Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00477-2019 de 13 de enero de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 477 min
Órgano: Agencia Española de Protección de Datos
Fecha: 13/01/2021
Num. Resolución: PS-00477-2019
Cuestión
Sector:1 / 177
Procedimiento Nº: PS/00477/2019
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO : Con fecha 24/01/2018, tuvo entrada en esta Agencia escrito de D. A.A.A. (en lo...
Contestacion
1/177
? Procedimiento Nº: PS/00477/2019
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES
PRIMERO: Con fecha 24/01/2018, tuvo entrada en esta Agencia escrito de D. A.A.A. (en lo
sucesivo el reclamante), en el que denuncia a la entidad CAIXABANK, S.A. (en lo sucesivo
CAIXABANK) por imponerle, en la misma fecha de la denuncia, la obligación de aceptar las
nuevas condiciones en materia de protección de datos personales, en concreto la relativa a la
cesión de sus datos personales a todas las empresas del grupo, según consta en el apartado
II de las ?nuevas condiciones LOPD? establecidas por la entidad. Añade que para cancelar
dicha cesión debe dirigir un escrito a cada una de las empresas, lo que califica de
desproporcionado considerando que la cesión se acepta en un solo acto.
Aporta copia del condicionado que motiva la reclamación, relativo a ?Autorizaciones
para el tratamiento de datos? y ?Ejercicio de derecho de acceso, cancelación y oposición.
Reclamaciones ante la Autoridad de Protección de Datos?. Mediante este documento, que
aparece con el rótulo ?Autorizaciones para el tratamiento de datos?, el interesado ?consiente
expresamente? la incorporación de todos sus datos de carácter personal en un repositorio
común de información, donde obran los datos de las empresas del Grupo "la Caixa", para que
sean tratados por CAIXABANK y las empresas del Grupo "la Caixa" con las finalidades que se
detallan (dos grupos de finalidades: ?Finalidades de estudio y seguimiento? y ?Finalidades de
comunicación de oferta de productos, servicios y promociones?).
Asimismo, se advierte al cliente que los tratamientos indicados podrán ser realizados
de manera automatizada y conllevar la elaboración de perfiles, con las finalidades ya
señaladas. A este efecto, CAIXABANK le informa de su derecho a obtener la intervención
humana en los tratamientos, a expresar su punto de vista, a obtener una explicación acerca
de la decisión tomada en base al tratamiento automatizado, y a impugnar dicha decisión.
Se ofrece información sobre los ?datos? del Firmante que se incorporarán en este
Repositorio Común y se añade que estos datos serán complementados y enriquecidos por
datos obtenidos de empresas proveedoras de información comercial, por datos obtenidos de
fuentes públicas, así como por datos estadísticos, socioeconómicos ("Información Adicional").
Finalmente, se indica el plazo de conservación de los datos personales y se ofrece
información sobre los derechos en materia de protección de datos y la posibilidad de
presentar una reclamación ante la Agencia Española de Protección de Datos.
SEGUNDO: En uso de las facultades conferidas por el artículo 40 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), tras la
recepción de la denuncia, la Subdirección General de Inspección de Datos procedió a la
realización de actuaciones previas de investigación, señaladas con el número E/01475/2018,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/177
para el esclarecimiento de los hechos denunciados y determinar si concurren circunstancias
que justifiquen la iniciación de un procedimiento sancionador.
En sus respuestas a los dos requerimientos que le fueron efectuados por los Servicios
de Inspección durante el desarrollo de las citadas actuaciones previas, la entidad
CAIXABANK, informó a esta Agencia que las cláusulas informativas a las que se refiere la
denuncia se implementaron con ocasión de los cambios contractuales dispuestos por la
entidad para la adaptación al Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al
Tratamiento de Datos Personales y a la Libre Circulación de estos Datos y por el que se
deroga la Directiva 95/46/CE (en lo sucesivo Reglamento General de Protección de Datos o
RGPD), aplicable desde el 25 de mayo de 2018.
1. Mediante escrito de fecha 16/05/2018, registrado de entrada el 22/05/2018, la entidad
CAIXABANK informó a esta Agencia como sigue:
(?)
Aprovechando los cambios contractuales que se iban a implantar para la adaptación al
RGPD, en 2016 se decidió seguir dos principios en las relaciones a establecer con los
clientes: la base para la actividad comercial (tratamiento) sería el consentimiento inequívoco
del cliente; y los consentimientos se recabarían a nivel de ?grupo?, para simplificar las
relaciones cruzadas, solicitando a los clientes autorización para tratamientos con finalidad
comercial de manera conjunta para todas las sociedades del ?grupo?.
(?)
A los clientes se les solicita autorización para realizar tratamientos de análisis de datos y
tratamientos de publicidad para un conjunto de diez entidades, permitiendo evaluar en común
la información de todos los productos del cliente asociados al ?Grupo CaixaBank?. Se
centralizan los consentimientos en un repositorio, de manera que cualquier entrada de
información en el mismo, ya sean apuntes de consentimientos otorgados como denegados,
sustituye la anotación anterior, permitiendo que un cliente revoque el consentimiento desde
cualquier empresa del ?grupo?, y a la inversa. Cualquier empresa del grupo es un punto de
entrada donde el cliente puede otorgar consentimientos, o retirar los mismos, con efectos a la
totalidad. (?)
La revocación del consentimiento con finalidad comercial tiene efectos automáticamente para
todas ellas, de modo que el derecho puede ser ejercido indistintamente ante cualquiera y por
cualquier canal. En cambio, respecto de la cancelación y rectificación, cada una de las
empresas es responsable de las relaciones comerciales que mantiene con sus clientes y por
tanto de los datos que trata en el ámbito de la relación contractual. Sin perjuicio de que el dato
cancelado o rectificado, si era susceptible de ser utilizado por las otras empresas, dejará de
serlo en caso de cancelación o será actualizado, en caso de rectificación. Adicionalmente,
CAIXABANK informa que se ha implementado un sistema de atención de derechos
centralizado, a nivel de grupo, en un servicio supervisado por el DPD, siendo esta entidad
canal de entrada, sin perjuicio de que todas las empresas dispongan de un canal propio para
la recepción de ejercicios de derechos, incluida la revocación.
Consultada por la recogida de datos de redes sociales, CAIXABANK aclara que dispone un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/177
servicio para que los clientes que así lo consientan a través de la banca por internet puedan
vincular sus datos de identificación en redes (Facebook, Twitter y Linkedin) con este servicio,
para poder identificarlos cuando utilizan estos canales para contactar con la entidad. (?) En
todos los casos, el cliente debe aceptar su uso y los términos y condiciones.
Se informa, asimismo, sobre los servicios de agregación de datos, que permiten, a solicitud
del interesado, agregar la información de los productos que tenga contratados con otras
entidades (posiciones y movimientos de cuentas y tarjetas) y disponer así de una visión global
de todas las posiciones, alertas sobre recibos, vencimientos, etc., pero no operar sobre los
productos de las entidades agregadas (el cliente agrega o elimina entidades a su voluntad,
pero solo entre las incorporadas al servicio).
CAIXABANK incluye un detalle (impresión de pantallas) del proceso de solicitud del servicio
de agregación que debe seguir el cliente a través de la web de la entidad. Después de
seleccionar la entidad que pretende añadir al servicio y de introducir los datos que el cliente
utiliza para acceder online a la entidad seleccionada (claves de acceso), el proceso requiere
la aceptación de los términos y condiciones del servicio, según el detalle que consta reseñado
en el Hecho Probado 8.
Por otra parte, sobre la posibilidad, contemplada en la información que facilita a los
interesados, de complementar o enriquecer los datos de los clientes con datos obtenidos de
empresas proveedoras de información comercial, fuentes públicas, y con datos estadísticos y
socioeconómicos, (?).
2. Mediante escrito de fecha 17/07/2018, registrado de entrada el 19/07/2018, CAIXABANK
facilitó su respuesta al segundo requerimiento de información que le fue cursado para que
aportase detalle sobre el mecanismo implementado para recabar el consentimiento
inequívoco del cliente para los tratamientos realizados con finalidad comercial (u otros
tratamientos que excedieran la actividad básica amparada por el interés legítimo de la
entidad, p.ej. tratamientos de análisis y de impacto comercial); detalle del mecanismo
implementado para permitir al cliente revocar el consentimiento concedido para cualquiera de
los tratamientos de datos personales realizados por las sociedades del Grupo CaixaBank con
base jurídica en el consentimiento del cliente; e información proporcionada al cliente en el
momento de la obtención del consentimiento en relación a los tratamientos de datos
personales realizados por las sociedades del Grupo CaixaBank, su finalidad y el mecanismo
para ejercer sus derechos de acceso, rectificación, supresión, limitación de su tratamiento,
oposición al mismo y portabilidad de los datos.
A) sobre el mecanismo para recabar el consentimiento del cliente:
Dispone de dos canales para recoger consentimientos comerciales de sus clientes, que
coinciden con los canales que posibilitan hacerse cliente de la entidad, esto es,
presencialmente en oficinas y a través de canales digitales (portal web de CAIXABANK, portal
web y aplicación móvil de ImaginBank):
a) El proceso de alta en oficinas
Informa la entidad que este proceso se realiza mediante una entrevista entre el cliente y el
gestor, y conlleva la recogida de datos identificativos, fiscales y de contacto, datos
socioeconómicos y de actividad laboral, datos sobre experiencia, situación financiera y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/177
objetivos de inversión, así como la recogida de autorizaciones para la utilización de los datos
con finalidades comerciales. Estas autorizaciones se prestan respondiendo a tres preguntas
que realiza el gestor al cliente, una de ellas desglosada en cuatro opciones.
La información facilitada por el cliente durante la entrevista se va incorporando al sistema y,
una vez finalizada ésta, se plasma en la impresión en papel de un ?Contrato Marco? que el
cliente firma (aporta copia de un ?Contrato Marco? fechado el 24/05/2018, cuyo clausulado
coincide con el incorporado en Anexo I). En este documento se traslada un resumen de la
información facilitada (incluidas sus respuestas sobre los tratamientos) y un clausulado con el
detalle sobre los tratamientos de datos que se prevén.
Adjunta secuencia de las pantallas que el gestor tiene que cumplimentar en el proceso de alta
de una persona. Entre otras, las que permiten recabar datos identificativos, digitalizar el
documento identificador y la firma, datos de nacimiento, residencia y domicilio fiscal, datos de
contacto, tributación y datos económicos. Después de cumplimentar varias pantallas (en torno
a quince), el gestor debe cumplimentar la rotulada ?Modificación de protección de datos de??,
en la que se recoge el ?alta de consentimientos? (la estructura de esta pantalla consta
reseñada en el Hecho Probado 4).
En una pantalla posterior, con el rótulo ?Escanear documento firmado de un original. Firma
digital?, se puede acceder al ?Contrato Marco? del cliente en formato pdf. Al final de esta
pantalla, se incluye un apartado ?Documento firmado?, que ofrece las opciones ?Documento
escaneado? y ?Escanear y enviar documento?.
Añade que se sigue la misma operativa para clientes ya existentes, cuando es necesario
remediar la información que consta en los sistemas. Desde 2016, la Ley de Prevención de
Blanqueo de Capitales y Financiación del Terrorismo y el RGPD motivaron esta remediación
de la información de los clientes (el 100% de los clientes personas físicas se marcó como
remediable -al acceder el gestor a la ficha del cliente visualizaba un aviso indicando que el
cliente tiene el ?Contrato Marco? pendiente para que el gestor iniciase la entrevista).
También es posible que se proceda a recoger o modificar los consentimientos con finalidades
comerciales en momentos posteriores, con la misma gestión descrita, pero suscribiéndose un
documento que solo aborda este extremo. CAIXABANK aporta copia de este documento, que
se presenta como ?Autorización para el tratamiento de datos de carácter personal con
finalidades comerciales por CaixaBank, S.A. y empresas del Grupo CaixaBank? y que esa
entidad denomina ?Contrato de Consentimientos?, cuyo detalle consta en Anexo II (en lo
sucesivo ?Contrato de consentimientos? o ?Autorización para el tratamiento?).
A la vista de dicho documento, se comprueba que tiene una estructura y contenido similar al
suscrito por el reclamante en fecha 24/01/2018 (reseñado en el Hecho Primero), si bien se ha
dispuesto la prestación de consentimiento de forma separada para las mismas finalidades que
se citan en el ?Contrato Marco? (finalidad de estudio y seguimiento; comunicación de ofertas
de productos, servicios y promociones; cesión de datos a terceros)
Adicionalmente, continua CAIXABANK, ha dotado a toda la red de oficinas de tabletas
digitalizadoras, posibilitando que el ?Contrato Marco? y el ?Contrato de Consentimientos? se
firmen, no en papel, sino en la propia tableta. Además, tiene previsto actualizar el software de
las tabletas para permitir al gestor y al cliente trabajar en ?pantalla compartida? y a éste
interactuar con el dispositivo seleccionando las opciones sobre el tratamiento de sus datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/177
b) Proceso de alta a través de canales digitales (portal web de CAIXABANK, portal web y
aplicación móvil de ImaginBank):
Señala CAIXABANK que su portal web dispone de un servicio para tramitar el alta de cliente
por internet, cuyo proceso incluye un paso que muestra una pantalla mediante la que se
recaban los consentimientos para el tratamiento de los datos con finalidades comerciales (el
detalle de las opciones que muestra esta pantalla consta reseñado en el Hecho Probado 4).
Añade CAIXABANK que el símbolo (i) de información que figura en la pantalla anterior
conduce a otra pantalla ?en la que se explica por qué es necesario que el cliente responda a
las cuestiones que se plantean?. En esta nueva pantalla se indica ?(i) Necesitamos tu
consentimiento. Desde mayo de 2018 aplica un nuevo Reglamento de Protección de Datos.
Siempre nos hemos preocupado por la protección de tus datos, es por ello que es importante
que respondas las siguientes preguntas (Entendido)?. Desde ahí puede accederse a la
cláusula 8 ?Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y
empresas del Grupo CaixaBank basados en el consentimiento? del ?Contrato Marco?.
Finalmente, el resumen de los consentimientos otorgados y los clausulados se mostrarán en
el ?Contrato Marco? que firme al cliente al finalizar el proceso. Advierte CAIXABANK que en la
pantalla en la que se solicita la firma se muestra un resumen de los aspectos más importantes
que regula el contrato, entre los que se señalan las autorizaciones para tratamientos de datos.
Esta pantalla incluye una casilla para marcar ?He leído y acepto el contrato?.
El mismo proceso sigue el alta y recogida de consentimientos a través de la aplicación móvil
de ImaginBank. La pantalla relativa a los consentimientos muestra la misma estructura del
portal web de CAIXABANK, sustituyendo las menciones a esta entidad por ImaginBank.
B) Sobre el mecanismo para permitir al cliente revocar el consentimiento:
El ejercicio de derechos y la revocación de ?consentimientos comerciales?, por parte de
clientes y no clientes, puede formularse por múltiples vías:
. Presencialmente en oficinas de la entidad.
. A través del espacio personal de banca electrónica (Caixabank Now e ImaginBank, tanto en
su versión web como en la aplicación móvil).
. Empleando formularios de solicitud en el portal web corporativo de CAIXABANK o de cada
una de las empresas del Grupo.
. A través de servicios de atención telefónica de CAIXABANK.
. Solicitud por envío postal o entrega en mano.
a) En el trámite presencial, en oficinas, el empleado registrará la solicitud en el sistema
señalando ?respecto de qué empresa se ejerce formalmente la revocación?, según puede
verse en las pantallas que muestra, una relativa a la gestión de derechos y otra específica
para la revocación de consentimientos (ambas disponen de un desplegable que permite
señalar la empresa específica ante la que se formula la manifestación de que se trate).
La estructura que muestra la pantalla habilitada para que el gestor registre la revocación o
modificación de consentimientos que pretenda el cliente, bajo el rótulo ?Modificación de
protección de datos?, es igual a la indicada anteriormente para el ?Alta de consentimientos?
manifestados de forma presencial en oficina.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/177
Según CAIXABANK, estas solicitudes quedan registradas y son remitidas a un servicio
centralizado de atención de derechos, que se encarga de darles el trámite correspondiente.
b) El proceso a seguir en el espacio privado del cliente en la web de Caixabank Now le
permite seleccionar sus preferencias y obtener información sobre los tratamientos propuestos
(clicando la opción ?ver detalle Cláusula 8? tiene acceso directo a los textos del ?Contrato
Marco? relacionados con cada finalidad). El detalle de las opciones que muestra esta pantalla
consta reseñado en el Hecho Probado 5.
A continuación, se muestra al cliente un resumen con los consentimientos otorgados, para
que pueda comprobarlos, y se pone a su disposición el contrato que recoge un resumen de
esos consentimientos. A continuación, se muestra un ejemplo de este resumen:
Compruebe los datos
Finalidad de estudio y seguimiento: Has manifestado tu aceptación y consentimiento al tratamiento de
datos.
Finalidad de comunicación de ofertas de productos, servicios y promociones: has manifestado tu NO
aceptación y consentimiento al contacto con finalidades comerciales.
Por cualquier canal o medio, incluidos los medios electrónicos.
. A través de mi gestor (oficina)
Cesión de datos a terceros: has manifestado tu NO aceptación y consentimiento al contacto con
finalidades comerciales.
Lee detenidamente el contrato
Confirme la operación?>>.
En el entorno de la aplicación móvil de CaixaBank Now, el cliente puede acceder a
?Configuración ? Ejercicio de derechos? y es redirigido al portal Web. No obstante, aclara que
dicho proceso se está revisando con el propósito de mostrar las opciones disponibles en la
propia aplicación. Aporta un detalle de la pantalla en desarrollo ?Configuración ? Ejercicio de
derechos ? Derecho de revocación?:
?La normativa de protección de datos de carácter personal establece el derecho a revocar el
tratamiento de datos. A continuación se muestran los tratamientos de datos que tienes autorizados:
Autorización para tratar mis datos para efectuar seguimiento y estudio de operativa, generación de
alerta de mis productos contratados, estudios y servicios ajustados a mi perfil
(No acepto)
Autorización para que CaixaBank contacte conmigo para conocer aquellas ofertas de productos y
servicios, así como promociones y ofertas que puedan resultar de mi interés
(No acepto)
Acepto la cesión de datos a terceros
(No acepto)?.
Posteriormente, se muestra el resumen de las manifestaciones realizadas, se pide la
introducción de las claves y, en una nueva pantalla, se indica ?Se ha ejercido tu derecho de
revocación. Puedes consultar el contrato en MailBox?.
La misma indicación se realiza respecto de la aplicación de ImaginBank.
c) Uso de los formularios de solicitud disponibles en el portal web corporativo de CAIXABANK
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/177
o de cada una de las empresas del Grupo.
Según se indica, en el primer caso los clientes pueden revocar su consentimiento para
cualquier empresa del Grupo a través del sitio web de CAIXABANK (se ofrece un desplegable
para que el cliente seleccione la empresa sobre la que desea revocar el consentimiento).
Escogida la empresa, se debe seleccionar el derecho que el cliente quiere ejercer, también
mediante un desplegable. Una de las opciones está referida a la revocación de
consentimientos, con la posibilidad de marcar tres casillas, según el detalle que consta
reseñado en el Hecho Probado 5.
En el segundo caso, cuando se pretende revocar el consentimiento desde el portal web de
una empresa del grupo, según informa CAIXABANK, se muestra un formulario similar y de
igual funcionamiento al anterior. Al acceder a la página correspondiente a la entidad de que se
trate, el cliente es dirigido a una pantalla común a todas.
d) Finalmente, se hace referencia a la solicitud a través del servicio de atención telefónica y
por envío postal.
Según la entidad, los Call Centers tienen a su disposición una herramienta que le permite
atender el ejercicio de derechos, incluida la revocación de los consentimientos. Se registra la
petición (el protocolo contempla la grabación de la llamada) y se informa al interesado que
recibirá respuesta por escrito en el plazo de un mes. La estructura que muestra la citada
herramienta para la revocación de los consentimientos es similar a la indicada anteriormente
para el ?Alta de consentimientos? manifestados de forma presencial en oficina. En cada
opción se muestra un desplegable para que el empleado marque la opción deseada por el
cliente.
3. Consultada CAIXABANK por la información proporcionada al cliente en el momento de la
obtención de los consentimientos por parte de las sociedades del Grupo, se indica que esa
información consta en el ?Contrato Marco? y en el ?Contrato de Consentimientos?.
TERCERO: Mediante resolución de fecha 01/02/2019, de la Directora de la Agencia Española
de Protección de Datos, se declaró la caducidad de las actuaciones previas reseñadas en el
Antecedente Segundo, seguidas con el número E/01475/2018, por el transcurso del plazo de
doce meses contados desde que tuvo entrada a denuncia (24/01/2018), conforme a lo
establecido en el artículo 122 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LOPD.
En dicha resolución se advierte sobre lo dispuesto en el artículo 95.3 de la Por otra
parte, el artículo 95.3 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo LPACAP), en el que se establece
que la caducidad no producirá por sí sola la prescripción de las acciones de la Administración,
y se admite la apertura de un nuevo procedimiento cuando no se haya producido la
prescripción, con incorporación al mismo de los actos los actos y trámites cuyo contenido se
hubiera mantenido igual de no haberse producido la caducidad.
CUARTO: Con fecha 29/03/2019, tuvo entrada en esta Agencia un escrito de la entidad
Asociación de Consumidores y Usuarios en Acción - FACUA, en el que formula reclamación
contra CAIXABANK en relación con el ?Contrato marco? que suscriben los clientes de esta
entidad, mediante el que se recogen sus datos personales, se ofrece a los mismos la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/177
información en esta materia y se recaban consentimientos para los tratamientos de datos que
se especifican. En concreto, FACUA denuncia que se trata de un contrato de adhesión, cuyo
contenido no puede negociarse por el consumidor, al que se impone el consentimiento al
tratamiento de sus datos personales y la cesión de los mismos a terceras empresas con las
que aquél podría no tener relación (autorizaciones previstas en la cláusula 8 y cesiones
mencionadas en la cláusula 10 de dicho contrato).
El reclamante aporta copia de un ?Contrato Marco? fechado el 24/10/2017, cuyo
clausulado coincide con el correspondiente a la versión de fecha ?14/03/2017?, que se referirá
más adelante (?Versión 3?, según la numeración facilitada por CAIXABANK).
Esta reclamación fue trasladada a la entidad CAIXABANK. En respuesta a lo
manifestado en la reclamación, CAIXABANK informó a esta Agencia que remitió a FACUA un
escrito detallando el proceso de recogida de consentimientos de los clientes para finalidades
comerciales, así como la operativa utilizada para la firma del contrato, que resume como
sigue:
. A los clientes se les solicita, en todas las ocasiones, el consentimiento expreso para el
análisis de datos, el impacto comercial y la cesión de sus datos.
. El contrato no es de adhesión, ya que el cliente puede decidir si otorga o no los
consentimientos.
. Adicionalmente, el cliente dispone de diversos canales para modificar su decisión inicial
(oficinas, banca por internet, call centers, etc.).
CAIXABANK aporta copia de la comunicación remitida a FACUA, que resume parte de
lo manifestado a la Agencia en su respuesta de 16/05/2018, e incluye una relación de las
?empresas del Grupo? y un anexo con el detalle del proceso de recogida de consentimientos
(corresponde a un extracto de la formación impartida a los empleados, en el que constan las
pantallas que han de cumplimentar). De lo informado a FACUA en esta comunicación, de
fecha 03/05/2019, cabe destacar lo siguiente:
. Sobre la recogida de consentimientos, describe el procedimiento de alta de un nuevo cliente,
que incluye su identificación y su consentimiento (firma). Previamente a la firma del ?Contrato
Marco?, el gestor de la oficina debe preguntar al cliente si autoriza o no el tratamiento de sus
datos para finalidades comerciales (perfilado, comunicaciones comerciales y cesión a
terceros), para que el cliente exprese verbalmente su elección en cada una de las tres
preguntas y el gestor cumplimente las casillas correspondientes a esta elección
(consentimiento para los tratamientos explicados en las cláusulas 8 y 10 del ?Contrato Marco?
-actualmente 8 y 9). Una vez cumplimentadas esas casillas, se genera el ?Contrato Marco?
para que sea firmado por el cliente, recogiéndose las mismas en su encabezado (página 1,
apartado ?Autorizaciones para el tratamiento de datos?). En caso de que no se otorgara
ninguna de las autorizaciones, en el citado apartado se indicará lo siguiente:
?Autorizaciones para el tratamiento de los datos
En los términos establecidos en la cláusula 8 y 9 del presente Contrato, sus autorizaciones para el
tratamiento de los datos son las siguientes:
Finalidades comerciales:
. Finalidad de estudios y perfilado: Usted ha manifestado su no aceptación y consentimiento al
tratamiento de sus datos.
. Finalidad de comunicación de ofertas de productos, servicios y promociones: Usted ha
manifestado su no aceptación y consentimiento al contacto con finalidades comerciales por
cualquier canal o medio, incluidos los medios electrónicos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/177
. Cesión de datos a terceros: Usted ha manifestado su no aceptación a la cesión a terceros de sus
datos?.
Informa, asimismo, que se encuentra en proyecto una nueva operativa de pantalla compartida
que permitirá al cliente leer directamente la información sobre el tratamiento de datos
personales y señalizar, sin intermediarios, aquellos que autoriza o no.
. Sobre la revocación de los consentimientos y el ejercicio de derechos, advierte que tiene
efectos para todas las empresas del Grupo y que puede ser ejercitado ante cualquiera de
ellas, por cualquiera de los canales propios de cada una de ellas. Añade que se ha nombrado
un DPD de Grupo, que supervisa el servicio centralizado de gestión de derechos, y que
CAIXABANK es canal de entrada de ejercicio de derechos de todas las empresas.
(?)
QUINTO: La reclamación reseñada en el Antecedente Cuarto fue admitida a trámite mediante
acuerdo de la Agencia Española de Protección de Datos de 28/05/2019.
Conforme a lo establecido en el artículo 67 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en lo
sucesivo LOPDGDD), se acordó el inicio de actuaciones previas de investigación y la
incorporación a las mismas de toda la documentación reseñada en los hechos anteriores,
integrada por la denuncia formulada por el reclamante, la documentación correspondiente a
las actuaciones previas señaladas con el número E/01475/2018, tramitada con motivo de esa
reclamación, la reclamación formulada por la entidad FACUA y la documentación que integra
la fase de admisión a trámite de la misma.
Se determinó como objeto de estas actuaciones previas de investigación el análisis de
la información ofrecida con carácter general por CAIXABANK en materia de protección de
datos personales, a través de todos los canales empleados por la entidad (cumplimiento por
parte de CAIXABANK del principio de transparencia establecido en los artículos 5, 12 y
siguientes del RGPD, y preceptos relacionados); los distintos tratamientos de datos
personales que lleva a cabo la entidad conforme a la información ofrecida, en relación con
clientes o persona que mantengan cualquier otra relación con la misma, y en el marco de la
nueva normativa aplicable desde el 25/05/2018, incluido el análisis de los mecanismos
empleados para recabar la prestación del consentimiento de los interesados; así como el
cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento
establecidos en el artículo 5 del RGPD.
En desarrollo de estas actuaciones previas de investigación se cursó un requerimiento
de información a CAIXABANK y se realizó visita de inspección en fecha 28/11/2019:
1. Con fecha 20/11/2019, se recibió respuesta de CAIXABANK al requerimiento que le fue
cursado por los Servicios de Inspección para que facilitase información sobre el ?Contrato
Marco?, en su versión actual y versiones anteriores vigentes a partir del 25/05/2018, y
posibles adendas; canales y metodología para su aceptación y granularidad para la obtención
de los consentimientos; así como sobre los procedimientos que se habilitaron para dar a
conocer la información en materia de protección de datos personales actualizada al RGPD a
clientes anteriores a 25/05/2018 y mecanismos para recabar su aceptación.
a) Señala CAIXABANK que, teniendo en cuenta los textos preliminares del RGPD,
implementó el ?Contrato Marco? en junio de 2016, existiendo seis versiones fechadas el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/177
20/06/2016, 22/11/2016, 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019 (aporta copia de
estas versiones). Destaca que no ha habido cambios significativos en este documento, que
regula toda la relación de los clientes con CAIXABANK y las empresas del Grupo cuyos
productos comercializa aquella, informa sobre todos los tratamientos derivados de la relación
contractual y solicita los consentimientos necesarios para el tratamiento de los datos de
carácter personal a nivel Grupo.
Por otra parte, CAIXABANK advierte que los contratos de productos y servicios también
incluyen la información requerida por el artículo 13 del RGPD, en previsión de que pudiera
mediar tiempo entre la suscripción del ?Contrato Marco? y la contratación de productos
(acompaña copia de un contrato de productos y servicios correspondiente a la ?Libreta
Estrella?); y que existen otros servicios que, por su especialidad, contienen sus propias
cláusulas de protección de datos (acompaña el detalle de la información de protección de
datos personales facilitada a suscriptores del ?Servicio de atención al accionista? y en el
formulario de suscripción a ?Eventos?).
b) En relación con la granularidad para la obtención de los consentimientos, se indica que
CAIXABANK y una selección de sociedades participadas, a las que se ha sumado
recientemente Caixabank Payments & Consumer, EFC, EP, SAU, ha venido recogiendo
consentimientos para la realización de tratamientos comerciales desde 2016 en los términos
expuestos en el expediente E/01475/2018 (Antecedente Segundo anterior).
Detalla el procedimiento seguido por CAIXABANK y por Payments. En el primer caso, se
indica que el sistema de información guía al gestor en todo el proceso, advirtiéndole que debe
consultar al cliente sus preferencias y facilitarle físicamente la tablet para que el propio cliente
proceda a marcar sus opciones. Una vez marcadas las preferencias, el propio terminal le
indica que dichas preferencias han sido registradas y le invita a devolver el dispositivo al
gestor. Posteriormente, ?el gestor finaliza y consolida el documento y lo facilita para su firma
al cliente?.
En la pantalla siguiente desaparece la indicación ?Modo Tablet? y se expresa lo siguiente:
?Sus consentimientos se han indicado. Gracias por su colaboración. Por favor devuelva la
Tablet a su gestor?.
Informa que CAIXABANK y su Grupo solicitan tres consentimientos para las tres finalidades
reseñadas, desglosando uno de ellos en cuatro opciones, y aclara que las dos primeras se
solicitan a nivel de Grupo de empresas de CaixaBank.
A continuación, reproduce parte de la Cláusula 8 del citado contrato, en la que, según
CAIXABANK, se explica el significado y la concreción de los literales anteriores y se facilita el
detalle de qué datos se tratarán con las finalidades i) y ii). El contenido de esta cláusula
reproducido en el escrito de CAIXABANK coincide con el reseñado en el Anexo I.
Sobre esta cuestión, aporta copia de las pantallas que permiten visualizar el proceso de alta
de un cliente de forma presencial en oficinas. Después de avanzar unas quince pantallas se
muestran dos pantallas correspondientes a la recogida de consentimientos para el tratamiento
de los datos personales, con el rótulo ?Autorización/Revocación de consentimientos? y la
indicación ?Modo Tablet. Cliente?. Previamente se muestra una pantalla con un mensaje para
el gestor con la indicación ?Según el Reglamento General de Protección de Datos, el cliente
debe autorizar el uso de sus datos. A continuación debe entregar la tableta al cliente para que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/177
cumplimente los consentimientos?. Después de pulsar el botón ?Aceptar?, se accede al ?Modo
Tablet?, a las pantallas ?Autorización/Revocación de consentimientos?, cuyo detalle consta
reseñado en el Hecho Probado 4.
Una vez marcadas las opciones, en la parte final de la pantalla se incluyen los botones
?Aceptar? y ?Cancelar?. Al pulsar el primero se ofrece un mensaje con el texto ?Sus
consentimientos se han indicado. Gracias por su colaboración. Por favor devuelva la Tablet a
su gestor?. (?)
Se comprueba que las pantallas ?Modo Tablet. Cliente? no contienen ningún enlace a la
información en materia de protección de datos personales contenida en el ?Contrato Marco?.
