de clientes con productos ON a fecha 9 de junio de 2020
(titulares/cotitulares) era de 1.256.352 clientes (653.463 cuentas).
Consta en el escrito de 19 de junio de 2020 que el importe total de comisiones
cobradas durante 2019 a titulares de cuentas On que no han cumplido alguna de las
condiciones del perfil digital ha sido de 2.367.954,32? conforme el siguiente desglose:
Comisión de administración: 27.074,59?.
Mantenimiento /Inactividad: 297.633,91?.
Comisión mantenimiento: 2.043.245,91?.
Total: 2.367.954,32?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
84/117
Respecto de los 812 clientes cuyos consentimientos se encontraban premarcados y no
han modificado sus consentimientos ni se han dado de baja de la entidad, solamente
se ha devengado comisión en el caso de 2 clientes siendo el importe anual global
cobrado por este concepto a cada uno de los dos clientes de cinco (5) euros. Hay que
resaltar que el cobro se ha podido producir por el incumplimiento, en el periodo
mensual de liquidación, de cualquiera de las condiciones del perfil digital, bastando
que se incumpla una de ellas para que no proceda la exención de las comisiones, por
ejemplo, utilizar el canal de oficina física, solicitar recibir las comunicaciones en papel,
etc.?
Consta en el mismo escrito que el importe total de comisiones bonificadas (no
cobradas) en 2019 a titulares de cuentas On ha sido de 32.110.990? conforme el
siguiente desglose:
Cuentas abiertas antes de 2019: 22.101.900?.
Cuentas abiertas en 2019: 10.009.090?.
Total: 32.110.990?.
Consta asimismo, que el cumplimiento de las condiciones del perfil digital que da lugar
en las cuentas On a la aplicación de la exención de comisiones, no va ligado a la
necesidad de disponer de un importe de ingresos anuales o mensuales determinado.
Por consiguiente, los titulares de cuentas On no han de declarar unos determinados
ingresos para abrir la cuenta ni para cumplir las condiciones del perfil digital.
Respecto al volumen de negocio total anual global de Bankia en el ejercicio financiero
2019, consta en el escrito remitido con fecha 19 de junio de 2020 que el margen neto
antes de provisiones es de 1.428 millones de euros, según la información recogida en
el informe Anual de resultados 2019 publicado en la web de la entidad. El volumen de
negocio del grupo Caixabank en el año 2020, según la información contenida en las
cuentas anuales publicadas en su página web por dicha entidad es de 12.172 millones
de euros.
SEPTIMO: En la página web de BANKIA se informa al usuario de ese website de que
se ha producido la fusión por absorción de Bankia, S.A. por CaixaBank, S.A.,
sucediendo la segunda entidad a la primera, de forma universal en todos los derechos
y obligaciones.
Consta en el Registro Mercantil en los datos relativos a la entidad BANKIA, S.A, la
siguiente observación ?Extinción?. Consta asimismo que ?en fecha 18 de septiembre
de 2020, en la página web corporativa de BANKIA, S.A. www.bankia.com ha quedado
inserto el proyecto común de fusión entre las sociedades CaixaBank, S.A. -
absorbente- y BANKIA, S.A.-absorbida-.?
FUNDAMENTOS DE DERECHO
I
Es competente para iniciar y resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el art. 58.2 del
del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de
27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
85/117
Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (Reglamento
General de Protección de Datos, en adelante RGPD) y en los art. 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de
los Derechos Digitales (en adelante LOPDGDD).
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Con carácter previo, se estima oportuno analizar las cuestiones formales suscitadas
por CAIXABANK S.A. (en adelante CAIXABANK) en su escrito de alegaciones.
En primer término, considera CAIXABANK que el acuerdo de inicio está viciado de
nulidad por la indefensión que produce la fijación del importe de la sanción en el propio
acuerdo de apertura, en lugar de expresar únicamente los límites de la posible
sanción, y sin que en el mismo se hayan motivado las agravantes ni la entidad haya
tenido ocasión de manifestarse al respecto. Por esta misma circunstancia, considera
que el acuerdo de inicio excede el contenido legalmente previsto, vulnerado el artículo
68 de la LOPDGDD, y entiende afectada la imparcialidad del órgano instructor, que
conoce antes de iniciar el procedimiento el criterio del órgano al que deberá elevar el
expediente, en clara ruptura del principio de separación de la fase instructora y de
sanción (artículo 63.1 de la LPACAP).
A este respecto, añade CAIXABANK que el artículo 85 de la LPACAP, que se invoca
en la parte dispositiva del acuerdo de apertura del procedimiento para especificar las
reducciones que conlleva el reconocimiento de responsabilidad, determina que la
cuantía de la sanción pecuniaria podrá determinarse ?iniciado el procedimiento
sancionador? y que sólo es aplicable a supuestos que dan lugar a la imposición de una
multa de carácter fijo y objetivo.
Esta Agencia no comparte la posición expresada por CAIXABANK en relación con el
contenido del acuerdo de apertura del presente procedimiento sancionador. A juicio de
esta Agencia, el acuerdo de inicio dictado se ajusta a lo previsto en el artículo 68 de la
LOPDGDD, según el cual bastará con que el acuerdo de inicio del procedimiento
concrete los hechos que motivan la apertura, identifique la persona o entidad contra la
que se dirige el procedimiento, la infracción que hubiera podido cometer y su posible
sanción (en este caso, de los distintos poderes correctivos que contempla el artículo
58.2 del RGPD, la Agencia estimó procedente la imposición de multa, sin perjuicio de
lo que pueda resultar de la instrucción del procedimiento).
En el mismo sentido se expresa el artículo 64.2 de la LPACAP, que establece
expresamente el contenido mínimo de acuerdo de iniciación. Según este precepto,
entre otros detalles, deberá contener ?los hechos que motivan la incoación del
procedimiento, su posible calificación jurídica y las sanciones que pudieran
corresponder, sin perjuicio de lo que resulte de la instrucción?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
86/117
En este caso, no solo se cumplen sobradamente las exigencias mencionadas, sino
que se va más allá ofreciendo razonamientos que justifican la posible calificación
jurídica de los hechos valorada al inicio e, incluso, se mencionan las circunstancias
que pueden influir en la determinación de la sanción.
De acuerdo con lo expuesto, no puede decirse que señalar la posible sanción que
pudiera corresponder por las infracciones imputadas sea determinante de indefensión
o que suponga una ruptura del principio de separación de las fases de instrucción y
resolución. Al contrario, con ello se da cumplimiento a una de las exigencias previstas
en las normas reseñadas.
No puede olvidarse, asimismo, que el artículo 85 de la LPACAP contempla la
posibilidad de aplicar reducciones sobre el importe de la sanción por si el infractor
reconoce su responsabilidad y en caso de pago voluntario de la sanción. Este
precepto establece la obligación de determinar esas reducciones en la notificación de
iniciación del procedimiento, lo que conlleva la necesidad de fijar el importe de la
sanción correspondiente a los hechos imputados.
En contra de lo señalado por CAIXABANK, este artículo 85 de la LPACAP no
establece que el importe de la sanción se determine una vez iniciado el procedimiento.
Es el reconocimiento de la responsabilidad y el pago voluntario de la sanción lo que ha
de producirse con posterioridad a ese momento, y no la fijación de la cuantía de la
sanción, como afirma CAIXABANK.
Asimismo, CAIXABANK entiende, conforme a lo establecido en el artículo 85.3 de la
LPACAP que las reducciones deberán adoptarse sobre la sanción propuesta. Esta
Agencia no puede compartir este argumento. Basta señalar que el pago voluntario
puede realizarse por el interesado en cualquier momento del procedimiento anterior a
la resolución e implica su terminación. Siendo así, para que el interesado pueda hacer
uso de esta opción, el importe de la sanción deberá establecerse al inicio. De la misma
forma, difícilmente podrá dicho interesado reconocer su responsabilidad iniciado un
procedimiento sancionador si el acuerdo que determina ese inicio no señala el alcance
que se atribuirá a ese reconocimiento de responsabilidad.
La previsión contenida en el artículo 85 de la LPACAP se establece por el legislador
con la finalidad de estimular el reconocimiento de la responsabilidad o el pago voluntario
de la sanción, solventando así rápidamente el conflicto suscitado con la Administración
y evitando estar por más tiempo sometido a un procedimiento sancionador. Por
ello, resulta imprescindible que el montante de la sanción se encuentre perfectamente
individualizado ya en el acuerdo de inicio del procedimiento sancionador (artículos 64 y
85.3 de la LPACAP), resultando, de contrario, imposibilitado su pago hasta la propuesta
de resolución, actuación final del órgano instructor, pudiendo causar un perjuicio claro
a la parte reclamada.
El criterio de la AEPD ha sido avalado por la Audiencia Nacional, así la SAN de
22/03/2019, (rec. 625/2017) en su fundamento cuarto señala:
?Debemos partir que el objeto del presente recurso contencioso-administrativo es una
resolución que se dicta al amparo del art. 85 de la Ley 39/2015, de 1 de octubre, del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
87/117
Procedimiento Administrativo Común de las Administraciones Públicas , que dispone:
"1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3.En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente" .
De conformidad con el citado precepto, las reducciones de las sanciones de al menos
un 20%, como es el caso que nos ocupa, debe encontrarse determinada en la
notificación de iniciación del procedimiento, tal y como consta en la resolución de 26
de abril de 2017, reseñada en el Fundamento de Derecho precedente. Por el
recurrente a raíz de la propuesta de resolución, se abonó la cuantía de las sanciones
con la reducción del 20%, instando en el suplico del escrito presentado el 3 de octubre
de 2017, que se tuviera por realizado el pago voluntario, en tiempo y forma, y se
procediera a dar por terminado el procedimiento.
Por otro lado, para que se proceda a la reducción del 20% de las sanciones que se ha
llevado a cabo, la misma se encuentra condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
Pues bien, el pago voluntario por el recurrente con la reducción del 20% de la cuantía
de las sanciones, implica la renuncia a cualquier acción o recurso en vía administrativa
en relación con los hechos imputados, y por ello, se beneficia de dicha reducción, ya
que, en caso contrario, el procedimiento hubiese seguido su curso, habiendo podido
terminar con la imposición de la cuantía de las sanciones previstas en la propuesta de
resolución.
En consecuencia, procede desestimar el presente recurso contencioso-administrativo,
sin que resulte necesario entrar en los motivos de impugnación aducidos en la
demanda en relación con las infracciones imputadas.? (el subrayado es nuestro)
En este mismo sentido la SAN de 15/10/2019, (rec. 601/2017) en su fundamento de
derecho cuarto declara que ?La Resolución impugnada, por la que la Directora de la
Agencia Española de Protección de Datos puso fin al procedimiento sancionador
PS/00370/2017, termina el procedimiento por pago voluntario del sancionado, en
aplicación del artículo 85 de la Ley 39/2015, de 1 de octubre, cuya aplicación había
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
88/117
sido solicitada expresamente por el banco demandante en escrito de 6 de septiembre
de 2017, tras serle notificado el acuerdo de inicio del procedimiento, y reconocía su
responsabilidad en los hechos causantes de la apertura del procedimiento y desistía y
renunciaba a cualquier acción o recurso en vía administrativa contra la sanción
impuesta.