En relación con este proceso, no se aporta ninguna pantalla relativa a la consolidación del
documento y su firma por el cliente.
Seguidamente, se incluyen las pantallas correspondientes al proceso de ?Modificación de
consentimientos?. (?) Esta pantalla incluye un enlace con el texto: ?Autorización/Revocación
tratamientos con finalidades comerciales?. Al accionar este enlace aparece un mensaje para
el gestor con la indicación ?Según el Reglamento General de Protección de Datos, el cliente
debe autorizar el uso de sus datos. A continuación debe entregar la tableta al cliente para que
cumplimente los consentimientos?. Después de pulsar el botón ?Aceptar?, se accede al ?Modo
Tablet?, a las pantallas ?Autorización/Revocación de consentimientos?, cuyo detalle es idéntico
al de las pantallas de ?Autorización/Revocación de consentimientos. Modo Tablet. Cliente? del
proceso de alta del cliente, al que se ha hecho referencia en los párrafos anteriores, salvo en
lo referido al uso de datos biométricos, que no se incluye en este caso.
Con su escrito de respuesta, CAIXABANK aportó copia del contrato correspondiente a
un cliente, que aparece fechado el 06/11/2019 (en lo sucesivo denominaremos este
documento como ?Versión 7 del Contrato Marco? o ?Contrato Marco de cliente de fecha
06/11/2019?). Se comprueba que su contenido no coincide con ninguna de las seis versiones
del ?Contrato Marco? aportadas por la propia entidad (en Anexo I se añaden las
modificaciones o nuevas cláusulas informativas introducidas en esta versión del ?Contrato
Marco?, que afectan a los tratamientos de datos en la firma electrónica de documentos y al
tratamiento de datos biométricos). En el encabezamiento del documento, en el epígrafe de
?Autorizaciones para el tratamiento de datos? se indica:
?Otras finalidades: Uso de datos biométricos con finalidad de verificación de la identidad y firma. Usted
ha manifestado su aceptación y consentimiento?.
c) Sobre los procedimientos habilitados para dar a conocer la ?Política de Privacidad?
actualizada al RGPD a clientes anteriores a la aplicación de esta norma y los mecanismos
para recabar su aceptación, CAIXABANK informa a esta Agencia que dicha ?Política de
Privacidad?, que consta publicada en la web ?caixabank.es?, tiene la finalidad de
complementar la información facilitada a los clientes en el ?Contrato Marco? entre junio de
2016 y mayo de 2018; y dar información completa a los clientes que en mayo de 2018 no
hubieran firmado el ?Contrato Marco?. Así, desde mayo de 2018 distingue dos situaciones:
. Todos los clientes preexistentes han firmado un contrato marco o han recibido la ?Política de
Privacidad? (además de tenerla a su disposición en la web de la entidad).
. Todos los nuevos clientes, en su primera relación con la entidad, suscriben un ?Contrato
Marco?, en el que se incluye toda la información del artículo 13 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/177
Aclara que el ?Contrato Marco? es, desde mayo de 2018, la información sobre el tratamiento
de los datos que se entrega al cliente en cumplimiento de lo previsto en el artículo 13 del
RGPD y que la ?Política de Privacidad? es un documento coherente con lo recogida en dicho
contrato.
Para dar traslado de la ?Política de Privacidad? a los clientes, CAIXABANK manifiesta que
remitió 15.917.507 comunicaciones, de los cuales 5.663.683 se realizaron por correo postal y
10.253.824 a través de la banca a distancia con un pop up de aviso (?Si quieres conocer más
sobre nuestro compromiso con tus datos y tu privacidad, tienes un comunicado disponible en
tu MailBox -Acceder a MailBox?).
Acompaña copia de la ?Política de Privacidad? de CAIXABANK disponible en la web de la
entidad, la cual consta reproducida en Anexo V.
2. Por otra parte, se realizó visita de inspección a CAIXABANK en fecha 28/11/2019,
informándose a los representantes de la entidad que dicha actuación tenía como objeto
verificar la información que facilita sobre protección de datos personales y la obtención de
consentimientos para los tratamientos de datos que realiza.
Según consta en acta de inspección, en respuesta a las cuestiones planteadas, los
representantes de CAIXABANK realizaron las declaraciones siguientes y se llevaron a cabo
las comprobaciones que igualmente se detallan:
a) El procedimiento para el inicio de las relaciones comerciales puede realizarse
presencialmente, o también a través de la web y mediante la aplicación para dispositivos
móviles ?CaixaBank? previamente descargada
Presencialmente.
El agente solicita los datos de identificación, digitaliza el documento de identidad, recaba
datos sobre la residencia y domicilio fiscal, tributación y datos económicos (origen de fondos,
personalidad pública, etc.); y entrega una tableta al cliente para que seleccione los
consentimientos que desea otorgar a la inspeccionada y a las empresas del grupo. Se indica
que hay cuatro grupos con respuestas Si/No y se detalla el texto que aparece en la tableta
enunciando los distintos grupos, que coincide con el texto detallado en el apartado b) anterior
(pantalla ?Autorización/Revocación de consentimientos?, en la que consta la indicación ?Modo
Tablet?).
En este momento no se toman datos biométricos a excepción de la firma. Si en el futuro se
implantara este tipo de identificación, y se hubiera otorgado este consentimiento, se
recabarán estos datos.
Una vez recogidos los consentimientos, el agente consolida y ofrece la tablet al cliente con el
documento ?Contrato Marco? para que pueda leerlo y ver el apartado ?Autorizaciones para el
tratamiento de Datos? con los consentimientos otorgados y denegados y firmar dicho contrato,
que se realiza en la misma Tablet.
A través del sitio web de CAIXABANK.
El procedimiento se desarrolla en la plataforma on line de la inspeccionada a través de un
formulario guiado de toma de datos del futuro cliente.
Durante la inspección, se realiza una simulación y se comprueba que en la primera página se
solicita el número de teléfono y el correo electrónico. En esta misma pantalla aparece una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/177
ventana con un texto titulado ?Tratamiento de datos de carácter personal y obligaciones
derivadas de la prevención del blanqueo de capitales y financiación del terrorismo?. Hay un
botón llamado ?Aceptar y Continuar?. En la siguiente pantalla se solicitan datos identificativos
y domicilio. A continuación, se produce la identificación que se realiza por video identificación
o a través del servicio de obtención de titularidad de cuentas externas a través del servicio
Iberpay. Después se presenta una pantalla en la que se especifica la finalidad de la cuenta,
pantalla de obtención de consentimientos, creación de cuenta, y pantalla firma del contrato,
donde se puede descargar el ?Contrato Marco? completo. Una vez seleccionada la casilla de
verificación de aceptación del contrato, se procede a la firma mediante un envío de código
numérico al teléfono móvil proporcionado por el cliente.
Banca móvil vía app.
Es posible iniciar el proceso de alta a través de la aplicación para dispositivos móviles, pero,
tras el proceso de instalación, en el momento en que se inicia la toma de datos del interesado,
la aplicación redirige al interesado a la aplicación web descrita en el punto anterior.
Telefónicamente. No se realizan altas por este medio.
b) Se realiza una demostración sobre el procedimiento de modificación de los
consentimientos de un cliente a través de su espacio personal:
Situación inicial: todos los consentimientos ?No acepto?
Tratamiento de datos: No acepto
Publicidad: No acepto
Publicidad telemarketing: No acepto
Publicidad por medios electrónico: No acepto
Publicidad por correo postal: No acepto
Publicidad gestor personal: No acepto
Cesión de datos: No acepto
Modificación: se modifica el segundo nivel y no el primer nivel
Tratamiento de datos: No admite
Publicidad: No acepto
Publicidad telemarketing: No acepta
Publicidad por medios electrónico: No acepta
Publicidad por correo postal: No acepta
Publicidad gestor personal: Si acepta
Cesión de datos: No acepta
Se detecta que, aunque se haya seleccionado no recibir comunicaciones comerciales de
forma genérica, al poder marcar uno de los medios, se acepta la recepción de comunicados
por esa vía y queda reflejado el otorgamiento en el documento que firma el cliente (en
relación con esta cuestión, con fecha 10/12/2019 se recibió escrito de CAIXABANK,
advirtiendo que ha incluido un texto informativo para señalar al interesado que, al marcar uno
de los medios, acepta la recepción de comunicados por esa vía: ?Si a pesar de no querer que
nos pongamos en contacto contigo de manera general, te interesa recibir información por
alguno de los siguientes canales, solo tienes que marcarlo y lo utilizaremos para trasladarte
nuestras novedades y ofertas?).
Se adjunta captura de pantalla en la que constan denegados todos los consentimientos y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/177
copia del documento generado a partir de la modificación de consentimientos. La estructura y
contenido de esta pantalla coincide que el detalle reseñado en el Antecedente Segundo,
apartado 2.B.b), en relación con la revocación de consentimientos a través del espacio
privado del cliente en la web de Caixabank Now.
Se adjunta captura de pantalla de habilitación de un consentimiento de segundo nivel estando
el primero en ?No acepto? para comunicaciones comerciales y documento generado a partir
de la modificación de consentimientos.
El contenido de los documentos generados una vez reflejadas las manifestaciones del cliente
coincide con el texto reseñado en Anexo II (?Contrato de Consentimientos?), con las
variaciones que se indican a continuación y que se reseñan igualmente en dicho Anexo II:
. En el rótulo del documento se añade el término ?revocación? y queda
?Autorización/revocación para el tratamiento de datos de carácter personal con
finalidades comerciales por CaixaBank, S.S. y empresas del grupo CaixaBank?.
. Desaparece la mención al ?repositorio común? en la presentación del documento, en la
que aparecía con la indicación ?Para ello, sus datos se gestionarán desde un repositorio
común de información de las empresas del Grupo CaixaBank. Los datos que se
incorporarán a este repositorio común serán??.
. El apartado dedicado a ?los datos que se tratarán? se desplaza desde la presentación
del documento para asociarlos a las finalidades 1 (análisis y estudio de datos) y 2 (oferta
comercial de productos y servicios). Además, en el apartado c) se añade la mención a las
empresas del Grupo CaixaBank, y queda ?Todos los que CaixaBank o las empresas del
Grupo CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio
tenga como destinatario al firmante, tales como la gestión de transferencias o recibos?.
. Se añade el siguiente texto: ?Las autorizaciones que usted otorgue permanecerán
vigentes hasta su revocación o, en ausencia de esta, hasta transcurridos seis meses
desde que usted cancele todos sus productos o servicios con CaixaBank o cualquier
empresa del Grupo CaixaBank?.
. En la autorización (ii) del apartado correspondiente a la finalidad 1 (Tratamientos de
análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados
al perfil de cliente) se añade la posibilidad de asociar los datos del firmante con los de
otros clientes con los que tenga algún tipo de vínculo familiar o social, relación de
propiedad o administración, al efecto de analizar posibles interdependencias económicas
en el estudio de ofertas de servicios, solicitudes de riesgo y contratación e productos.
. En el apartado dedicado al ejercicio de derechos se añade la mención a los mismos,
que no consta en el texto del Anexo II, se indica una dirección postal para ejercicio de
derechos, que tampoco constaba, y se amplía la posibilidad de ejercer los derechos a
través de las aplicaciones móviles.
. Se han añadido dos apartados correspondientes al delegado de protección de datos y a
la vigencia del ?Contrato Marco? una vez haya sido suscrito por todos los intervinientes.
c) Ejercicio de derechos.
Cualquier canal en el que se haya identificado el cliente está habilitado para el ejercicio de
derechos. La revocación del consentimiento se aplica en el instante en que se realiza y se
aplica a todas las empresas del grupo.
d) Sobre la información facilitada al cliente para que consienta el acceso a datos de redes
sociales: se accede desde el área personal de la banca online y se especifica qué red
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/177
individualmente de entre Facebook, Twitter y LinkedIn se consiente el acceso. Aparece el
texto ?Información sobre el tratamiento de datos de carácter personal y comunicaciones
comerciales? en una caja de texto y un botón con el texto ?Aceptar y continuar?.
En Anexo III se reseña la información que facilita CAIXABANK a sus clientes para recabar su
consentimiento para el acceso y utilización de datos de redes sociales.
e) El servicio de agregación de cuentas requiere una contratación especial, aunque el
consentimiento se da en el ?Contrato Marco?. Al iniciar el proceso aparece un texto ?Contrato?
en una región de texto, con posibilidad de generar un documento en formato pdf.
En Anexo IV se reseña el contrato que formaliza el cliente solicitar este servicio de agregación
de cuentas, que incluye la información ofrecida en materia de protección de datos personales.
f) No se realiza el tratamiento descrito en el punto 7.3.5. sobre las cuentas agregadas de otras
entidades. Se puede ejercer el derecho de oposición al tratamiento recogido en este punto a
través de la banca on line y por los demás canales habilitados
g) Con respecto al contenido del 8.ii.h), se ha especificado esta posibilidad para posibles
utilizaciones. Cuando se produzca un tratamiento de este tipo se valorará por el comité de
evaluación de impacto.
h) Sobre los mecanismos empleados para informar de la actualización de la ?Política de
Privacidad? y la obtención del consentimiento a los clientes, los representantes de
CAIXABANK manifestaron que con la primera versión del ?Contrato Marco?, de 20 de junio de
2016, se comenzaron a recabar los nuevos consentimientos. En mayo de 2018 se
configuraron todos los consentimientos en formato antiguo a ?No Acepto?. Desde esta fecha
se han recabado los consentimientos de los clientes por diferentes canales.
Durante las diversas actualizaciones se han enviado más de 15 millones de comunicados de
los cuales 5.663.683 se enviaron por correo postal y 10.253.824 se pusieron a disposición de
los clientes a través de su banca on line mediante una ventana emergente de aviso. El
contenido de la comunicación es puramente informativo.
i) Se accede a los sistemas de información para verificar los consentimientos otorgados por el
reclamante, obteniéndose los siguientes datos:
Consentimientos:
Tratamiento de datos: No admite
Publicidad telemarketing: Si admite
Publicidad por medios electrónico: Si admite
Publicidad por correo postal: Si admite
Publicidad gestor personal: Si admite
Cesión de datos: -
Se comprueba que el reclamante no ha firmado el ?Contrato Marco?, pero sí otorgó
consentimientos el 24 de enero de 2018, mediante la firma del documento que se encuentra
en su repositorio contractual (este documento se corresponde con el aportado por el
reclamante, suscrito en fecha 24/01/2018, el cual consta reseñado en el Hecho Primero).
Adicionalmente, consta que el reclamante modificó a través de la entidad Caixabank
Consumer Finance, E.F.C., S.A.U., uno de los consentimientos en mayo de 2018, no
admitiendo el tratamiento de datos (aporta un correo electrónico interno de 28/11/2019, que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/177
informa sobre esta modificación: ?el consentimiento 1 llegó a ?no firmado? de la empresa 6
(CCF), se firmó en mayo de 18. Los consentimientos del 3 al 6 se firmaron con el ALF00017
(momento ganador) en enero de 18. El 7 no se firma en el ALF00017, por lo que está
pendiente de firmar?).
Se incorpora al Acta de Inspección captura de pantallas de los sistemas de la información de
CAIXABANK correspondientes a los datos del reclamante, consentimientos actuales, el
contrato de cláusulas LOPD de 24 de enero de 2018 y justificación del cambio de los
consentimientos otorgados para el tratamiento de datos:
. La consulta sobre los datos del cliente, en su primer apartado ?Lista operativa?, detalla los
productos contratados y una reseña de sus datos personales (nombre, NIF, fecha de
nacimiento, idioma, teléfonos y la imagen de su DNI. Incluye dos indicaciones: ?Programa
Family: No cumple por ingresos? y ?Contrato Marco Resolver?.
En el apartado ?Persona? se detallan los datos personales, actividad económica y fiscalidad.
Contiene, además, subapartados relativos a imágenes digitales (DNI y firma), alertas (?Edición
contrato marco Resolver?), Consentimientos comerciales (Tratamiento de datos No admite,
publicidad telemarketing Si admite, publicidad medios electrónicos Si admite, publicidad postal
Si admite, publicidad contacto gestor Si admite, cesión de datos ?Autorización/revocación
tratamientos mediante la edición del contrato marco??), histórico de consentimientos (?Último
movimiento 16/10/2019?), Derecho de acceso, revocación, rectificación? (sin anotaciones).
En el apartado ?Documentos? se accede al ?Contrato cláusulas LOPD? de 24/01/2018. En el
subapartado ?Digitalización? constan marcadas las casillas Línea abierta, Oficina, Cajeros y
Telemarketing.
SEXTO: Con fecha 07/01/2020, por los Servicios de Inspección de la Agencia se accede a la
web caixabank.es, al apartado ?Privacidad?, y se incorpora a las actuaciones el documento
denominado ?Tratamientos de datos de carácter personal en base al interés legítimo?. El
contenido íntegro de este documento consta reproducido en Anexo VI.
SÉPTIMO: Con fecha 26/12/2019, por la Subdirección General de Inspección de Datos se
accede a la web de CAIXABANK (?caixabank.es?) y se obtiene información disponible sobre la
entidad.
En la ?información corporativa? que consta en el apartado ?Quienes somos? de dicha
web se declara ?líder en banca minorista Ibérica?, con 15,7 millones de clientes, 37.440
empleados, un 29,3% de cuota de penetración de particulares en España y 386.622 MM? de
activos totales.
Se obtiene, asimismo, información financiera, de la que cabe destacar la relativa a la
Cuenta de Resultados, que ?a 30/09/2019? refleja un ?Margen de explotación? de 2.035
millones de euros.
Según la información que consta en el Registro Mercantil Central, el ?Capital suscrito?
asciende a 5.981.438.031,00 euros.
OCTAVO: Con fecha 21/01/2020, la Directora de la Agencia Española de Protección de Datos
acordó iniciar procedimiento sancionador a la entidad CAIXABANK, de conformidad con lo
previsto en el artículo 58.2 del RGPD, por la presunta infracción de los artículos 13 y 14 del
RGPD, tipificada en el artículo 83.5.b) del citado Reglamento; por la presunta infracción del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/177
artículo 6 del RGPD, tipificada en el artículo 83.5.a) del citado Reglamento; y por la presunta
infracción del artículo 22 del RGPD, tipificada en el artículo 83.5.b) del RGPD; determinando
que la sanción que pudiera corresponder ascendería a un total de 6.500.000,00 euros
(2.000.000, 4.000.000,00 y 500.000 euros, respectivamente), sin perjuicio de lo que resulte de
la instrucción.
Las actuaciones reseñadas en los Antecedentes de este acto tienen por objeto
analizar la información ofrecida con carácter general por parte de CAIXABANK en materia de
protección de datos personales, a través de todos los canales empleados por la entidad
(?Contrato Marco? y del ?Contrato de Consentimientos? -?Autorización revocación para el
tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank, S.A. y
empresas del grupo CaixaBank?-, la ?Política de Privacidad? accesible a través de la web de la
entidad y la información ofrecida en relación con los datos personales de redes sociales y
servicio de agregación); los distintos tratamientos de datos personales que lleva a cabo la
entidad conforme a la información ofrecida, en relación con clientes o personas que
mantengan cualquier otra relación con la misma, incluido el análisis de los mecanismos
empleados para recabar la prestación del consentimiento de los interesados; así como el
cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento
establecidos en el artículo 5 del RGPD.
Los motivos que fundamentan las imputaciones indicadas son, sucintamente, los
siguientes:
a) Infracción de los artículos 13 y 14 del RGPD:
. La información ofrecida en los distintos documentos y canales no es uniforme.
. Empleo de una terminología imprecisa para definir la política de privacidad.
. Insuficiente información sobre la categoría de datos personales que se someterán a
tratamiento.
. Incumplimiento de la obligación de informar sobre la finalidad del tratamiento y base jurídica
que lo legitima, especialmente en relación con los tratamientos de datos personales basados
en el interés legítimo.
. Insuficiente información sobre sobre el tipo de perfiles que se van a realizar, los usos
específicos a que se van a destinar.
. La información facilitada sobre el ejercicio de derechos, posibilidad de reclamar ante la
Agencia Española de Protección de Datos, existencia de un Delegado de Protección de Datos
y sus datos de contacto, así como la relativa a los plazos de conservación de datos no es
uniforme.
b) Infracción del artículo 6 del RGPD:
. Insuficiente justificación de la base jurídica del tratamiento de datos personales,
especialmente en relación con los basados en el interés legítimo.
. Incumplimiento de los requisitos establecidos para la prestación de un
consentimiento válido, en tanto que manifestación de voluntad específica,
inequívoca e informada.
. Deficiencias en los procesos habilitados para recabar el consentimiento de los
clientes para el tratamiento de sus datos personales.
. Cesión ilícita de datos personales a empresas del Grupo CaixaBank.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/177
c) b) Infracción del artículo 22 del RGPD: invalidez del consentimiento prestado por los
clientes para los tratamientos de datos regulados en este artículo.
Asimismo, a los efectos previstos en el artículo 58.2.d) del RGPD, en dicho acuerdo de
inicio se advertía que las infracciones imputadas, de confirmarse, podrán conllevar la
imposición a la entidad CAIXABANK de la obligación de adoptar las medidas necesarias para
adecuar a la normativa de protección de datos personales las operaciones de tratamiento que
realiza, la información ofrecida a sus clientes y el procedimiento mediante el que los mismos
prestan su consentimiento para la recogida y tratamiento de sus datos personales, con el
alcance expresado en los Fundamentos de Derecho del repetido acuerdo y sin perjuicio de lo
que resulte de la instrucción.
NOVENO: Notificado el citado acuerdo de inicio, CAIXABANK presentó escrito de alegaciones
en el que solicita que se declare la inexistencia de infracción y, subsidiariamente, la anulación
del procedimiento por caducidad y prescripción descritas en la alegación quinta; o, en su
defecto, se acuerde el apercibimiento o la imposición de la cuantía de la sanción
correspondiente en su grado mínimo. En síntesis, la citada entidad basa su petición en las
consideraciones siguientes:
1. El acuerdo de apertura no refleja de forma correcta los procedimientos que sigue la entidad
para informar y solicitar el consentimiento de sus clientes.
a) Sobre esta cuestión previa realiza dos precisiones iniciales, para aclarar, por un lado, que
sus alegaciones están referidas de forma simultáneamente a los procesos de alta presencial y
online, salvo que se indique lo contrario expresamente, que siguen la misma operativa en
cuanto a la información ofrecida y recogida de consentimientos, una a través del dispositivo
del cliente y otra a través de la Tablet que la oficina pone a disposición del cliente, que opera
libremente sirviéndose de esta herramienta.
Asimismo, advierte que CAIXABANK y el Grupo CaixaBank operan bajo el mismo concepto
de marca, siendo aquella entidad el eje vertebrador del Grupo, de modo que el cliente
interactúa con todas las entidades a través de los distintos canales de CAIXABANK, como
comercializadora de todos los productos, según se explica en la información corporativa que
se ofrece en la web, en el apartado ?¿Quiénes somos??.
Este esquema se traslada a las diversas facetas del tratamiento de datos, incluida la gestión
de los consentimientos para tratamientos con finalidades comerciales, que se realiza de forma
centralizada. Entiende que no sería operativo gestionar separadamente los consentimientos
para tratamientos que van a llevarse a cabo de forma conjunta en el contexto de las
actividades del Grupo para un mismo fin con los mismos medios, en relación con datos de los
que las entidades del Grupo son corresponsables.
(?)
Se trata, además, de una necesidad regulatoria exigida por el Banco Central Europeo (?) y
necesaria igualmente para cumplir obligaciones legales que deben apoyarse en la capacidad
del Grupo de gestionar información de sus clientes de forma coordinada, establecida en
normas como la Ley de Economía Sostenible, de Contratos de Crédito al Consumo o de
Prevención del Blanqueo de Capitales y de la financiación del Terrorismo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/177
Como consecuencia de la adopción de este modelo de ?repositorio común?, que fue analizada
en una Evaluación de Impacto, se implementaron varias medidas. Entre ellas:
. Informar a los interesados que el consentimiento se otorgaba a nivel de Grupo, a todos los
efectos, de modo que si no se presta para una entidad ninguna de ellas podría tratar los
datos;
. Gestión centralizada de los derechos de protección de datos, siendo posible ejercerlos ante
una entidad o todas, justificada por la normativa sectorial que obliga a prevenir el fraude,
blanqueo de capitales y control de riesgos;
. Revocación del consentimiento también a nivel de Grupo (la retirada del consentimiento a un
tratamiento con finalidad comercial a una entidad lo supone también para el resto).
b) Sobre el proceso de alta del cliente, la información y decisiones sobre el tratamiento de los
datos personales, destaca que esa decisión es libre para el cliente y no está predefinida.
Esta fase de información/decisión en oficina se articula mediante una entrevista entre el
empleado y el cliente pautada, con un contenido que tiene que abordarse necesariamente y
que se formaliza con la firma del ?Contrato Marco?, cuya primera versión con referencias al
RGPD es de junio de 2018 y no noviembre. Durante la entrevista, tras recabar los datos
identificativos, fiscales, regulatorios y económicos del cliente, se le consulta sobre sus
preferencias y se le pide que las marque por sí mismo en la Tablet que se le facilita, en la que
puede leer y analizar la información proporcionada durante el tiempo que considere
necesario, y puede realizar consultas al empleado, que ha recibido formación para ello.
El resultado de ello se incorpora a un archivo en formato pdf que genera el sistema de forma
individualizada y única para cada cliente, que incluye en su parte inicial sus declaraciones
respecto del tratamiento de sus datos personales. Teniendo en cuenta que este documento ya
contiene las particularidades y preferencias del cliente, no incluye casillas de selección, lo que
no debe llevar al error de pensar que dicho ?Contrato Marco? no permite al cliente escoger
cómo se tratarán sus datos personales. De hecho, técnicamente, el contrato no puede
generarse sin que el cliente se haya pronunciado en un sentido u otro. Además, el interesado
puede revisar la copia del contrato que se muestra en la Tablet, comprobar que incluye sus
autorizaciones o consentimientos, pedir su modificación y firmarlo una vez esté conforme con
lo reflejado en el mismo.
Durante este proceso de obtención de los consentimientos, el cliente es informado sobre su
significado de manera clara, sencilla y transparente, puede formular preguntas al empleado y
examinar la versión propia del ?Contrato Marco?.
Para el alta online la operativa es esencialmente igual. En este caso, el cliente marca las
casillas en su dispositivo, después de leer el significado de sus elecciones en ventanas
informativas que el sistema le obliga a abrir, según se constató en inspección de 28/11/2019;
puede igualmente revisar el documento y firmarlo si está conforme, o eliminarlo en otro caso.
Además, aunque el ?Contrato Marco? es el eje principal de la relación con el cliente, éste
dispone de información complementaria en la ?Política de Privacidad?, en un lenguaje
adaptado al medio, más sencillo y amigable; así como en los contratos específicos de los
productos o servicios que contrate. Estos contratos específicos incorporan condiciones
concretas o particularidades que conlleva el nuevo producto o servicio, pero se disponen
sobre la base del ?Contrato Marco?, al que complementan.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/177
En los casos concretos de los contratos de redes sociales y agregación, a los que se refiere el
acuerdo de apertura del procedimiento, señala que no son representativos, por el escaso
número de clientes que los han solicitado. Este carácter meramente complementario explica
que la información sea reducida, dado que se trata de clientes que fueron informados en
virtud del ?Contrato Marco?. En cuanto al contrato de redes sociales, advierte que la página de
acceso al servicio lleva meses suspendida y a la fecha del escrito de alegaciones no es
accesible.
En relación con lo expuesto, CAIXABANK aporta circulares y normas internas relativas a la
información de protección de datos y prestación del consentimiento, así como algunos
ejemplos de la formación impartida a los empleados en relación con esta materia y los
procesos de alta de clientes en particular, que se actualiza y complementa mediante
circulares.
Aporta dos documentos con los rótulos ?Norma 47: Confidencialidad y tratamiento de datos
de carácter personal? y ?Norma 122: Prevención de blanqueo de capitales y de la financiación
del terrorismo?, así como algunas circulares; todos ellos dirigidos a empleados de la entidad.
El primero de los documentos citados incluye, entre otros, apartados sobre el RGPD,
obligaciones y principios del tratamiento, ejercicio de derechos, finalidades y comunicaciones
de datos. Destacamos los aspectos siguientes:
(?)
Aporta dos circulares, de fechas 26/11/2019 ?El cliente cumplimentará el tratamiento de sus
datos personales? y 17/07/2019 ?Resuelve tus dudas sobre las preguntas del Contrato Marco.
Estas son algunas de las respuestas a las preguntas del Contrato Marco?.
(?)
Aporta, asimismo, un documento rotulado como ?El Reglamento General de Protección de
Datos?, también dirigido a empleados. En este documento se explican líneas básicas de la
normativa y se plantean a los empleados diferentes supuestos en esta materia.
Finalmente, en relación con las cuestiones mencionadas en este apartado, acompaña
impresión de pantallas correspondientes al área personal de un cliente, para justificar que en
la misma no figura el enlace a ?Mis datos de redes sociales?.
c) El contrato de consentimientos se utiliza para documentar la modificación de los
consentimientos fuera del proceso de alta. En este caso no se requiere la firma por el cliente
del ?Contrato Marco?, que está diseñado para ser firmado una sola vez, salvo excepciones.
Solo se presentan los textos relacionados con las circunstancias para las que se les solicita el
consentimiento o que desee modificar o revocar. Se trata de un documento único y claro
centrado en aquello que el cliente quiere cambiar.
d) Como conclusión a lo indicado en este punto, CAIXABANK reitera que los diversos
documentos con que cuenta para regular el tratamiento de los datos personales se utilizan en
momentos y escenarios distintos, y no de forma simultánea. La experiencia del cliente es la
de recibir un único documento; lo contrario a la imagen de desorganización y confusión que la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/177
AEPD parece tener.
2. CAIXABANK ha informado a los interesados en los términos previstos en los artículos 13 y
14 del RGPD.
a) Alega que cumple lo establecido en el artículo 13 del RGPD, tanto en contenido como en
forma, según el procedimiento que ha descrito. El procedimiento es directo y sencillo, no
responde a la imagen confusa que refleja el Acuerdo de Inicio, ofrece información completa y
separada, paso a paso y de forma intuitiva.
Por otro lado, la información ofrecida en el ?Contrato Marco? detalla la identidad del
responsable, datos de contacto del DPD, fines del tratamiento y base jurídica, tratamientos
basados en el interés legítimo, plazos de conservación, derechos, revocación del
consentimiento, posibilidad de presentar una reclamación ante la AEPD, comunicaciones de
datos, existencia de decisiones automatizadas, e incluye un enlace a la ?Política de
Privacidad?.
Sobre el resto de documentos (?Política de Privacidad?, contratos de productos y servicios y
?Contrato de Consentimientos?), señala CAIXABANK que, considerando que el ?Contrato
Marco? informa sobre los extremos exigidos por el RGPD, no es necesario que vuelvan a
reproducirlos. Estos otros documentos no tienen por objeto cumplir lo mandado por el artículo
13 de dicho Reglamento, ya que se dirigen a clientes ya informados.
b) CAIXABANK no lleva a cabo, en el marco de los establecido en el ?Contrato Marco?,
tratamientos que conlleven decisiones basadas únicamente en el tratamiento automatizado,
incluida la elaboración de perfiles.
Refiere la entidad alegante la clasificación realizada por el Grupo de Trabajo del Artículo 29,
conformadas por el Comité Europeo de Protección de Datos, en las Directrices sobre
decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD, que
distingue las siguientes formas de utilizar la elaboración de perfiles (Directrices WP251):
?Existen tres posibles formas de elaborar perfiles:
i) Elaboración de perfiles general;
i) decisiones basadas en la elaboración de perfiles;
ii) decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de
perfiles, que producen efectos jurídicos en el interesado o le afecten significativamente de
modo similar (artículo 22, apartado 1).
La diferencia entre ii) y iii) se observa mejor con los siguientes ejemplos en los que una persona solicita
un préstamo a través de internet:
. el caso en el que un ser humano decide si aprueba un préstamo sobre la base de un perfil elaborado
únicamente mediante el tratamiento automatizado corresponde a la opción ii);
. el caso en el que un algoritmo decide si el préstamo debe aprobarse y la decisión se traslada
automáticamente a la persona en cuestión, sin ninguna evaluación previa y significativa por parte de un
ser humano, corresponde a la opción iii)?.