De ese modo se benefició de las dos reducciones previstas en el artículo 85 citado, es
decir, por reconocimiento de su responsabilidad y por pago voluntario dentro del plazo
previsto legalmente, de modo que la sanción indicada en el acuerdo de inicio (20.000
euros) quedó fijada en 12.000 euros, que fueron abonados por la entidad bancaria.
El artículo 85 de la Ley 39/2015, dispone que: "1. Iniciado un procedimiento
sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el
procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3.En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente".
En la sentencia de esta Sala de 19 de marzo de 2019 (R. 625/2017), en un caso
similar, se consideró que: «[...] De conformidad con el citado precepto, las reducciones
de las sanciones de al menos un 20%, como es el caso que nos ocupa, debe
encontrarse determinada en la notificación de iniciación del procedimiento, tal y como
consta en la resolución de 26 de abril de 2017, reseñada en el Fundamento de
Derecho precedente. Por el recurrente a raíz de la propuesta de resolución, se abonó
la cuantía de las sanciones con la reducción del 20%, instando en el suplico del escrito
presentado el 3 de octubre de 2017, que se tuviera por realizado el pago voluntario, en
tiempo y forma, y se procediera a dar por terminado el procedimiento.
Por otro lado, para que se proceda a la reducción del 20% de las sanciones que se ha
llevado a cabo, la misma se encuentra condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
Pues bien, el pago voluntario por el recurrente con la reducción del 20% de la cuantía
de las sanciones, implica la renuncia a cualquier acción o recurso en vía administrativa
en relación con los hechos imputados, y por ello, se beneficia de dicha reducción, ya
que, en caso contrario, el procedimiento hubiese seguido su curso, habiendo podido
terminar con la imposición de la cuantía de las sanciones previstas en la propuesta de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
89/117
resolución. En consecuencia, procede desestimar el presente recurso contenciosoadministrativo
, sin que resulte necesario entrar en los motivos de impugnación
aducidos en la demanda en relación con las infracciones imputadas [...]».
Procede ahora resolver en el mismo sentido pues concurren todas las circunstancias
exigidas en el artículo 85 citado, que contempla una forma específica de terminación
de los procedimientos sancionadores: determinación de las posibles reducciones en la
notificación del inicio del procedimiento, reconocimiento de responsabilidad y pago
voluntario en plazo, así como renuncia de acciones o recursos en vía administrativa
contra la sanción.? (el subrayado es de la AEPD)
Alega CAIXABANK que la indefensión que se le ha generado por la actuación de la
AEPD en este caso no podría considerarse subsanada por el hecho de que la misma
haya podido formular alegaciones al acuerdo de inicio. Y ello es así porque el mero
hecho de su formulación implica un incremento del importe que se vería obligado a
satisfacer, por cuanto la AEPD no reconoce al encartado la posibilidad de ejercer la
opción contenida en el artículo 85.1 de la LPACAP (es decir, reconocer su culpa en
cualquier momento del procedimiento) en caso de que haya emitido alegaciones al
acuerdo de inicio. Entiende que la consecuencia de todo lo indicado es que existe un
vicio radical en la tramitación de este expediente sancionador, derivado de una
interpretación contraria a la Constitución de los artículos 64 y 85 de la LPACAP, que
incide en la nulidad del procedimiento, al haberse vulnerado los derechos
fundamentales de CAIXABANK, tal y como establece el artículo 47.1 a) de la LPACAP.
Esta Agencia no puede compartir tal argumento, la interpretación que hace la AEPD
de lo previsto en el artículo 85 de la Ley 39/2015 se ajusta estrictamente a lo previsto
en dicha norma y a la jurisprudencia aplicable a la misma, sin que pueda tacharse
dicha interpretación de inconstitucional. No se vulnera el derecho fundamental a la
tutela judicial efectiva, que el interesado puede ejercer en todo caso, sino que dicho
precepto prevé dos reducciones, una por reconocimiento de responsabilidad y otra por
pago voluntario dentro del plazo previsto. En la medida en que no se produce un
reconocimiento de responsabilidad, defendiendo el interesado la legalidad de su
actuación frente al acuerdo de inicio del procedimiento, no procede dicha reducción en
la propuesta de resolución que, sin embargo deja abierta la posibilidad de un pago
voluntario. Así lo recoge la sentencia del TS de 18/02/2021 precisamente en un
recurso de casación, contra sentencia de la Audiencia Nacional relativa a la resolución
dictada por el Director de la AEPD relativa a procedimiento de terminación por pago
voluntario de un sanción por infracción de la LOPD al señalar que: ?De ese modo se
benefició de las dos reducciones previstas en el artículo 85 citado, es decir, por
reconocimiento de su responsabilidad y por pago voluntario dentro del plazo previsto
legalmente,(?)?
Por otra parte y en lo que respecta a la vulneración del principio de tutela judicial
efectiva, no cabe aquí sino traer a colación lo señalado en la Sentencia del Tribunal
Supremo de 18 de febrero de 2021, antes parcialmente transcrita. Declara el Tribunal
Supremo en su fundamento cuarto que ? (?)
i) Rechazada la alegación anterior, también debe ser rechazada la invocación que la
recurrente efectúa de la STC nº. 76/1990 para justificar que la Sala de instancia ha
vulnerado su derecho a la tutela judicial efectiva al inadmitir su recurso contenciosoadministrativo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
90/117
Como hemos dicho, la Sala de instancia no inadmitió el recurso, sino que lo
desestimó. Pero es que, además, en este punto debemos precisar que la STC n.º
76/1990, que la recurrente invoca en apoyo de sus pretensiones, rechazó que el
artículo 89.2 de la Ley 10/1985, de 26 de abril, de modificación parcial de la Ley
General Tributaria comportara una vulneración del derecho a la tutela judicial efectiva
por exigir, para la condonación graciable de las deudas tributarias, que los sujetos
infractores o responsables renunciaran expresamente al ejercicio de toda acción de
impugnación, estableciendo al efecto lo siguiente:
" B) Con un texto que en lo sustancial no difiere de la redacción anterior, el art. 89.2
prescribe la renuncia al ejercicio de toda acción de impugnación para poder solicitar la
condonación graciable de la sanción tributaria; con ello el legislador pretende agilizar y
flexibilizar el cobro de las deudas tributarias, debiendo entenderse que la condonación
afecta sólo a la sanción y no al resto de la deuda tributaria. Pero, desde la perspectiva
del sujeto responsable, es claro que esta abstención en el ejercicio de impugnaciones
no supone una renuncia al derecho a la tutela judicial efectiva, lo que sería en sí
mismo inconstitucional, dado el carácter irrenunciable e indisponible de este derecho
fundamental, sino simplemente al uso de tal derecho y de las acciones en que se
manifiesta por un período de tiempo y en relación con un acto administrativo concreto.
Y la razón de tal renuncia es similar a la del supuesto anteriormente examinado, pues
aquí se trata también de obtener un beneficio al que no se tiene derecho alguno -la
condonación en forma graciable de la sanción- a cuyo fin es preciso satisfacer la carga
de la previa renuncia a impugnar la liquidación practicada. En la medida en que tal
sacrificio no resulta desproporcionado, se adopta libremente por el interesado y con el
mismo se obtiene un beneficio graciable, que es el que mejor conviene a los intereses
del peticionario de la condonación, no hay transgresión de derecho fundamental
alguno.
Este Tribunal ha declarado que, si bien los derechos fundamentales son permanentes
e imprescriptibles, ello es perfectamente compatible con el establecimiento de límites
temporales dentro del ordenamiento para el ejercicio de las correspondientes acciones
( STC 7/1983 , fundamento jurídico 3.º). Si la imprescriptibilidad de los derechos
fundamentales no es un obstáculo al carácter temporal de las acciones para su
defensa, la irrenunciabilidad de tales derechos no impide tampoco la voluntaria y
transitoria renuncia al ejercicio de las acciones en pos de unos beneficios graciables
cuyo eventual logro es para el interesado más ventajoso que el que pudiera resultar
de aquel ejercicio.?
En segundo lugar considera que se ha generado indefensión a CAIXABANK en la
tramitación del procedimiento, lo que determina la nulidad del mismo.
Expone en las alegaciones al Acuerdo de Inicio del procedimiento que el expediente
solamente ha sido trasladado a CAIXABANK el día 27 de mayo de 2021, cuando
únicamente quedaban dos días hábiles para la formulación de alegaciones, sin ni
siquiera acordar en la mencionada fecha la ampliación del plazo para su formulación
por cinco días a partir de la recepción del expediente, dado que en la misma fecha se
aclaró que el plazo de ampliación solicitado comenzaba a computarse el día 24 de
mayo, es decir 3 días antes de la recepción del expediente. Considera que en la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
91/117
práctica, la emisión de alegaciones se ha reducido a un plazo de dos días hábiles lo
que le genera una situación de absoluta indefensión.
Debe indicarse aquí que el acuerdo de inicio se notifica a CAIXABANK por medios
electrónicos en fecha 7 de mayo de 2021, siendo aceptada la notificación con fecha 10
de mayo de 2021 y que no es hasta el día 18 de mayo del mismo mes en que tiene
entrada en esta Agencia escrito del delegado de protección, afirmando actuar en
nombre y representación de CAIXABANK en virtud de su condición de Delegado de
Protección de Datos, en el que solicita la copia del expediente sancionador y
ampliación del plazo para formular alegaciones. Teniendo en cuenta que la
designación como delegado de protección de datos por parte de una entidad no
comporta la de representante de la misma y que no constaba acreditado en el
expediente que el delegado de protección de datos de CAIXABANK ostentase la
condición de representante de la misma, se requirió, con fecha 24 de mayo, a dicha
entidad, para que acreditase dicha representación, lo que llevó a cabo con fecha 26 de
mayo de 2021. El mismo día 26 de mayo de 2021 se procede a la remisión del
expediente, constando que fue recibido por CAISABANK el mismo día. En la misma
fecha se acordó la ampliación de plazo de alegaciones hasta el máximo plazo legal
permitido en el artículo 32 de la LPACAP.
A juicio de esta Agencia no cabe entender aquí que a CAIXABANK se le haya
producido indefensión alguna, en tanto pudo solicitar ampliación del plazo y copia del
expediente desde el mismo día de la notificación del mismo, sin embargo, no efectúo
tales solicitudes hasta que hubo transcurrido más de la mitad del plazo de que
disponía para ello. Asimismo, cuando formuló dichas solicitudes no se acreditó la
representación que ostentaba la persona que afirmaba actuar en nombre de dicha
entidad, lo que obligó a subsanar dicha omisión y dilató la entrega de la
documentación. Por otra parte, la ampliación de plazo se llevó a cabo en los términos
establecidos por el artículo 32 de la LPACAP, acordándose la ampliación de plazo
legal hasta el máximo permitido en dicho precepto. Debe, igualmente, tenerse en
cuenta que nada le impedía hacer nuevas alegaciones al amparo de lo previsto en el
artículo 76 de la misma Ley, lo que no ha hecho.
A este respecto, debe además tenerse en cuenta que la Sentencia del Tribunal
Supremo de 11 de octubre de 2012 recurso nº. 408/2010 declara lo siguiente: ?(?)No
se produce indefensión a estos efectos si el interesado ha podido alegar y probar en el
expediente cuanto ha considerado oportuno en defensa de sus derechos y postura
asumida, como también recurrir en reposición, doctrina que se basa en el artículo 24.1
CE, si hizo dentro del expediente las alegaciones que estimó oportunas" (S.T.S. 27 de
febrero de 1991), "si ejercitó, en fin, todos los recursos procedentes, tanto el
administrativo como el jurisdiccional" (S.TS. de 20 de julio de 1992). Por ello, "si el
interesado en vía de recurso administrativo o contencioso-administrativo ha tenido la
oportunidad de defenderse y hacer valer sus puntos de vista, puede entenderse que
se ha subsanado la omisión y deviene intrascendente para los intereses reales del
recurrente y para la objetividad del control de la Administración, compatibilizando la
prohibición constitucional de indefensión con las ventajas del principio de economía
procesal que complementa al primero sin oponerse en absoluto al mismo y que
excluye actuaciones procesales inútiles a los fines del procedimiento" (SS.TS. de 6 de
julio de 1988 y 17 de junio de 1991 ).?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
92/117
En este mismo sentido declara la STC 78/1999, de 26 de abril, en su Fundamento
Jurídico 2: ?Así pues, según reiterada doctrina constitucional que se sintetiza en el
fundamento jurídico 3º de la STC 62/1998, "la estimación de un recurso de amparo por
la existencia de infracciones de las normas procesales 'no resulta simplemente de la
apreciación de la eventual vulneración del derecho por la existencia de un defecto
procesal más o menos grave, sino que es necesario acreditar la efectiva concurrencia
de un estado de indefensión material o real' (STC 126/1991, fundamento jurídico 5º;
STC 290/1993, fundamento jurídico 4º). Para que pueda estimarse una indefensión
con relevancia constitucional, que sitúa al interesado al margen de toda posibilidad de
alegar y defender en el proceso sus derechos, no basta con una vulneración
meramente formal, siendo necesario que de esa infracción formal se derive un efecto
material de indefensión, un efectivo y real menoscabo del derecho de defensa (STC
149/1998, fundamento jurídico 3º), con el consiguiente perjuicio real y efectivo para los
interesados afectados (SSTC 155/1988, fundamento jurídico 4º, y 112/1989,
fundamento jurídico 2º)".
En cuanto a la supuesta extensión artificiosa de la fase de investigación en el presente
procedimiento, esta Agencia tampoco puede compartir las alegaciones de
CAIXABANK. Esta Agencia entiende que contrariamente a lo señalado por
CAIXABANK ha dado cumplimiento a lo previsto en los artículos 64 y 65 de la
LOPDGDD, sin que pueda considerarse, como se afirma en las alegaciones al
acuerdo de inicio del presente procedimiento, que la reclamación presentada en fecha
13 de febrero de 2019, haya sido admitida con el acuerdo de inicio de investigación de
fecha 21 de febrero. Dicho acuerdo, como resulta de la propia documentación obrante
en el expediente, no toma en consideración tal reclamación sino que tiene su origen en
el análisis realizado por la unidad de auditoría de la Subdirección General de
Inspección al haber tenido conocimiento de las características de la cuenta ON.
En lo que respecta a las diversas reclamaciones que fueron recibiéndose a lo largo de
la tramitación del expediente, se ha procedido de acuerdo con lo previsto en el artículo
65.3 de la LOPDGDD dando traslado al delegado de protección de datos, a efectos de
resolver sobre la admisión a trámite de la reclamación, trámite que si bien tiene
carácter potestativo para la AEPD, viene a suponer una garantía para el reclamado, al
que se le da la oportunidad de exponer las razones de su actuación frente a la
reclamación formulada y, en su caso, las medidas correctivas adoptadas encaminadas
a poner fin a un posible incumplimiento de la legislación de protección de datos, con
carácter previo a su admisión o no a trámite. El hecho de que las reclamaciones
versen sobre hechos similares y que existiese una investigación en curso no determina
que tales reclamaciones ?se encontrasen admitidas a trámite desde el acuerdo de
inicio de actuaciones de investigación? como afirma CAIXABANK.
El traslado de cada una de las reclamaciones recibidas al reclamado no es, en
consecuencia, un trámite meramente burocrático, como alega CAIXABANK,
asegurando que fuera cual fuera su respuesta en relación con las citadas
reclamaciones, los hechos a que las mismas se referían estaban ya siendo objeto de
investigación por parte de la AEPD. Por el contrario, esta Agencia entiende que tales
actuaciones resultaban pertinentes, permitiendo a CAIXABANK manifestar la realidad
o no de los hechos reclamados, de modo que su respuesta vendría a determinar la
incorporación o no de tal reclamación al expediente iniciado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
93/117
Afirma asimismo dicha entidad que la AEPD niega toda relevancia a los acuerdos de
admisión a trámite, ya que no despliegan ningún efecto en los términos previstos en el
artículo 64 de la LOPDGDD, ya que no determinan ni la realización de actuaciones
investigadoras ni la apertura de procedimiento sancionador alguno. Esta alegación
tampoco puede ser admitida, en el presente procedimiento han confluido la iniciación
de un acuerdo de inicio adoptado por propia iniciativa, tal y como prevé el artículo 64.2
LOPDGDD, con una serie sucesiva de reclamaciones, habiéndose tratado éstas
conforme a lo previsto en el artículo 65, dando traslado al reclamado e incorporando
las mismas, una vez recibida una respuesta que a juicio de esta Agencia determinaba
su admisión a trámite, por razones de economía procesal a otro procedimiento en
curso, evitando la apertura de sucesivos procedimientos y la progresiva acumulación
de los mismos.
Igualmente, esta Agencia entiende que era preciso realizar nuevas actuaciones
respecto de los hechos conocidos con motivo de la inspección efectuada, relativos a la
ausencia de consentimiento, que determinaron un nuevo requerimiento a dicha entidad
para determinar los elementos concurrentes en tales tratamientos.
Sobre la supuesta extensión artificiosa del procedimiento, Caixabank invoca la doctrina
sentada por la Audiencia Nacional (AN) en su Sentencia de 17/10/2007 (recurso
180/2006), en la que ponía de manifiesto la ilicitud de la prolongación inadecuada o
infundada de las actuaciones previas de investigación. Se refiere esta Sentencia a un
supuesto tramitado por la AEPD en el que las actuaciones previas de investigación se
mantuvieron inactivas durante casi once meses, cuando la entidad en cuestión había
atendido la solicitud de información en los dos primeros meses de la tramitación de
dichas actuaciones. La Audiencia Nacional concluyó que se produjo una ?[?]
utilización fraudulenta de la institución de las diligencias previas. Nos hallamos en
consecuencia ante un supuesto de fraude de Ley contemplado en el artículo 6.4 del
Código Civil, por cuanto se pretende burlar la aplicación del Art. 42.2 de la Ley
30/1992 usando la solicitud de información para, con ella, evitar la caducidad del
expediente sancionador?.
Es necesario precisar que la Audiencia Nacional modificó este criterio a partir de la
Sentencia de 19/11/2008 (recurso 90/2008). Tal y como se señalaba en la propuesta
de resolución el criterio de la sentencia de 17/10/2007 alegada por CAIXABANK venía
referido a actuaciones de investigación realizadas en un momento en el que no existía
un plazo fijado por ninguna norma para llevar a cabo las mismas, en tanto que la Ley
30/1992 vigente en tal momento no lo hacía, como no lo hace la actual Ley 39/2015.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de
21 de diciembre, estableció en su artículo 122 una duración máxima de doce meses
para llevar a cabo las mismas, al igual que lo hace la actual LOPDGDD.
Las alegaciones de CAIXABANK relativas a que la Sentencia de 19/11/2008 no
modificó el criterio de la sentencia citada por dicha entidad por considerar errónea
dicha doctrina sino en otras razones expuestas en la misma y que determinan su
aplicación, esto es, que el retraso producido en la tramitación de las actuaciones
previas no había sido debido a la intención fraudulenta de evitar la caducidad del
expediente sancionador sino a un significativo incremento del trabajo a realizar por los
trabajos de la AEPD que justificaban el mismo, omiten que dicha Sentencia señaba
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
94/117
igualmente ?Razones que conllevan que la anterior doctrina de la Sala no pueda ser
apreciada en el caso, al que tampoco resulta de aplicación el plazo máximo de doce
meses de duración que el artículo 122 del RD 1720/2007, de 21 de diciembre, prevé
en la actualidad para dichas "actuaciones previas", tomando en consideración que tal
norma reglamentaria solo es de aplicación a actuaciones iniciadas con posterioridad a
su entrada en vigor ( es decir, a partir del 19 de abril de 2008).? (el subrayado es de la
AEPD). Esta Agencia, considera así que la doctrina sentada en la Sentencia de
17/10/2007 ha sido superada, en tanto existe una norma que fija el plazo durante el
cual la AEPD puede realizarse actuaciones de investigación.
Por otra parte, la misma sentencia invocada por CAIXABANK hace referencia a las
consecuencias que la paralización del expediente tenía y que supuestamente se
trataba, en fraude de ley de evitar, que no son otras que la de la caducidad del
expediente sancionador. De la misma manera, el artículo 122.4 Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, señalaba la misma
consecuencia, la caducidad de las actuaciones previas una vez vencido el plazo de
doce meses para llevarlas a cabo sin que hubiese sido dictado y notificado el acuerdo
de inicio del procedimiento sancionador. Los requisitos y efectos de la caducidad
vienen establecidos en el artículo 95 de la Ley 39/2015, en su artículo 95, precepto
que permite no solamente la iniciación de un nuevo procedimiento cuando no se haya
producido la prescripción, sino que incluso posibilita en su número cuatro que la
misma no sea aplicable en el supuesto en que la cuestión suscitada afecte al interés
general o sea conveniente sustanciarla para su definición y esclarecimiento.
Alega CAIXABANK que la norma especial aplicable a la actuación de la AEPD , esto
es, la LOPDGDD dispone en su artículo 67 que las actuaciones de investigación ?no
podrán tener una duración superior a 12 meses? y que esta norma es la única
aplicable al procedimiento, puesto que no solo la Ley 39/2015 no es de aplicación por
ser únicamente de aplicación subsidiaria, sino que el artículo 63.2 dispone que ?los
procedimientos tramitados por la Agencia Española de Protección de datos se regirán
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las
contradigan, con carácter subsidiario, por las normas generales de los procedimientos
administrativos.?
A juicio de esta Agencia, ninguna contradicción existe entre lo establecido en el
artículo 67 de la LOPDGDD y el artículo 95 de la Ley 39/2015. La primera señala un
plazo de 12 meses para llevar a cabo actuaciones, cuya superación determina la
caducidad del procedimiento, siendo los efectos de esa caducidad los previstos en la
Ley 39/2015 que es la que regula dicha institución. No cabe deducir, como hace
CAIXABANK, que la caducidad quede excluida de aplicación a los procedimientos
sancionadores regidos por la LOPDGDD, ni el artículo 67 de la LOPDGDD prevé tal
consecuencia, ni la misma se desprende de la jurisprudencia alegada, que por el
contrario señala precisamente dicho efecto.