CAIXABANK simplemente elabora perfiles generales (opción i) y toma decisiones en base a
perfiles (opción ii) de las enumeradas en las Directrices. Por ello, no es aplicable el artículo 22
del RGPD y tampoco el deber de información incluido en el artículo 13.2 f) del mismo texto
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/177
legal. Aun así, CAIXABANK informa voluntaria y adecuadamente a los interesados de los
extremos previstos en el último artículo citado en cumplimiento de las recomendaciones
establecidas en aquellas Directrices, que determinan:
?Aunque la decisión automatizada y la elaboración de perfiles no cumplan la definición del artículo 22,
apartado 1, seguirá siendo aconsejable ofrecer dicha información. En cualquier caso, el responsable
del tratamiento debe ofrecer suficiente información al interesado para que el tratamiento sea leal y
cumpla el resto de requisitos de información de los artículos 13 y 14?.
En consecuencia, aunque no está obligada a ello, por transparencia y voluntariamente,
informa de todos los extremos previstos en el artículo 13.2 f) y 22 del RGPD:
. En la Clausula 8 del ?Contrato Marco? se informa a los interesados de su derecho a obtener
intervención humana en los tratamientos, a expresar su punto de vista, a obtener una
explicación de la decisión tomada en base al tratamiento automatizado y a impugnar dicha
decisión; es decir, se informa en la línea de lo previsto en el artículo 22.3 del RGPD, a pesar
de no ser necesario.
. En línea con lo previsto en el artículo 13.2 f), se informa sobre la existencia de perfilado, la
importancia del tratamiento (muy menor al estar basada en el consentimiento) y la
consecuencia para el interesado (?Si lo autorizo, las ofertas que se me remitan estarán
adatadas a mi perfil?).
. En relación con la lógica aplicada, la actuación de CAIXABANK concuerda con las
recomendaciones de la AEPD publicadas en la ?Guía de Adecuación al RGPD de tratamientos
que incorporan inteligencia artificial. Una introducción?. Manifiesta que CAIXABANK coincide
en que ?cumplir con esta obligación ofreciendo una referencia técnica a la implementación el
algoritmo puede ser opaco, confuso, e incluso conducir a la fatiga?. Por ello, facilita en la
Cláusula 8 (i) del ?Contrato Marco? una descripción de las distintas operaciones que lleva a
cabo y que ?permita entender el comportamiento del tratamiento?.
. Considera que no es aplicable la obligación de informar sobre el derecho de oposición, por
cuanto no se toman decisiones basadas únicamente en el tratamiento automatizado. Añade
que, no obstante, en distintos lugares advierte que el interesado puede retirar su
consentimiento e informa de manera genérica sobre el derecho de oposición en el apartado
que versa sobre los derechos de protección de datos.
c) Informa sobre el contenido previsto en el artículo 14 del RGPD, a pesar de que la Agencia
considere que se incumple esta exigencia de manera significativa en relación con los datos
?complementados y enriquecidos? por datos obtenidos de otras fuentes.
Señala que, como ya explicó en el expediente E/01475/2018, que CAIXABANK considera
caducado, únicamente complementaba datos con bases que en aquel momento no estaban
sujetas a la LOPD, obtenidos de empresas proveedoras de información comercial, fuentes
públicas y con datos estadísticos y socioeconómicos. (?)
Actualmente, se informa sobre las fuentes y categorías de datos en la Cláusula 8 del
?Contrato Marco?, aunque la entidad está trabajando para actualizar sus cláusulas
informativas y ganar aún más transparencia en este punto.
Además, se informa que la recogida de datos de terceros se realizará verificando que
cumplen los requisitos establecidos, lo que se garantiza mediante el proceso de Evaluación
de impacto, recientemente compartido con la Agencia. La aplicación de ese protocolo
garantiza que cualquier hipotética adquisición de base de datos conlleve medidas para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/177
informar a sus titulares.
d) las afirmaciones sobre la vaguedad y falta de claridad de la información realizadas por la
Agencia son subjetivas y constituye una mera opinión carente de fundamento y sin prueba
que determine esa falta de claridad de los términos empleados o que muestre lo que
comprenden o no los clientes, que no es extrapolable a la generalidad de interesados y no
puede ser tomada como criterio de lo que constituye información comprensible o no.
Por el contrario, CAIXABANK si realiza de manera periódica test con usuarios y especialistas
para garantizar que sus procesos de alta son sencillos y transparentes, de los que surgen
iniciativa que se ponen en producción. En 2018 encargó a la entidad externa especializada en
lingüística una revisión de distintos documentos contractuales con el fin de verificar qué podía
entenderse sin dificultad para un perfil del cliente medio. Uno de estos documentos
analizados fue el ?Contrato Marco?, sobre el que plantearon dudas y sugirieron modificaciones
menores, concluyendo que el texto era comprensible por el cliente medio (cita un ejemplo
referido a la información sobre cesión de datos a terceros, en el que la citada empresa redujo
el formato original sin cambiar el sentido del texto). Estos trabajos se encuentran suspendidos
hasta que pueda evaluarse el impacto de este procedimiento.
Otro elemento que no ha sido considerado es el escaso volumen de reclamaciones (dos
casos).
e) Por otra parte, la AEPD critica la falta de uniformidad entre los distintos documentos de
CAIXABANK, en relación con los derechos de los interesados, la posibilidad de reclamar ante
la Agencia, el período de conservación, los datos de contacto del DPD. No obstante, entiende
CAIXABANK que el deber de información se cumple con el ?Contrato Marco? y no con el resto
de documentos, que son meramente complementarios. No son uniformes porque persiguen
fines específicos y las diferencias se producen mientras se actualizan los documentos en
cuestión.
f) Sobre la falta de motivación del período de conservación de seis meses posterior a la
finalización de la relación contractual, manifiesta que se trata de una medida autoimpuesta
para proteger a sus clientes. Considera que el consentimiento para finalidades comerciales
podría haberse configurado como vigente hasta su revocación, a diferencia de los
tratamientos de datos en base a la relación contractual, a cuyo término opera lo dispuesto en
los artículos 17 RGPD y 32 LOPDGDD. En los tratamientos basados en el consentimiento, las
normas de estos artículos operarían con su revocación, no en función del paso del tiempo.
Señala, además, que las Directrices sobre transparencia del GT29 y la Guía de la AEPD no
indican ni recomiendan informar sobre las razones que motivan un plazo de conservación.
Por último, manifiesta que la diferencia de plazo (6 meses en unos casos y doce en otros)
está motivada porque cada cliente tiene un contrato, lo que significa que para cada cliente
existe un único plazo de conservación. Si bien, admite que la situación no es deseable e
informa que está en vías de unificación.
g) Respecto del contrato de agregación, informa que ha sido actualizado. Considera correcta
la indicación sobre la imposibilidad de ofrecer el servicio en caso de retirada del
consentimiento, por cuanto en ese caso se vería frustrado el objeto del contrato, que consiste,
precisamente, en el acceso a datos de otras cuentas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/177
Además, es el cliente el que elige las fuentes de las que se obtiene información al seleccionar
las cuentas que desea agregar y se informa sobre las categorías de datos obtenidas, que son
aquellos incluidos en esas cuentas.
No comparte la indicación recogida en el acuerdo de apertura sobre el sentido que da la
Agencia a la recogida de información que conlleva este servicio y destaca que el mismo está
sometido a normas regulatorias, en concreto, el artículo 39 del Real Decreto-ley 19/2018,
según el cual el prestador del servicio no utilizará, almacenará o accederá a ningún dato para
fines distintos de la prestación del servicio y de conformidad con las normas de protección de
datos. La utilización de los datos con fines comerciales solo se realizará si el interesado ha
consentido dicho uso, según está previsto en el ?Contrato Marco?.
Entiende CAIXABANK que lo novedoso del servicio parece haber confundido a la Agencia,
cuando el mecanismo es exactamente igual al de una cuenta corriente (los datos que se
generan en el extracto de cuenta se usan con finalidades comerciales si el cliente lo autoriza).
En el nuevo modelo de Contrato que acompaña se indica lo siguiente:
(?)
3. CAIXABANK solicita y obtiene el consentimiento libre, informado, específico e inequívoco
de los interesados. Interés legítimo.
a) En la actualidad, el consentimiento se solicita con total transparencia, según el
procedimiento antes descrito, para cuatro finalidades:
. Actividades de perfilado: se informa claramente sobre este consentimiento y las operaciones
que se llevan a cabo con esta finalidad, con la motivación de ser transparentes en relación
con lo que implica perfilar.
. Oferta comercial: recibir publicidad y ofertas comerciales, con opción a marcar el canal a
través del cual se desea recibir las ofertas.
. Cesión a terceros: considera que esta finalidad es auto-explicativa y advierte que no ha
llevado a cabo ninguna cesión.
. Uso de datos biométricos para verificar la identidad y firmar: se trata de una cláusula
dinámica. Alega que la cláusula sobre el tratamiento de datos a que se refiere la Agencia,
incluida en la versión del contrato firmada el 06/11/2019 corresponde al canal presencial,
mientras que la plantilla facilitada se centraba en el canal online.
b) Los tres consentimientos que se recaban con finalidad comercial (perfilados, envío de
comunicaciones comerciales y cesión de datos) son independientes y se prestan libremente
por el interesado mediante un acto afirmativo que refleja una voluntad libre, específica,
informada e inequívoca.
El consentimiento es libre porque puede elegirse si se presta o no, se presenta en una parte
diferenciada y se da la oportunidad de analizar y marcar las casillas correspondientes por sí
mismo, habiéndose establecido un procedimiento igual de fácil para retirarlo; es específico
porque se otorga para fines bien definidos y delimitados; es inequívoco, considerando la
acción de marcar deliberadamente la casilla mediante la que consiente el tratamiento con los
fines indicados; y es informado porque se ha proporcionado toda la información suficiente
según las Directrices sobre el consentimiento del Grupo de Trabajo del Artículo 29 y el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/177
Considerando 42 del RGPD.
c) Sobre la información que facilita en torno a los consentimientos, CAIXABANK considera
que la AEPD afirma que los clientes no son conscientes del hecho de que dan su
consentimiento y la medida en que lo hacen sin motivar esta afirmación y sin prueba alguna, y
tampoco prueba que falten ninguno de los elementos que integran la información.
En todo caso, a efectos aclaratorios, destaca que existen tratamientos sobre los que se
informa en el ?Contrato Marco? que no se han llevado a cabo en la práctica (el caso más
evidente, el relativo a las cesiones a terceros, ya mencionado) y que, por tanto, no pueden
considerarse para apreciar infracción alguna.
Entre las operaciones relativas al perfilado se incluyen tratamientos como consecuencia de
que la cláusula se redactó en 2016, cuando no se disponía de criterios claros sobre la
interpretación del RGPD, cuando lo cierto es que algunos de los tratamientos devienen en
obligaciones legales (control de fraudes y gestión de riesgos) o son necesarios para la
relación contractual (seguimiento de la relación o adopción de medidas recuperatorias).
La información puede ser mejorable al explicar en qué consiste ?perfilar?, pero esto no invalida
el consentimiento. De hecho, suprimiendo parte de la información, queda más claro aún que
solo se pide autorización para perfilar. Detalla el siguiente ejemplo de cláusula reducida:
(?)
No se ha producido una falta de información, sino, en todo caso, un exceso de información,
pero no se esconden tratamientos disfrazados. Se pretende, simplemente, explicar qué es
?perfilar? con finalidad comercial.
Por tanto, en relación con esta cláusula no se requieren casillas adicionales para recabar
otras autorizaciones.
El hecho de que alguna información sea mejorable no debería llevar aparejada una sanción,
sino tal vez el apercibimiento para la implementación de ciertos cambios. A la vista de estas
posibles mejoras, CAIXABANK se encuentra en un proceso de autoevaluación para mejorar
sus textos y clarificar sus finalidades y bases legales, así como para eliminar tratamientos que
no se llevan a cabo. Y está planificando un proceso de comunicación personalizado a la
totalidad de clientes en el que se recuerden los consentimientos otorgados y se explique de
nuevo el significado de los mismos mediante una cláusula depurada de errores y mejorada.
d) También en relación con las operaciones de perfilado, se refiere CAIXABANK a la
agrupación de consentimientos discutida por la Agencia. Indica que ha diseñado sus
consentimientos para las cuatro finalidades señaladas, describiendo las distintas operaciones
de tratamientos de cada finalidad, sin buscar un consentimiento en bloque que cubra una
finalidad que sorprenda al cliente. Lo que la entidad pretende, indica, es facilitar su
comprensión y detalle, en forma ajustada a lo establecido en el Considerando 32 del RGPD
(?El consentimiento debe darse para todas las actividades de tratamiento realizadas con el
mismo o los mismos fines?); así como a lo indicado por la Agencia en el punto 2.4.1 de las
Consultas Frecuentes (FAQS) y en el ?Informe sobre políticas de privacidad en Internet,
adaptación al RGPD? (página 4). Si se analiza la Cláusula 8 (i) del ?Contrato Marco?, llevando
a cabo las depuraciones que se han indicado antes, se observa que las operaciones que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/177
indican son matices de un mismo perfilado.
e) CAIXABANK es el Grupo CaixaBank. La forma en la que ha sido articulado este Grupo
responde a motivos regulatorios, según se indicó anteriormente.
Las entidades que lo integran, desde la entrada en vigor del RGPD han ostentado una suerte
de responsabilidad compartida sobre los datos que se recogen y tratan en el contexto de sus
actividades. Así, resultaría absurdo solicitar consentimientos diferentes para tratamientos que
van a llevarse a cabo conjuntamente en el contexto de las actividades del Grupo para un
mismo fin y con los mismos medios, en relación con datos de los que todas las entidades del
Grupo son responsables. Lo contrario supondría un mayor riesgo para los interesados que
perderían el control real de los mismos.
Dada la responsabilidad compartida, carece de sentido solicitar un consentimiento separado
para la ?cesión de datos? a otras entidades que, a efectos regulatorios, estratégicos y
operativos son igualmente responsables. No hay una finalidad propia en la cesión, al ser
todas las entidades responsables directas y conjuntas. Por ello, el consentimiento es conjunto
y por finalidad.
En lugar de confundir con construcciones extrañas, se plantea al cliente una pregunta
sencilla: si quiere o no que el Grupo trate sus datos con finalidad comercial. El interesado es
libre de aceptarlo o no. Esta opción de ?todas o ninguna? no limita la capacidad de decidir del
cliente. Es simplemente consecuencia de la estructura societaria del Grupo y de sus
obligaciones regulatorias.
f) En relación con el tratamiento de datos con finalidades comerciales en base al interés
legítimo, CAIXABANK aclara la operativa que sigue desde la aplicación de RGPD en mayo de
2018, (?) los datos de aquellos clientes que no han consentido el tratamiento de sus datos
con finalidades comerciales, o ha revocado el consentimiento prestado anteriormente para
ello, tampoco son tratados en base al interés legítimo.
Para clientes anteriores a esa fecha, distingue entre los que firmaron el ?Contrato Marco? o el
de consentimientos, (?) y aquellos a los que se preguntó y no ha contestado, que son los
únicos clientes cuyos datos son utilizados en base al interés legítimo (hasta que el cliente
firma el contrato).
Así, el tratamiento en base al interés legítimo queda reducido a casos marginales, como una
situación temporal. Además, elaboró una evaluación de impacto y decidió no enviar el
?Contrato de Consentimientos? a aquellos clientes pre-RGPD que, sin tener firmado el
?Contrato Marco?, ya habían expresado el ?No?.
Añade que las afirmaciones que realiza la AEPD no son ciertas. Sobre esto, señala que ha
realizado una evaluación de impacto sobre todos los tratamientos que realiza con esta base
legitimadora y, dentro de esa evaluación, ha realizado el juicio de ponderación entre el interés
legítimo de la entidad y los derechos de los interesados; en segundo lugar, aclara que la
política descrita evita que puedan realizarse tratamientos en base al interés legítimo que
hubiesen sido negados por el titular de los datos. Equipara la revocación del consentimiento a
la oposición al tratamiento para aquellos casos en los que CAIXABANK puede realizar
tratamientos en base a su interés legítimo (como, por ejemplo, la AEPD analiza y valora en su
Informe 195/2017, y según informa en la cláusula 7 y en su página web (véase el Hecho
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/177
Quinto del Acuerdo de Inicio).
En el citado Informe Interés Legítimo del Acta del Comité de Privacidad de CAIXABANK, de
15/05/2018, se indica:
(?)
g) Sobre los consentimientos con las finalidades indicadas en el Contrato de Agregación y los
Términos de Redes Sociales, advierte que en estos documentos adicionales se informa del
consentimiento, pero no se obtiene uno nuevo; el consentimiento se otorga en el ?Contrato
Marco?. Este hecho ha sido confundido por la AEPD, al entender que en dichos contratos se
otorga un consentimiento separado
4. Se solicita el consentimiento para el perfilado con fines comerciales; y no para la adopción
de decisiones automatizadas, que no se producen en este contexto.
Según CAIXABANK, la presunta infracción del artículo 22 del RGPD se basa en un supuesto
erróneo, por cuanto no adopta decisiones automatizadas con fines comerciales que producen
efectos jurídicos significativos en los titulares de los datos basadas en la ejecución de
tratamientos automatizados. Simplemente se elaboran perfiles generales y toma decisiones
en base a perfiles (opción (i) y (ii) de las Directrices WP251).
A este respecto, se remite a las alegaciones ya realizadas sobre el deber de información y la
validez del consentimiento otorgado y alega que la Agencia ni siquiera ha probado que
efectivamente CAIXABANK esté llevando a cabo estos tratamientos.
5. Subsidiariamente, alega CAIXABANK la nulidad del Acuerdo de Inicio por caducidad de las
actuaciones previas número E/01475/2018 y porque sanciona infracciones que estarían
prescritas conforme a la LOPD.
La AEPD se sirve de unas actuaciones previas iniciadas en enero de 2018 que fueron
archivadas por caducidad, las cuales se incorporan a otras nuevas mediante un simple
?encadenamiento? que convierte las actuaciones de la AEPD en perennes, en contra de lo
perseguido por el artículo 122 de Reglamento de desarrollo de la LOPD, aprobado por Real
Decreto 1720/2007.
Estas actuaciones número E/01475/2018 se iniciaron en enero de 2018, a raíz de una
denuncia, y fueron archivadas por caducidad el 1 de febrero de 2019. Sin embargo, cuando
se iniciaron las actuaciones previas de investigación señaladas con el número E/01481/2019,
que desembocaron en el acuerdo de inicio del presente procedimiento sancionador, una de
las primeras acciones fue integrar las mencionadas actuaciones caducadas. Esta acción deja
patente que lo que se persigue con este procedimiento es enjuiciar y resolver aquellos hechos
pasados que dieron lugar a las actuaciones caducadas, que se prolongaron artificiosamente
hasta dos años, casi duplicando el límite de doce meses señalado en el RLOPD.
Además, los hechos analizados en las previas E/01475/2018, de ser infracciones habrían
prescrito en los términos previstos en la LOPD aplicable en enero de 2018. Ello sería el caso
de las infracciones consideradas leves bajo la LOPD.
Esta conducta supone un fraude de ley (artículo 6.4 del Código Civil), al escudarse la AEPD
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/177
en una actuación aparentemente legal para lograr un resultado prohibido por el ordenamiento
jurídico; es contraria al artículo 95.3 LPAC; y conlleva la nulidad del acuerdo de inicio y del
procedimiento, procediendo su archivo.
6. También de forma subsidiaria, solicita que se imponga una sanción de apercibimiento o, de
no considerarse dicha petición, que se sancione dentro de la escala prevista en los apartados
cuarto y quinto del artículo 83 del RGPD.
a) Considera aplicables los siguientes criterios de graduación en calidad de atenuantes:
. Las medidas tomadas por el responsable (artículo 83.2.c) del RGPD): CAIXABANK ha
realizado un importante esfuerzo a lo largo de los últimos años, especialmente desde la
entrada en vigor del RGPD, para proporcionar a sus clientes la información pertinente, incluso
disponiendo la intervención de terceros para verificar la adecuación de los textos legales. Este
esfuerzo queda patente con la implementación de las medidas recomendadas por FACUA
(aporta copia de correos electrónicos relativos a las acciones llevadas a cabo para atender las
recomendaciones de esta entidad) y por las acciones que tiene previstas para afianzar la
información, que contemplan la elaboración de una nueva versión del ?Contrato Marco? y el
envío a sus clientes de una comunicación para recordar los consentimientos otorgados y su
significado, así como la posibilidad de revocarlos o modificarlos; en una clara voluntad de
reparar los posibles errores de enfoque que puedan haberse producido.
. El grado de cooperación con la autoridad de control con el fin de poner remedio a la
situación y mitigar los posibles efectos adversos (artículo 83.2.f) del RGPD). CAIXABANK ha
mostrado su disposición a colaborar y a la puesta en marcha de medidas dirigidas a solventar
las posibles carencias, indicadas en el propio escrito de alegaciones. Indica como muestra de
esta disposición la atención prestada por el DPD a la reclamación formulada por FACUA y la
información facilitada sobre dicha actuación a la AEPD.
b) LA AEPD omite los criterios antes mencionados y se refiere a una serie de criterios que
enumera, sin motivación ni justificación alguna y sin especificar si se aplican como agravantes
o atenuantes, lo cual genera indefensión a la entidad. Manifiesta CAIXABANK que, debido a
la desproporción de las sanciones, entiende que los criterios mencionados se interpretan por
la AEPD como agravantes. Considera dicha entidad que los siguientes criterios chocan con la
realidad:
. La naturaleza, gravedad y duración de la infracción (artículo 83.2.a) del RGPD). Considera
que la AEPD pretender poner una sanción elevada por cuestiones que no revisten una
especial gravedad, considerando que no estamos ante un supuesto en el que no se haya
proporcionado ninguna información, sino que se proporciona toda la información, aunque la
AEPD considere que algún aspecto es mejorable; no se tratan categorías especiales de
datos.
Hasta la fecha, los casos de falta absoluta de información se han sancionado con
apercibimiento (PS/00224/2019 o PS/00041/2019), habiéndose impuesto la sanción más alta,
por importe de 250.000 euros, para un supuesto mucho más grave (PS/00326/2018). La
desproporción en este caso es ostentosa.
Además, destaca que bajo la antigua LOPD y la LOPDGDD, a efectos de prescripción, la
infracción por falta de información se considera como leve. Sin embargo, la sanción propuesta
en el acuerdo de inicio supera las sanciones anteriores impuestas, y resulta radical frente al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/177
nuevo talante adoptado en los últimos tiempos para tratar de buscar una solución colaborativa
con las entidades que estuvieran dispuestas y de recurrir al apercibimiento.
Destaca, por otra parte, que solo existen dos reclamaciones, que no se ha causado perjuicio a
los clientes dado que los tratamientos de datos personales que se realizan son los necesarios
para el desarrollo de la actividad y se llevan a cabo conforme a los requisitos exigidos por la
normativa, aun cuando algún aspecto pueda ser objeto de mejora. Esta falta de perjuicio es
resaltada por el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la aplicación y
fijación de multas administrativas (WP253), asumidas por el Comité Europeo de Protección de
Datos.
Tampoco el denunciante impugnó el archivo de su denuncia, lo que podía haber hecho; y no
se han producido otras denuncias ni acciones judiciales. Es decir, no se ha producido daño.
. En contra de lo apreciado por la Agencia, considera que el criterio relativo a la
intencionalidad o negligencia apreciada en la comisión de la infracción (artículo 83.2.b) del
RGPD) debe apreciarse como una atenuante por la actuación diligente de la entidad, el
establecimiento de procedimientos claros en relación con la información y la prestación de los
consentimientos, la formación impartida a los empleados y la colaboración mostrada con la
Agencia, adaptando y perfeccionando sus textos.
. De apreciarse la comisión de alguna infracción, CAIXABANK no ha obtenido beneficio
financiero alguno (artículo 83.2.k) del RGPD), mientras que sí supondría, en cambio, un daño
reputacional. No monetiza los datos personales de sus clientes, ni como venta con fines
comerciales ni para otras acciones.
El Grupo CaixaBank tuvo en los primeros nueve meses de 2019 un crecimiento de volumen
de negocio (+4,4%), alcanzando los 609.012 millones de euros, que se deben ?al impulso
comercial y a la mejora de la vinculación? de los clientes (tal y como se indica en nota de
prensa adjunta, publicada el 31/10/2019 bajo el título ?CaixaBank obtiene un beneficio de
1.266 millones y alcanzo los 6.201 millones de ingresos?).
. La Agencia incluye entre los criterios de graduación concurrentes el elevado volumen de
datos y tratamientos, entre los que destaca las cesiones a terceros. Sin embargo, estas
cesiones no se producen ni se han probado en forma alguna.
. No se tratan datos personales de especial sensibilidad, lo que debe apreciarse como una
atenuante.
. Se dice también en el acuerdo de inicio que CAIXABANK no tiene implementados
procedimientos adecuados en la recogida y tratamiento de datos personales, y que la
infracción es consecuencia de un defecto del sistema de gestión diseñado. A este respecto,
dicha entidad alega que el proceso sistemático y por capas de información y solicitud de
consentimientos es ejemplar y otorga al interesado un mayor control. Añade que un posible
defecto de información no puede entenderse como un defecto del sistema.
. Sobre el grado de responsabilidad del responsable, al que acude la Agencia en relación con
la infracción del artículo 6 del RGPD, señala que las medidas tomadas durante los últimos
años han ido encaminadas a favorecer la transparencia y al cumplimiento de los principios de
protección de datos, como reflejo del principio de responsabilidad proactiva y de privacidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/177
desde el diseño y por defecto. Por ello, este criterio ha de interpretarse como atenuante.
Como conclusión, destaca que ha de tenerse en cuenta la colaboración diligente y proactiva,
las medidas adoptadas para paliar posibles errores de información, la falta de intencionalidad
y que la posible infracción se trataría de cuestiones de información que no revisten una
especial gravedad; y en base a ello, conforme a la postura tomada por la AEPD, procedería
una sanción de apercibimiento o, de no apreciarse así, una sanción dentro de la escala
prevista en los apartado cuarto y quinto del artículo 83 del RGPD.
Como propuesta de prueba, indica que pretende valerse de la documental que ya
consta en los expedientes de actuaciones previas E/01475/2018, E/03677/2019 y
E/01481/2019, así como de la documentación aportada con su escrito de alegaciones.
DÉCIMO: Con fecha 02/07/2020 se acordó la apertura del período de pruebas. El escrito
remitido en esa fecha a CAIXABANK, a través de su representación, resultó rechazado,
según consta en el certificado emitido por el Servicio de Notificaciones Electrónicas y
Dirección Electrónica Habilitada.
Mediante escrito de 16/07/2020, notificado un día después, se reiteró dicha
comunicación a CAIXABANK, informando a dicha entidad que se tiene por reproducida a
efectos probatorios la reclamación interpuesta y su documentación anexa, así como los
documentos y declaraciones obtenidos por la Subdirección General de Inspección de Datos
en relación con dicha reclamación en el trámite de solicitud informativa previa a la admisión a
trámite; así como los documentos obtenidos y generados por los Servicios de Inspección.
Asimismo, se tuvieron por presentadas las alegaciones al acuerdo de inicio formuladas
por CAIXABANK y la documentación que a ellas acompaña.
Por otra parte, se acordó requerir a la entidad CAIXABANK para que en un plazo de
diez días hábiles aportase la información y/o documentación siguiente:
?a) Copia del registro de todas las actividades de tratamiento de datos personales efectuadas bajo la
responsabilidad de CAIXABANK a las que se hace mención en el formulario de recogida de datos
personales denominado ?Declaración de actividad económica y política de protección de datos
personales?, en su versión inicial, junto con cualquier adición, modificación o exclusión en el contenido
del mismo.
b) Copia de la/s evaluación/es del impacto en la protección de datos personales relativa/s a cualquier
tipo de operaciones de tratamiento de datos personales efectuadas bajo la responsabilidad de
CAIXABANK, de las mencionadas en el formulario ?Declaración de actividad económica y política de
protección de datos personales?, que entrañen un alto riesgo para los derechos y libertades de las
personas físicas, en su versión inicial y, en su caso, con el detalle de las modificaciones o
actualizaciones que pudieran haberse realizado.
Asimismo, de haberse producido un cambio del riesgo que representen las operaciones de tratamiento
y de haberse estimado necesario, se solicitó el resultado del examen que CAIXABANK haya podido
realizar para determinar si el tratamiento es conforme con la evaluación de impacto relativa a la
protección de datos (artículo 35.11 del RGPD).
c) Copia de los documentos en los que conste la evaluación realizada por la entidad CAIXABANK
sobre la prevalencia o no de los intereses y derechos fundamentales de los interesados frente a los
intereses de CAIXABANK en relación con las operaciones de tratamiento de datos personales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/177
efectuadas bajo la responsabilidad de CAIXABANK, de las mencionadas en el formulario ?Declaración
de actividad económica y política de protección de datos personales?, con las que se pretenda la
satisfacción de intereses legítimos perseguidos por la propia entidad CAIXABANK o por un tercero?.
En atención a lo solicitado por CAIXABANK, el plazo concedido fue ampliado en cinco
días hábiles.
Con fecha 07/08/2020, se recibió escrito de respuesta al que CAIXABANK acompañó
la documentación siguiente:
1. Registro de las actividades de tratamiento de datos personales.
(?)
2. Evaluaciones de impacto en la protección de datos personales.
(?)
3. Evaluación sobre la prevalencia del interés legítimo de CAIXABANK o de terceros frente a
los intereses y derechos fundamentales de los interesados.
(?)
DECIMOPRIMERO: Con fecha 24/11/2020, se emitió propuesta de resolución en el sentido
siguiente:
?1. Que por la Directora de la Agencia Española de Protección de Datos se sancione a la entidad
CAIXABANK, S.A., por una infracción de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b)
y calificada como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD, con una multa por
importe de 2.000.000 euros (dos millones de euros).
2. Que por la Directora de la Agencia Española de Protección de Datos se sancione a la entidad
CAIXABANK, S.A., por una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5.a) y
calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD, con una
multa por importe de 4.000.000 euros (cuatro millones de euros).
3. Que, por falta de evidencias, se declare la inexistencia de infracción en relación con la imputación
por una posible vulneración de lo establecido en el artículo 22 del RGPD
4. Que por la Directora de la Agencia Española de Protección de Datos se proceda a imponer a la
entidad CAIXABANK, S.A., en el plazo que se determine, la adopción de las medidas necesarias para
adecuar a la normativa de protección de datos personales las operaciones de tratamiento que realiza,
la información ofrecida a sus clientes y el procedimiento mediante el que los mismos deben prestar su
consentimiento para la recogida y tratamiento de sus datos personales, con el alcance expresado en el
Fundamento de Derecho X? de la propuesta de resolución.
DECIMOSEGUNDO: Notificada a la entidad CAIXABANK la citada propuesta de resolución,
se recibió en esta Agencia escrito de alegaciones, de fecha 18/12/2020, en el que solicita la
anulación del Procedimiento Sancionador por (i) la flagrante indefensión producida a esa
entidad al conculcar su presunción de inocencia, (ii) la quiebra del principio de confianza
legítima, (iii) la indefensión materializada en las actividades previas de investigación sin
sujeción a garantía alguna y (iv) la caducidad del Procedimiento sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/177
Subsidiariamente, solicita el archivo de las actuaciones por inexistencia de infracción y, en su
defecto, que se acuerde el apercibimiento o la imposición de la cuantía de la sanción
correspondiente en su grado mínimo. Basa sus peticiones en las consideraciones siguientes:
- 1. Conculcación del artículo 24.2 de la Constitución, presunción de inocencia.
La presunción de inocencia se quiebra si quien instruye el expediente o quien lo va a resolver
no tienen la capacidad de valorar dichas pruebas de manera imparcial, sin ningún tipo de
?pre-juicio?, o si han formado su voluntad antes de tener a su vista todos los elementos
probatorios.
En este caso, las alegaciones a la apertura del procedimiento se presentaron en fecha
04/03/2020. Un día antes, el 03/03/2020, sin haber recibido siquiera las primeras alegaciones
de CAIXABANK, en un acto de ISMS Fórum celebrado en Madrid, la Directora de la AEPD,
máxima autoridad de la institución y persona competente para resolver el presente expediente
y de la que depende jerárquicamente el instructor, señaló públicamente que ?Tenemos ya dos
o tres procedimientos sancionadores de alto impacto que van a tener mucha repercusión
mediática en relación con el sector financiero, serán las primeras multas cuantitativas
importantes por parte de la Agencia?. No en condicional, sino como algo que necesariamente
va a ocurrir. A juicio de CAIXABANK, es difícil encontrar una mayor muestra de desprecio a la
presunción de inocencia.
Añade que así consta en el resumen que de esta intervención hizo la prestigiosa publicación
El Derecho, Francis Lefebvre. Asimismo, en un tuit de una persona presente en el acto se
manifestó que ?Mar España anuncia que en breve se harán públicas dos sanciones
ejemplarizantes en el sector financiero. Un bombazo? (aporta impresión de pantalla relativa a
este tuit). A este respecto, CAIXABANK manifiesta en sus alegaciones que ?una sanción ya la
conocemos, la de BBVA. Y, o mucho nos equivocamos, o la otra es la nuestra?.
Aporta ?Acta notarial de comprobación web?, que incorpora la información obtenido mediante
el enlace ?https:/elderecho.com/los-pensaron-la-aprobacion-la-entrada-vigor-del-rgpd-laproteccion-datos-iria-declive-me-temo-se-equivocaron?. Corresponde a una reseña del ?XII
Foro de la Privacidad? celebrado el 03/03/2020, organizado por ISM Forum y Data Privacy
Institute (DPI). Incluye un apartado sobre la intervención protagonizada por la Directora de la
AEPD, en el que se recogen las manifestaciones destacadas anteriormente por CAIXABANK.
Ex arts. 24.2, 103. 1 y 3 CE ?y art. 6.1 del CEDH-, cualquier procedimiento debería haber
estado guiado por la objetividad y la imparcialidad. Conforme indica el TEDH (sic) ?la justicia
no sólo tiene que aplicarse, sino que también debe ser aparente que se administra? (cfr. De
Cubber contra Bélgica 26 de octubre de 1984) y ?no sólo debe hacerse justicia, sino parecer
que se hace? Sentencia Delcourt de 17 de enero de 1970.
En cambio, en este caso, según CAIXABANK, antes de conocer las alegaciones de la
entidad, la persona que ha de resolver, lejos de guardar ninguna apariencia de justicia, ya ha
decidido (públicamente) sancionar.
Conforme al artículo 12.2 i) del Estatuto Orgánico de la AEPD (RD 428/1993 de 26 de marzo),
la Directora de la Agencia tiene la función de ?Iniciar, impulsar la instrucción y resolver los
expedientes sancionadores referentes los responsables de los ficheros privados?. Es la
Directora de la Agencia la que informa aquél impulso instructor y la que determinará la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/177
venidera resolución.
Con ello, se ha producido una flagrante conculcación del derecho fundamental a la presunción
de inocencia, que debería llevar al inmediato archivo del presente expediente sancionador.
- 2. Quiebra de la confianza legítima
Se ha producido una quiebra absoluta del principio de confianza legítima (artículo 3 de la Ley
40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público -LRJSP), interrelacionado
con el principio de buena fe y seguridad jurídica. Este principio comporta que ?la autoridad
pública no pueda adoptar medidas que resulten contrarias a una razonable esperanza
inducida sobre la estabilidad en las decisiones de aquélla, y en función de las cuales los
particulares han adoptado determinadas decisiones? (STS 173/2020).
En este caso, señala CAIXABANK que las valoraciones de la AEPD se refieren a una
estructura documental que fue expresamente comunicada a dicha Agencia poco después de
la publicación del RGPD. Concretamente, mediante correo electrónico de 02/08/2016, dirigido
al Director Adjunto de la AEPD, en el que se explicaban todos los puntos del ?Contrato
Marco?. Dicho correo se encabezaba de la siguiente manera ?De conformidad con lo hablado,
adjunto va el contrato que pretendemos implementar este otoño. Para que sea más
comprensible, te acompaño una pequeña explicación de su finalidad y contenido?.
Sobre esta consulta, CAIXABANK manifiesta que la AEPD ?contesta telefónicamente
(obviamente no tenemos grabación), haciendo alguna sugerencia menor (que se
implementó), sin que llegara a haber reunión (fue declinada expresamente tal posibilidad).
Aquel contrato marco es prácticamente el mismo (si acaso es peor) que el que hoy es
presuntamente merecedor de 6 millones de euros de sanción y, lo que casi es más grave, una
amenaza de nulidad de todo lo actuado bajo el mismo?.
Un año más tarde, también previa conversación, CAIXABANK remite al mismo destinatario
una presentación general sobre la implementación de RGPD y vuelve a pedir una reunión,
que es nuevamente denegada. En las páginas 11 y 12 de esta presentación vuelve a hacer
referencia al ?Contrato Marco?, con por ejemplo una clarísima mención al ahora denostado
repositorio común de empresas del grupo.
4 años y medio, 2 correos detallados enviados, 2 reuniones denegadas y 14 millones de
contactos con clientes después, y desconociendo absolutamente el legítimo convencimiento
de CAIXABANK de estar actuando correctamente, se realiza una petición de nulidad de todo
lo realizado. Dice CAIXABANK: ?No afirmamos aquí que todo lo que hayamos hecho esté
bien, pero ¿podíamos tener una ?razonable esperanza inducida?, de que nuestra manera de
proceder era conforme a derecho? Parece difícil señalar que no?.
Esta clara quiebra de la confianza legítima debería llevar al archivo del expediente o, como
mínimo, a reconsiderar la decisión de declarar nulos los consentimientos recabados.
Aporta copia de los correos electrónicos a los que se refiere esta alegación, dirigidos por el
firmante de las alegaciones a la propuesta de resolución al Director Adjunto de la AEPD y las
respuestas de este.
- 3. Conculcación del artículo 24 de la CE: indefensión generada a CAIXABANK por la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/177
extensión artificial y antijurídica de las actuaciones previas, ignorando además su
caducidad.
a) Las actuaciones previas no fueron tales: fue un procedimiento sancionador sin garantías.
Considera CAIXABANK que las actuaciones previas de investigación suplantaron la actividad
instructora, por cuanto se utilizaron como un verdadero procedimiento sancionador (sin
garantías), lo que constituye un posible vicio de desviación de poder en la utilización de los
mecanismos de instrucción y genera indefensión.
Considerando el fin que se pretende con la incoación de actuaciones previas de investigación,
entiende CAIXABANK que la Administración está obligada a la incoación del procedimiento
sancionador tan pronto tiene certeza de la comisión de los hechos y de la identidad del
responsable, aunque no se halle totalmente acreditada (STS de 09/06/2006).
Cita la STS de 26/12/2007 para exponer que esas actuaciones previas sólo serán
merecedoras de tal consideración en la medida en que ?sirvan al fin que realmente las
justifica, esto es, reunir los datos e indicios iniciales que sirvan para juzgar sobre la
pertinencia de dar paso al expediente sancionador, y no se desnaturalicen transformándose
en una alternativa subrepticia a este último".
Y la STS 09/06/2006, que ha resaltado la necesidad de salvaguardar las garantías
constitucionales del administrado en casos como el que nos ocupa: "Como resulta de esta
norma, la información previa no es preceptiva, teniendo declarado esta Sala en sentencia de
6 de noviembre de 2000 que "si se dispone de datos suficientes para incoar el expediente, la
información reservada no deberá ser practicada, por ser innecesaria y porque los derechos
fundamentales de defensa del art. 24.2 de la C.E. exigen que no se retrase el otorgamiento
de la condición de imputado o expedientado, evitándose así el riesgo de utilizar el retraso
para realizar interrogatorios en los que el interrogado se encontraría en una situación
desventajosa"."
Pues bien, la AEPD abrió unas actuaciones previas que caducaron, se abrieron unas
segundas, y después se inició un expediente sancionador. La AEPD se ha tomado 3 años
para preparar una sanción ya decidida, con el soporte formal de sendas actuaciones previas
(una primera caducada, que llevó a la apertura de una segunda), sin respetar ninguna
garantía esencial del procedimiento sancionador, tales como informar de la imputación,
recordar el derecho a no declarar contra uno mismo, y un largo etcétera, generando
indefensión además de la caducidad del expediente.
Así, la propuesta de resolución descansa prácticamente en su integridad en elementos de
cargo recogidos durante la fase de actuaciones previas. Los únicos elementos de cargo
aportados al procedimiento durante la fase de instrucción (evaluaciones de impacto, registro
de las actividades de tratamiento y evaluación de prevalencia), apenas han sido considerados
con posterioridad, o se trata de circunstancias cuyo requerimiento era superfluo, dado que ya
constaban en poder de la AEPD.
En este caso, señala CAIXABANK que, aunque las actuaciones previas de investigación se
acomodan a los requisitos de competencia y procedimiento que habilitarían su adopción, no
se atienen a la finalidad que deben cubrir conforme al designio del legislador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/177
Dado que la Propuesta de Resolución descansa de facto, única y exclusivamente, en los
elementos de convicción y prueba recabados durante la fase de actuaciones previas, la
imposibilidad de utilización de esos elementos hace que la Propuesta carezca de los
elementos necesarios para enervar la presunción de inocencia.
b) Además, supuso la incorporación al expediente sancionador de actuaciones procedentes
de unas primeras actuaciones previas caducadas.
El artículo 95 de la ley 39/2015, que permite expresamente incorporar a un expediente
administrativo ?los actos y trámites cuyo contenido se hubiera mantenido igual de no haberse
producido la caducidad?, difícilmente puede aplicarse a un procedimiento sancionador. En el
caso de un procedimiento sancionador, la caducidad deviene en garantía del justiciable, quien
no puede quedar en modo alguno perjudicado por la inacción de la Administración.
Además, no es aceptable la utilización de las actuaciones previas sin limitación de tiempo,
más allá de la propia de la prescripción, que es el efecto que se produciría si se permitiera
incorporar actuaciones caducadas a un expediente sancionador
Sobre el traspaso en bloque del expediente caducado, refiere lo declarado en STS de
24/02/2004: ?Sabemos que la declaración de caducidad no impide la apertura de un nuevo
procedimiento sancionador en tanto en cuanto la hipotética infracción que originó la incoación
del procedimiento caducado no haya prescrito... Y ello comporta: ? Que no cabe, en cambio,
que en el nuevo procedimiento surtan efecto las actuaciones propias del primero, esto es, las
surgidas y documentadas en éste a raíz de su incoación para constatar la realidad de lo
acontecido, la persona o personas responsables de ello, el cargo o cargos imputables, o el
contenido, alcance o efectos de la responsabilidad, pues entonces no se daría cumplimiento
al mandato legal de archivo de las actuaciones del procedimiento caducado?.
Tampoco cabe, según CAIXABANK, traspasar el expediente en bloque de un procedimiento a
otro pues entre ambos, dada su distinta naturaleza, existen muy divergentes principios que
impiden que lo actuado en las actuaciones previas pase íntegramente al expediente
sancionador o a las actuaciones previas que realmente no fueron más que la instrucción del
expediente sancionador. A estas pseudo actuaciones previas, en realidad verdadera
instrucción del procedimiento sancionador, no debían haber llegado ?las actuaciones surgidas
y documentadas en éste a raíz de su incoación para constatar la realidad de lo acontecido, la
persona o personas responsables de ello, el cargo o cargo imputables, o el contenido,
alcance o efectos de la responsabilidad? algo que, como se ha podido comprobar, realmente
sí ha sido traspasado a través de esa pasarela de muy difícil justificación.
c) Adicionalmente esto supone la caducidad del expediente sancionador
CAIXABANK considera que las actuaciones previas han constituido una manera artificiosa y
encubierta de realizar actuaciones instructoras propias del procedimiento sancionador (cita las
STS de 13.05.2019 (RC 2415/2016) y de 6.05.2015 (RC 3438/2012): ?...esta Sala tiene
declarado que ese periodo anterior al acuerdo de iniciación breve y no encubrir una forma artificiosa de realizar actos de instrucción y enmascarar y
reducir la duración del propio expediente posterior>> (sentencia de 6 de mayo de 2015,
recurso de casación 3438/2012 , F.J. 2º)".
En base a ello, dicha entidad entiende que el tiempo empleado para la realización de estas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/177
actuaciones debe incluirse en el cómputo del plazo de caducidad del procedimiento. El dies a
quo de este plazo coincide con el inicio de las actuaciones previas de investigación
Siendo así, el plazo de caducidad habría transcurrido con suficiencia, sin que, por otro lado, la
AEPD haya procedido a la eventual declaración de caducidad y ?re-apertura? de un nuevo
procedimiento sancionador. Finalmente, añade que, caducado el expediente, la infracción ha
prescrito.
- 4. CAIXABANK ha informado a los interesados en los términos previstos en los
artículos 13 y 14 del RGPD y éstos lo han entendido.
Antes de entrar en el fondo del asunto, aclara CAIXABANK que no sostiene que su
información fuera perfecta, que no hubiera errores. De hecho, gracias en parte a la
experiencia de varios años y, en parte, a algunas de las afirmaciones señaladas a lo largo de
los diferentes documentos emanados de la AEPD a lo largo del expediente, ha realizado un
ejercicio de mejora de sus diferentes documentos. Sin embargo, entiende que eso no quiere
decir que se haya venido produciendo incumplimiento alguno: objetivamente se daba toda la
información requerida en los artículos 13 y 14 RGPD y los clientes entendían la información
que les estaba facilitando.
a) Se facilitaba toda la información requerida en los artículos 13 y 14 del RGPD.
39. La información en materia de protección de datos que se facilita a los clientes a través del
?Contrato Marco? cumple con lo previsto en el artículo 13 del RGPD. Se informa sobre la
identidad del responsable, datos de contacto del delegado de protección de datos, fines del
tratamiento y base jurídica (Cláusulas 7 y 8), tratamientos basados en el interés legítimo
(Cláusula 7.3.5), destinatarios o categorías de destinatarios de los datos personales
(Cláusulas 7 y 8), plazo de conservación (Cláusula 11.3), derechos (Cláusula 9, así como
7.3.5 con respecto a la oposición a tratamientos basados en el interés legítimo), derecho a
revocar el consentimiento (Cláusula 8), derecho a presentar una reclamación ante una
autoridad de control (Cláusula 9, que incluye un enlace a la web de la Agencia),
comunicaciones de datos personales que sea un requisito legal o contractual (Cláusulas 7 y
8). Se incluye, asimismo, un enlace a la ?Política de Privacidad? (Cláusula 7.3.6).
No se llevan a cabo decisiones automatizadas, de modo que no es aplicable el apartado 2.f)
del artículo 13 del RGPD.
Asimismo, CAIXABANK facilita en todo caso la información que requiere el art. 14 del RGPD,
sobre las categorías de datos personales y su fuente de procedencia (art. 14 d) y f).
Concretamente, en la Cláusula 8 del ?Contrato Marco? cuando se informa sobre la posibilidad
de enriquecer y complementar los datos del firmante con ?datos obtenidos de fuentes
públicas, así como por datos estadísticos, socioeconómicos (en adelante, ?Información
Adicional?) siempre verificando que estos cumplen con los requisitos establecidos en las
normas vigentes sobre protección de datos.
b) A pesar de no ser obligatorio, se informa profusamente de las categorías de datos.
Aunque el artículo 13 del RGPD y el correspondiente artículo 11 de la LOPDGDD no exigen
proporcionar a los interesados esta información de forma obligatoria, CAIXABANK ofrece un
listado suficientemente descriptivo de los tipos de datos que se tratan en base al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/177
consentimiento, de conformidad con lo establecido en las Directrices 05/2020 sobre el
consentimiento con arreglo al Reglamento 2016/679 del Comité Europeo de Protección de
Datos (?CEPD?). Lo que no puede pretender la Agencia es imponer obligaciones que no
establece la propia normativa aplicable. Si se diera una lista detallada de todos los datos
personales concretos que se pueden tratar en este contexto, no estaría informando de
categorías de datos tratados, sino sobre datos concretos, lo que implicaría una fatiga
informativa difícil de vencer que ha sido sancionada en el pasado (PS/00082/2017).
Asimismo, alega que es suficiente la información facilitada sobre el tratamiento de datos de
movimientos, recibos, nominas, siniestros y reclamaciones, considerando que se trata de
productos y operativas del cliente, que conoce la información que incluyen.
Añade que esa información no incluye datos sensibles y advierte al respecto que la AEPD no
puede exigir que se informe sobre lo que no se hace, en base a una sospecha. Aun así, en la
nueva ?Política de Privacidad? se indica expresamente, al definir la categoría de datos
observados de la operativa de los productos contratados, que no se tratará ningún dato de
esta naturaleza.
La Agencia pretende aplicar a CAIXABANK unos estándares de información que la normativa
no prevé cuando alega que el hecho de no informar sobre las categorías de datos personales
que se tratan en base al interés legítimo (lo cual no es obligatorio bajo el RGPD, ni lo
menciona el CEPD en sus directrices) invalida los posteriores consentimientos que se puedan
solicitar para finalidades comerciales.
Es cierto, como ha indicado, que la información proporcionada podría ser mejorable en
relación con su presentación, pero en ningún caso la misma era incompleta, por lo que es
claramente desproporcionado el gravísimo nivel del reproche que se hace en la Propuesta de
Resolución. Además, en la Nueva Política de Privacidad se mejora la exposición de la
información, detallando en un apartado específico las concretas categorías de datos y su
desglose, y haciendo referencia posteriormente en cada una de ellas en relación con la
finalidad de la que se trate.
c) No se prueba en absoluto por el instructor que los clientes no entendieran la información.
La agencia no prueba que las expresiones son faltas de claridad, más allá de la sentencia
sumarísima del instructor de que dicha falta de claridad es ?evidente y objetiva?.
Resulta comprensible que, si la persona que va a dictar la resolución, y que es la
reglamentaria encargada de impulsar la instrucción (la Directora de la AEPD), ya ha señalado
públicamente un año antes que la resolución va a ser sancionadora (nos remitimos a la
alegación primera), entienda el instructor que el esfuerzo probatorio es innecesario. Pero
obviamente dicho entendimiento supone una (otra), conculcación de la presunción de
inocencia.
Tal y como señalan las Directrices sobre Transparencia transcritas en la resolución, el
requisito de que la información sea ?inteligible? quiere decir que ?debe resultar comprensible
al integrante medio de la audiencia objetivo?, y no consta en el expediente que el instructor
haya realizado alguna comprobación con integrantes medios de la audiencia objetivo.
d) Esta parte aporta pruebas de que los clientes entendían (y entienden) perfectamente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/177
encuestas.
Asumiendo una inversión de la carga de la prueba claramente conculcadora de nuestros
derechos fundamentales, ha realizado una encuesta y un test de usuarios sirviéndose de una
empresa experta e independiente (aporta copia de los informes de esta empresa externa).
(?)
e) Esta parte aporta pruebas de que los clientes entendían (y entienden) perfectamente:
informes de lingüistas.
Ha sometido las cláusulas de consentimiento al análisis de una empresa especializada en
lingüística y consultoría para la comunicación, incluida la información jurídica, habiendo
dirigido los trabajos una Catedrática de la Lengua Española (?), experta y asesora de
comunicación.
Puede verse en los informes aportados (se adjunta copia) que se analizaron dos cláusulas
diferentes del ?Contrato Marco) que respecto de la cláusula de tratamientos de datos las
recomendaciones son mínimas y menores a las realizadas respecto de la otra cláusula
sometida a análisis, la cual no nos ocupa en este procedimiento.
En conclusión, queda comprobado que un análisis experto consideró que el texto del
?Contrato Marco? relativo a la información sobre protección de datos era comprensible por el
cliente medio de CaixaBank, frente a la mera opinión no experta de la AEPD. Así, continuar
calificando de ?poco clara? dicha información, resultaría poco menos que temerario.
Además, destaca CAIXABANK que no ha recibido reclamación alguna por falta de
información, salvo las dos que sirven de fundamento de estar resolución (entre millones de
clientes), que tampoco manifiestan no entender los textos que se les presentan.
Lo anteriormente señalado sobraría para entender desestimada la imputación. Sin embargo,
se realizan sucintos comentarios a cada una de las concretas tachas que se realizan.
f) No es cierto que se ofrezca información no uniforme a los clientes.
La información sobre protección de datos que ha venido obrando en los diversos documentos
que se proporcionan a los clientes, no siempre ha sido completamente uniforme debido
únicamente al proceso de actualización de tales documentos, siendo en todo caso algo
temporal y consecuencia de los intervalos de tiempo que una entidad como CAIXABANK
requiere para tales actualizaciones.
A este respecto, se adjunta copia de un ?Contrato Marco? fechado el 08/06/2018, como
prueba de que este documento estaba adaptado a RGPD y que el incluido en Anexo I, como
versión de noviembre de 2018, fue implementado en realidad en junio de 2018.
Finalmente, señala CAIXABANK que la resolución parece dejar traslucir que todos los clientes
acceden a todos los documentos y, singularmente, que todos los clientes tienen tanto el
contrato de consentimientos como el contrato marco, y ambos en todas sus diferentes
versiones, en una suerte de bombardeo documental que les produce confusión, lo cual es
sencillamente falso. La inmensa mayoría de los clientes (más del 95%) tienen firmado el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/177
?Contrato Marco?, en la versión vigente en cada caso, y sólo un porcentaje residual tiene el
?Contrato de Consentimientos?, sin que esto suponga ninguna merma de información ni
confusión. Obviamente la política de privacidad sí que es común para todos, pero no hay
ninguna discrepancia entre esta y los demás documentos.
En todo caso, en el proceso de mejora indicado se ha realizado una absoluta cohonestación
de todos los documentos, como se expone en la Alegación Sexta y los documentos que se
aportan.
g) No es cierto que se emplee una terminología imprecisa con formulaciones vagas, falta de
concreción de las categorías personales de datos tratados, y falta de información sobre las
finalidades y confusión de bases jurídicas.
En cuanto a estas tres imputaciones, basta señalar lo acreditado con las encuestas
aportadas, que CAIXABANK estima suficiente para desvirtuar las afirmaciones de la
Propuesta de Resolución.
Reitera su sorpresa por el hecho de que al instructor le parezca que no son suficientemente
descriptivas de las categorías de los datos en las que se tratan las menciones a movimientos,
recibos, nóminas o siniestros. Sobre esta cuestión, plantea CAIXABANK si el propósito es que
se enumere de manera detallada qué microdatos se obtienen de cada categoría de
documento, lo que implicaría una fatiga informativa difícil de vencer.
h) No hay cesión indebida de datos entre empresas del grupo: hay corresponsabilidad.
Tanto a nivel regulatorio (ámbito que la AEPD no cuestiona) como comercial, se establece un
régimen de corresponsabilidad transparente para los interesados. Sin perjuicio de la mejora
que a nivel de transparencia se ha llevado a cabo en la Nueva Política de Privacidad,
considera fundamental señalar tres elementos que la AEPD parece confundir y que derivan en
la errónea conclusión de que las supuestas cesiones en el marco del Grupo son ilícitas:
i. La Agencia interpreta que se produce una cesión de datos entre las empresas del Grupo
CaixaBank de responsable a responsable del tratamiento. Esto es erróneo. No se produce,
jurídicamente, cesión de datos alguna; sino una recogida directa de los datos por las
sociedades en el ámbito de la corresponsabilidad.
ii. La AEPD separa como una nueva y artificial finalidad la inexistente cesión de datos. En
ningún caso el acceso por las empresas del Grupo CaixaBank se constituye como una
finalidad en sí misma. Los ?cesionarios? (en realidad corresponsables) no acceden a los
mismos de forma arbitraria, sino para las verdaderas finalidades de las que los interesados
son informados (estas son, para las finalidades regulatorias, las ?finalidades comerciales? y
cuando resulta necesario para la ejecución del contrato, según sea el caso).
iii. El nacimiento de la corresponsabilidad no deriva de ?propósitos pretendidos? sino de la
participación conjunta en la determinación de fines y medios del tratamiento entre las
entidades del Grupo CaixaBank (con CaixaBank a la cabeza). La AEPD no niega la existencia
de la corresponsabilidad, si bien pretende que no se aplique (en especial, en lo relativo a los
tratamientos ?comerciales?) en la medida en que no se detalla la atribución de responsabilidad
entre las distintas empresas. Sin embargo, yerra de nuevo la AEPD al olvidar que el lugar
donde se deben atribuir estas responsabilidades que la Agencia extraña no es la Política de
Privacidad o el Contrato Marco, sino el contrato de corresponsabilidad en los términos
previstos en las Directrices 7/2020 del CEPD (adjunta copia de un acuerdo de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/177
corresponsabilidad, que incluye un anexo para cada uno de los ?tratamientos objeto de
corresponsabilidad y corresponsables?; en estos anexos se detallan los tratamientos, su
finalidad y base legitimadora, además de los datos de las empresas ?corresponsables?.
Ningún anexo aparece suscrito por estas entidades).
En conclusión, ni se producen cesiones de datos en los términos previstos en el RGPD, ni la
corresponsabilidad requiere de un consentimiento separado (en el marco de las ?finalidades
comerciales?) en tanto que es una situación de hecho (no es algo pactable ni requiere de base
legal bajo el artículo 6 RGPD para concurrir). Además, se aporta la evaluación de impacto que
la AEPD alega en el Fundamento VI que CaixaBank no aportó (?).
i) No hay Información deficiente sobre el interés legítimo.
Frente a lo sostenido por la AEPD, no hay confusión entre los tratamientos basados en el
interés legítimo y consentimiento, ni son coincidentes. No se puede dar la situación en la que
un tratamiento sobre el que se ha dicho que ?no? al amparo de la base legal del
consentimiento, se pueda realizar en base al interés legítimo, circunstancia que la AEPD no
ha probado.
En todo caso, en la Nueva Política de Privacidad se ha procedido a eliminar el tratamiento
basado en el interés legítimo para fines comerciales que, como se indicó en la contestación al
Acuerdo de Apertura, es un tratamiento que no se lleva a cabo, ni se ha llevado a cabo nunca.
Por otro lado, la Nueva Política de Privacidad reconfigura las divergencias ya analizadas en
las Alegaciones al Acuerdo de Inicio entre los tratamientos basados en el interés legítimo y en
el consentimiento.
En el apartado VI de la Propuesta de Resolución, la AEPD concluye que ?no es posible
determinar la idoneidad (?), necesidad (?) y proporcionalidad?? de los tratamientos
basados en el interés legítimo y que la intrusión en la privacidad del interesado puede ser alta,
pudiendo los efectos repercutir negativamente sobre los mismos. Sin embargo, no aporta
prueba alguna de que el interés legítimo no concurra, ni sea invalido o insuficiente.
Sobre medidas o recomendaciones adicionales para reforzar el interés legítimo, señala
CAIXABANK que su ausencia no invalida del interés legítimo. Ni el RGPD ni la LOPDGDD
prevén la puesta a disposición del interesado de las evaluaciones de impacto o el informe de
ponderación de interés legítimo, o mecanismos reforzados de oposición.
j) No existe una falta de información sobre la elaboración de perfiles.
La AEPD argumenta que no se ofrece información completa sobre los tipos de perfiles, su uso
y el derecho de oposición del interesado.
Sin embargo, en el ?Contrato Marco? la primera de las finalidades para las que se pide el
consentimiento se describe como ?tratamientos de análisis y estudio de datos con finalidad
comercial por CaixaBank y las Empresas del Grupo CaixaBank?, y en el detalle de este título,
se amplía el concepto a la expresión ?análisis, estudio y seguimiento para la oferta y diseño
de producto ajustados a su perfil de cliente?. A continuación, en el clausulado que soporta la
recogida del consentimiento, se explicitan las operaciones de tratamientos que comprenden
esta finalidad, donde se informa sobre la elaboración de perfiles:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/177
?a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas
estadísticas y de segmentación de clientes con una triple finalidad:
1) Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o
crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas a sus necesidades
y preferencias.
Esta información detalla claramente la finalidad y, como se ha demostrado mediante las
encuestas aportadas, es claramente entendida por los clientes.
Añade que en esta misma clausula se cometía el error (subsanado en la Nueva Política de
Privacidad), de listar operaciones de tratamiento que no tenían que ver con el consentimiento
para perfilado. Y enumera esos concretos tratamientos que, a su juicio, pueden ampararse en
otra base jurídica (el listado de los tratamientos a los que se refiere esta alegación consta
reseñado en el Fundamento de Derecho VII, en el apartado que examina los tratamientos de
datos basados en el consentimiento de los interesados).
Considera que este error, que ha sido reconocido y subsanado, es reprobable, pero no rompe
el principio de especificidad del consentimiento. El consentimiento solo se pide para estudiar
productos o servicios que puedan ser ajustados al perfil y situación comercial o crediticia
concreta de los clientes, para efectuarle ofertas comerciales ajustadas a sus necesidades y
preferencias y el resto de la cláusula, desafortunadamente sobra, pero no tiene como
consecuencia que se autoricen en bloque diferentes finalidades.
Por último, CAIXABANK ha clarificado y especificado en la Nueva Política de Privacidad los
tratamientos que conllevan perfilado para evitar que el concepto sea malinterpretado por un
?cliente común?.
k) No existe una falta de información sobre los plazos de conservación y el ejercicio de
derechos.
CAIXABANK se remite a lo indicado en sus alegaciones al acuerdo de inicio y añade que
estos aspectos han sido clarificados y mejorados en la Nueva Política de Privacidad y en
Nuevo Contrato Marco. En cuanto a la conservación de datos personales una vez finalizada la
relación contractual, advierte que en realidad no se ejecutaba y que en la nueva política la
mención desaparece, cancelándose los datos de oficio.
- 5. Hay base jurídica para los tratamientos y los consentimientos se obtienen de
manera lícita.
a) Los consentimientos cumplen todos los requisitos legalmente establecidos
Tal y como se detalló en las alegaciones al acuerdo de inicio, los consentimientos cumplen
todos los requisitos establecidos por el RGPD según han sido interpretados por el CEPD, sin
que la Agencia haya acreditado que no se hayan obtenido de manera legal. Al contrario, el
contenido del propio expediente demuestra que los consentimientos obtenidos son libres,
específicos, inequívocos y suficientemente informados.
. Los consentimientos son libres, ya que el cliente, en todo momento, tiene la absoluta libertad
de otorgarlos o no, sin consecuencias negativas asociadas, desequilibrios de poder,
condicionalidades o disociación de los fines. No existe una combinación de diferentes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/177
finalidades bajo un mismo consentimiento que limitara la libertad de elección del titular. Así, se
solicitan tres consentimientos y no se no se realiza ningún tratamiento comercial basado en el
consentimiento adicional a estos.
. Los consentimientos son específicos, ya que, en línea con el requisito de disociación, se
separan y desglosan las únicas actividades que se realizan al amparo del consentimiento, es
decir, se les pregunta específica y separadamente por las finalidades que se pretenden (el
perfilado de datos para ofrecer a los clientes productos que puedan ser de su interés; la
elección del canal de comunicación de las ofertas; y la posibilidad de ceder los datos a
terceros).
La AEPD interpreta que se produce una disociación entre las finalidades indicadas y aquellas
sobre las que se pronuncia el interesado. Ante ello, CAIXABANK reitera que gran parte de los
tratamientos indicados en la versión de la documentación de revisión o no se llevan a cabo, o
están amparados por otra base legal, o son más sencillos y limitados de lo que la AEPD
entiende. Como se puede ver en la Nueva Política de Privacidad, el consentimiento para
actividades de perfilado ha quedado reducido a lo que realmente se realiza al amparo de este
consentimiento, y el resto de las actividades que sí se realizan han quedado informadas en
sus respectivos y correctos epígrafes (tratamientos en ejecución de una relación contractual,
o por obligación legal).