En consecuencia, esta Agencia no puede compartir la interpretación de CAIXABANK
de que el uso de la caducidad se lleva a cabo en fraude de ley invocando una
sentencia de la Audiencia Nacional que ninguna referencia hace a tal institución y cuyo
criterio fue, no solamente modificado ya en 2008, sino superado por el establecimiento
de un plazo para llevar a cabo actuaciones previas. Tampoco puede compartir la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
95/117
consideración de que de los términos de la LOPDGDD se desprenda la inaplicación
del artículo 95 de la Ley 39/2015, precepto que fija como único límite el de que no se
haya producido la prescripción de la infracción, permitiendo incluso que tal límite se
supere en determinados supuestos, lo que no se ha producido en el presente caso.
III
El artículo 6 del RGPD se refiere a la licitud del tratamiento de datos disponiendo que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
El art 4.11 del RGPD define el ?consentimiento del interesado para el tratamiento de
sus datos personales?, como: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen?.
El artículo 7 del RGPD hace referencia a las condiciones del consentimiento
estableciendo que:
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable
deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita
que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de
tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de
fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte
de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La
retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
96/117
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la
mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato,
incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de
datos personales que no son necesarios para la ejecución de dicho contrato?.
Por su parte, el considerando (32) del RGPD, especifica que: ?El consentimiento debe
darse mediante un acto afirmativo claro que refleje una manifestación de voluntad
libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de
datos de carácter personal que le conciernen, como una declaración por escrito,
inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar
una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización
de servicios de la sociedad de la información, o cualquier otra declaración o conducta
que indique claramente en este contexto que el interesado acepta la propuesta de
tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o
la inacción no deben constituir consentimiento. El consentimiento debe darse para
todas las actividades de tratamiento realizadas con el mismo o los mismos fines.
Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos
ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por
medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar
innecesariamente el uso del servicio para el que se presta.?
El considerando (42) del RGPD, indica que: ?(...) De acuerdo con la Directiva 93/13/
CEE del Consejo, debe proporcionarse un modelo de declaración de consentimiento
elaborado previamente por el responsable del tratamiento con una formulación inteligible
y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas
abusivas. Para que el consentimiento sea informado, el interesado debe conocer
como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a
los cuales están destinados los datos personales. El consentimiento no debe considerarse
libremente prestado cuando el interesado no goza de verdadera o libre elección
o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno?.
El considerando (43) indica que: ?Para garantizar que el consentimiento se haya dado
libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de
datos de carácter personal en un caso concreto en el que exista un desequilibro claro
entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable
sea una autoridad pública y sea por lo tanto improbable que el consentimiento
se haya dado libremente en todas las circunstancias de dicha situación particular.
Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar
por separado las distintas operaciones de tratamiento de datos personales pese a
ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la
prestación de un servicio, sea dependiente del consentimiento, aun cuando este no
sea necesario para dicho cumplimiento?.
A su vez, el artículo 6 de la LOPDGDD, indica, sobre el tratamiento de los datos personales
basado en el consentimiento del afectado que: ?1. De conformidad con lo dispuesto
en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento
del afectado toda manifestación de voluntad libre, específica, informada e inequívoca
por la que este acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
97/117
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste de manera específica
e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento
de los datos personales para finalidades que no guarden relación con el mantenimiento
, desarrollo o control de la relación contractual.?
En el presente supuesto consta en la documentación obrante en el expediente que la
entidad reclamada, ha comercializado, a través de su plataforma digital, (www.-
bankia.es), entre otros, tres productos financieros: Cuenta ON; Cuenta ON Nómina y
Cuenta UN&DOS, junto con sus tarjetas de débito asociadas. También comercializa
una tarjeta de crédito (Tarjeta de Crédito ON), que debe ser asociada a una Cuenta
ON abierta.
En la información remitida por Bankia con fecha 19 de marzo de 2019, se observa que
la contratación de dichos productos lleva aparejado el cobro de diversas comisiones,
tales como las de administración y mantenimiento de la cuenta, así como cuota de las
tarjetas Débito o crédito asociadas, transferencias en euros, nacionales y UE sujetas al
reglamento 260/2012, realizadas por canal no presencial e ingresos de cheques en euros
pagaderos en el mercado nacional. Sin embargo, tales comisiones serán gratuitas
siempre y cuando todos los titulares mantengan lo que la entidad denomina un ?perfil
digital?.
En la información remitida con fecha 19 de marzo de 2019 se señala que ?El Perfil Digital
se ostentará cuando, entre otras estipulaciones, se cumpla que:
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o
contrato correspondiente, el tratamiento de sus datos personales para el
envío de comunicaciones comerciales por cualquier canal de comunicación
habilitado, incluidos correo electrónico y teléfono móvil.
- Todos los titulares hayan autorizado a Bankia, mediante la suscripción del
documento de Tratamiento de datos Personales, documento equivalente o
contrato correspondiente, la cesión de sus datos personales a empresas de
su grupo para el análisis de su perfil a efectos comerciales.?
Tales condiciones estuvieron vigentes hasta el 15/12/2019, en que desaparecieron
para las nuevas contrataciones de productos ON, manteniéndose para los clientes que
ya disponían de un de algún producto ON hasta el 16 de febrero de 2020, si bien la entidad
reclamada indica que no se tuvieron en cuenta a efectos de bonificar o no las comisiones
desde el 16 de octubre de 2019.
Esta Agencia considera que se vincula en el presente supuesto la exención de las comisiones
bancarias a la prestación del consentimiento para dos diferentes tratamientos
: el envío de comunicaciones comerciales y la cesión de datos personales a las entidades
del Grupo Bankia, por lo que no puede considerarse que el consentimiento se
otorga libremente, en tanto que, si no se aceptan tales tratamientos o se revoca posteriormente
el consentimiento así obtenido, se producen consecuencias negativas para
el interesado que está sujeto, en tal caso, al abono de las comisiones fijadas por la entidad
bancaria.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
98/117
Alega Caixabank que las comisiones no constituyen un gravamen sino la contraprestación
de los servicios prestados por el banco configurándose como un elemento que
debe incorporarse al contrato de cuenta corriente, constituyendo un elemento esencial
cuya finalidad es la remuneración de los servicios prestados. Afirma que los productos
bancarios llevan en todo caso asociado el abono de comisiones y que la exención de
las mismas, contrariamente a lo señalado por la AEPD, constituye un beneficio para el
interesado, que no debe abonar unas comisiones que son consustanciales a la celebración
del contrato.
El razonamiento seguido por CAIXABANK no puede compartirse. Esta Agencia considera
que, efectivamente, las comisiones pueden formar parte del contrato de cuenta
corriente remunerando los servicios que se presten por la entidad bancaria, pero entiende
que la vinculación de la exención de su cobro a la prestación del consentimiento
para otros tratamientos de datos personales diferentes a los propios del contrato determina
que el consentimiento no se preste en condiciones de libertad.
A este respecto, en las directrices sobre sobre el consentimiento en el RGPD, aprobadas
por el Grupo de Trabajo del artículo 29, adoptadas, en la reunión de 25 de mayo
de 2018, por el Comité Europeo de Protección de Datos, órgano al que el RGPD atribuye
la función de garantizar la aplicación coherente del mismo, se expone, en el punto
3.1 lo que considera una manifestación de voluntad libre:
?El término «libre» implica elección y control reales por parte de los interesados. Como
norma general, el RGPD establece que, si el sujeto no es realmente libre para elegir,
se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo
da, entonces el consentimiento no puede considerarse válido. Si el consentimiento está
incluido como una parte no negociable de las condiciones generales se asume que
no se ha dado libremente. En consecuencia, no se considerará que el consentimiento
se ha prestado libremente si el interesado no puede negar o retirar su consentimiento
sin perjuicio. La noción de desequilibrio entre el responsable del tratamiento y el interesado
también se tiene en cuenta en el RGPD.
A la hora de valorar si el consentimiento se ha dado libremente, deben considerarse
también las situaciones concretas en las que el consentimiento se supedita a la ejecución
de contratos o a la prestación de un servicio tal y como se describe en el artículo
7, apartado 4. El artículo 7, apartado 4, se ha redactado de manera no exhaustiva mediante
el uso de la expresión «entre otras cosas», lo que significa que puede haber
otras circunstancias que entren en el ámbito de aplicación de esta disposición. En términos
generales, el consentimiento quedará invalidado por cualquier influencia o presión
inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy
distintas) que impida que este ejerza su libre voluntad. (El subrayado es de la AEPD).
Asimismo, en el punto 3.1.1. del mismo documento se hace referencia al desequilibrio
de poder, señalando ?Los desequilibrios de poder no se limitan a las autoridades públicas
y a los empleadores, sino que también pueden producirse en otras situaciones.
Como ha subrayado el GT29 en diversos dictámenes, el consentimiento solo puede
ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación
, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales
sustanciales ) si no da su consentimiento. El consentimiento no será libre en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
99/117
aquellos casos en los que exista un elemento de compulsión, presión o incapacidad
para ejercer la libre voluntad.? (El subrayado es de la AEPD)
Este elemento de compulsión o presión viene determinado, a juicio de la AEPD, por el
cobro de esas comisiones establecidas de forma que suponen un coste de suficiente
entidad como para determinar a los clientes de tales cuentas a aceptar el consentimiento
para el tratamiento de datos con fines distintos a los propios del contrato. No
puede así considerarse que el consentimiento se presta libremente en el momento de
celebrar el contrato y se modifica libremente en cualquier momento, como alega CAIXABANK
, puesto que la no prestación de ese consentimiento para otros fines o su revocación
determinan el cobro de las comisiones impuestas por la entidad bancaria, lo
que supone, contrariamente a lo que afirma CAIXABANK, un claro perjuicio para el interesado.
En este sentido señala el grupo de trabajo en dicha directrices respecto del perjuicio
?El responsable del tratamiento debe demostrar que es posible negar o retirar el consentimiento
sin sufrir perjuicio alguno (considerando 42). Por ejemplo, el responsable
del tratamiento debe demostrar que la retirada del consentimiento no conllevará ningún
coste para el interesado y, por tanto, ninguna clara desventaja para quienes retiren
el consentimiento.? (el subrayado es de la AEPD)
Continúa señalando el grupo de trabajo que ?Otros ejemplos de perjuicio son el engaño
, la intimidación, la coerción o consecuencias negativas importantes si un interesado
no da su consentimiento. El responsable del tratamiento debe ser capaz de demostrar
que el interesado pudo ejercer una elección libre o real a la hora de dar su consentimiento
y que le era posible retirarlo sin sufrir ningún perjuicio? (el subrayado es de la
AEPD).
Afirma CAIXABANK que el EDPB en el ejemplo 6 de dichas directrices hace referencia
a lo que constituye un perjuicio, considerando que es el aumento de las comisiones no
el cobro de las mismas. Dicho ejemplo señala lo siguiente:
?Un banco pide a sus clientes el consentimiento para que terceras partes puedan usar
sus datos de pago para fines directos de mercadotecnia. Esta actividad de tratamiento
no es necesaria para la ejecución del contrato con el cliente y la prestación de los servicios
habituales de la cuenta bancaria. Si la negativa del cliente a dar su consentimiento
a dicho tratamiento diera lugar a la negativa por parte del banco de prestar sus
servicios, al cierre de la cuenta bancaria o, dependiendo del caso, a un aumento de
las comisiones, el consentimiento no podría darse libremente.?