Además, hay que recordar que el Grupo Trabajo del art. 29 en su documento ?Directrices para
el consentimiento en virtud del Reglamento 2016/679? consagra que el consentimiento puede
abarcar distintas operaciones siempre que dichas operaciones tengan un mismo fin. En el
caso de CaixaBank, solo hay tres fines, y se pregunta separada y específicamente sobre
ellos, sin que se produzca ninguna desviación de uso. Haber cometido el error de incluir
dentro de los ejemplos algunas operaciones de tratamiento que debían haber sido incluidas
en otros tratamientos en base a la ejecución de los contratos o en cumplimientos de leyes,
como por ejemplo las actuaciones de recobro consustanciales a los contratos de crédito, no
desvirtúa la especificidad del consentimiento solicitado.
. Los consentimientos son inequívocos, ya que el interesado debe realizar un acto afirmativo
para que se entienda su consentimiento como otorgado. El consentimiento no se basa en la
aceptación de una política o en una mera inacción, sino que se obtiene del cliente una
manifestación, positiva o negativa inequívoca, corroborada en dos pasos (elección marcando
la casilla y firma).
. Los consentimientos son informados, habiendo quedado rebatidos los reproches sobre la
validez de la información que se proporciona por los argumentos y pruebas aportadas en la
alegación cuarta. El cliente recibe toda la información legalmente exigible y se ha demostrado
empíricamente que lo entiende.
La AEPD indica que en las pantallas ?Modo Tablet. Cliente? no hay enlace a la información de
protección de datos. En este sentido, solo se ha de aclarar, de nuevo y como se comprobó
presencialmente en la inspección, que tras dar los consentimientos (o no), el cliente accede al
contenido completo del texto del contrato con inmediatez. Antes de firmar se le presenta el
texto completo del contrato para que pueda leerlo y revisarlo, de modo que puede no ratificar
su elección y ?volver atrás? técnicamente. También se le presenta en varios momentos el
esquema de los consentimientos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/177
Por último, señala que la AEPD omite el análisis del proceso de recogida de consentimientos
en el canal no presenciales (la banca on line) que revisó en su inspección presencial de fecha
28 de noviembre de 2019, en el que se demostró que el cliente debe acceder necesariamente
a la información antes de prestar el consentimiento, como ya se reiteró en las alegaciones a la
apertura del procedimiento.
b) Reitera que no hay ningún tratamiento comercial en base al interés legítimo, habiéndose
reducido estos tratamientos en la nueva política a operaciones de gestión interna, de muy
bajo impacto en los titulares de los datos.
c) Reitera que no hay cesión ilícita de datos a empresas del grupo, sino tratamientos en
corresponsabilidad.
d) El contrato de redes sociales fue absolutamente residual, y el de agregación perfectamente
lícito.
El Contrato de Redes Sociales fue un proyecto ?piloto? que se desplegó respecto de un
número ínfimo de clientes, que no obtuvo éxito y se dio de baja, aunque la AEPD siga
reprobando esta cuestión sin tener en cuenta esas circunstancias a efectos de la sanción
impuesta.
Con respecto al Contrato de Agregación, la AEPD olvida que su firma es complementaria al
?Contrato Marco?, de forma que los consentimientos para las ?finalidades comerciales? en el
marco de la corresponsabilidad han sido (en su caso) debidamente obtenidos con los matices
propios de este tipo de contrato (véanse las alegaciones al acuerdo de inicio). No es cierto
que este servicio se utilice para la recogida de información, como señala la AEPD, por cuanto
este servicio está previsto en la normativa de pagos y sirve para no desposicionar a la entidad
respecto a nuevos actores. En todo caso, hay una nueva versión de este último contrato
(aporta copia) que aclara las posibles dudas que los clientes y la AEPD puedan tener, el cual,
además, como el resto de contratos, está siendo revisado para adaptarlo al nuevo diseño que
les detallamos en la Alegación Sexta.
- 6. Sobre las medidas propuestas en el Fundamento de Derecho X, de la propuesta de
resolución y la remediación ya operada por CAIXABANK. Improcedencia de medidas
de cesación.
Las menciones al cese de tratamientos que se realiza en la propuesta de resolución son
totalmente desproporcionadas para el presente caso, en el que la única actuación que se
reprocha es el redactado de los textos informativos, mediante los cuales informa a sus
clientes de sus tratamientos. La medida justa, proporcionada y adecuada sería instar a
remediar esos déficits de información.
Ha de tenerse en cuenta que la AEPD ha tardado tres años en sustanciar el presente
procedimientos y, durante esta tramitación, no ha considerado los hechos lo suficientemente
graves como para contactar con la compañía para instar una remediación de los tratamientos
o de las informaciones, a lo que debería añadirse que la documentación se envió un año y
medio antes.
Igualmente, ha de tenerse en cuenta que la interrupción de tratamientos o recogida de nuevos
consentimientos supondría un impacto irreparable, tanto en la Entidad, como en los propios
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/177
clientes, mucho más acusado aun en la situación sanitaria mundial actual, que obliga a
restringir los movimientos, las visitas que los clientes acudan a hacer gestiones a las oficinas.
Mejoras en la información de privacidad
Por contra, la publicación de una nueva política de privacidad, la comunicación de la misma a
todos los clientes y la renovación de todos los procesos de recogida de consentimientos, que
ya se están implantando, así como la comunicación personalizada de todos los cambios a
todos los clientes de la entidad, recordándoles en la misma cuáles fueron los consentimientos
otorgados en su día, explicándolos conforme a los nuevos estándares de redacción
adoptados y recordando los clientes la posibilidad de revocarlos, son medidas suficientemente
reparadoras para estimar que CAIXABANK habría subsanado cualquier déficit estimado por la
AEPD.
Estas medidas, que pretendían implantarse en coincidiendo con el segundo aniversario del
RGPD, y que se han retrasado por el impacto de este procedimiento y por la situación
sanitaria actual, se basa en los siguientes componentes (adjunta copia de los documentos e
impresiones de pantalla que se citan):
- Nueva estructura de los documentos mediante los que se informa a los clientes
- Política de Privacidad (versión 12/2020)
- Contrato Marco (versión 12/20220)
- Nuevas pantallas de los procesos de recogida de consentimientos en tableta y banca a
distancia.
- Comunicado masivo a clientes informando de los cambios
a) Nueva estructura de los documentos mediante los que se informa a los clientes
El ?Contrato Marco?, que contiene la regulación general de las relaciones del cliente con la
entidad, y que parecía la mejor opción para informa también sobre los tratamientos de datos,
se sustituirá por una nueva Política de Privacidad, como documento dedicado a informar a los
clientes sobre esta materia, dada la dimensión de la información que en la interpretación
actual se estima que debe facilitarse. Para facilitar el acceso permanente de los clientes al
mismo, se alojará permanentemente en la Web de la compañía
(www.caixabank.com/politicaprivacidad)
El ?Contrato Marco?, que seguirá siendo el primer contrato que firme un cliente al relacionarse
con la Entidad, se utilizará para recabar los consentimientos de los clientes, pero solo
recogerá la información detallada referida a los consentimientos y las menciones básicas que
establece el art. 11 de la LOPDGDD, remitiendo al cliente para más información a la segunda
capa, la Política de Privacidad. Los contratos de productos, y demás impresos, contendrán
también únicamente las menciones básicas que establece el art. 11 de la LOPDGDD.
Se pretende una total uniformidad en la información, así como un detalle mucho más profundo
de la misma.
b) Política de Privacidad (versión 12/2020)
La Política de Privacidad esta ya vigente y publicada en la web, donde se puede consultar y
descargar en formato pdf. En su escrito de alegaciones, reseña la estructura de este
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/177
documento, que consta de 11 apartados.
c) Acuerdo de corresponsabilidad
Junto con la Política, se ha redactado un acuerdo de corresponsabilidad en el tratamiento de
datos entre las empresas del Grupo. En este acuerdo se definen los fines y medios de los
tratamientos, así como las reglas básicas a observar por todas las empresas que integran
estos tratamientos en corresponsabilidad. La información sobre ello también consta en la
política y mayor detalle en la dirección web reseñada en la misma
www.caixabank.es/empresasgrupo.
d) Nuevo Contrato Marco (versión 12/20220)
El nuevo Contrato Marco está cerrado, en proceso de maquetación y puesta en producción en
los sistemas de información de la entidad. La fecha de implementación final está fijada para
actualización de sistemas (IOP) de enero de 2021.
El nuevo Contrato Marco ha sido rediseñado completamente y se ha redactado en nuevo
formato bajo las recomendaciones de una empresa de lingüística, para dotarle de una
redacción clara y trasparente para los usuarios. El texto se ha acompañado de ejemplos y
llamadas de advertencia que pretenden reforzar la información que se ofrece a los clientes
Se ha unificado toda la información en una única clausula, que ofrece información básica de
protección de datos (responsable de los datos, y de la posibilidad de que haya tratamientos
en corresponsabilidad, del Delegado de Protección de Datos, de la posibilidad de ejercitar los
derechos reconocidos en el RGPD y de presentar reclamaciones ante la AEPD, de las
categorías de datos que se tratan y de los tratamientos de datos), redirigiendo para
información detallada a la Política de Privacidad publicada en la Web, como establece el art.
11 de la LOPDGG. En ambos documentos se utiliza la misma terminología.
Pese a que es un documento entendido como de primera capa, continúa siendo el soporte
para la obtención de los consentimientos. Para garantizar que este consentimiento sea
informado se da información renovada y detallada sobre ellos, manteniendo la misma
redacción que la Política de Privacidad.
En su escrito de alegaciones, reseña la nueva estructura de este documento, que dedica el
apartado 4 al tratamiento de datos personales.
e) Nuevas pantallas de los procesos de recogida de consentimientos en tableta para oficinas
y banca a distancia (web y móvil).
Esta actualización, que estará en producción en enero de 2021, mejora la información y
usabilidad, aportando ejemplos y haciendo que el proceso de autorizaciones se mantenga
siempre en poder del cliente (pantallas tablet compartidas). Se mantiene la obligación de
acceder a la información y la prestación del consentimiento mediante un claro ejercicio
afirmativo, por separado a cada una de las finalidades.
Se han incorporado nuevos consentimientos, aunque esto no es una remediación.
Simplemente se han previsto en la entidad nuevos tratamientos que requieren
consentimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/177
f) Comunicado masivo a clientes informando de los cambios
Para dar a conocer todas las modificaciones anteriores, se ha preparado un comunicado que
se enviará a toda la base de clientes informando sobre la nueva Política de Privacidad, y
recordándoles los consentimientos otorgados (incluyendo la nueva redacción), el tratamiento
de sus datos en corresponsabilidad por las empresas del Grupo CaixaBank, el derecho a
oponerse a los tratamientos y demás derechos previstos en el RGPD.
Con esta comunicación se remedia cualquier déficit de información que pudiera entenderse
respecto de todos los tratamientos de datos que realiza CAIXABANK y se refuerza cualquier
déficit de entendimiento que pudiera haber ocurrido.
Insiste en que estas mejoras son fruto de 4 años de experiencia, propia y ajena, pero no
quieren decir que la información actualmente proporcionada conculque norma alguna.
- 7. Sobre la necesaria proporcionalidad de las sanciones y su graduación.
Desproporción de la sanción impuesta.
a) De manera subsidiaria, estima que son de aplicación las atenuantes siguientes:
. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los
daños y perjuicios sufridos por los interesados (art. 83.2.c) RGPD): Además de lo indicado en
las Alegaciones al Acuerdo de Inicio [véase el apartado 6.1.a)], que sigue resultando
plenamente aplicable y que la AEPD simplemente desprecia indicando que carecen de la
?relevancia suficiente?; CAIXABANK ha procedido a clarificar más aún la información ofrecida
a sus clientes y el procedimiento mediante el cual solicita el consentimiento, hasta tal punto
que devendría del todo innecesario la imposición de las medidas correctoras propuestas por
la AEPD (Fundamento de Derecho X y propuesta de resolución Cuarta de la Propuesta de
Resolución). La potencial infracción relativa al alegado déficit de información ha sido del todo
regularizada (si alguna vez resultó tal regularización necesaria) y cualquier efecto adverso
suprimido.
. El grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción (art. 83.2.f) RGPD): como ya
se indicó en las Alegaciones al Acuerdo de Inicio [véase el apartado 6.1.b)], y se pone de
relieve en las actuaciones realizadas por CaixaBank a lo largo del procedimiento (dentro y
fuera del marco del mismo), CaixaBank no ha hecho sino cooperar y caminar de la mano de
la AEPD para conseguir una mayor claridad y protección de los interesados. De hecho, si
alguna falta de colaboración ha habido ha sido a la recíproca, vista la absoluta renuencia de la
AEPD a reunirse con esta entidad.
b) Desproporción sin precedentes de la sanción impuesta
La AEPD reconoce que no se trata de un supuesto de ausencia de información y califica la
infracción como leve (debiendo limitarse, en consecuencia, su valoración al comportamiento
de CAIXABANK en el año previo al Acuerdo de Inicio por motivos evidentes de prescripción).
Asimismo, no se producen cesiones de datos fuera del marco de la corresponsabilidad de
facto y, en la actualidad, formal que existe en el Grupo CaixaBank (sin que la libre voluntad de
los sujetos se haya visto mermada en caso alguno). Sin embargo, impone a CAIXABANK una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/177
sanción sin precedentes 8 veces superior a la multa más alta impuesta bajo el RGPD (si no
tenemos en cuenta ?la otra? sanción ejemplar del sector financiero, recientemente conocida).
Y 3 veces superior al máximo previsto bajo el régimen anterior para las infracciones más
graves, ignorando y simplemente negando la aplicación de los atenuantes que CAIXABANK
detalla en las Alegaciones al Acuerdo de Inicio y que por la presente se reiteran. En concreto,
la aplicación de aquellas previstas en los artículos 83.2.a), b) y k) RGPD, así como las
enumeradas en los apartados c), d) y e) y f) de la Alegación Sexta de las Alegaciones al
Acuerdo de Inicio.
c) Posibilidad de apercibimiento
Por último, con respecto al apercibimiento, la AEPD parece querer dar a entender que el
apercibimiento se dirige solo a personas físicas, cuando ella misma (véanse a título de
ejemplo los PS/00072/2019; o PS/00096/2019) ha acudido a esta proporcional medida en el
pasado con personas jurídicas.
d) Conclusión
En conclusión, teniendo en cuenta la nueva información que los clientes de CAIXABANK van
a recibir y la actitud proactiva y ejemplificadora de CAIXABANK, entiende esta entidad que las
medidas expuestas en el Fundamento de Derecho X de la propuesta de resolución quedan
sin efecto, incluso antes de la resolución definitiva, al estar todas las conductas remediadas, o
en curso de remediación por imperativos tecnológicos, y que la medida proporcional que la
AEPD, en su caso y de forma subsidiaria, debería aplicar es el apercibimiento. Adicionalmente
y teniendo en cuenta la patente aplicación de criterios atenuantes, esta parte entiende que
procedería calcular la cuantía de la sanción que, en su caso se impusiese, aplicando, dentro
de la escala prevista en los apartados cuarto y quinto del artículo 83 RGPD, su grado mínimo.
Finalmente, considerando que se proporcionan datos estratégicos y sensibles para la
entidad, solicita que la información aportada se mantenga de forma confidencial y no sea
comunicada a ningún tercero.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: Con fecha 24/01/2018, tuvo entrada en esta Agencia una reclamación formulada
por el reclamante contra CAIXABANK, en relación con las nuevas condiciones en materia de
protección de datos personales cuya aceptación le requiere aquella entidad, cuestionando la
cesión de sus datos personales a todas las empresas del Grupo CaixaBank y el
procedimiento dispuesto para cancelar dicha cesión, que, según el reclamante, obliga a dirigir
un escrito a cada una de las empresas. Solicitó que se inste a CAIXABANK la modificación de
las condiciones mencionadas.
El reclamante aportó copia del condicionado citado, que aparece con los rótulos
?Autorizaciones para el tratamiento de datos? y ?Ejercicio de derecho de acceso, cancelación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/177
y oposición. Reclamaciones ante la Autoridad de Protección de Datos?.
En relación con esta reclamación, CAIXABANK informó a esta Agencia que las cláusulas
informativas a las que se refiere la denuncia se implementaron con ocasión de los cambios
contractuales dispuestos para la adaptación al Reglamento (UE) 2016/679.
SEGUNDO: Con fecha 29/03/2019, tuvo entrada en esta Agencia una reclamación formulada
por la entidad Asociación de Consumidores y Usuarios en Acción ? FACUA, contra
CAIXABANK, en relación con el ?Contrato Marco? que suscriben los clientes de esta entidad,
mediante el que se recogen sus datos personales, se ofrece a los mismos la información en
esta materia y se recaban consentimientos para los tratamientos de datos que se especifican.
FACUA denuncia que el contenido de este contrato no puede negociarse por el interesado, al
que se impone el consentimiento al tratamiento de sus datos personales y la cesión de los
mismos a terceras empresas con las que aquél podría no tener relación (autorizaciones
previstas en la cláusula 8 y cesiones mencionadas en la cláusula 10 de dicho contrato).
FACUA aportó copia de un ?Contrato Marco? fechado el 24/10/2017.
TERCERO: La entidad CAIXABANK ha declarado a esta Agencia que inició su adaptación al
RGPD en el año 2016 y que esta adaptación se llevó a cabo, principalmente, mediante la
implementación en junio de 2016 del formulario de recogida de datos personales denominado
?Contrato Marco?, empleado por CAIXABANK de forma prioritaria para dar cumplimiento a las
exigencias de transparencia en materia de protección de datos personales y para que los
clientes puedan prestar su consentimiento para el tratamiento de sus datos personales a nivel
de ?Grupo?, con las finalidades que se indican en el citado documento.
El ?Contrato Marco? se presenta como de suscripción obligatoria para los nuevos clientes,
estableciendo que la firma del documento supone que éste ?conoce, entiende y acepta su
contenido?. Se dispone expresamente que los términos y condiciones son de aplicación
general a todas las ?relaciones comerciales? del interesado ?con CaixaBank y las empresas
del Grupo CaixaBank, y por ello, la suscripción y vigencia del presente Contrato, respetando
los correspondientes derechos de elección que para el Firmante otorgue el clausulado, es
necesaria para la contratación y mantenimiento de contratos de productos o servicios?.
CAIXABANK ha manifestado, que en el caso de clientes ya existentes se incluyó un aviso en
la ficha del cliente señalando al gestor que el ?Contrato Marco? no se había formalizado.
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK manifestó
que el ?Contrato Marco? informa sobre todos los tratamientos derivados de la relación
contractual.
CAIXABANK ha aportado a las actuaciones seis versiones del ?Contrato Marco?, fechadas el
20/06/2016, 22/11/2016, 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019.
Las tres primeras versiones aluden a la LOPD y no hacen referencia a cuestiones específicas
reguladas en el RGPD, tales como la base jurídica del tratamiento (obligación legal, interés
legítimo o consentimiento); derechos de supresión, limitación y portabilidad; derecho a
presentar una reclamación ante la Agencia Española de Protección de Datos; existencia de un
delegado de protección de datos y medios habilitados para contactar con el mismo. La versión
3ª constituía la información ofrecida por CAIXABANK a fecha 25/05/2018.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/177
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK aportó copia
del ?Contrato Marco correspondiente a un cliente?, que aparece firmado con fecha 06/11/2019.
Se comprueba que su contenido no coincide en su totalidad con ninguna de las seis versiones
del ?Contrato Marco? aportadas por la propia entidad (versión 7).
En el apartado 1 del ?Contrato Marco? constan los datos identificativos del cliente y su
declaración de actividad económica. Entre otros datos, figuran los relativos a nombre,
apellidos, identificador fiscal, fecha de nacimiento, nacionalidad, domicilio, estado civil,
régimen matrimonial, datos de contacto, ingresos fijos y variables, entidad en la que presta
servicio o ingresos brutos anuales.
La información que se facilita al interesado en este documento en relación con la protección
de datos personales se estructura según la base jurídica que legitima el tratamiento de los
datos, dedicando el apartado 7 a los tratamientos ?basados en la ejecución de los contratos,
obligaciones legales e interés legítimo y política de privacidad? (incluye un subapartado
relativo al ?tratamiento de datos biométricos en la firma electrónica de documentos?), y el
apartado 8 al ?tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las
empresas del grupo CaixaBank basados en el consentimiento?. Se añaden los apartados 9
?Ejercicio de derechos en materia de protección de datos? y 10 ?Delegado de Protección de
Datos?, así como un subapartado dedicado al ?Plazo de conservación de los datos?, insertado
en el apartado 11 referido a la duración, resolución y modificación del contrato.
Durante el proceso de contratación, el cliente debe manifestar los consentimientos para el
tratamiento de datos personales que se solicitan al interesado en la cláusula 8,
incorporándose las opciones seleccionadas por el cliente a la cabecera del documento, al
apartado de datos personales y socioeconómicos. Los consentimientos solicitados al cliente
se agrupan en las tres finalidades siguientes:
?(i) los tratamientos de análisis y estudio de datos con finalidad comercial por CaixaBank y empresas
del grupo CaixaBank
(ii) los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las empresas del
grupo CaixaBank
(iii) la cesión de datos a terceros?.
En relación con estos tres consentimientos, la Cláusula 8 indica: ?Con la finalidad de poner a
su disposición una oferta global de productos y servicios, su autorización a (i) los tratamientos
de análisis y estudio de datos, y (ii) para la oferta comercial de productos y servicios, en caso
de otorgarse, comprenderá a CaixaBank, y a las empresas del grupo CaixaBank detalladas
en www.CaixaBank.es/empresasgrupo (las ?empresas del Grupo CaixaBank?) quienes podrán
compartirlos y utilizarlos con las finalidades indicadas?.
La copia del ?Contrato Marco? aportado por CAIXABANK con su respuesta a los Servicios de
Inspección de fecha 20/11/2019 (versión 7), que aparece fechado el 06/11/2019, contempla la
prestación por el cliente de un cuarto consentimiento referido al tratamiento de datos
biométricos. En el encabezamiento del documento aportado, en el epígrafe de ?Autorizaciones
para el tratamiento de datos? se indica: ?Otras finalidades: Uso de datos biométricos con
finalidad de verificación de la identidad y firma. Usted ha manifestado su aceptación y
consentimiento?.
Se declara reproducido en este acto a efectos probatorios el contenido íntegro del ?Contrato
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/177
Marco?, en sus versiones de fechas 14/03/2017, 12/11/2018, 20/12/2018 y 17/09/2019, así
como el contenido del ?Contrato Marco? fechado el 06/11/2019 (versión 7). El contenido de la
versión 4ª, fechada por CAIXABANK el 12/11/2018, así como las modificaciones introducidas
posteriormente se incluye como Anexo I.
CUARTO: La formalización del formulario de recogida de datos personales y prestación del
consentimiento para el tratamiento de los datos personales denominado ?Contrato Marco?
tiene lugar durante el proceso de alta del cliente, que puede realizarse de forma presencial en
oficinas o a través de canales digitales.
a) El proceso de alta en oficinas se realiza mediante una entrevista entre el cliente y el gestor.
Durante este proceso, el gestor debe cumplimentar la secuencia de pantallas dispuesta en el
sistema incorporando la información (datos personales) facilitada por el cliente. Después de
cumplimentar varias pantallas (en torno a quince), aparece la pantalla rotulada ?Modificación
de protección de datos de??, cuya estructura es la siguiente:
?Alta consentimientos
Protección de datos CaixaBank (RGPD)
El cliente autoriza a CaixaBank a:
1. Utilizar sus datos para:
. Efectuar estudios y seguimiento de la operativa
. Gestionar las alertas de los productos que tiene contratados
. Estudiar productos y servicios ajustados a su perfil del Grupo CaixaBank
( ) Sí ( ) No
2. Participar en campañas promocionales y ofertas comerciales del Grupo CaixaBank mediante los
canales
( ) Sí
( ) Telemarketing
( ) Medios electrónicos como SMS, email y otros
( ) Publicidad postal
( ) Contactos comerciales de los gestores de la entidad
( ) No
3. Ceder los datos del cliente a terceros
( ) Sí ( ) No
(Aceptar) (Cancelar)?.
Para la prestación de estos consentimientos, durante esta entrevista el cliente responde
verbalmente a las tres preguntas que le realiza el gestor sobre las finalidades indicadas, una
de ellas desglosada en cuatro opciones, y éste incorpora las respuestas al sistema. Una vez
finalizada la entrevista, se imprime en papel el ?Contrato Marco? ya cumplimentado y se firma
por el cliente.
En su respuesta a los Servicios de Inspección de 17/07/2018, CAIXABANK señala que,
posteriormente, dotó a toda la red de oficinas de tabletas digitalizadoras, posibilitando que el
?Contrato Marco? se firme, no en papel, sino en la propia tableta.
CAIXABANK, con su respuesta a la AEPD, de fecha 03/05/2019, aportó documentación
referida a la formación impartida a sus empleados en la que se indica:
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/177
La operativa seguida en este proceso se modificó nuevamente, estableciendo un sistema de
?pantalla compartida? para posibilitar que el cliente marcase las opciones seleccionadas por sí
mismo en una tablet que el gestor pone a su disposición.
CAIXABANK con su escrito de 20/11/2019, remitido en respuesta a los requerimientos de
información de los Servicios de Inspección de la AEPD aportó impresión de pantallas
correspondientes al proceso de alta de un cliente. Después de avanzar unas quince pantallas,
se muestra una pantalla con un mensaje para el gestor con la indicación ?Según el
Reglamento General de Protección de Datos, el cliente debe autorizar el uso de sus datos. A
continuación debe entregar la tableta al cliente para que cumplimente los consentimientos?.
Una vez el gestor pulsa el botón ?Aceptar? en esa pantalla, se muestran dos pantallas
correspondientes a la recogida de consentimientos para el tratamiento de los datos
personales, con el rótulo ?Autorización/Revocación de consentimientos? y la indicación ?Modo
Tablet. Cliente?. El detalle es el siguiente:
?Protección de datos personales grupo Caixabank
Autorizo al grupo Caixabank a:
1. Utilizar mis datos para finalidades de estudio y perfilado:
Si lo autorizo, las ofertas que se me remitan estarán adaptadas a mi perfil
( ) Sí, acepto que las ofertas sean en base a mi perfil
( ) No
2. Recibir publicidad y ofertas comerciales
Si no lo autorizo, ni siquiera mi gestor podrá contactarme para informarme de productos de mi interés.
( ) Sí, acepto recibir ofertas por los siguientes medios:
( ) Telemarketing
( ) Medios electrónicos como SMS, email y otros
( ) Correo postal
( ) Contactos comerciales por cualquier canal de mi gestor
( ) No
3. Ceder mis datos a terceros con los que el grupo Caixabank tenga acuerdos:
Si lo autorizo, en el momento en el que se cedan mis datos, se me informará de qué tercero es el
receptor de los datos y, si no estoy de acuerdo, podré revocar esta autorización
( ) Sí, acepto ceder los datos a terceros
( ) No
4. Uso de mis datos biométricos (imagen facial, huella dactilar, etc.) con la finalidad de verificar mi
identidad y firma: Esta autorización se complementará en cada caso con el registro de los datos
biométricos a utilizar en cada momento. Para poder verificar la identidad/firma de sus clientes,
Caixabank utiliza métodos de reconocimiento biométrico como sistemas de reconocimiento facial,
lectura de huella dactilar y similares. Actualmente, algunos de nuestros cajeros ya permiten realizar
operaciones utilizando estos métodos.
( ) Sí, acepto el uso de mis datos biométricos
( ) No
Las preferencias que aquí ha indicado quedarán recogidas en la primera página de su contrato marco?.
Una vez marcadas las opciones, en la parte final de la pantalla se incluyen los botones
?Aceptar? y ?Cancelar?. Al pulsar el primero se ofrece el mensaje ?Sus consentimientos se han
indicado. Gracias por su colaboración. Por favor devuelva la Tablet a su gestor?. (?)
Las pantallas ?Modo Tablet. Cliente? no contienen ningún enlace a la información en materia
de protección de datos personales contenida en el ?Contrato Marco?.
En relación con este proceso, no se aportó ninguna pantalla relativa a la consolidación del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/177
documento y su firma por el cliente.
b) El proceso de alta del cliente a través del portal web de CAIXABANK y aplicación móvil (la
aplicación redirige al interesado a la aplicación web), incluye un paso que muestra una
pantalla mediante la que se recaban los consentimientos para el tratamiento de los datos con
finalidades comerciales. La pantalla muestra las opciones siguientes:
¿Quieres enterarte de nuestras novedades de manera personalizada?
Tratamiento de tus datos para recibir un servicio personalizado del Grupo Caixabank
Tratamiento de tus datos con finalidades de análisis, estudio y seguimiento sobre la oferta y diseño de
productos y servicios adaptados al perfil de cliente por Caixabank y empresas del Grupo Caixabank.
Más información
No Si
Tratamientos de tus datos para recibir ofertas de productos y servicios de Caixabank
Tratamiento de tus datos para la oferta comercial de productos y servicios de Caixabank y empresas
del Grupo Caixabank
Más información
No Si
Cesión de tus datos a terceros con los que Caixabank y empresas del Grupo Caixabank tengan
acuerdos
Tratamiento de tus datos por terceros con los que Caixabank y empresas del Grupo Caixabank tengan
acuerdos, para recibir ofertas de productos y servicios de dichos terceros.
Más información
No Si
(Continuar)>>
Durante este proceso de prestación del consentimiento se posibilita el acceso por parte del
cliente a la cláusula 8 del ?Contrato Marco?. Al final del proceso se muestra el ?Contrato
Marco? con el resumen de los consentimientos otorgados y el clausulado, para su firma por el
cliente (?Ver y descargar contrato marco?). Se incluye una casilla para marcar ?He leído y
acepto el contrato? y los botones ?Anterior? y ?Continuar?.
En la inspección realizada a CAIXABANK en fecha 28/11/2019, se verificó la descarga
completa del ?Contrato Marco? y que, una vez seleccionada la casilla de aceptación del
contrato, se procede a la firma mediante un código numérico enviado al teléfono móvil
proporcionado por el cliente.
QUINTO: Según informó CAIXABANK a los Servicios de Inspección en su respuesta de
17/07/2018, esta entidad también recaba el consentimiento de sus clientes para el tratamiento
de datos con ?finalidades comerciales? y cesión de datos a terceros, mediante el documento
rotulado como ?Autorización para el tratamiento de datos de carácter personal con finalidades
comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank?, que CAIXABANK
denomina ?Contrato de Consentimientos? y que también se utiliza para modificarlos en
momentos posteriores al proceso de alta.
a) El proceso de formalización de este documento en oficina es similar al del ?Contrato Marco?
y ha seguido la misma evolución en el tiempo (impresión y firma del documento, firma digital y
?Modo Tablet?), pero suscribiéndose un documento que solo recoge los extremos señalados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/177
Mediante este documento se ha dispuesto la prestación de consentimiento de forma separada
para las mismas finalidades que se citan en el ?Contrato Marco?. El sistema muestra la
pantalla habilitada para que el gestor registre la revocación bajo el rótulo ?Modificación de
protección de datos?, cuya estructura es similar a la mostrada para la prestación del
consentimiento durante el proceso de alta de los clientes, incluida la incorporación del cuarto
consentimiento que se solicita al cliente en relación con el tratamiento de los datos
biométricos, verificada en la inspección realizada en fecha 28/11/2019.
De este ?Contrato de consentimientos? constan incorporadas a las actuaciones tres versiones
(la aportada por el reclamante en fecha 24/01/2018, reseñada en el Hecho Primero -Versión
1; la aportada por CAIXABANK en fecha 10/07/2018, reseñada en el Hecho Segundo y
transcrita en Anexo II -Versión 2; y la adjunta al Acta de Inspección de fecha 28/11/2019,
reseñada en el Hecho Cuarto, Versión 3 (se incluyen igualmente en Anexo II las diferencias
de esta Versión 3 respecto de la versión 2).
En la versión 3 del documento, la aportada durante la inspección de 28/11/2019, en la
denominación del documento se añade el término ?revocación? y queda
?Autorización/revocación para el tratamiento de datos de carácter personal con finalidades
comerciales por CaixaBank, S.S. y empresas del grupo CaixaBank?.