Esta Agencia entiende que, con independencia de que el EDPB mencione solamente
algunos ejemplos de lo que constituye un perjuicio, sin pretensión de contemplar todos
los posibles supuestos, la referencia al ?aumento de las comisiones? no puede interpretarse
en el sentido literal que CAIXABANK manifiesta en sus alegaciones. Cuando
el EDPB hace referencia a un ?aumento de las comisiones? es evidente que toma
como punto de partida el supuesto en que existen unas comisiones establecidas que
se cobran en todo caso, de ahí que, si la negativa a prestar el consentimiento da lugar
a que éstas aumenten, considere que el consentimiento no se presta libremente, en
tanto ese aumento supone un perjuicio para el interesado. Esto es, el consentimiento
no es libre porque se condiciona su prestación a evitar un cobro que no se venía pro-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
100/117
duciendo. Y este ejemplo es equivalente al que se produce en el caso objeto del presente
procedimiento, en el que la exención del cobro de las comisiones se vincula a la
prestación del consentimiento, de forma que el interesado no presta dicho consentimiento
libremente, sino condicionado por esa circunstancia.
Por consiguiente, esta Agencia entiende que cuando no se presta el consentimiento o
su revocación implica un cobro de comisiones que no se produciría en virtud de la
prestación de ese consentimiento para otros tratamientos, dicho consentimiento no es
libre ya que dicho cobro supone un claro perjuicio para el interesado.
Por otra parte, en ningún caso puede considerarse que la exención de las comisiones
constituya un beneficio para el interesado, por el contrario dicha exención tiene como
contrapartida la limitación de su derecho fundamental a la protección de datos, limitación
que solamente puede ser admisible cuando su aceptación no se encuentra condicionada.
Dicha limitación en el presente caso implica la recepción de comunicaciones
comerciales de todos los sectores a que se refiere en el TDP, esto es, sectores financiero
(bancarios, de inversión y seguros), inmobiliario, cultural, viajes, consumo y ocio
y la cesión de sus datos no solamente a las empresas del grupo, sino también a las
colaboradoras, ya que el TDP no establece esa diferencia en la aceptación del consentimiento.
Por otra parte, se desconoce al tiempo de firmar el contrato quienes son
tales entidades colaboradoras, debiendo el particular acudir a la página web de la entidad
para conocer en cada momento a quien se han cedido sus datos.
Alega CAIXABANK que la argumentación de esta Agencia decae, en tanto las comisiones
son elementos consustanciales del contrato de cuenta bancaria y no es posible
considerar que el contrato pueda existir a título gratuito o sin contraprestación por parte
del cliente de la entidad.
Esta Agencia no comparte el razonamiento de CAIXABANK, el real Decreto-Ley
19/2017, de 24 de noviembre, de cuentas de pago básicas, traslado de cuentas de
pago y comparabilidad de comisiones, establece en su artículo 9.1 que ? las comisiones
percibidas por los servicios prestados por las entidades de crédito en relación con
las cuentas de pago básicas serán las que se pacten libremente entre dichas entidades
y los clientes?, de este modo, entiende esta Agencia que puede pactarse con los
clientes la exención de su cobro y que, si dicha exención se vincula a la prestación del
consentimiento para tratamientos de datos personales distintos a los propios del contrato
, dicho consentimiento no se presta en condiciones de libertad.
Alega también CAIXABANK que esta Agencia eleva a la categoría de fuente del derecho
el contenido de los documentos y directrices del EDPB considerando que su transgresión
es una transgresión directa del RGPD.
A este respecto no cabe sino recordar que al EDPB compete conforme al RGPD garantizar
la aplicación coherente del mismo (art. 70.1 RGPD), emitiendo, respecto de
cualquier cuestión relativa a la aplicación del Reglamento, directrices, recomendaciones
y buenas prácticas a fin de promover la aplicación coherente del mismo
(art.70.1.e), por lo que la aplicación de dicha norma por parte de esta Agencia no puede
sino ajustarse a los criterios consolidados que se expresan en tales opiniones. En
este sentido, declara el Tribunal Supremo en la Sentencia 1.176/2020, de 17 de septiembre
de 2020) ?El Grupo de Trabajo contemplado en el artículo 29 de la Directiva
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
101/117
95/ 46/CE al que ha sucedido el denominado Comité Europeo de Protección de Datos
(CEDP), que dicta las Directivas 5/2019, es un órgano consultivo e independiente cuya
función con arreglo a lo dispuesto en el artículo 30.3 de la Directiva 95/46 CE es abordar
cuestiones relacionadas con la privacidad y los datos personales y emitir directrices
sobre como la considerada en la sentencia de la Audiencia Nacional, que consiste
en una guía para la implementación de la Sentencia del caso Costeja C-131/12. Las
directrices carecen de valor normativo vinculante, pero sí recogen el análisis de los expertos
desde la perspectiva de la protección de datos personales de los criterios de
ponderación recogidos en la Sentencia del TJUE de 13 de mayo de 2014 caso Costeja
, y con ese valor orientativo pueden ser utilizadas por las autoridades nacionales
competentes para resolver las cuestiones que atañen a la protección de los datos personales.? (el subrayado es de la AEPD).
Alega asimismo CAIXABANK, que la AEPD realiza una nueva interpretación de los criterios
del EDPB, ya que en caso de no resultar acordes a las tesis que pretende mantener
la AEPD solo puede deberse a dos causas: (i) su ánimo de no resultar exhaustivos
, entendiendo CAIXABANK que el ejemplo parece hacer referencia a todos los supuestos
en los que cabría considerar que existiría afección del principio de libertad del
consentimiento en un supuesto como el analizado, o (ii) entendiendo que el dictamen
interpretativo debe a su vez ser interpretado en el sentido que la AEPD considere procedente
defender. Señala que la AEPD se limita a considerar que ?[c]uando el EDPB
hace referencia a un ?aumento de las comisiones? es evidente que toma como punto
de partida el supuesto en que existen unas comisiones establecidas que se cobran en
todo caso? y que en relación con semejante afirmación, que en un supuesto en que el
EDPB se manifiesta con meridiana claridad no es dable a la AEPD ampliar la interpretación
del supuesto a aquél que considere ajustado a sus tesis, por muy evidente que
pretenda considerar este hecho. Si la AEPD considera que es ?evidente? la interpretación
que pretende realizar, debería justificar en qué se funda para apreciar esa supuesta
evidencia.
Esta Agencia no puede admitir tales alegaciones, el mismo hecho de que se trate de
un ejemplo pone de manifiesto que no puede tener carácter exhaustivo. Por otra parte,
no cabe pensar que una interpretación literal de un ejemplo pueda justificar una limitación
del derecho a la protección de datos, basándose en que el mismo no contempla
precisamente el supuesto concreto que da lugar a dicha limitación, como ocurre en el
presente procedimiento. En efecto, CAIXABANK pretende justificar que su actuación
no es contraria a lo previsto en el RGPD, fundándose en un ejemplo del EDPB que se
refiere como una limitación del principio de libertad del consentimiento el aumento de
comisiones, entendiendo que en la medida en que únicamente se refiere al ?aumento?
no cabe ninguna otra situación que pueda encajar en el ejemplo mencionado. Respecto
a que no está justificada la evidencia en la afirmación de esta Agencia cuando señala
que ?cuando el EDPB se refiere a un ?aumento de las comisiones? es evidente que
toma como punto de partida el supuesto en que existen unas comisiones establecidas
que se cobran en todo caso? esta Agencia considera que no es preciso justificar una
evidencia, resulta obvio que no puede existir un aumento de las comisiones si estas no
están establecidas y se vienen cobrando.
Alega también CAIXABANK en apoyo de su argumentación, el criterio adoptado por
otra autoridad de protección de datos, en un supuesto diferente al que es objeto de
examen, en el que parece sostener una opinión contraria a la de esta Agencia, que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
102/117
considera que debe tomarse en consideración basándose en que el propósito del
RGPD es el de establecer un marco uniforme en la aplicación de las normas y principios
configuradores del derecho fundamental a la protección de datos, Esta Agencia
no considera que tal resolución deba ser tenida en cuenta en aras de la aplicación uniforme
de las normas del RGPD, la labor de garantizar la aplicación coherente del
RGPD corresponde al EDPB y que lo sostenido en la resolución alegada se trata de
un criterio adoptado aisladamente por otra autoridad de protección de datos, en un supuesto
diferente y sin que el EDPB hay sustentado tal criterio.
Alega además CAIXABANK, que no se produce una vulneración del artículo 7.4 del
RGPD, en tanto que no se produce una condicionalidad como la descrita en dicho artículo
ya que la prestación del consentimiento no es una condición sine qua non para
la firma del contrato, pudiendo el cliente contratar los servicios sin necesidad de prestar
el consentimiento, siendo éstos los mismos al margen de la prestación o no del citado
consentimiento.
Considera que ofrece un servicio equivalente tanto a quienes haya prestado el consentimiento
para el tratamiento de sus datos como parte del denominado ?perfil digital?
como a quienes no lo han prestado, ya que los servicios que se ofrecen son exactamente
los mismos y también los elementos que integrarán los contratos en que se formalicen
los servicios incluyendo las comisiones, aun cuando en caso de que el usuario
ostente el denominado perfil digital dichas comisiones se encontrarán bonificadas en
su totalidad en su cuantía mientras el perfil digital se mantenga. Afirma que si la AEPD
considera que son dos productos distintos por el solo hecho de que sea ofrecido con y
sin bonificación, vaciaría de contenido cualquier oferta o promoción que pudiera aplicar
una entidad privada.
Esta Agencia tampoco comparte la interpretación que realiza CAIXABANK de lo señalado
por el EDPB en las aludidas directrices sobre el consentimiento, en las que éste
afirma que ?El responsable del tratamiento podría argumentar que su organización
ofrece a los interesados una elección real si estos pudieran escoger entre un servicio
que incluya el consentimiento para el uso de datos personales con fines adicionales, y
un servicio equivalente ofrecido por el mismo responsable que no implicara prestar el
consentimiento para el uso de datos con fines adicionales. Siempre que exista una posibilidad
de que dicho responsable del tratamiento ejecute el contrato o preste los servicios
contratados sin el consentimiento para el otro uso o el uso adicional de los datos
en cuestión, significará que ya no hay condicionalidad con respecto al servicio. No
obstante, ambos servicios deben ser realmente equivalentes.?
Contrariamente a lo alegado por CAIXABANK, esta Agencia entiende que dicha afirmación
del EDPB precisamente refleja una situación en la que no existe condicionalidad
alguna en la prestación del consentimiento, lo que no ocurre en el presente supuesto
en que un elemento del contrato de cuenta corriente, las comisiones, se utiliza
para condicionar la prestación del consentimiento para otros usos de los datos, por lo
que no pueden considerarse los servicios como equivalentes.
Alega, además, CAIXABANK que los servicios objeto del presente expediente no son
los únicos que conforman su catálogo de productos y servicios, mencionando otros
como la Cuenta Fácil, la Cuenta Joven o la cuenta de Pago Básica. Sin embargo, no
acredita que se trate de un servicio equivalente. No cabe admitir que cualquier cuenta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
103/117
corriente sea un servicio equivalente si las condiciones en que se presta son diferentes
o están dirigidas a un determinado colectivo, de modo que se excluye que otros puedan
contratarlo.
CAIXABANK en las alegaciones a la propuesta de resolución hace referencia a la
?CUENTA FACIL?, afirmando sus clientes pueden optar por contratar otro producto de
idéntica naturaleza exento asimismo del pago de comisiones. Esta Agencia no considera
que dicho producto pueda considerase equivalente, toda vez que las condiciones
en que se presta son diferentes, requiriendo unas condiciones económicas que no
eran requeridas en la apertura de la cuenta ON (existencia de una nómina igual o superior
a 700 euros o prestación por desempleo o pensión igual o superior a 200 euros
y cumplir una de las condiciones siguientes:
? Realizar dos compras al mes con una tarjeta de crédito
? Aportación de 135 euros en primas de seguro de riesgo.
? Tenencia de más de 30.000 euros en fondos de inversión, planes de pensiones o seguros
de ahorro (este requisito se cumplía igualmente en caso de tenencia de 40.000
euros en productos de inversión de la entidad, quedando excluidas de esta exigencia
las personas menores de 26 años).?
Menciona CAIXABANK, lo señalado en el Manual de legislación europea en materia
de protección de datos, adoptado por la Agencia de los Derechos Fundamentales de la
Unión Europea y el Consejo de Europa, en colaboración con el Tribunal Europeo de
Derechos Humanos y el Supervisor Europeo de Protección de Datos, en relación con
el carácter libre del consentimiento, que señala que:
?Esto no significa, sin embargo, que el consentimiento nunca pueda ser válido en circunstancias
en que la falta de consentimiento tuviera algunas consecuencias negativas.
Por ejemplo, si la consecuencia de la falta de consentimiento para tener una tarjeta
de cliente de un supermercado es únicamente que no se recibirán pequeños descuentos
en los precios de algunos productos, el consentimiento podría ser una base
jurídica válida para tratar los datos personales de aquellos clientes que otorguen su
consentimiento para tener dicha tarjeta. No existe subordinación entre la empresa y el
cliente, y las consecuencias de la falta de consentimiento no son lo suficientemente
graves como para limitar la libertad de elección del interesado (siempre que la reducción
de precio sea lo suficientemente pequeña como para no afectar a dicha libertad
de elección)?
Alega CAIXABANK, mencionando dicho ejemplo, que el razonamiento de la Agencia
conduce a considerar que el establecimiento de un descuento a quienes hubieran
aceptado su inclusión en un programa de fidelización de cualquier empresa con la consiguiente
aceptación del tratamiento de sus datos sería nulo, dado que no se establece
la posibilidad de gozar del mismo descuento en caso de no optarse por la adhesión al
programa de fidelización.
Esta Agencia tampoco puede compartir tal alegación, no nos encontramos ante un
programa de fidelización como en el ejemplo señalado sino ante un supuesto en que,
como señala las Directrices 5/2020 sobre el consentimiento se fusionan o difuminan
las dos bases jurídicas para el tratamiento lícito de datos personales, el consentimiento
y el contrato, incumpliéndose así el artículo 7.4 que garantiza que el tratamiento de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
104/117
los datos para los que se ha solicitado el consentimiento no se convierta en una
contraprestación del contrato.
Alega CAIXABANK que el EDPB no considera improcedente o contraria a la libertad
en la prestación del consentimiento la concesión de un incentivo o beneficio, teniendo
en cuenta que las directrices señalan que ?el RGPD no excluye los incentivos, pero correspondería
al responsable del tratamiento demostrar que el consentimiento se haya
seguido dando libremente en cualquier circunstancia?. Esta Agencia, como ha venido
señalando reiteradamente, entiende que el hecho de que la exención del pago de las
comisiones venga condicionada a la prestación del consentimiento para fines diferentes
a los propios del contrato determina que no pueda considerarse que el consentimiento
se ha dado libremente.
Por último, resulta inadmisible la alegación de que esta Agencia, al considerar que el
consentimiento prestado lo ha sido sujeto a una coacción en la libre voluntad de los interesados
, se considera competente para apreciar la nulidad de un contrato en el que
se establezcan incentivos o beneficios. Esta Agencia no valora la validez del contrato,
sino la del consentimiento para llevar a cabo otros tratamientos distintos a los propios
del contrato y que se condiciona mediante la exención del cobro de comisiones, lo que
a juicio de esta Agencia es contrario a lo previsto en el artículo 7.4 del RGPD.
Afirma CAIXABANK que el razonamiento de la AEPD no solo afecta a la libertad del
consentimiento para el tratamiento de datos personales sino que afirma que ese consentimiento
como elemento esencial del contrato de cuenta corriente se ve afectado
como consecuencia de que exima del abono de comisiones a quienes prestan el consentimiento
para el perfil digital, lo que no solo afecta a la aplicación de la normativa
de datos personales sino a la licitud del propio contrato, dado que si el consentimiento
para contratar el producto financiero es nulo por existir una suerte de coerción, existiría
un vicio invalidante del propio contrato, al quedar afectado el consentimiento contractual.
A este respecto no cabe por parte de esta Agencia sino reiterarse en lo señalado anteriormente
, esta Agencia se limita al ejercicio de sus competencias, entre las que se
encuentra la valoración de que el consentimiento prestado para llevar a cabo tratamientos
de datos distintos a los propios del contrato entre las partes vulnera el artículo
7.4 del RGPD, siendo las consecuencias que señala CAIXABANK ajenas a su actuación
, sin que a esta Agencia competa pronunciarse sobre ellas.
En consecuencia, de conformidad con las constataciones expuestas, los citados hechos
suponen una vulneración del artículo 6 del RGPD, en relación con el artículo 7
del mismo texto legal, que da lugar a la aplicación de los poderes correctivos que el artículo
58 del RGPD otorga a la Agencia Española de Protección de Datos.
IV
Consta en el expediente que durante el período comprendido entre el 8 de julio y el 15
de agosto de 2018, afectando a los clientes de cuenta ON contratada por canal on-line
, los consentimientos se encontraban premarcados en estado de aceptación (consiento
) para los nuevos clientes. Es decir, cuando un nuevo cliente se daba de alta
por el canal on-line, los consentimientos se encontraban premarcados durante el pro-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
105/117
ceso de alta, no ocurriendo en las altas en oficina. El número de clientes que pasaron
el proceso de alta en el periodo comprendido entre el 08/07/2018 y el 15/08/2018 (productos
ON a través de canal on-line), son un total de 2.562 (de los cuales 2.192 siguen
activos y 270 han cancelados). Consta que respecto a los 812 clientes que no han
modificado sus consentimientos ni han causado baja en la entidad, se han llevado a
cabo acciones comerciales a través de correo electrónico o SMS. Estas acciones se
han desarrollado en el periodo comprendido entre agosto de 2018 (fecha de alta) y
abril de 2020.
No se ha cumplido el requisito según el cual ?el consentimiento debe darse mediante
un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada
, e inequívoca del interesado de aceptar el tratamiento de datos de carácter
personal que le conciernen?, entendiéndose que ?el silencio, las casillas ya marcadas o
la inacción no deben constituir consentimiento? (Considerando 32).
La ausencia de tal requisito determina que el mismo no sea válido de modo que los
tratamientos basados en él carecen de legitimación contraviniéndose así lo previsto en
el artículo 6 del RGPD.
En este sentido, señalan las Directrices 5/2020 sobre el consentimiento en el sentido
del Reglamento (UE) 2016/679, respecto de la manifestación de voluntad inequívoca:
?El RGPD establece claramente que el consentimiento requiere una declaración del interesado
o una clara acción afirmativa, lo que significa que siempre debe darse el consentimiento
mediante una acción o declaración. Debe resultar evidente que el interesado
ha dado su consentimiento a una operación concreta de tratamiento de datos.
(?)
Un responsable del tratamiento debe tener también en cuenta que el consentimiento
no puede obtenerse mediante la misma acción por la que el usuario acuerda un contrato
o acepta los términos y condiciones generales de un servicio. La aceptación global
de los términos y condiciones generales no puede considerarse una clara acción
afirmativa destinada a dar el consentimiento al uso de datos personales. El RGPD no
permite que los responsables del tratamiento ofrezcan casillas marcadas previamente
o mecanismos de exclusión voluntaria que requieran la intervención del interesado
para evitar el acuerdo (por ejemplo, «casillas de exclusión voluntaria»)?
Alega CAIXABANK que resulta improcedente la imposición de la sanción por tales hechos
por aplicación del principio non bis in ídem. Considera que la AEPD estaría sancionando
doblemente la falta de base jurídica para el tratamiento de los datos personales
de los clientes que hubieran contratado los productos controvertidos por el canal
on-line en las fechas comprendidas entre el 8 de julio y el 15 de agosto, dado que por
una parte afirma que el consentimiento otorgado no es válido por no ser libre y, en segundo
lugar, que dicho consentimiento no es válido por encontrarse las casillas premarcadas.
Afirma que si se sigue el razonamiento de la AEPD, ninguno de los consentimientos
prestados (se encontrase o no premarcada la casilla) sería válido, por lo que imponer
una sanción adicional por el hecho de que en un número tan sumamente reducido de
supuestos dicha casilla resultase premarcada no es sino una contravención del principio
non bis idem. Y ello debería aparejar inmediatamente la subsunción de esta supuesta
infracción en la recogida por la AEPD en primer lugar.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
106/117
Cabe mencionar aquí la Sentencia de la Audiencia Nacional de 23 de julio de 2021
(rec. 1/2017), en la que concluye que no se ha vulnerado el principio non bis in ídem
porque no existe coincidencia en los hechos imputados. Señala dicha Sentencia que
?(?)Conforme a la legislación y jurisprudencia expuesta, el principio non bis in ídem
impide sancionar dos veces al mismo sujeto por el mismo hecho con apoyo en el mismo
fundamento, entendido este último, como mismo interés jurídico protegido por las
normas sancionadoras en cuestión. En efecto, cuando exista la triple identidad de sujeto
, hecho y fundamento, la suma de sanciones crea una sanción ajena al juicio de
proporcionalidad realizado por el legislador y materializa la imposición de una sanción
no prevista legalmente que también viola el principio de proporcionalidad.
Pero para que pueda hablarse de "bis in ídem" debe concurrir una triple identidad entre
los términos comparados: objetiva (mismos hechos), subjetiva (contra los mismos
sujetos) y causal (por el mismo fundamento o razón de castigar):
a) La identidad subjetiva supone que el sujeto afectado debe ser el mismo, cualquiera
que sea la naturaleza o autoridad judicial o administrativa que enjuicie y con independencia
de quién sea el acusador u órgano concreto que haya resuelto, o que se enjuicie
en solitario o en concurrencia con otros afectados.
b) La identidad fáctica supone que los hechos enjuiciados sean los mismos, y descarta
los supuestos de concurso real de infracciones en que no se está ante un mismo hecho
antijurídico sino ante varios.
c) La identidad de fundamento o causal, implica que las medidas sancionadoras no
pueden concurrir si responden a una misma naturaleza, es decir, si participan de una
misma fundamentación teleológica, lo que ocurre entre las penales y las administrativas
sancionadoras, pero no entre las punitivas y las meramente coercitivas.?