La información ofrecida en el ?Contrato de Consentimientos? en materia de protección de
datos personales coincide, casi literalmente, con la cláusula 8 del ?Contrato Marco?.
b) El proceso para revocar los consentimientos a través del espacio privado del cliente en la
web de CAIXABANK muestra una pantalla con la estructura siguiente:
Modificación
A continuación podrás modificar el tratamiento que realiza Caixabank sobre tu información
Acepto el trato de mis datos para efectuar seguimiento y estudio de alertas de mis productos
contratados, estudios y servicios ajustados a mi perfil. Ver detalle Cláusula 8
Acepto No acepto
Acepto que Caixabank contacte conmigo para conocer aquellas ofertas de productos y servicios, así
como promociones y ofertas que puedan resultar de mi interés. Ver detalle Cláusula 8
Acepto No acepto
Indique si Caixabank puede ponerse en contacto contigo de alguna de las siguientes maneras
( ) A través de mi gestor (oficina)
( ) Mediante comunicaciones postales
( ) Por email, SMS y otros canales electrónicos
( ) Por telemarketing
Acepto que se compartan mis datos con empresas con las que Caixabank haya firmado acuerdos con
la finalidad de poder recibir ofertas de productos y servicios de estas empresas. Ver detalle Cláusula 8
Acepto No acepto>>
Durante este proceso se posibilita el acceso por parte del cliente a la información contenida
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/177
en la cláusula 8 del ?Contrato Marco?. Una vez marcadas las opciones, se muestra al cliente
un resumen con los consentimientos otorgados (?Operación todavía no finalizada, Compruebe
los datos y confirme la operación?) y se pone a su disposición el contrato que recoge un
resumen de esos consentimientos (?Lee detenidamente el contrato. Confirme la operación?).
c) En el entorno de la aplicación móvil de CaixaBank Now, el cliente puede acceder a
?Configuración ? Ejercicio de derechos? y es redirigido al portal Web.
d) CAIXABANK informó a los Servicios de Inspección, en su respuesta de 17/07/2018, que el
cliente puede revocar los consentimientos mediante el uso de formularios disponibles en el
portal web corporativo de CAIXABANK (indica que permite revocar el consentimiento para
cualquier empresa del Grupo) o en el portal web de cada una de las empresas del Grupo (al
acceder a la página correspondiente a la entidad de que se trate, el cliente es dirigido a una
pantalla común a todas). Se ofrece la posibilidad de marcar tres casillas con el detalle
siguiente:
?( ) No deseo recibir un servicio personalizado del Grupo CaixaBank (tratamiento de datos con
finalidades de análisis, estudio y seguimiento para la oferta y el diseño de productos y servicios
ajustados a su perfil por parte de CaixaBank y empresas del grupo CaixaBank)
( ) No deseo recibir ofertas de productos y servicios personalizados de CaixaBank y empresas del
grupo CaixaBank
( ) No deseo que mis datos sean comunicados para finalidades comerciales propias de terceros con los
que CaixaBank tenga acuerdos?.
d) Revocación del consentimiento a través del servicio de atención telefónica: los Call Centers
tienen a su disposición una herramienta que le permite atender la revocación de los
consentimientos. La estructura que muestra la citada herramienta para la revocación de los
consentimientos es similar a la indicada para el proceso de alta de clientes en oficina (?Alta de
consentimientos?).
CAIXABANK, en su respuesta de 03/05/2019 al traslado de la reclamación formulada por
FACUA, informó a esta Agencia que la revocación de los consentimientos tiene efectos para
todas las empresas del Grupo y que puede ser ejercitada ante cualquiera de ellas, por
cualquiera de los canales propios de cada una.
Según CAIXABANK, estas solicitudes de revocación o modificación de consentimientos
quedan registradas y son remitidas a un servicio centralizado de atención de derechos, que
se encarga de darles el trámite correspondiente.
Se declara reproducido en este acto a efectos probatorios el contenido íntegro del ?Contrato
de Consentimientos?, en todas sus versiones (el contenido de la versión 2 y las diferencias de
la versión 3 respecto de la 2 se incluyen como Anexo II).
SEXTO: El apartado 7 del ?Contrato Marco? contiene una referencia a la política de privacidad
de CAIXABANK, accesible a través de la web de la entidad (?Usted puede encontrar
información complementaria a la que se le facilita en el presente contrato, relativa al
tratamientos de sus datos de carácter personal en www.CaixaBank.com/privacidad?).
El documento ?Política de Privacidad?, con trece apartados, informa de modo genérico sobre
la identidad del responsable (sin hacer referencia a la existencia de un ?repositorio común? a
CAIXABANK y las empresas del Grupo), datos recabados, información obtenida de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/177
navegación por la web y aplicaciones móviles, finalidades, base jurídica que ampara los
tratamientos de datos, seguridad, conservación de datos, cesiones, transferencias
internaciones, delegado de protección de datos y derechos del interesado. Interesa destacar
que esta ?Política de Privacidad?, al referirse a los usos basados en el consentimiento,
advierte al interesado que podrá utilizar ?todos los datos que tenemos sobre ti?; y en el
apartado ?¿A quién se comunican mis datos?? se informa sobre el intercambio de información
con empresas del Grupo CaixaBank.
En su respuesta a los Servicios de Inspección de fecha 20/11/2019, CAIXABANK informó a
esta Agencia que dicha política de privacidad tiene la finalidad de complementar la
información facilitada a los clientes mediante el ?Contrato Marco? entre junio de 2016 y mayo
de 2018; y dar información completa a los clientes que en mayo de 2018 no hubieran firmado
el ?Contrato Marco?. Así, desde mayo de 2018 distingue dos situaciones:
. Todos los clientes preexistentes han firmado un contrato marco o han recibido la Política de
Privacidad (además de tenerla a su disposición en la web de la entidad).
. Todos los nuevos clientes, en su primera relación con la entidad, suscriben un ?Contrato
Marco?, en el que se incluye toda la información del artículo 13 del RGPD.
Se declara reproducido en este acto, a efectos probatorios, el contenido íntegro de la Política
de Privacidad accesible a través de la web de CAIXABANK.
SÉPTIMO: El ?Contrato Marco?, en su apartado 8, detalla los datos personales utilizados con
las finalidades descritas en ese mismo apartado. Entre ellos se mencionan ?los datos
obtenidos de redes sociales que el firmante autorice a consultar?. Se accede desde el área
personal de la banca online y se especifica la red para la que se consiente el acceso
(Facebook, Twitter y LinkedIn). En una caja se incluye un texto con la indicación ?Información
sobre el tratamiento de datos de carácter personal y comunicaciones comerciales?; y un botón
con el texto ?Aceptar y continuar?. Con esta sola acción, el cliente presta su consentimiento a
la recogida de los datos personales que se mencionan en esa información y a los tratamientos
que se detallan.
Esta información se declara reproducida en este acto a efectos probatorios (consta reseñada
íntegramente en Anexo III):
OCTAVO: El apartado 8 del ?Contrato Marco? detalla los datos personales utilizados con las
finalidades descritas en ese mismo apartado. Entre los datos utilizados con esas finalidades
se mencionan ?los datos obtenidos de terceras entidades como resultado de solicitudes de
agregación de datos solicitadas por el firmante?. Dicha solicitud se formaliza mediante la
suscripción por el cliente del denominado Contrato de Servicio de Agregación.
Este servicio permite agregar la información de los productos que tenga contratados con otras
entidades (posiciones y movimientos de cuentas y tarjetas) y disponer así de una visión global
de todas las posiciones, alertas sobre recibos, vencimientos, etc., pero no operar sobre los
productos de las entidades agregadas. El cliente agrega o elimina entidades a su voluntad,
pero solo entre las incorporadas al servicio.
El proceso de solicitud del servicio de agregación se sigue a través de la web de
CAIXABANK. Después de seleccionar la entidad que pretende añadir al servicio y de
introducir los datos que el cliente utiliza para acceder online a la entidad seleccionada (claves
de acceso), el proceso requiere la aceptación de los términos y condiciones del servicio.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/177
?Por una parte Caixabank, S.A. y por otra las personas cuyas circunstancias y representación
se especifican más adelante, acuerdan la formalización de las relaciones contractuales que
se expresan, a tenor de las siguientes condiciones:
Datos del contratante
Nombre y apellidos Número de documento?.
(enlace a un documento en formato pdf. con la indicación ?Versión para imprimir o guardar?).
(enlace para la descarga del programa Acrobat Reader, con la indicación ?Si no dispones del
programa?, puedes descargar Acrobat Reader?)
(Botón ?Aceptar y continuar?)
Seguidamente, el proceso requiere la confirmación de la operación mediante la introducción
de una clave. No incluye, en cambio, ninguna verificación que deje constancia sobre la lectura
del documento ?Términos y condiciones del servicio?.
Se declara reproducido en este acto, a efectos probatorios, el clausulado completo del
Contrato de servicio de agregación (consta reseñado íntegramente en Anexo IV).
NOVENO: En su respuesta a los Servicios de Inspección de esta Agencia, de 16/05/2018,
CAIXABANK manifestó que, con ocasión de los cambios que conllevó la adaptación al RGPD,
en 2016 dispuso que los consentimientos de los clientes para el tratamiento de sus datos
personales con ?finalidad comercial? se recabarían a nivel de ?grupo?, de manera conjunta
para todas las sociedades del ?grupo?.
La versión 2 del documento ?Contrato de Consentimientos? hace referencia a un ?repositorio
común? de datos personales en la indicación ?Para ello, sus datos se gestionarán desde un
repositorio común de información de las empresas del Grupo CaixaBank. Los datos que se
incorporarán a este repositorio común serán?? (esta mención al ?repositorio común? en la
presentación del citado documento desaparece en la versión 3ª del mismo).
(?) y un ?repositorio común de consentimientos?, que almacena las autorizaciones para
tratamientos comerciales otorgadas por los clientes a las empresas del Grupo, permitiendo
que un cliente revoque el consentimiento desde cualquier empresa del Grupo, y a la inversa,
con efectos automáticamente para todas ellas.
(?)
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada Autoridad de
Control, y según lo establecido en los artículos 47, 48, 64.2 y 68.1 de la LOPDGDD, la
Directora de la Agencia Española de Protección de Datos es competente para iniciar y
resolver este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE)
2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/177
desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales
sobre los procedimientos administrativos.?
II
Con carácter previo, se estima oportuno analizar las excepciones alegadas por
CAIXABANK, en base a las cuales solicita la declaración de nulidad de las actuaciones, así
como las cuestiones formales planteadas por dicha entidad.
- 1. Conculcación del artículo 24.2 de la Constitución, presunción de inocencia.
En primer lugar, invoca los artículos 24.2, 103.1 y 2 de la CE, y artículo 6 del Convenio
Europeo de Derechos Humanos (CEDH), y alega una posible vulneración del principio de
presunción de inocencia por falta de objetividad e imparcialidad del órgano que tiene la
competencia para resolver el procedimiento, deducida por CAIXABANK de unas
manifestaciones realizadas por la Directora de la AEPD en un acto público, mediante las que
se anuncia la imposición de multas ?cuantitativamente importantes?. La declaración a la que
se refiere CAIXABANK es la siguiente:
?Tenemos ya dos o tres procedimientos sancionadores de alto impacto que van a tener mucha
repercusión mediática en relación con el sector financiero, serán las primeras multas cuantitativas
importantes por parte de la Agencia?.
De esta declaración, realizada durante el plazo concedido al interesado para presentar
alegaciones a la apertura del procedimiento, deduce CAIXABANK que la voluntad del órgano
que tiene la competencia para resolver estaba formada sin siquiera conocer esas alegaciones
y sin tener a la vista todos los elementos probatorios.
En el ámbito administrativo sancionador, la imparcialidad del órgano resolutorio está
vinculada al derecho del interesado a un proceso con todas las garantías. Se garantiza con
los motivos de abstención o recusación y con la debida separación entre las fases de
instrucción y de resolución del procedimiento sancionador, separación entre fases que en este
caso no ha quebrado y que se respeta escrupulosamente en todos los procedimientos de esta
naturaleza seguidos en la AEPD.
En aras de la seguridad jurídica, los motivos de abstención o recusación se han
regulado mediante una lista taxativa de circunstancias que responden a razones objetivas,
evitándose con ello que los interesados puedan apreciar causas de abstención o recusación
basadas en criterios propios o particulares.
En nuestro ordenamiento administrativo, la apariencia de parcialidad se estima por la
concurrencia, objetivamente justificada, de los motivos regulados en los artículos 23 y 24 de la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP):
?Artículo 23. Abstención.
1. Las autoridades y el personal al servicio de las Administraciones en quienes se den algunas de las
circunstancias señaladas en el apartado siguiente se abstendrán de intervenir en el procedimiento y lo
comunicarán a su superior inmediato, quien resolverá lo procedente.
2. Son motivos de abstención los siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/177
a) Tener interés personal en el asunto de que se trate o en otro en cuya resolución pudiera influir la de
aquél; ser administrador de sociedad o entidad interesada, o tener cuestión litigiosa pendiente con
algún interesado.
b) Tener un vínculo matrimonial o situación de hecho asimilable y el parentesco de consanguinidad
dentro del cuarto grado o de afinidad dentro del segundo, con cualquiera de los interesados, con los
administradores de entidades o sociedades interesadas y también con los asesores, representantes
legales o mandatarios que intervengan en el procedimiento, así como compartir despacho profesional o
estar asociado con éstos para el asesoramiento, la representación o el mandato.
c) Tener amistad íntima o enemistad manifiesta con alguna de las personas mencionadas en el
apartado anterior.
d) Haber intervenido como perito o como testigo en el procedimiento de que se trate.
e) Tener relación de servicio con persona natural o jurídica interesada directamente en el asunto, o
haberle prestado en los dos últimos años servicios profesionales de cualquier tipo y en cualquier
circunstancia o lugar.
Artículo 24. Recusación.
1. En los casos previstos en el artículo anterior, podrá promoverse recusación por los interesados en
cualquier momento de la tramitación del procedimiento.
2. La recusación se planteará por escrito en el que se expresará la causa o causas en que se funda?.
Se trata, en definitiva, de que la persona que adopta la decisión no tenga ningún
interés personal en el asunto y no haya intervenido en el procedimiento como perito o testigo,
de modo que pueda resolver conforme al interés general, sin ningún tipo de influencia ajena a
ese interés que pueda llevarle a decidir en una forma determinada.
Por otra parte, de conformidad con la doctrina de nuestro Tribunal Constitucional, lo
que se reclama a los servidores públicos no es la imparcialidad personal y procesal que se
exige a los órganos judiciales, sino que actúen con objetividad y sometimiento al derecho.
Así, en la STC 174/2005, de 4 de julio, se declara lo siguiente:
?Al respecto se debe recordar que si bien este Tribunal ha reiterado que, en principio, las exigencias
derivadas del derecho a un proceso con todas las garantías se aplican al procedimiento administrativo
sancionador, sin embargo, también se ha hecho especial incidencia en que dicha aplicación debe
realizarse con las modulaciones requeridas en la medida necesaria para preservar los valores
esenciales que se encuentran en la base del art. 24.2 CE y la seguridad jurídica que garantiza el art.
9.3 CE, en tanto sean compatibles con su propia naturaleza (por todas, STC 197/2004, de 15 de
noviembre, FJ 2). Más en concreto, y por lo que se refiere específicamente a la garantía de
imparcialidad, se ha señalado que es uno de los supuestos en que resulta necesario modular su
proyección en el procedimiento administrativo sancionador, toda vez que dicha garantía ?no puede
predicarse de la Administración sancionadora en el mismo sentido que respecto de los órganos
judiciales? (STC 2/2003, de 16 de enero, FJ 10), pues, ?sin perjuicio de la interdicción de toda
arbitrariedad y de la posterior revisión judicial de la sanción, la estricta imparcialidad e independencia
de los órganos del poder judicial no es, por esencia, predicable en la misma medida de un órgano
administrativo? (STC 14/1999, de 22 de febrero, FJ 4), concluyéndose de ello que la independencia e
imparcialidad del juzgador, como exigencia del derecho a un proceso con todas las garantías, es una
garantía característica del proceso judicial que no se extiende sin más al procedimiento administrativo
sancionador (STC 74/2004, de 22 de abril, FJ 5)?.
Y la STC 14/1999, de 22 de febrero, señala lo siguiente:
?Un erróneo entendimiento del contenido de las exigencias constitucionales de imparcialidad judicial y
su pretendida traslación in totum a quien interviene en el procedimiento administrativo sancionador en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/177
calidad de Instructor, lleva al recurrente a afirmar la lesión de su derecho a un proceso con todas las
garantías.
(?)
Cabe reiterar aquí de nuevo, como hicimos en la STC 22/1990 (fundamento jurídico 4º), que "sin
perjuicio de la interdicción de toda arbitrariedad y de la posterior revisión judicial de la sanción, la
estricta imparcialidad e independencia de los órganos del poder judicial no es, por esencia, predicable
en la misma medida de un órgano administrativo".
Lo que del Instructor cabe reclamar, ex arts. 24 y 103 C.E., no es que actúe en la situación de
imparcialidad personal y procesal que constitucionalmente se exige a los órganos judiciales cuando
ejercen la jurisdicción, sino que actúe con objetividad, en el sentido que a este concepto hemos dado
en las SSTC 234/1991, 172/1996 y 73/1997, es decir, desempeñando sus funciones en el
procedimiento con desinterés personal. A este fin se dirige la posibilidad de recusación establecida por
el art. 39 de la Ley Orgánica 12/1985, del Régimen Disciplinario de las Fuerzas Armadas (en adelante
L.O.R.D.F.A.) que reenvía al art. 53 de la Ley Procesal Militar, cuyo catálogo de causas guarda, en éste
ámbito, evidente similitud, con el previsto en la Ley Orgánica del Poder Judicial, aunque las
enumeradas en uno y otro obedezcan, según lo expuesto, a diverso fundamento.
(?)
Ninguna de las razones aducidas puede ser atendida, no ya sólo porque, con carácter general, y según
antes se expresó, no puede trasladarse sin más al ámbito sancionador administrativo la doctrina
constitucional elaborada acerca de la imparcialidad de los órganos judiciales, sino porque en el caso
presente, y en atención a la configuración de las causas legales de recusación, no cabe apreciar la
concurrencia de ningún elemento que demandara el apartamiento del Instructor por pérdida de la
necesaria objetividad. No se observa en el Instructor cuestionado, ni el interesado ha aportado dato
justificado alguno al respecto, la presencia de interés personal directo o indirecto en la resolución del
expediente sancionador (?)?.
En este caso, debe precisarse en primer término que CAIXABANK, a pesar de su
alegación de falta de imparcialidad del órgano resolutorio, no ha planteado formalmente la
recusación de la Directora de la AEPD, ni hace alusión alguna a los motivos enumerados en
esos artículos.
A este respecto, debe tenerse en cuenta que, para declarar la nulidad de las
actuaciones por las razones alegadas, es preciso que se demuestre plenamente la
concurrencia de uno de aquellos motivos que hayan podido influir de manera efectiva en la
decisión adoptada mediante la resolución presente.
No obstante, se estima oportuno dejar constancia en este acto de la no concurrencia
de ninguna de las causas de abstención o recusación establecidas en los preceptos
transcritos, lo que permite concluir que no existe la falta de imparcialidad alegada. No tiene
interés personal en el objeto del procedimiento; ni vínculo, amistad o enemistad con el
interesado; ni ha intervenido como perito o testigo en el procedimiento.
La presente resolución se adopta conforme a Derecho, según criterios objetivos, y sin
que el órgano resolutorio haya prejuzgado el asunto en cuestión mediante actuaciones
formales previas o mediante su intervención en fases anteriores del procedimiento. Esta
intervención no ha tenido lugar en forma alguna, más allá de la adopción del acuerdo de
apertura del procedimiento según establece la normativa procesal aplicable.
La manifestación a la que se ha referido CAIXABANK no se encuadra en los
supuestos de recusación y abstención antes enumerados y tampoco adelantan la decisión, de
modo que no pueden apreciarse con el alcance pretendido por dicha entidad.
Tampoco esa manifestación, ni ninguna otra circunstancia, han quebrado la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/177
imparcialidad del órgano instructor, que ha dispuesto de todas las facultades que le atribuye la
normativa en cuestión y plena libertad para dictar su propuesta de resolución, como lo prueba
el hecho de que dicha propuesta haya minorado las infracciones que se imputaron en el
acuerdo de apertura del procedimiento sancionador.
La intervención de la Directora en el evento celebrado el 03/03/2020 está relacionada,
antes bien, con la adopción de los acuerdos de apertura de los procedimientos a los que se
refiere CAIXABANK en sus alegaciones, ambos del sector financiero. La referencia a estos
acuerdos como de amplio impacto para los sectores afectados y con relevancia mediática
tiene que ver con las novedades reguladas en el RGPD y, en particular, las relativas al nuevo
modelo de cumplimiento y de supervisión. En relación con este último, destacan las
importantes cuantías contempladas en el Reglamento con el fin de qué, cómo pretende dicha
norma, puedan tener carácter disuasorio.
A juicio de esta Agencia, concretar en el acuerdo de inicio dictado la infracción que
hubiera podido cometer y su posible sanción se ajusta a lo previsto en el artículo 68 de la
LOPDGDD y artículo 64.2 de la LPACAP (en este caso, de los distintos poderes correctivos
que contempla el artículo 58.2 del RGPD, la Agencia estimó procedente la imposición de
multa, además de la adopción de medidas para ajustar su actuación a la normativa,
considerando los indicios de infracción apreciados en el momento de la apertura y sin
perjuicio de lo que pudiera resultar de la instrucción del procedimiento). Así, no puede decirse
que señalar la posible sanción que pudiera corresponder por las infracciones imputadas sea
determinante de indefensión o que suponga una ruptura del principio de separación de las
fases de instrucción y resolución.
Por otra parte, la instrucción del procedimiento ha sido acorde a la normativa
procedimental, sin que pueda apreciarse ninguna irregularidad en la tramitación del
procedimiento, en el que, además, se han respetado todas las garantías del interesado,
incluida la presunción de inocencia. CAIXABANK, en este caso, ha visto respetadas todas las
garantías del interesado que prevé la normativa procesal y no puede decirse que la
determinación del importe de la multa en el acuerdo de apertura suponga ninguna merma de
dichas garantías causante de indefensión.
Cabe destacar que tanto en el presente procedimiento como el otro citado por la
entidad CAIXABANK, la resolución dictada ha rebajado la cuantía de la sanción inicial en
atención a las alegaciones de las partes, como así ocurre en tantos supuestos de
procedimientos sancionadores tramitados por la AEPD.
No hay más que acudir a la web de la Agencia, en la que se publican todas las
resoluciones dictadas en procedimientos sancionadores, para verificar la gran cantidad de
ellos que finalizan con una resolución de archivo de actuaciones, así como aquellas otras en
las que se incrementó o minoró el importe de la sanción fijado en el acuerdo de apertura o se
acordó la aplicación de un poder correctivo distinto a la sanción de multa, una veces a
propuesta del instructor o bien a iniciativa del órgano resolutorio.
- 2. Quiebra de la confianza legítima.
Por otra parte, CAIXABANK solicita el archivo del expediente por una presunta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/177
vulneración del principio de confianza legítima o la reconsideración de la declaración de
nulidad de los consentimientos recabados.
Basa esta petición en la consulta realizada poco después de publicado el RGPD,
mediante correos electrónicos dirigidos al ?Director Adjunto de la AEPD?, relativa a la
implementación del RGPD y a los documentos analizados en el expediente, especialmente el
?Contrato Marco?, sobre los que, según CAIXABANK, únicamente se realizaron algunas
consideraciones menores en conversación telefónica, las cuales fueron atendidas por la
entidad interesada. Señala que en esos correos se solicitó reiteradamente la celebración de
una reunión entre la AEPD y CAIXABANK con ese objeto, que fue denegada.
Del hecho de haber comunicado a la AEPD las acciones principales que llevarían a
cabo para la adecuación de su actuación al RGPD, incluida la referencia al denominado
?repositorio común?, deduce CAIXABANK su legítimo convencimiento de haber estado
actuando correctamente y que pudo tener una ?razonable esperanza inducida? de que su
manera de proceder era conforme a derecho.
El mencionado principio de confianza legítima se encuentra recogido en el artículo 3
de la LRJSP:
?Artículo 3. Principios generales.
1. Las Administraciones Públicas sirven con objetividad los intereses generales y actúan de acuerdo
con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con
sometimiento pleno a la Constitución, a la Ley y al Derecho.
Deberán respetar en su actuación y relaciones los siguientes principios:
(?)
e) Buena fe, confianza legítima y lealtad institucional?.
Es una manifestación de la doctrina de los ?actos propios? y tiene relación con el
principio de seguridad jurídica. El principio de confianza legítima puede entenderse como la
confianza de los ciudadanos en la actuación futura de las Administraciones Públicas
atendiendo a sus actuaciones pasadas, considerando las expectativas que generan, aunque
salvaguardando siempre el principio de legalidad, por lo que aquel principio no podrá
invocarse para salvar situaciones contrarias a la norma.
La STS de 18 de diciembre de 2007 se refiere al principio de protección de confianza
legítima citando los términos de una Sentencia anterior de 10 de mayo de 1999:
confianza legítima, relacionado con los más tradicionales en nuestro ordenamiento de la seguridad
jurídica y la buena fe en las relaciones entre la Administración y los particulares, y que comporta, según
la doctrina del Tribunal de Justicia de las Comunidades Europeas y la jurisprudencia de esta Sala, el
que la autoridad pública no pueda adoptar medidas que resulten contrarias a la esperanza inducida por
la razonable estabilidad en las decisiones de aquélla, y en función de las cuales los particulares han
adoptado determinadas decisiones. [?] Por otra parte, en la STS de 1-2-99 (RJ 1999, 1633), se
recuerda que "este principio no puede invocarse para crear, mantener o extender, en el ámbito del
Derecho público, situaciones contrarias al ordenamiento jurídico, o cuando del acto precedente resulta
una contradicción con el fin o interés tutelado por una norma jurídica que, por su naturaleza, no es
susceptible de amparar una. conducta discrecional por la Administración que suponga el
reconocimiento de unos derechos y/u obligaciones que dimanen de actos propios de la misma. [?]
Una cosa es la irrevocabilidad de los propios actos declarativos de derechos fuera de los cauces de
revisión establecidos en la Ley (arts. 109 y 110 de la Ley de Procedimiento Administrativo de 1958
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/177
[ RCL 1958, 1258, 1469, 1504 y RCL 1959, 585] , 102 y 103 de la Ley de Régimen Jurídico de las
Administraciones Públicas y Procedimiento Administrativo Común, Ley 30/1992 [ RCL 1992, 2512,
2775 y RCL 1993, 246] , modificada por Ley 4/1999 [ RCL 1999, 114, 329] ), y otra el respeto a la
confianza legítima generada por actuación propia que necesariamente ha de proyectarse al ámbito de
la discrecionalidad o de la autonomía, no al de los aspectos reglados o exigencias normativas frente a
las que, en el Derecho Administrativo, no puede prevalecer lo resuelto en acto o en precedente que
fuera contrario a aquéllos. O, en otros términos, no puede decirse que sea legítima la confianza que se
deposite en un acto o precedente que sea contrario a norma imperativa">>.
La STS de 22 de febrero de 2016 (rec.1354/2014) se refiere a los requisitos que deben
concurrir para apreciar la confianza legítima:
?Conviene tener en cuenta que confianza legítima requiere, en definitiva, de la concurrencia de tres
requisitos esenciales. A saber, que se base en signos innegables y externos (1); que las esperanzas
generadas en el administrado han de ser legítimas (2); y que la conducta final de la Administración
resulte contradictoria con los actos anteriores, sea sorprendente e incoherente (3). Exactamente lo que
acontece en el caso examinado, a tenor de los hechos antes relatados, que no hace al caso insistir.
Recordemos que, respecto de la confianza legítima, venimos declarando de modo reiterado, por todas,
Sentencia de 22 de diciembre de 2010 (recurso contencioso administrativo nº 257/2009), que «el principio
de la buena fe protege la confianza legítima que fundadamente se puede haber depositado en el
comportamiento ajeno e impone el deber de coherencia en el comportamiento propio. Lo que es tanto
como decir que el principio implica la exigencia de un deber de comportamiento que consiste en la necesidad
de observar de cara al futuro la conducta que los actos anteriores hacían prever y aceptar las
consecuencias vinculantes que se desprenden de los propios actos constituyendo un supuesto de lesión
a la confianza legítima de las partes "venire contra factum propium".
Esta misma Sentencia se refiere a la confianza en la estabilidad de criterio de la
Administración, evidenciado en actos anteriores en un mismo sentido.
Por otra parte, la STS de 21 de septiembre de 2015 (rec.721/2013), en su Fundamento
de Derecho Cuarto, declara lo siguiente:
?En la mencionada sentencia de esta Sala jurisdiccional de 23 de febrero de 2000, la aplicación del
principio de protección de confianza legítima se condiciona no tanto al hecho de que se produzca
cualquier tipo de convicción psicológica en el particular beneficiado, sino más bien a que se acredite la
existencia de signos externos producidos por la Administración ?lo suficientemente concluyentes? para
que le induzcan razonablemente a confiar en la legalidad de la actuación administrativa?.
Por tanto, esa esperanza o confianza generada ha de ser ?legítima? y estar basada en
actos externos anteriores, cuyo sentido sea indudablemente contrario a lo acordado
posteriormente, sin que deba incluirse en este principio de confianza legítima una mera
convicción psicológica del particular.
En este caso, consta que CAIXABANK remitió diversos correos electrónicos a
?Adjunto Director AEPD?, a modo de consulta, acompañando copia del ?Contrato Marco?
dispuesto por esa entidad como formulario de recogida de datos personales y con el
clausulado informativo en materia de protección de datos personales, así como un programa
sobre las acciones emprendidas, en los que, además, solicitó la celebración de una reunión
con el propósito de que comentar tales documentos y acciones. Consta, asimismo, que esta
reunión no llegó a celebrarse.
Consta que esos correos electrónicos fueron respondidos por el destinatario, por la
misma vía, con los mensajes siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/177
. Correo electrónico de 27/07/2016:
?Asunto: Reunión
Buenos días?, con el fin de valorar la posibilidad de celebrar una reunión remíteme una breve
explicación sobre la política que habéis adoptado y el texto de las cláusulas informativas. Hablaremos
en septiembre?.
. Correo electrónico de 11/09/2017:
?Asunto: RE: Presentación RGPD en CaixaBank
Buenos días, le agradecería si es posible, me enviase la presentación en un formato que pueda
imprimir ya que me es imposible hacerlo?.
En este caso, CAIXABANK no dispone de hechos externos anteriores (?signos
innegables externos?) que puedan considerarse favorables a dicha entidad de forma
concluyente y suficientes para haber inducido a la misma a pensar que la AEPD validó las
acciones emprendidas por la entidad para adecuar su actuación al RGPD.
Más allá de la critica que pudiera hacer CAIXABANK a esta AEPD por haber sido
desatendidas sus consultas o sus solicitudes de reunión para analizar la documentación que
estaba elaborando, lo cierto es que las respuestas de esta Agencia contenidas en los correos
aportados por la interesada no tienen ningún contenido jurídicamente vinculante ni contienen
pronunciamiento alguno sobre las cuestiones a las que se refieren las alegaciones. En
definitiva, no representan unos actos externos propios de la Administración de los que pudiera
derivarse una futura vulneración del principio de la "confianza legítima del administrado",
ahora invocado.
La actuación de esta Agencia no ha influido en modo alguno en la conducta de
CAIXABANK determinante de las infracciones analizadas, ni esta Agencia ha realizado
actuación alguna que haya permitido a dicha entidad concluir que en la documentación de
protección de datos formalizada por la misma o en sus procesos de recogida y tratamiento de
datos personales no existiera ningún elemento que contraviniera lo establecido en el RGPD y
LOPDGDD. CAIXABANK no puede aportar ningún pronunciamiento o actuación de esta
Agencia que le llevase a esa presunta confusión, simplemente porque no existe actuación
alguna en ese sentido.