Partiendo de tales criterios esta Agencia considera que en el presente procedimiento
no se vulnera dicho principio, ya que no sanciona doblemente los mismos hechos, sino
que nos encontramos ante hechos diferentes.
En efecto, en el punto anterior se examinaba el hecho de que la entidad reclamada solicitaba
a sus clientes su consentimiento para determinados tratamientos, incumpliendo
los requisitos del artículo 7, lo que determinaba su invalidez. En el presente se hace
referencia a tratamientos de datos efectuados respecto de un conjunto de clientes que
al contratar dicha cuenta en un determinado período de tiempo, el comprendido entre
el 8 de julio y el 15 de agosto, se encontraron las casillas premarcadas, de modo que
no prestaron de manera inequívoca su consentimiento. No puede subsumirse por tanto
dicha infracción en la señalada en el punto anterior, toda vez que no nos encontramos
ante la infracción de lo previsto en el artículo 7 en relación con el 6 del RGPD, sino en
la inexistencia de consentimiento alguno y, en consecuencia, en la ausencia de base
legitimadora para el tratamiento infringiéndose así el artículo 6 de dicha norma.
Esta diferencia de conductas viene claramente expresada en la LOPDGDD al señalar,
a efectos de prescripción, en su artículo 72, relativo a las infracciones consideradas
muy graves, las siguientes:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
107/117
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud
del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
(?)
c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE)
2016/679 para la validez del consentimiento.?
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración del artículo 6 del RGPD, que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia Española
de Protección de datos.
V
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
(?)
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las
operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento?.
(corrección de errores del Reglamento (UE) 2016/679, DOUE número 74, de 4 de
marzo de 2021)
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado;
(?)
i)imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;?
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
VI
En el presente supuesto ha quedado acreditado el incumplimiento del articulo 7
en relación con el artículo 6 del RGPD y el artículo 6 de la misma norma, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de las infracciones tipificadas en el artículo 83.5 del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente:
5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
108/117
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;
A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:
?Artículo 72. Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
(?)
c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE)
2016/679 para la validez del consentimiento.?
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
109/117
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD
dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
En este caso, considerando la gravedad de las infracciones constatadas procede
la imposición de multa sin que quepa aceptar la solicitud formulada por CAIXABANK
para que se impongan otros poderes correctivos que hubiesen permitido la corrección
de la situación irregular, como es el apercibimiento, dispone en este sentido el
considerando 148 del RGPD ?A fin de reforzar la aplicación de las normas del
presente Reglamento, cualquier infracción de este debe ser castigada con sanciones,
incluidas multas administrativas, con carácter adicional a medidas adecuadas
impuestas por la autoridad de control en virtud del presente Reglamento, o en
sustitución de estas. En caso de infracción leve, o si la multa que probablemente se
impusiera constituyese una carga desproporcionada para una persona física, en lugar
de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante
prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su
carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
110/117
al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en
que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento
de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de
conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de
sanciones, incluidas las multas administrativas, debe estar sujeta a garantías
procesales suficientes conforme a los principios generales del Derecho de la Unión y
de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas
las garantías.?
Alega CAIXABANK que resulta procedente respecto de la segunda de las infracciones
la imposición de la medida de apercibimiento establecida en el artículo 58.2 RGPD,
tomando en consideración lo manifestado por el Grupo de Trabajo del artículo 29 en
su documento WP253 de ?Directrices sobre la aplicación y la fijación de multas
administrativas a efectos del Reglamento 2016/679?, al señalar que: ?En el
considerando 148 se presenta la noción de «infracciones leves». Dichas infracciones
pueden constituir violaciones de una o varias disposiciones del Reglamento citadas en
el artículo 83, apartados 4 o 5. No obstante, la evaluación de los criterios previstos en
el artículo 83, apartado 2, puede dar lugar a que la autoridad de control estime, por
ejemplo, que en las circunstancias concretas del caso la violación no entraña un
riesgo importante para los derechos de los interesados y no afecta a la esencia de la
obligación en cuestión. En tales casos, la multa puede ser sustituida (aunque no
siempre) por un apercibimiento?.
Alega que el supuesto solamente ha afectado a 812 de un total de 1.200.000 clientes,
sin que exista ningún tipo de reclamación por su parte y sin que dichos afectados
hayan mantenido, desde el momento de producirse la incidencia ningún tipo de
relación con CAIXABANK, al tratarse de clientes inactivos respecto de los que,
además, dicha entidad apreció como no prestado el consentimiento, absteniéndose de
proceder al tratamiento de sus datos personales, y todo ello después de haber
adoptado medidas extremadamente diligentes encaminadas a lograr un contacto con
los citados clientes.
A juicio de esta Agencia no concurren las circunstancias que puedan permitirla
imposición de un apercibimiento respecto de dicha infracción, ya que se incumple aquí
una de las obligaciones esenciales, la existencia de legitimación, para que el
tratamiento de datos sea conforme a lo establecido en su normativa reguladora y tal
incumplimiento vulnera plenamente los derechos de los interesados. Las
circunstancias alegadas por CAIXABANK no pueden ser consideradas porque en nada
alteran el hecho de que no se haya solicitado el consentimiento de los interesados,
pero es que esta Agencia tampoco puede aceptar lo alegado por CAIXABANK: el
número de clientes no fue de 812, sino de 2.562, de los cuales 812 no han modificado
los consentimientos ni han causado baja en dicha entidad con posterioridad;
CAIXABANK no se ha abstenido de proceder al tratamiento de los datos personales
de estos 812 clientes como afirma, toda vez que respecto de los mismos se han
llevado a cabo acciones comerciales a través de correo electrónico o SMS, como
consta acreditado en los hechos probados, siendo consciente de que carecía de
consentimiento para tratar sus datos, llevando a cabo tales acciones en el periodo
comprendido entre agosto de 2018 (fecha de alta) y abril de 2020 Tampoco puede
apreciarse que se haya actuado con diligencia cuando los hechos se produjeron en
2018 y no fue hasta mayo de 2020 en que se iniciaron actuaciones encaminadas a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
111/117
obtener el consentimiento de los clientes.
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las
sanciones de multa a imponer en el presente caso al reclamado, como responsable de
las infracciones tipificadas en el artículo 83.5.a) del RGPD, procede graduar la multa
que correspondería imponer por la infracción imputada por cada una de las
infracciones imputadas como sigue:
1. Infracción por incumplimiento de lo establecido en el artículo 6 en relación con el
artículo 7 del RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a
efectos de prescripción en el artículo 72.1.c) de la LOPDGDD:
Se estima que concurren en calidad de agravantes los siguientes factores que
revelan una mayor antijuridicidad y/o culpabilidad en la conducta de CAIXABANK:
a) La circunstancia descrita en el artículo 83.2.a) RGPD, que valora la naturaleza,
gravedad y duración de la infracción. No se trata de una conducta infractora
aislada. Se trata del diseño de un producto financiero con la finalidad de
condicionar a los clientes de la entidad que contraten el mismo, mediante la
exención del cobro de las comisiones del contrato, a prestar su consentimiento
para fines distintos a los de dicho contrato. Se tiene en cuenta también el
elevado número de interesados afectados: el número de clientes a 31 de mayo
de 2019 que habían contratado las cuentas ON Nomina, UN&DOS y ON era de
1.197.000, de los cuales habían prestado su consentimiento para la recepción
de publicidad 965.972 y para la cesión de sus datos a empresas del grupo
952.677 clientes. Se lleva a cabo además el tratamiento de un gran volumen de
datos de los interesados que consienten que el perfilado se lleve a cabo con
los datos que se califican en el TDP como personales e incluyen datos
relativos a identificación del cliente, sus datos de contacto, estado civil, número
de hijos, fecha y provincia de nacimiento, nacionalidad y datos profesionales;
con los datos obtenidos de los productos contratados y con los obtenidos a
partir de las operaciones, movimientos o transacciones asociadas a sus
productos.
Alega Caixabank que si se considera que la conducta infractora consiste en el
supuesto condicionamiento del consentimiento de sus clientes para el
tratamiento de sus datos personales al haberse establecido una exención del
pago de las comisiones, en tanto dicha conducta integra el tipo de la infracción
difícilmente puede ser considerada una circunstancia que agrave la
responsabilidad.
Sin embargo, esta Agencia entiende que lo que aquí se tiene en cuenta no es
el tipo infractor, aunque se mencione en la presentación del argumento. Se
valora como agravante el hecho de que no se trata de una conducta aislada,
sino que es el resultado de una política comercial de dicha entidad que afecta a
un gran número de interesados.
Alega que en la Propuesta de Resolución se afirma que ?se lleva a cabo
además el tratamiento de un gran volumen de datos de los interesados que
consienten que el perfilado se lleve a cabo con los datos que se califican en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
112/117
TDP como personales e incluyen datos relativos a identificación del cliente, sus
datos de contacto, estado civil, número de hijos, fecha y provincia de
nacimiento, nacionalidad y datos profesionales; con los datos obtenidos de los
productos contratados y con los obtenidos a partir de las operaciones,
movimientos o transacciones asociadas a sus productos?. Señala que,
conforme se indica en los hechos probados, el perfilado al que se refiere la
Propuesta de Resolución tendría un carácter previo a la cesión de los datos
personales de los clientes que hubieran prestado su consentimiento para ello a
las empresas del Grupo o colaboradoras de CAIXABANK. Sin embargo, la
propia Propuesta recoge como hecho probado que la citada cesión no tuvo
lugar en ningún caso, al indicar que ?[a]unque se ha solicitado el
consentimiento a los clientes, BANKIA no ha cedido sus datos personales ni a
las empresas del grupo ni a otras entidades colaboradoras tomando como base
estos consentimientos generales del TDP ni existe previsión de ello? De este
modo, no cabe aplicar como agravante una circunstancia que no ha concurrido
según el propio relato fáctico de la Propuesta de resolución.
Esta Agencia no puede compartir tal argumento, no cabe sino recordar a este
respecto que la exención de comisiones se vincula a la prestación del
consentimiento para dos tratamientos diferentes: la cesión de datos a las
empresas del Grupo o entidades colaboradoras de CAIXABANK y el envío de
comunicaciones comerciales. Respecto a este segundo tratamiento consta que
en el documento TDP que se solicita el consentimiento para el envío de
?comunicaciones comerciales personalizadas a través de cualquier canal
(papel, medios electrónicos, telemáticos, digitales, etc.) sobre productos,
servicios, promociones o descuentos de los sectores financiero (bancarios, de
inversión y seguros), inmobiliario, cultural, viajes, consumo y ocio en base a su
perfil, elaborado a partir de sus datos personales, los productos que tiene
contratados, así como a partir de las operaciones movimientos o transacciones
asociadas a sus productos.? (el subrayado es de la AEPD).
b) La circunstancia descrita en el artículo 83.2.b) RGPD que valora ?la
intencionalidad o negligencia en la comisión de la infracción?, Se trata de una
conducta intencionada en relación con la vulneración de la normativa de
protección de datos personales, siendo consciente la entidad reclamada de que
la exención del pago de comisiones tendría como resultado que la mayoría de
los clientes de dichas cuentas consintieran los tratamientos de datos de
publicidad y cesión de datos a las empresas del grupo.