En definitiva, proyectando la doctrina del Tribunal Supremo al caso presente, y en los
términos de la STS de 18 de diciembre de 2007, resulta que no concurren circunstancias que
permitan entender que CAIXABANK se ha visto sorprendida por la actuación de la
Administración.
Finalmente, se estima oportuno señalar, en primer lugar, que los correos electrónicos a
los que se refiere CAIXABANK no pertenecen ni integran ninguna actuación reglada de la
Administración y, en segundo lugar, que la AEPD tiene habilitados canales de consulta para
que los ciudadanos y los responsables de tratamientos de datos personales puedan plantear
sus dudas en la materia de su competencia, pero estos canales no pueden utilizarse para que
esta Agencia supervise y valide en su integridad las actuaciones emprendidas por esos
responsables, salvo que una norma así lo prevea expresamente.
Además, sorprende que CAIXABANK pretenda fundar la quiebra del principio de
confianza legítima en la remisión de dos correos electrónicos al Adjunto a la Dirección de la
AEPD, en los que se solicitaba una reunión sobre los textos que se adjuntaban.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/177
En primer lugar, desde una perspectiva formal, debe señalarse que las alegaciones
destacan en negrita el destinatario de los correos, al que describen incorrectamente
denominándolo como ?Director Adjunto de la AEPD?, a pesar de que dicho puesto de trabajo
no existía en la relación de puestos de trabajo de la Agencia, como es plenamente conocido
por CAIXABANK cuando en el documento número 3 que aporta en relación con esta
argumentación se dirige al ?Adjunto AEPD?. Lo que podría sugerir, más allá de un mero error
material, una voluntad intencionada de dar en este momento más trascendencia a la remisión
de los citados correos atendiendo a la relevancia del puesto al que se dirigieron.
Y, lo que es materialmente más relevante, es que se pretenda fundar dicha alegación
en el cumplimiento del principio de responsabilidad proactiva, regulado en el RGPD como un
elemento esencial del nuevo modelo de cumplimiento que diseña dicha norma. Interpretación
qué es justamente la contraria a la previsión del Reglamento, en el que el principio de
responsabilidad proactiva remite a los responsables del tratamiento la exigencia de realizar
los análisis de riesgo para los derechos y libertades de los afectados y adoptar
autónomamente las medidas que permitan garantizarlos a través de las medidas que en el
mismo se describen.
Maxime cuando en relación con dichas medidas la única previsión del RGPD sobre
consultas a la autoridad de control es la relacionada con las Evaluaciones de Impacto en la
Protección de Datos, cuando la misma muestre que el tratamiento entrañaría un alto riesgo si
el responsable no toma medidas para mitigarlo, conforme al artículo 36 de dicha norma.
A lo que se añade que, sin haber procedido al análisis de la documentación remitida ni
manifestarse sobre ella, se comunicó a CAIXABANK que no se celebrarían las reuniones
argumentando, precisamente, que la responsabilidad proactiva exige al responsable del
tratamiento realizar sus propios análisis y adoptar autónomamente las medidas que
garanticen y permitan demostrar el cumplimiento de sus obligaciones.
Por todo ello, debe rechazarse la alegación de vulneración del principio de confianza
legítima y, de contrario, reafirmar la plena responsabilidad de CAIXABANK en el análisis de
los riesgos asociados a las iniciativas desarrolladas para cumplir y demostrar el cumplimiento
del RGPD.
- 3. Caducidad de las actuaciones previas.
En sus alegaciones a la apertura del procedimiento, CAIXABANK invocó la caducidad
de las actuaciones previas de investigación señaladas con el número E/01475/2018, iniciadas
por razón de la reclamación presentada en fecha 24/01/2018, y cuya documentación fue
incorporada a las nuevas actuaciones de investigación iniciadas con el número E/01481/2019.
En base a ello, considera que las posibles infracciones analizadas en las actuaciones
previas que se declararon caducadas mediante resolución de 01/02/2019 habrían prescrito,
en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal (LOPD).
Posteriormente, en sus alegaciones a la propuesta de resolución, CAIXABANK alega
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/177
una posible conculcación del artículo 24 de la CE por la indefensión que produce la extensión
artificial y antijurídica de las actuaciones previas de investigación, ignorando además su
caducidad. Fundamenta esta alegación de acuerdo con las consideraciones siguientes:
. Las actuaciones previas de investigación suplantaron la actividad instructora, por cuanto se
utilizaron como un verdadero procedimiento sancionador, lo que constituye un posible vicio de
desviación de poder en la utilización de los mecanismos de instrucción. Por este mismo
motivo, el procedimiento sancionador debe considerarse caducado por el transcurso del plazo
previsto para su resolución, contado desde el inicio de las actuaciones previas de
investigación.
. Entiende que solo se atribuye tal consideración a las actuaciones que permiten reunir datos
e indicios sobre los hechos cometidos y sus responsables, debiendo iniciarse el
procedimiento tan pronto se tiene certeza sobre la comisión de los hechos y su autor. Según
CAIXABANK, en este caso no se atienen a la finalidad prevista en la normativa aplicable.
. Las actuaciones previas desarrolladas (una primera caducada, que llevó a la apertura de
una segunda) no respetaron ninguna garantía esencial del procedimiento sancionador, tales
como informar de la imputación, recordar el derecho a no declarar contra uno mismo, etc.
. Dado que la Propuesta de Resolución descansa de facto, única y exclusivamente, en los
elementos de convicción y prueba recabados durante la fase de actuaciones previas, la
imposibilidad de utilización de los mismos hace que la propuesta carezca de los elementos
necesarios para enervar la presunción de inocencia.
. No es aceptable el traspaso en bloque del expediente caducado, y tampoco cabe que lo
actuado en las actuaciones previas pase íntegramente al expediente sancionador.
. No es aceptable la utilización de las actuaciones previas sin limitación de tiempo, más allá
de la propia de la prescripción.
Esta alegación de CAIXABANK se articula en base a distintos pronunciamientos de
nuestro Tribunal Supremo, pero contiene manifestaciones que resultan contradictorias en
unos casos o se refieren a supuestos de hechos distintos al que nos ocupa en otros.
Así, por ejemplo, CAIXABANK alega que las actuaciones previas desarrolladas no
respetaron ninguna garantía esencial del procedimiento sancionador, tales como informar de
la imputación, recordar el derecho a no declarar contra uno mismo, etc. Sin embargo, basa
esta alegación en lo expresado por el Tribunal Supremo en Sentencia de 09/06/2006, referida
a un supuesto disciplinario de las Fuerzas Armadas.
En otro orden, no se entiende que, por un lado, se diga que la propuesta de resolución
descansa en su integridad en elementos de cargo recogidos durante la fase de actuaciones
previas de investigación y, por otro lado, se defienda que las actuaciones previas
desarrolladas se desnaturalizaron y no se atuvieron ?a la finalidad que deben cubrir conforme
al designio del legislador?, cuando, precisamente, el propósito de llevar a cabo tales
investigaciones no es otro que obtener esas evidencias que justifiquen la tramitación de un
procedimiento sancionador. Por la misma razón, tampoco se entiende que se defienda la
apertura inmediata del procedimiento sancionador, aunque no se haya acreditado totalmente
la infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/177
Igualmente, siendo aquella finalidad el fundamento para la realización de la
investigación previa, esta Agencia no comparte la afirmación contenida en las alegaciones de
CAIXABANK sobre la ?imposibilidad? de utilización en la propuesta de resolución de los
elementos de convicción y prueba recabados durante la fase de actuaciones previas.
Por otro lado, se argumenta que las actuaciones propias de un procedimiento
caducado no pueden surtir efecto en el nuevo expediente sancionador que pueda iniciarse
cuando la infracción no haya prescrito (STS de 24/02/2004). Sin embargo, en este caso, la
caducidad se produjo respecto de las actuaciones previas E/01475/2018, y no del
procedimiento sancionador.
Sobre esta cuestión relativa al traspaso o utilización de la documentación integrante de
las actuaciones previas que se declararon caducadas, no se entienden algunas de las
afirmaciones que contiene el escrito de alegaciones a la propuesta de resolución. En
concreto, en dicho escrito se indica que ?existen muy divergentes principios que impiden que
lo actuado en las actuaciones previas pase íntegramente al expediente sancionador?, o que
?a estas pseudo actuaciones previas, en realidad verdadera instrucción del procedimiento
sancionador, no debían haber llegado las actuaciones surgidas y documentadas en éste a
raíz de su incoación?. En este caso, no se ha producido ningún traspaso de documentación
del procedimiento sancionador a las actuaciones previas, sino al contrario, como es normal; y
tampoco se ha traspasado documentación de un procedimiento caducado a otro nuevo
procedimiento, sencillamente porque la caducidad del procedimiento sancionador no se ha
producido.
Asimismo, se dice por CAIXABANK que las actuaciones previas no se atuvieron ?a la
finalidad que deben cubrir conforme al designio del legislador?, pero no se dice que otro
?designio? persiguió la AEPD con la realización de esas actuaciones, que no fuese lograr una
mejor determinación de los hechos y las circunstancias que justifican la tramitación de un
procedimiento sancionador.
Alega incluso ?un posible vicio de desviación de poder en la utilización de los
mecanismos de instrucción?, entendida como la actividad administrativa desarrollada? (STS de 7-4-86), ?una distorsión de la normal
finalidad del acto? (STS de 11-4-89), una ?no utilización de la potestad administrativa de forma
objetiva, acorde con la finalidad perseguida? (STS de 12-5-86). Dicha desviación procesal
puede acaecer ?no sólo cuando se acredita que la Administración persigue una finalidad
privada o un propósito inconfesable, extraño a cualquier defensa de los intereses generales,
sino también puede concurrir esta desviación teleológica cuando se persigue un interés
público ajeno y, por tanto, distinto al que prevé el ordenamiento jurídico para el caso?
(Sentencias del Tribunal Supremo de 18 de marzo de 2011 y 11 de mayo de 2012)?>> (citas
incluidas por CAIXABANK en sus alegaciones a la propuesta).
Argumenta al respecto que las repetidas actuaciones previas de investigación
?suplantaron la actividad instructora?. Sin embargo, no explica CAIXABANK cómo se ha
utilizado en este caso la potestad administrativa sancionadora de forma no acorde con la
finalidad perseguida, o qué contravención del sentido teleológico de la actividad administrativa
se ha producido o cómo se ha distorsionado la finalidad del acto administrativo, ni tampoco
qué finalidad privada o interés público ajeno al previsto en el ordenamiento persigue en este
caso la Administración.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/177
Sobre esta cuestión, el Tribunal Supremo, en Sentencia de 13/05/2013, ha declarado:
?Al respecto, procede significar que, conforme es jurisprudencia de esta Sala jurisdiccional, la
concurrencia de desviación de poder no puede fundarse en meras presunciones o conjeturas, siendo
necesario acreditar hechos o elementos suficientes para formar en el Tribunal la convicción de que la
Administración, aunque acomodó su actuación a la legalidad, lo hizo con finalidad distinta a la
pretendida por la norma aplicable, lo que, en este proceso, no ha acontecido?.
En este caso, no solo no se acreditan hechos o elementos suficientes para formar la
convicción de que la Administración actuó con una finalidad distinta a la pretendida por la
norma, sino que ni tan siquiera se han expuesto presunciones o conjeturas sobre la
concurrencia de la desviación de poder alegada.
De la misma forma, tampoco explica CAIXABANK qué trámite concreto realizado en el
marco de las actuaciones previas de investigación es en realidad un trámite administrativo
que debió celebrarse en el seno del procedimiento sancionador, qué trámite o trámites
concretos del procedimiento sancionador han sido suplantados por las actuaciones previas, o
qué tramites del procedimiento han sido evitados a causa de las actuaciones previas
realizadas, o qué indefensión todo ello ha generado a la entidad interesada.
Al contrario, se llevaron a cabo actuaciones previas de investigación perfectamente
justificadas, con el propósito de lograr una mejor determinación de los hechos y
circunstancias (artículo 67 LOPDGDD), durante las cuales se recabó información necesaria
para la determinación de los hechos, sin realizar durante el transcurso de las mismas trámite
alguno propio del procedimiento sancionador, el cual se inició en base a las evidencias
obtenidas y con el único fin de aplicar las previsiones normativas establecidas.
Se recibió una primera reclamación, con fecha 24/01/2018, en la que se denunció la
obligación de aceptar las nuevas condiciones en materia de protección de datos personales
implementadas por CAIXABANK (aportó copia), y se decidió la realización de actuaciones
previas de investigación, señaladas con el número E/01475/2018, para el esclarecimiento de
los hechos denunciados y determinar si concurrían circunstancias que justificasen la iniciación
de un procedimiento sancionador.
En el marco de estas actuaciones previas se cursaron a CAIXABANK dos
requerimientos para que por dicha entidad se facilitase información esencial para valorar las
cláusulas informativas ofrecidas por la entidad a sus clientes. Entre otra información, se
solicitó a dicha entidad que aportara detalles sobre la arquitectura y funcionamiento del
?repositorio común?; procedimiento de ejercicio de derechos; obtención de datos personales
de redes sociales, del servicios de agregación y de terceras entidades; sobre el
enriquecimiento de datos; detalle sobre el mecanismo implementado para recabar el
consentimiento inequívoco del cliente para el tratamiento de sus datos y mecanismo para
revocarlo; e información proporcionada al cliente en el momento de la obtención del
consentimiento en relación a los tratamientos de datos personales realizados por las
sociedades del Grupo CaixaBank y su finalidad.
Posteriormente, tuvo entrada en la Agencia una nueva reclamación relativa al
?Contrato Marco?, que fue sometida al proceso previo de admisión a trámite, siguiendo el
mecanismo previsto en el artículo 65.4 de la LOPDGDD, que consiste en dar traslado de las
mismas a los delegados de protección de datos designados por los responsables o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/177
encargados del tratamiento, a los efectos previstos en el artículo 37 de la citada norma, o a
éstos cuando no los hubieren designado, para que procedan al análisis de dichas
reclamaciones y a darles respuesta en el plazo de un mes. Se trata de un trámite potestativo,
de modo que este traslado se lleva a cabo si la Agencia así lo estima.
El resultado de dicho traslado no fue satisfactorio, por lo que, a los efectos previstos
en su artículo 64.2 de la LOPDGDD, se acordó admitir a trámite la reclamación presentada
mediante acuerdo que fue debidamente notificado al reclamante, y no a CAIXABANK,
conforme a lo establecido en el artículo 65.5 de la LOPDGDD.
Conforme a lo establecido en el artículo 67 de la LOPDGDD, se acordó el inicio de
nuevas actuaciones previas de investigación, señaladas con el número E/01481/2019, y la
incorporación a las mismas de la segunda reclamación recibida y la documentación que
integra la fase de admisión a trámite de la ésta. Se incorporó, asimismo, toda la
documentación correspondiente a las actuaciones previas señaladas con el número
E/01475/2018, incluida la reclamación que dio lugar a las mismas.
Se determinó como objeto de estas nuevas actuaciones previas de investigación el
análisis de la información ofrecida con carácter general por CAIXABANK en materia de
protección de datos personales, a través de todos los canales empleados por la entidad
(cumplimiento por parte de CAIXABANK del principio de transparencia establecido en los
artículos 5, 12 y siguientes del RGPD, y preceptos relacionados); los distintos tratamientos de
datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación
con clientes o persona que mantengan cualquier otra relación con la misma, y en el marco de
la nueva normativa aplicable desde el 25/05/2018, incluido el análisis de los mecanismos
empleados para recabar la prestación del consentimiento de los interesados; así como el
cumplimiento por parte de la citada entidad del resto de principios relativos al tratamiento
establecidos en el artículo 5 del RGPD.
Durante el curso de esta nueva fase previa de investigación se cursó un requerimiento
de información a CAIXABANK (se solicitó copia de todas las versiones del ?Contrato Marco? y
posibles adendas, información sobre los canales y metodología para aceptar la política de
privacidad y granularidad de los consentimientos, así como los procedimientos habilitados
para dar a conocer la política de privacidad actualizada a clientes anteriores a su vigencia y
mecanismos de aceptación) y se realizó una visita de inspección para verificar el proceso de
alta presencial en oficina, a través de la web y aplicación móvil, y para la verificación del
proceso de modificación de los consentimientos, entre otras cuestiones.
No puede decirse, a la vista de lo expuesto, que en este caso las actuaciones previas
no eran necesarias o que no se realizaron para reunir datos e indicios sobre los hechos
cometidos y sus responsables.
Efectivamente, las actuaciones previas número E/01475/2018 fueron declaradas
caducadas mediante resolución de 01/02/2019, por el transcurso del plazo de doce meses
previsto en el artículo 122 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LOPD. En dicha resolución se advertía sobre lo dispuesto en
el artículo 95.3 de la LPACAP, en el que se establece que la caducidad no producirá por sí
sola la prescripción de las acciones de la Administración, y se admite la apertura de un nuevo
procedimiento cuando no se haya producido la prescripción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/177
Esta caducidad no tiene el efecto pretendido por CAIXABANK. Nada impide, por tanto,
la apertura de nuevas investigaciones, con incorporación a las mismas de la documentación
que integra las actuaciones caducadas. A ello debe sumarse la recepción de una nueva
reclamación en fecha 29/03/2019, lo que motivo que esas nuevas actuaciones de
investigación que debían iniciarse tuvieran por objeto ambas reclamaciones, la que dio lugar
al expediente de investigación E/01475/2018 y esta otra recibida el 29/03/2019.
Ninguna consecuencia jurídica puede atribuirse a este hecho, más allá de la regla de
la prescripción y los efectos que se le atribuyen.
Procede, por otra parte, responder a la alegación sobre la caducidad del procedimiento
sancionador manifestada por CAIXABANK. Partiendo de la consideración mantenida por esta
entidad en cuanto a la suplantación de la actividad instructora por las actuaciones previas de
investigación, que, como ya se ha dicho, no tiene base alguna, entiende que el procedimiento
sancionador debe considerarse caducado por el transcurso del plazo previsto para su
resolución, contado desde el inicio de las actuaciones previas de investigación.
Esta alegación debe ser igualmente rechazada. El planteamiento que CAIXABANK
realiza sobre esta cuestión en sus alegaciones a la apertura no se ajusta a Derecho. Debe
señalarse que el plazo de caducidad del presente procedimiento, establecido en nueve
meses, se computa desde la fecha en que se acuerda su inicio, resultando improcedente
añadir a ese cómputo, a efectos de medir la duración del expediente administrativo, ningún
otro período, tal como el tiempo de las actuaciones previas de investigación, o el tiempo que
transcurra entre la finalización de esas actuaciones y la apertura del procedimiento, ni el
tiempo correspondiente a la fase de admisión a trámite de las reclamaciones presentadas.
Así lo ha declarado repetidamente nuestro Tribunal Supremo. En Sentencia de
21/10/2015 se cita la Sentencia de 26/12/2007 (recurso 1907/2005), que declara lo siguiente:
?[?] el plazo del procedimiento [?] se cuenta desde la incoación del expediente sancionador, lo que
obviamente excluye del cómputo el tiempo de la información reservada";" [?] la mayor o menor
duración de la fase preliminar no lleva aparejada la caducidad del procedimiento ulterior".
También en Sentencia del Tribunal Supremo de 13/10/2011 (recurso 3987/2008) que
examina un motivo de casación relativo al cómputo del plazo de caducidad del procedimiento,
se declara lo siguiente:
?No podemos compartir el razonamiento que expone la Sala de instancia para fijar un dies a quo
diferente al establecido por la Ley, señalando como fecha inicial del cómputo el día siguiente a la
finalización de las diligencias previas informativas.
[?]
Pues bien, una vez realizadas esas actuaciones previas, el tiempo que tarde la Administración en
acordar la incoación del procedimiento [?] podrá tener las consecuencias que procedan en cuanto al
cómputo de la prescripción (extinción del derecho); pero no puede ser tomado en consideración a
efectos de la caducidad, pues esta figura lo que pretende es asegurar que una vez iniciado el
procedimiento la Administración no sobrepase el plazo de que dispone para resolver. En el fundamento
tercero de la sentencia recurrida la Sala de instancia realiza una interpretación de la norma que no es
acorde con la naturaleza de la institución de la caducidad, pues a diferencia de la prescripción, que es
causa de extinción del derecho o de la responsabilidad de que se trate, la caducidad es un modo de
terminación del procedimiento por el transcurso del plazo fijado en la norma, por lo que su apreciación
no impide, si no ha transcurrido el plazo establecido para la prescripción de la acción de
restablecimiento de legalidad urbanística por parte de la Administración, la iniciación de un nuevo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/177
procedimiento?.
Finalmente, en cuanto a la prescripción de las infracciones invocada por CAIXABANK
conforme a lo establecido en la LOPD, basta señalar que no es esta norma la que tipifica las
infracciones analizadas en este procedimiento.
El objeto del procedimiento sancionador, al igual que el de las actuaciones previas de
investigación, ya señalado, que está perfectamente definido en el Fundamento de Derecho
siguiente, tiene relación con la información ofrecida con carácter general por parte de
CAIXABANK en materia de protección de datos personales; los distintos tratamientos de
datos personales que lleva a cabo la entidad conforme a la información ofrecida, incluido el
análisis de los mecanismos empleados para recabar la prestación del consentimiento de los
interesados; así como el cumplimiento por parte de la citada entidad del resto de principios
relativos al tratamiento.
Todo ello, en el marco de la nueva normativa, constituida por el RGPD, aplicable
desde el 25/05/2018, y la LOPDGDD, en vigor desde el día siguiente al de su publicación en
el Boletín Oficial del Estado, que tuvo lugar el 06/12/2018.
Las dos reclamaciones que dan lugar al procedimiento, incluida la primera de ellas,
recibida en fecha 24/01/2018, tienen relación con los cambios implementados por
CAIXABANK para su adaptación al RGPD, y así lo ha reconocido la propia entidad
interesada.
Se analiza la actuación desarrolla por CAIXABANK a partir de la aplicación del RGPD,
es decir, a partir del 25/05/2018, en relación con los extremos que constituyen el objeto del
procedimiento, y se imputan las presuntas infracciones apreciadas según el régimen
sancionador regulado en el RGPD y la LOPDGDD. Siendo así, la prescripción de las
infracciones deberá valorarse conforme a lo establecido en este régimen sancionador y no en
el establecido en la Ley Orgánica 15/1999 (LOPD).
En el presente procedimiento sancionador, se imputan las siguientes infracciones:
1. Infracción por incumplimiento de lo establecido en los artículos 13 y 14 del RGPD, tipificada
en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la
LOPDGDD.
2. Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, tipificada en el
artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) y
c) de la LOPDGDD.
De acuerdo con lo establecido en los artículos 72.1 y 74.1 de la LOPDGDD, las
Infracciones consideradas muy graves prescribirán a los tres años y las infracciones leves
prescribirán en un año, contados desde la comisión de la infracción y hasta la apertura del
procedimiento con conocimiento del interesado.
En este caso, todas las circunstancias de hecho que se ponen de manifiesto en los
Fundamentos de Derecho siguientes, que fundamentan la comisión de las infracciones que se
declara en este acto, tuvieron lugar dentro del año anterior a la apertura del procedimiento, en
el caso de la infracción leve, y dentro de los tres años anteriores, en el caso de la infracción
muy grave; con el límite en este último caso de la fecha de aplicación del RGPD (25/05/2018),
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/177
atendiendo al objeto del expediente antes indicado.
Siendo así, ninguna de las dos infracciones cometidas había prescrito en el momento
en que tuvo lugar la notificación a CAIXABANK de la apertura del procedimiento.
- 4. La enumeración de los criterios de graduación en el acuerdo de apertura, sin
motivación alguna y sin especificar si se aplican como agravantes o atenuantes, es
causa de indefensión.
A juicio de esta Agencia, el acuerdo de inicio del procedimiento se ajusta a lo previsto
en el artículo 68 de la LOPDGDD, según el cual bastará con que concrete los hechos que
motivan la apertura, identifique la persona o entidad contra la que se dirige el procedimiento,
la infracción que hubiera podido cometer y su posible sanción (en este caso, de los distintos
poderes correctivos que contempla el artículo 58.2 del RGPD, la Agencia estimó procedente
la imposición de multa, además de la adopción de medidas para ajustar su actuación a la
normativa, sin perjuicio de lo que pudiera resultar de la instrucción del procedimiento).
En el mismo sentido se expresa el artículo 64.2 de la LPACAP, que establece
expresamente el contenido mínimo de acuerdo de iniciación. Según este precepto, entre otros
detalles, deberá contener ?los hechos que motivan la incoación del procedimiento, su posible
calificación jurídica y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte
de la instrucción?.
En este caso, no solo se cumplen sobradamente las exigencias mencionadas, sino
que se va más allá ofreciendo razonamientos que justifican la posible calificación jurídica de
los hechos valorada al inicio e, incluso, se mencionan las circunstancias que pueden influir en
la determinación de la sanción.
De acuerdo con lo expuesto, no puede decirse que señalar la posible sanción que
pudiera corresponder por las infracciones imputadas, con mención de las circunstancias que
influyen es su determinación, sea causa de indefensión. CAIXABANK, en este caso, ha visto
respetadas todas las garantías del interesado que prevé la normativa procesal y no puede
decirse que la enumeración de las circunstancias o factores de graduación de la multa
suponga ninguna merma de dichas garantías causante de indefensión.
El artículo 68 de la LOPDGDD citado regula el contenido que debe incluir el acuerdo
de inicio del procedimiento sancionador. Sin embargo, se trata del contenido mínimo exigible,
de los elementos que deben detallarse en el mencionado acuerdo para determinar su validez.
Pero nada impide que, como se ha indicado anteriormente, se mencionen las circunstancias
que pueden influir en la determinación de la sanción, lo que sin duda redundará en beneficio
del interesado, que ve reforzado y favorecido su derecho de defensa.
III
Las actuaciones reseñadas en los Antecedentes de este acto tienen por objeto
analizar la información ofrecida con carácter general por parte de CAIXABANK en materia de
protección de datos personales, a través de todos los canales empleados por la entidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/177
(cumplimiento por parte de CAIXABANK del principio de transparencia establecido en los
artículos 5, 12 y siguientes del RGPD, y preceptos relacionados); los distintos tratamientos de
datos personales que lleva a cabo la entidad conforme a la información ofrecida, en relación
con clientes o persona que mantengan cualquier otra relación con la misma, incluido el
análisis de los mecanismos empleados para recabar la prestación del consentimiento de los
interesados; así como el cumplimiento por parte de la citada entidad del resto de principios
relativos al tratamiento establecidos en el artículo 5 del RGPD.
Todo ello, en el marco de la nueva normativa, constituida por el RGPD, aplicable
desde el 25/05/2018, y la LOPDGDD, en vigor desde el día siguiente al de su publicación en
el Boletín Oficial del Estado, que tuvo lugar el 06/12/2018.
La entidad CAIXABANK ha informado que inició su adaptación al RGPD en el año
2016, y que la misma se llevó a cabo, principalmente, mediante la implementación del
documento denominado ?Contrato Marco? en junio de 2016, del que se han elaborado seis
versiones desde entonces, fechadas el 20/06/2016, 22/11/2016, 14/03/2017, 12/11/2018,
20/12/2018 y 17/09/2019, según aquella entidad ha informado a esta Agencia. También ha
declarado que el ?Contrato Marco? regula toda la relación de los clientes con CAIXABANK y
las empresas del Grupo cuyos productos comercializa aquella, informa de todos los
tratamientos derivados de la relación contractual y solicita los consentimientos necesarios
para el tratamiento de los datos de carácter personal a nivel Grupo. Este documento, que
sirve como formulario de recogida de datos personales y que el cliente suscribe con su firma,
es el empleado por CAIXABANK de forma prioritaria para dar cumplimiento a las exigencias
de transparencia y manifestación de consentimientos por parte de los clientes para el
tratamiento de sus datos personales.
De las seis versiones, serán revisadas en el presente procedimiento la versión 4ª
(Anexo I), fechada por CAIXABANK el 12/11/2018, y las dos posteriores que la modifican
levemente (la versión 5ª presenta algunas modificaciones en el apartado 6.4 ?Suscripción de
documentos y contratos mediante firma electrónica?, y suprime el apartado 7.2, referido a
?Tratamiento de datos biométricos en la firma electrónica de documentos?; y la versión 6ª
presenta cambios en el apartado 4 ?Cumplimiento de obligaciones normativas en materia
tributaria?, pero sin modificaciones significativas en materia de protección de datos
personales), por cuanto son estas versiones las que aparecen con una mayor adaptación al
RGPD y, además, por razones temporales.
Las tres primeras versiones (1, 2 y 3) aluden a la LOPD y no hacen referencia a
cuestiones específicas reguladas en el RGPD, tales como la base jurídica del tratamiento
(obligación legal, interés legítimo o consentimiento); derechos de supresión, limitación y
portabilidad; derecho a presentar una reclamación ante la Agencia Española de Protección de
Datos; existencia de un delegado de protección de datos y medios habilitados para contactar
con el mismo.
En la propuesta de resolución se indicó que la versión 3ª del ?Contrato Marco?
constituía la información ofrecida por CAIXABANK a fecha 25/05/2018 y que la misma
muestra las carencias expresadas, entre otras.
En relación con esta cuestión, CAIXABANK ha alegado que la versión 4ª se
implementó en junio de 2018 y no en noviembre de ese año, y aporta copia de un ?Contrato
Marco? suscrito por un cliente en fecha 08/06/2018, cuyo contenido coincide con el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/177
correspondiente a esta versión 4ª, reseñado en Anexo I.
Debe señalarse al respecto que fue la propia entidad CAIXABANK la que fechó la
versión 4ª de este documento en noviembre de 2019, según consta en la documentación
aportada a los servicios de inspección. En cualquier caso, esta circunstancia no modifica
ninguna de las conclusiones expresadas en la propuesta de resolución ni en el presente acto
sobre los defectos de información apreciados y en relación con el tratamiento de los datos,
basadas en el contenido de esta versión 4ª y las elaboradas seguidamente por CAIXABANK.
Ya se ha dicho que los cambios producidos en las versiones 5 y siguientes respecto de la
versión 4ª afectan únicamente al tratamiento de datos biométricos en la firma electrónica de
documentos y al cumplimiento de obligaciones normativas en materia tributaria.
La citada versión 4ª, fechada por CAIXABANK el 12/11/2018, es la primera versión que
hace referencia a cuestiones específicas reguladas en el RGPD, tales como la base jurídica
del tratamiento (obligación legal, interés legítimo o consentimiento); derechos de supresión,
limitación y portabilidad; derecho a presentar una reclamación ante la Agencia Española de
Protección de Datos; existencia de un delegado de protección de datos y medios habilitados
para contactar con el mismo. El contenido completo de esta versión, en lo relativo a
protección de datos personales, consta en Anexo I.
Este ?Contrato Marco?, según consta en su apartado 2, establece las normas básicas
que regularán las relaciones comerciales, negociales y contractuales que se formalicen entre
el cliente y CAIXABANK. Así, dicho documento dedica los apartados 3 a 6 a informar y regular
acerca de cuestiones esenciales que rigen las Relaciones Comerciales, tales como las
relativas a la prevención del blanqueo de capitales y de la financiación del terrorismo, el
cumplimiento de obligaciones normativas en materia tributaria, la aplicación de sanciones
económico-financieras internacionales y la lucha contra el fraude o los aspectos generales de
la contratación de productos y servicios, las cuales no serán objeto de las actuaciones, salvo
las menciones a los tratamientos que derivan de estas cuestiones contenidas en los
apartados siguientes del contrato.
Los siguientes apartados del ?Contrato Marco? se ocupan de la ?Política de
Privacidad?, el uso y tratamiento de los datos de carácter personal y de las autorizaciones
para el uso de los datos que se llevan a cabo para el desarrollo de la actividad comercial
propia de CaixaBank y de las empresas del Grupo CaixaBank, que interesan a los efectos del
presente procedimiento sancionador.