Alega que no es dable a la AEPD valorar como circunstancia agravante lo que
no es sino una mera estrategia empresarial y que eleva al grado de
circunstancia agravante lo que pudo o no considerar CAIXABANK en el
momento de lanzar el producto, dando por probada dicha conjetura.
A juicio de esta Agencia, el tratarse de una estrategia empresarial acredita
dicha intencionalidad. Por otra parte, dicha conducta se mantuvo en el tiempo
por lo que durante el período en que se vinculó la exención del cobro de
comisiones a la prestación del consentimiento para las finalidades de envíos
publicitarios y cesión a otras entidades del grupo y colaboradores, CAIXABANK
pudo valorar el resultado de dicha estrategia decidiendo mantenerla hasta el 16
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
113/117
de octubre de 2019, por lo que la entidad era plenamente consciente de que la
mayoría de los clientes consentían tales tratamientos para conseguir la
exención de las comisiones. Así lo demuestran también las respuestas a los
traslados al Delegado de Protección de Datos de CAIXABANK de las
reclamaciones efectuadas ante esta Agencia.
c) La circunstancia descrita en el artículo 83.2.k) RGPD, cualquier otro factor
aplicable a las circunstancias del caso: La condición de gran empresa de la
entidad responsable y su volumen de negocio. A estos efectos se tiene en
cuenta que el margen neto antes de provisiones de Bankia en el ejercicio
financiero de 2019 era de 1.428 millones de euros.
Alega CAIXABANK que no ha encontrado ni en el régimen del RGPD ni en el
de la LOPDGDD ninguna norma que considere esta circunstancia como
agravante de una infracción. Considera que se incluye de forma
completamente arbitraria al catálogo establecido en las normas vigentes, con la
consiguiente quiebra del principio de legalidad.
No cabe compartir tal alegación, el artículo 83.1 del RGPD dispone que ?Cada
autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas,
proporcionadas y disuasorias.? El número 2 de dicho artículo establece que al
decidir la imposición de una multa administrativa y su cuantía en cada caso
individual se tendrá debidamente en cuenta: (?) k) cualquier otro factor
agravante o atenuante aplicable a las circunstancias del caso, como los
beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
A estos efectos como factor agravante, cabe tener en cuenta la consideración
de la entidad como una gran empresa lo que se encuentra vinculado entre
otros aspectos a su volumen de facturación, en la medida en que dispone de
mayores medios para dar cumplimiento a las obligaciones impuestas por el
RGPD.
d) La circunstancia descrita en el artículo 76.2.a) LOPDGDD: el carácter
continuado de la infracción.
Alega CAIXABANK que al margen de que, como se indica en la citada
sentencia, la circunstancia de infracción continuada, que es la establecida en el
artículo 76.2 a) de la LOPDGDD no puede asimilarse a la de infracción
permanente, similitud que, por el contrario, sí aprecia la AEPD, es preciso tener
en cuenta que no consta como probado en la Propuesta que el tratamiento sin
consentimiento) haya tenido lugar, afirmando que en ningún caso se produjo
efectivamente la cesión de datos respecto de la que se solicitó el
consentimiento del interesado.
A juicio de esta Agencia, cabe recordar aquí que son dos las finalidades para
las que se solicitaba el consentimiento de los clientes de la entidad, vinculado a
la exención de comisiones, de una parte la cesión de datos a otras entidades
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
114/117
del grupo o entidades colaboradoras y, de otra, el envío de comunicaciones
comerciales, quedando acreditado en el expediente que se llevaron a cabo
campañas publicitarias mediante SMS o correo electrónico de 2018 a 2020.
e) La circunstancia descrita en el artículo 76.2.b) LOPDGDD: La alta vinculación
de la actividad del infractor con la realización de tratamientos de datos
personales. Las operaciones que constituyen la actividad empresarial de la
entidad reclamada implican operaciones de tratamiento de datos personales.
f) La circunstancia descrita en el artículo 76.2.c) LOPDGDD: Los beneficios
obtenidos como consecuencia de la comisión de la infracción. Se tiene en
cuenta que entre sus actividades comerciales se encuentra la del envío de
comunicaciones comerciales a sus clientes de los siguientes sectores:
financiero (bancarios, de inversión y seguros), inmobiliario, cultural, viajes,
consumo y ocio.
Afirma CAIXABANK que no comprende por qué motivo se considera que la
realización de las citadas comunicaciones constituye su actividad cuando es
notorio que es una entidad bancaria. Considera que a lo sumo podría implicar
la existencia de una vinculación de su actividad con la realización de
tratamientos de datos, pero que en ningún caso supone la obtención de un
supuesto beneficio para la misma y que no se encuentra acreditado dicho
beneficio.
Debe aquí recordarse que se vincula la exención del cobro de comisiones al
consentimiento para realizar dos diferentes tratamientos de datos: el envío de
publicidad de los sectores que se mencionan en el documento TDP y la cesión
de sus datos a las empresas del grupo y entidades colaboradoras. En lo que
respecta a las actividades publicitarias para las que se recaba el
consentimiento, éstas pueden relacionarse, de una parte, con otros productos
de la propia entidad, buscando su contratación por sus clientes con el
consiguiente beneficio económico. De otra parte, puede tratarse de la
realización de publicidad para terceros que en el presente supuesto comprende
una gran variedad de sectores, obteniendo igualmente un beneficio económico
de tal actividad en base a los acuerdos comerciales con otras entidades para
las que vayan a realizan dichas actividades publicitarias. Como reiteradamente
se ha señalado, consta en los hechos probados que se llevaron a cabo
campañas publicitarias mediante SMS o correo electrónico de 2018 a 2020 que
afectaron incluso a los clientes a los que no se había solicitado el
consentimiento por estar las casillas premarcadas.
Se estima que concurre en calidad de atenuante la circunstancia descrita en el
artículo 76.2.e) de la LOPDGDD: La existencia de un proceso de fusión por absorción
posterior a la comisión de la infracción, que no puede imputarse a la entidad
absorbente.
Esta Agencia entiende que no cabe atender a la solicitud de CAIXABANK de que se
estimen como circunstancias atenuantes las previstas en las letras c) y f) del artículo
83.2 del RGPD, alegando que las condiciones para la exención de las comisiones no
se tuvieron en cuenta desde el 16 de octubre de 2019, antes de que dicha entidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
115/117
tuviera conocimiento de la existencia de actuaciones de inspección dirigidas contra la
misma, habiendo además prestado toda su colaboración en la investigación de los
hechos y en la minimización de los perjuicios.
El artículo 83.2 en sus letras c y f dispone lo siguiente:
?Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
(?)
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar
los daños y perjuicios sufridos por los interesados;
(?)
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;?
A juicio de esta Agencia la cesación en la actuación infractora no queda encuadrada
en ninguna de ambas atenuantes, como tampoco lo está la colaboración en la
investigación de los hechos que resulta una actuación obligada por parte de la entidad
objeto de inspección (artículo 52 de la LOPDGDD).
Considerando los factores expuestos, la valoración inicial que alcanza la multa
por la infracción imputada es de 2.000.000 euros.
2. Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, tipificada
en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el
artículo 72.1.b) de la LOPDGDD:
Se estima que concurren en calidad de agravantes, además de los factores expuestos
en relación con la infracción anterior señalados en las letras c), d), e) y f), los
siguientes factores que revelan una mayor antijuridicidad y/o culpabilidad en la
conducta de CAIXABANK:
a) La circunstancia descrita en el artículo 83.2.a) RGPD, que valora la
naturaleza, gravedad y duración de la infracción. La naturaleza, gravedad y
duración de la infracción. No se trata de un hecho aislado, sino que afecta
al procedimiento de recogida del consentimiento durante un período de
tiempo, durante el cual los consentimientos aparecían premarcados para
aquellos clientes que contrataron on line.
b) La circunstancia descrita en el artículo 83.2.b) RGPD que valora ?la
intencionalidad o negligencia en la comisión de la infracción?, El defecto
que constituye la infracción, esto es la existencia de consentimientos
premarcados, dada su evidencia debió ser advertido y evitado por una
entidad de las características de la entidad reclamada.
Señala CAIXABANK que respecto de las agravantes señaladas en la letras c, d, e y f)
del apartado anterior reproduce las alegaciones formuladas a las mismas en dichos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
116/117
apartados. Esta Agencia considera que las consideraciones de esta Agencia en
relación con tales alegaciones son plenamente aplicables en este punto.
Alega CAIXABANK, a efectos de la determinación de la responsabilidad por dichos
hechos, que resolvió la incidencia acaecida en sus sistemas el 15 de agosto, cuando
no existía denuncia o reclamación alguna dirigida contra dicha entidad desplegó de
forma inmediata cuantas acciones fueron necesarias para garantizar que los
consentimientos prestados lo fueran con absoluta libertad y sin condicionamiento
alguno, decidiendo finalmente considerar denegados estos.
Esta Agencia no puede admitir que se actuase diligentemente toda vez que los
hechos se produjeron en 2018 y no fue hasta mayo de 2020 en que se iniciaron
actuaciones encaminadas a obtener el consentimiento de los clientes y que, durante
dicho período, siendo dicha entidad consciente de que carecía del consentimiento de
los afectados, llevó a cabo acciones comerciales respecto de esos clientes.
Se estima que concurre en calidad de atenuante la circunstancia descrita en el
artículo 76.2.e) de la LOPDGDD: La existencia de un proceso de fusión por absorción
posterior a la comisión de la infracción, que no puede imputarse a la entidad
absorbente.
Considerando los factores expuestos, la valoración inicial que alcanza la multa por la
infracción imputada es de 100.000 euros.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CAIXABANK S.A., con CIF A08663619, por una
infracción del artículo 6 en relación con el 7.4 del RGPD, tipificada en el artículo 83.5.a
del RGPD, una multa de 2.000.000 de euros (dos millones de euros), en relación con
la obtención del consentimiento para fines distintos a los propios del contrato
condicionando su obtención a la exención de comisiones bancarias, tal y como se
indica en la presente resolución.
SEGUNDO: IMPONER a la entidad CAIXABANK S.A., con CIF A08663619, por una
infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a del RGPD, con una
multa de 100.000 euros (cien mil euros), en relación con obtención del consentimiento
a través de casillas premarcadas, tal y como se indica en la presente resolución.
TERCEROS: NOTIFICAR la presente resolución a CAIXABANK S.A.
CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
117/117
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 76.4 de la LOPDGDD y dado que el
importe de la sanción impuesta es superior a un millón de euros, será objeto de
publicación en el Boletín Oficial del Estado la información que identifique al infractor, la
infracción cometida y el importe de la sanción.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-190122
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es