Interesa también analizar en este expediente la información en materia de protección
de datos ofrecida con carácter general por CAIXABANK y los mecanismos de prestación del
consentimiento habilitados por otro medios, vías o canales, a los que se hace referencia en
los antecedentes de este acuerdo, en base a que el ?Contrato Marco? contiene una remisión
específica a estos otros medios. Concretamente, nos referimos a los documentos siguientes:
. ?Política de Privacidad? disponible en la web de la entidad: el apartado 7 del ?Contrato
Marco? contiene indica ?Usted puede encontrar información complementaria a la que se le
facilita en el presente contrato, relativa al tratamientos de sus datos de carácter personal en
www.CaixaBank.com/privacidad?.
. Contrato de redes sociales: en el apartado 8 del ?Contrato Marco? se detallan los datos
personales utilizados con las finalidades descritas en ese mismo apartado. Entre ellos se
mencionan ?los datos obtenidos de redes sociales que el firmante autorice a consultar?. Dicha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/177
autorización se presta en el denominado Contrato de Redes Sociales.
. Contrato de servicio de agregación: en el apartado 8 del ?Contrato Marco? se detallan los
datos personales utilizados con las finalidades descritas en ese mismo apartado. Entre los
datos utilizados con las finalidades descritas en el mismo apartado 8 del ?Contrato Marco? se
mencionan ?los datos obtenidos de terceras entidades como resultado de solicitudes de
agregación de datos solicitadas por el firmante?. Dicha solicitud se formaliza mediante el
denominado Contrato de Servicio de Agregación.
Además del citado ?Contrato Marco?, para ofrecer información en materia de
protección de datos personales y recabar el consentimiento de sus clientes para el
tratamiento de datos con finalidades ?comerciales? y cesión de datos a terceros, CAIXABANK
emplea el documento denominado por dicha entidad ?Contrato de Consentimientos?. Según
consta en el rótulo de este documento, mediante el mismo se solicita al cliente ?Autorización
para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank,
S.A. y empresas del grupo CaixaBank?.
De este ?Contrato de consentimientos? constan incorporadas a las actuaciones tres
versiones (la aportada por el reclamante en fecha 24/01/2018, reseñada en el Hecho Primero
-Versión 1; la aportada por CAIXABANK en fecha 10/07/2018, reseñada en el Hecho Segundo
y transcrita en Anexo II -Versión 2; y la adjunta al Acta de Inspección de fecha 28/11/2019,
reseñada en el Hecho Cuarto, cuyos detalles se incluyen igualmente en Anexo II -Versión 3).
Por razones temporales, se prescinde en el procedimiento del examen del documento
aportado por el reclamante, anterior a la fecha de aplicación del RGPD.
Por otra parte, considerando el objeto de las actuaciones previas de investigación
antes expresado, no será objeto de análisis la información ofrecida en esta materia en los
formularios empleados para la contratación de productos o servicios que, por su especialidad,
incluyen sus propias cláusulas de protección de datos, según ha informado la entidad
CAIXABANK. Salvo lo relacionado con los contratos antes citados, por los que el cliente
consiente el acceso a datos personales en redes sociales y ?servicio de agregación?.
Y tampoco se examina la actuación que puedan desarrollar las empresas que integran
el denominado ?Grupo CaixaBank? para el cumplimiento del principio de transparencia o los
procedimientos específicos que hayan habilitado para recabar el consentimiento de sus
clientes para los tratamientos de datos personales que lleven o pretendan llevar a cabo, o en
relación con los otros aspectos reseñados.
Se excluye igualmente el análisis de los procedimientos establecidos por CAIXABANK
para la gestión de los derechos de los clientes, interesando únicamente los mecanismos
dispuestos para que el cliente pueda revocación los consentimientos que hubiera prestado, en
la medida en que este mecanismo se emplea también para la modificación de dichos
consentimientos, y por ello puede conllevar la prestación de otros nuevos.
Asimismo, aunque se tiene en cuenta parte de la información contenida en las
Evaluaciones de Impacto aportadas por CAIXABANK, que ha quedado reseñada en los
Antecedentes, no se realiza análisis alguno sobre la seguridad de los datos.
De acuerdo con lo expuesto, las conclusiones que pudieran derivarse del presente
procedimiento no supondrán ningún pronunciamiento respecto de los aspectos anteriores
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/177
descartados, ni en relación con las entidades del Grupo CaixaBank.
IV
De acuerdo con la delimitación expresada en el Fundamento de Derecho anterior, a
los efectos del presente procedimiento interesa el contenido relativo a protección de datos de
carácter personal del ?Contrato Marco? y del ?Contrato de Consentimientos? (?Autorización
revocación para el tratamiento de datos de carácter personal con finalidades comerciales por
CaixaBank, S.A. y empresas del grupo CaixaBank?), la ?Política de Privacidad? accesible a
través de la web de la entidad y la información ofrecida en relación con los datos personales
de redes sociales y servicio de agregación. El contenido de estos documentos consta
reproducido en Anexos.
El ?Contrato Marco?, que sirve como formulario de recogida de datos y que es el
documento utilizado prioritariamente para facilitar información en materia de protección de
datos personales, se presenta como de suscripción obligatoria para el cliente, estableciendo
expresamente que la firma del documento supone que éste ?conoce, entiende y acepta su
contenido?. Se establece, asimismo, que los términos y condiciones son de aplicación general
a todas las ?relaciones comerciales? del interesado ?con CaixaBank y las empresas del Grupo
CaixaBank, y por ello, la suscripción y vigencia del presente Contrato, respetando los
correspondientes derechos de elección que para el Firmante otorgue el clausulado, es
necesaria para la contratación y mantenimiento de contratos de productos o servicios?.
Las opciones o ?elección? a las que se refiere el párrafo anterior tienen que ver con
consentimientos recogidos en el clausulado del ?Contrato Marco? sujetos a su efectiva
aceptación por parte del cliente, que han de prestarse durante el proceso de contratación y
que se incorporan, una vez expresadas esas opciones por el cliente, al apartado de datos
personales y socioeconómicos de la cabecera. Se trata de los consentimientos para el
tratamiento de datos personales que se solicitan al interesado en la cláusula 8 (perfilados y
segmentados, recepción de impactos comerciales y cesión a terceros).
La información que se facilita al interesado en este documento en relación con la
protección de datos personales se estructura según la base jurídica que legitima el
tratamiento de los datos, dedicando el apartado 7 a los tratamientos ?basados en la ejecución
de los contratos, obligaciones legales e interés legítimo y política de privacidad?, el apartado 8
al ?tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas
del grupo CaixaBank basados en el consentimiento?.
El citado apartado 7 incluye un subapartado relativo al ?tratamiento de datos
biométricos en la firma electrónica de documentos? y facilita la información sobre los
?tratamientos basados en interés legítimo?, incluida como uno de los epígrafes del
subapartado que informa sobre los tratamientos de datos ?con finalidades regulatorias?.
Por su parte, el apartado 8 informa sobre los tratamientos basados en el
?consentimiento?, que CAIXABAN agrupa en las tres finalidades siguientes, y también informa
sobre los ?datos? que se tratarán para las dos primeras finalidades de las mencionadas a
continuación:
?(i) los tratamientos de análisis y estudio de datos con finalidad comercial por CaixaBank y empresas
del grupo CaixaBank
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/177
(ii) los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las empresas del
grupo CaixaBank
(iii) la cesión de datos a terceros?.
A lo indicado, se añaden los apartados 9 ?Ejercicio de derechos en materia de
protección de datos? y 10 ?Delegado de Protección de Datos?, así como un subapartado
dedicado al ?Plazo de conservación de los datos?, insertado en el apartado 11 referido a la
duración, resolución y modificación del contrato.
El apartado 11 no tiene relación con el procedimiento (legislación y fuero aplicables). Y
el apartado 13 corresponde a la firma del documento. Tiene como rótulo ?Digitalización de la
firma y de la documentación identificativa del cliente? y ofrece la información siguiente:
?La rúbrica que el Firmante estampa al pie del presente Contrato, además de tener la finalidad de
aceptación del contenido del presente Contrato, se utilizará para su digitalización y registro, al objeto
de servir como base para la comprobación de firmas que se estampen en cualquier documento que se
presente a CaixaBank??.
?[?] para la identificación del cliente por los empleados de la entidad, el Firmante autoriza a
CaixaBank, de forma expresa, la digitalización y registro de su documento oficial de identificación, lo
que incluye la digitalización de su imagen contenida en la fotografía que el mismo incorpore?.
En los Fundamentos de Derecho que siguen no se detallará el contenido del
documento denominado por CAIXABANK ?Contrato de Consentimientos?
(?Autorización/Revocación?), por cuanto su estructura y contenido coincide casi literalmente
con la Cláusula 8 del ?Contrato Marco? (las referencias que en estos Fundamentos de
Derecho se realizan a esta cláusula 8 o apartado 8 sirven por igual al ?Contrato de
Consentimientos?, salvo que se especifique otra cosa). Se precisarán, no obstante, las
diferencias que se aprecian entre ambos documentos.
Asimismo, el documento ?Política de Privacidad? disponible en la web de CAIXABANK,
que se incorpora como Anexo V, con trece apartados, informa de modo genérico sobre la
identidad del responsable (sin hacer referencia a la existencia de un ?repositorio común? a
CAIXABANK y las empresas del Grupo), datos recabados, información obtenida de
navegación por la web y aplicaciones móviles, finalidades, base jurídica que ampara los
tratamientos de datos, seguridad, conservación de datos, cesiones, transferencias
internaciones, delegado de protección de datos y derechos del interesado. Interesa destacar
que esta ?Política de Privacidad?, al referirse a los usos basados en el consentimiento,
advierte al interesado que podrá utilizar ?todos los datos que tenemos sobre ti?; y en el
apartado ?¿A quién se comunican mis datos?? se informa sobre el intercambio de información
con empresas del Grupo CaixaBank.
Finalmente, en relación con la obtención y utilización de datos personales del
interesado en redes sociales u obtenidos del servicio de agregación, se informa sobre datos,
finalidades, tratamientos basados en el consentimiento y derechos del interesado. En el último
caso, además, se informa sobre tratamientos de datos basados en el interés legítimo y
conservación de datos.
El contenido íntegro de esta información (excepto los apartados excluidos de análisis)
consta reproducido en Anexos.
V
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
77/177
El artículo 5 ?Principios relativos al tratamiento? del RGPD establece:
?1.Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y
transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior
de los datos personales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la
finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
(«minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se
supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento de los datos personales; los datos personales podrán
conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo
en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con
el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas
apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del
interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y
confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y
capaz de demostrarlo («responsabilidad proactiva»)?.
En relación con los citados principios, se tiene en cuenta lo señalado en el
Considerando 39 del citado RGPD:
?39. Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar
totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos
personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El
principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos
datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho
principio se refiere en particular a la información de los interesados sobre la identidad del responsable
del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las
personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos
relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en
relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales
deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos
personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que
sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de
conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera
lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan
más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o
revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o
supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
78/177
que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para
impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento?.
VI
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida,
registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso,
cotejo o interconexión, limitación, supresión o destrucción?.
De acuerdo con dichas definiciones, la recogida de datos de carácter personal a través
de formularios habilitados al efecto constituye un tratamiento de datos, respecto del cual el
responsable del tratamiento ha de dar cumplimiento al principio de transparencia, establecido
en el artículo 5.1 del RGPD, según el cual los datos personales serán ?tratados de manera
lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia)?; y
desarrollado en el Capítulo III, Sección 1ª, del mismo Reglamento (artículos 12 y siguientes).
El artículo 12.1 del citado Reglamento establece la obligación del responsable del
tratamiento de tomar las medidas oportunas para ?facilitar al interesado toda información
indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos
15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida a un
niño?.
En el mismo sentido se expresa el artículo 7 del RGPD para supuestos en los que el
consentimiento del interesado se preste en el contexto de una declaración escrita, como
ocurre en el presente caso. Según este artículo, dicha solicitud del consentimiento ?se
presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible
y de fácil acceso y utilizando un lenguaje claro y sencillo?. Se añade en este precepto que
ninguna parte de la declaración que constituya infracción del presente Reglamento será
vinculante.
El artículo 13 del citado texto legal detalla la ?información que deberá facilitarse
cuando los datos personales se obtengan del interesado? y el artículo 14 mencionado se
refiere a la ?información que deberá facilitarse cuando los datos personales no se hayan
obtenido del interesado?.
En el primer caso, cuando los datos personales se recaben directamente del
interesado, la información deberá facilitarse en el momento mismo en que tiene lugar esa
recogida de datos. El artículo 13 del RGPD detalla esa información en los términos siguientes:
1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento,
en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del
responsable o de un tercero;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
79/177
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o,
en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo
segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de
estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al
interesado, en el momento en que se obtengan los datos personales, la siguiente información
necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios
utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales
relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al
tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte
a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario
para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está
informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo
22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así
como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un
fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho
tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor
del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el
interesado ya disponga de la información?.
El artículo 14 regula la información que deberá facilitarse en relación con los datos que
no se recaban directamente del interesado:
?1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento
le facilitará la siguiente información:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del
tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer
país u organización internacional y la existencia o ausencia de una decisión de adecuación de la
Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49,
apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para
obtener una copia de ellas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al
interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y
transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
80/177
criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del
responsable del tratamiento o de un tercero;
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales
relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al
tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte
a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso
público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el
artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica
aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
3.El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:
a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un
mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el
momento de la primera comunicación a dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos
personales sean comunicados por primera vez.
4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para
un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho
tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el
apartado 2.
5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:
a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,
en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica
o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89,
apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo
pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales
casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses
legítimos del interesado, inclusive haciendo pública la información;
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los
Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas
para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una
obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros,
incluida una obligación de secreto de naturaleza estatutaria?.
Por su parte, el artículo 11.1 y 2 de la LOPDGDD dispone lo siguiente:
?Artículo 11. Transparencia e información al afectado
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar
cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679
facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una
dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante
información.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
81/177
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de
su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos
jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de
acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679?.
En relación con este principio de transparencia, se tiene en cuenta, además, lo
expresado en los Considerandos 32, 39, reproducido en el Fundamento de Derecho anterior,
42, 47, 58, 60, 61 y 72 del RGPD. Se reproduce a continuación parte del contenido de estos
Considerandos:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de
voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de
carácter personal que le conciernen, como una declaración por escrito, inclusive por medios
electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet,
escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o
cualquier otra declaración o conducta que indique claramente en este contexto que el interesado
acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya
marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas
las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga
varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha
de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no
perturbar innecesariamente el uso del servicio para el que se presta.
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del
tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de
tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto,
debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de
la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (LCEur 1993, 1071),
debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el
responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje
claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el
interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del
tratamiento a los cuales están destinados los datos personales. El consentimiento no debe
considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no
puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se
puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el
tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado,
teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el
responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y
apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente
o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una
evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en
el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En
particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los
intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en
circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento
ulterior? El tratamiento de datos de carácter personal estrictamente necesario para la prevención del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
82/177
fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. El
tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por
interés legítimo.
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea
concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y,
además, en su caso, se visualice?
(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la
existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al
interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de
las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados,
también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que
no lo hicieran?
(61) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en
el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable,
dependiendo de las circunstancias del caso?
(72) La elaboración de perfiles está sujeta a las normas del presente Reglamento que rigen el
tratamiento de datos personales, como los fundamentos jurídicos del tratamiento o los principios de la
protección de datos?
CAIXABANK, según consta en hechos probados, realiza tratamientos de datos
personales obtenidos de los clientes, de forma directa o ?indirectamente?, así como de datos
personales obtenidos de otras fuentes distintas a los interesados o inferidos por la propia
entidad. Viene por ello, obligada a facilitar información en los términos establecidos en el
- La información ofrecida a los clientes de CAIXABANK no es uniforme.
Analizada la información en materia de protección de datos personales ofrecida por
CAIXABANK, considerando los diversos documentos y canales mediante los que se ofrece,
se comprueba que no es uniforme, ni si quiera en la terminología, no se ofrece con la misma
amplitud a todos los clientes y en todas las situaciones (en unos casos se emplea el ?Contrato
Marco?, en otros el ?Contrato de Consentimientos? y para otros clientes únicamente la ?Política
de Privacidad?), y no se actualiza de la misma forma en cada caso.
CAIXABANK ha alegado que el deber de información se cumple con el ?Contrato
Marco? y no con el resto de documentos, que son meramente complementarios de aquél, que
se utilizan en momentos y escenarios distintos, y no de forma simultánea, y que no tienen por
objeto cumplir lo mandado por el artículo 13 de dicho Reglamento, ya que se dirigen a clientes
ya informados.
Sin embargo, esta alegación no coincide con las comprobaciones realizadas. Es cierto
que el ?Contrato Marco? es el documento utilizado prioritariamente, el cual sirve, además,
como formulario de recogida de datos personales y para la prestación de los consentimientos
recabados por CAIXABANK con fines comerciales. Pero ha quedado acreditado que la
información en materia de protección de datos se facilitó a algunos clientes únicamente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
83/177
mediante el ?Contrato de Consentimiento? y la ?Política de Privacidad?, sin que éstos hubiesen
suscrito el ?Contrato Marco?.
El ?Contrato de Consentimientos?, aunque se ha utilizado y utiliza en la actualidad
como documento para revocar y modificar los consentimientos, se concibió como un
documento para ?autorizar? los tratamientos de datos basados en esta base jurídica, al igual
que el ?Contrato Marco?, y no ha perdido ese carácter (su denominación inicial fue
?Autorización para el tratamiento de datos de carácter personal con finalidades comerciales
por CaixaBank, S.A. y empresas del Grupo CaixaBank?; y la actual ?Autorización/Revocación
para el tratamiento de datos de carácter personal con finalidades comerciales por CaixaBank,
S.A. y empresas del Grupo CaixaBank?). Consta acreditado que no siempre se ha utilizado el
?Contrato Marco? para la recogida de los consentimientos, no en el caso de todos los clientes.
La propia entidad CAIXABANK, en su respuesta a los Servicios de Inspección de la
Agencia de fecha 17/07/2018, manifestó que el ?Contrato de Consentimientos? se emplea, no
solo para modificar los consentimientos prestados, sino también para recogerlos. El
reclamante es un ejemplo de cliente que no ha suscrito el ?Contrato Marco? y prestó sus
consentimientos mediante el ?Contrato de Consentimientos?, suscrito el 24/01/2018 y
modificado en mayo de 2018, según pudo comprobarse en la inspección realizada en fecha
28/11/2019 (a esta fecha, el reclamante no había suscrito el ?Contrato Marco?)
Lo mismo puede decirse de la ?Política de Privacidad? disponible en la web de la
entidad. Aunque se indica en el ?Contrato Marco? que incluye ?información complementaria a
la que se le facilita en el presente contrato?, la Política de Privacidad también se ha sido la
única información sobre protección de datos personales que algunos clientes han recibido, los
cuales no suscribieron el ?Contrato Marco? ni el ?Contrato de Consentimientos?.
CAIXABANK fue consultada al respecto por los Servicios de Inspección de la Agencia
sobre los procedimientos habilitados para dar a conocer la ?Política de Privacidad? actualizada
al RGPD a clientes anteriores a la aplicación de esta norma y los mecanismos para recabar
su aceptación. En su respuesta de 20/11/2019, CAIXABANK informó que dicha ?Política de
Privacidad? tiene la finalidad de dar información completa a los clientes que en mayo de 2018
no hubieran firmado el contrato marco; y distingue desde mayo de 2018 las situaciones
siguientes:
. La correspondiente a los clientes ?preexistentes? que firmaron el ?Contrato Marco? o que
recibieron la ?Política de Privacidad?.
. La de los nuevos clientes, que en su primera relación suscriben el ?Contrato Marco?.
En relación con la ?Política de Privacidad?, ha facilitado los detalles sobre su traslado a
los clientes existentes a mayo de 2018, en concreto, el envío de 15.917.507 comunicaciones,
de los cuales 5.663.683 se realizaron por correo postal y 10.253.824 a través de la banca a
distancia con un pop up de aviso (?Si quieres conocer más sobre nuestro compromiso con tus
datos y tu privacidad, tienes un comunicado disponible en tu MailBox -Acceder a MailBox?).
También en su escrito de alegaciones a la apertura del procedimiento, la citada entidad
se refiere a los clientes anteriores a mayo de 2018, distinguiendo entre los que han firmado el
?Contrato Marco?, los que han firmado el ?Contrato de Consentimientos? y aquellos otros a los
que preguntó y no contestaron.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
84/177
Por otra parte, tampoco esos documentos son uniformes en cuanto a su contenido,
como se describirá en los apartados y Fundamentos de Derecho siguientes.
Como muestra de esas diferencias, pueden destacarse en este momento las
apreciadas entre el ?Contrato Marco? y el ?Contrato de Consentimientos?, siendo la más
significativa que este último documento ofrece información equivalente, básicamente, a la
Cláusula 8 del ?Contrato Marco?, de forma que los clientes que suscriben este documento lo
hacen sin disponer de información esencial. Pero no esta la única diferencia en cuanto al
contenido de la información:
. La versión 2 del ?Contrato de Consentimientos? (Anexo II) hacía referencia a la gestión de
los datos ?desde un repositorio común de información de las Empresas del Grupo CaixaBank?
que no figura en el ?Contrato Marco? (esta indicación desaparece en la Versión 3 de aquel
documento).
. Diferencias en cuanto al ejercicio de derechos, existencia de un Delegado de Protección de
Datos y el plazo de conservación de los datos, que se detallan en los dos últimos apartados
del presente Fundamento de Derecho.
. La Versión 3 del ?Contrato de Consentimientos?, en la autorización (ii) del apartado
correspondiente a la finalidad 1 (?Tratamientos de análisis, estudio y seguimiento para la
oferta y diseño de productos y servicios ajustados al perfil de cliente?) se añade la posibilidad
de asociar los datos del firmante con los de otros clientes, que no consta en el ?Contrato
Marco?.
Como puede verse, la diferente información que reciben los clientes tiene que ver con
el documento empleado en cada caso para facilitar la información, además de su diferente
contenido, más allá de los procesos de actualización de esos documentos alegada por
CAIXABANK para justificar esta deficiencia.
Nada dice CAIXABANK sobre aquellas circunstancias en su escrito de alegaciones a
la propuesta, en el que solo señala que dicha propuesta parece dejar traslucir que todos los
clientes acceden a todos los documentos y, singularmente, que todos los clientes tienen tanto
el ?Contrato de Consentimientos? como el ?Contrato Marco?, cosa que no coincide con lo
expuesto.
Niega CAIXABANK esta falta de uniformidad, pero, al mismo tiempo, alega que el
proceso de mejora que ha desarrollado ha supuesto una cohonestación de todos los
documentos.
-
Empleo de una terminología imprecisa y formulaciones vagas
De acuerdo con lo expuesto, en el momento de la recogida de los datos personales el
responsable del tratamiento debe suministrar a los interesados la información establecida en
las normas citadas, ?en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo?.
CAIXABANK no informa de manera clara y sistemática sobre los tratamientos de datos
personales ni las finalidades para las que serán utilizados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
85/177
En ocasiones, la información sobre aspectos claves como las categorías de los datos
personales tratados, las finalidades o la base legal que habilita el tratamiento, emplea
expresiones poco claras e imprecisas, o formulaciones vagas, con significados ambiguos en
algunos casos, y cuyo verdadero alcance no se desarrolla; expresiones que se repiten y que
CAIXABANK utiliza para fundamentar diferentes actuaciones, tratamientos, finalidades o
legitimaciones.
Además, con algunas de esas expresiones, la política de protección de datos se
muestra como un beneficio para el cliente, dando a entender que su no aceptación supondrá
la pérdida de ventajas como cliente.
Pueden destacarse como ejemplo expresiones como ?conocerte mejor?, ?personalizar
su experiencia?, ?ofertas comerciales ajustadas a sus necesidades y preferencias?, ?mejorar el
diseño y usabilidad de los productos?, ?productos y servicios ajustados a su perfil?,
?información generada de los propios productos?, ?análisis y estudio?, ?estudiar productos y
servicios? o ?diseñar productos y servicios?, ?para nuestra propia gestión?, ?darte un mejor
servicio?, ?comunicar tus datos a terceros con los que tengamos acuerdo?, ?expectativa
razonable de recibir?, ?necesidades de gestión?, ?análisis, estudio y seguimiento para la oferta
y diseño de productos y servicio ajustados al perfil?.
Tampoco el interesado puede deducir claramente el significado de esas expresiones a
partir del contexto en el que se ofrece la información y se recaba la manifestación de voluntad
del interesado, o a partir del contexto mismo de la relación contractual que vincula al
interesado con la entidad responsable. Sobre esta base contextual o contexto fáctico, el
cliente no es capaz de entender los datos que serán registrados o el significado de las
finalidades perseguidas por CAIXABANK con el tratamiento, cuando estás no se especifican
claramente, especialmente considerando la variedad y complejidad de las finalidades de los
tratamientos de datos personales que realiza CAIXABANK en su condición de entidad
financiera que ocupa una relevante posición en el mercado, que demanda un esfuerzo
adicional a la hora de concretar la información sobre los aspectos mencionados.
De todo ello se deriva que la información ofrecida en esta materia es indeterminada en
los aspectos señalados y difícil de entender por cualquier interesado, con independencia de
su cualificación, y demuestra hasta qué punto es necesario ser un experto para comprender
dicha información y su alcance.
La terminología en aquellas expresiones, en definitiva, es ajena al cumplimiento
estricto del principio de transparencia, e impide a los interesados conocer el sentido y
significado real de las indicaciones facilitadas y el alcance real de los consentimientos que
puedan prestarse, lo que supone entender vulnerado el derecho a la protección de datos
personales, entendido como la capacidad del afectado de decidir sobre el tratamiento.
CAIXABANK, en sus alegaciones a la apertura del procedimiento, se limita calificar
estos argumentos como apreciaciones subjetivas, sin prueba que demuestre lo que
comprenden o no los clientes, añadiendo que se ha realizado trabajos externos para verificar
que los documentos contractuales pueden entenderse sin dificultad por un cliente medio, los
cuales no aporta.
Sin embargo, a juicio de esta Agencia, la falta de claridad de aquellas fórmulas o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
86/177
expresiones es evidente y objetiva, como se demuestra por la dificultad que supone concluir
su alcance real y concreto.
Las expresiones tan repetidas por CAIXABANK en los documentos reseñados se
incluyen como ejemplos de malas prácticas en el documento del Grupo de Trabajo del Artículo
29 ?Directrices sobre la transparencia en virtud del Reglamento 2016/679?, adoptadas el
29/11/2017 y revisadas el 11/04/2018.
En estas Directrices se analiza el alcance que debe atribuirse a los elementos de
transparencia establecidos en el artículo 12 del RGPD, según el cual el responsable del
tratamiento tomará las medidas oportunas para ?facilitar al interesado toda información
indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos
15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo?, que ha de ponerse en relación con lo expresado en
el Considerando 39 del citado Reglamento. De lo expuesto en dichas Directrices, cabe
destacar en este momento lo siguiente:
?El requisito de que la información sea ?inteligible? quiere decir que debe resultar comprensible al
integrante medio de la audiencia objetivo. La inteligibilidad está estrechamente vinculada al requisito de
utilizar un lenguaje claro y sencillo. Un responsable del tratamiento que actúe con responsabilidad
proactiva conocerá a las personas sobre las que recopila información y puede utilizar este
conocimiento para determinar lo que dicha audiencia es susceptible de comprender??.
En el caso de la información ?escrita?» (y cuando la información escrita se comunique verbalmente, o
mediante métodos auditivos o audiovisuales, también para interesados con problemas de visión), han
de seguirse las mejores prácticas para escribir con claridad. El legislador de la UE ya ha utilizado
previamente un requisito lingüístico similar (apelando al uso de ?términos claros y comprensibles?) y
también aparece explícitamente mencionado en el contexto del consentimiento en el considerando 42
del RGPD. La obligación de utilizar un lenguaje claro y sencillo implica que la información debe
facilitarse de la forma más simple posible, evitando oraciones y estructuras lingüísticas complejas. La
información debe ser concreta y categórica; no debe formularse en términos abstractos o ambivalentes
ni dejar margen para distintas interpretaciones. En concreto, los fines y la base jurídica del tratamiento
de los datos personales deben ser claros.
Ejemplos de prácticas deficientes
Los siguientes enunciados no son suficientemente claros con respecto a la finalidad del tratamiento:
. ?Podremos utilizar sus datos personales para desarrollar nuevos servicios? (ya que no queda claro de
qué ?servicios? se trata ni cómo ayudarán los datos a desarrollarlos);
. ?Podremos utilizar sus datos personales para fines de investigación? (ya que no queda claro a qué tipo
de ?investigación? se refiere); y
. ?Podremos utilizar sus datos personales para ofrecerle servicios personalizados? (ya que no queda
claro qué implica esta ?personalización?).
Ejemplos de buenas prácticas
. ?Conservaremos su historial de compra y utilizaremos detalles de los productos que ha comprado
anteriormente para sugerirle otros productos que creemos podrían interesarle también? (está claro qué
tipos de datos se tratarán, que el interesado será objeto de publicidad de productos personalizada y
que se utilizarán sus datos en este sentido);
. ?Conservaremos y evaluaremos información sobre sus visitas recientes a nuestro sitio web y cómo
navega por las distintas secciones del mismo con el fin de analizar y comprender el uso que las
personas hacen de nuestro sitio web y poder hacerlo más intuitivo? (queda claro qué tipo de datos se
tratarán y el tipo de análisis que el responsable va a realizar); y
. ?Mantendremos un registro de los artículos de nuestro sitio web en los que ha pulsado y utilizaremos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
87/177
esa información para personalizar, a partir de los artículos que ha leído, la publicidad que le mostramos
en este sitio web para que se ajuste a sus intereses? (queda claro lo que conlleva la personalización y
cómo se han identificado los intereses que se atribuyen al interesado)>>.
Lo expuesto debe interpretarse, en todo caso, teniendo en cuenta los principios
establecidos en el artículo 5 del RGPD, en especial el principio de lealtad. El Considerando 42
del mismo texto refiere también que el formulario en el que se ofrece la información en
materia de protección de datos personales no debe contener términos no leales.
- Información sobre los tratamientos de datos personales basados en la relación
contractual.
En el apartado dedicado a la finalidad 1 ?Gestión de las relaciones comerciales?,
CAIXABANK informa sobre el tratamiento de los siguientes datos personales:
. Los datos de carácter personal aportados por el cliente.
. Datos personales que se deriven de las relaciones comerciales.
. Datos de carácter personal que se deriven de relaciones comerciales de CAIXABANK y
empresas del Grupo CaixaBank con terceros (no se refiere en este epígrafe a la relación
negocial del interesado/cliente con CAIXABANK, sino a relaciones de esta entidad y las que
integran el Grupo con terceros; sin explicar la naturaleza de estas relaciones con terceros y
sin detallar qué datos de estas relaciones son necesarios para la ejecución del contrato
suscrito por el interesado/cliente, ni quién es el titular de esos datos).
. Datos personales ?confeccionados a partir de ellos? (sin especificar si se refiere a los últimos
señalados o a todos los anteriores).
. Digitalización y registro de los documentos identificativos y la firma.
Se estima que la información incluida en este apartado debe ser rectificada y
completada convenientemente de modo que permita valorar y determinar con certeza si los
tratamientos reseñados pueden ampararse en esta base jurídica (la ejecución del contrato) o,
por el contrario, su recogida y posterior tratamiento exige el consentimiento del interesado. Es
necesario conocer qué entiende CAIXABANK por datos derivados de las relaciones
comerciales o datos ?confeccionados a partir de ellos? y qué uso se da a los mismos para el
cumplimiento de la relación contractual.
Asimismo, es preciso señalar la confusión que produce sobre la base jurídica del
tratamiento (tratamientos para la ejecución del contrato o basados en el consentimiento) la
mención que se realiza en este apartado a ?Relaciones comerciales? y a lo que CAIXABANK
denomina ?finalidades comerciales?. En el rótulo del subapartado se indica ?Tratamientos de
datos de carácter personal con la finalidad de gestionar las relaciones comerciales?, dentro de
un apartado más general relativo a tratamientos ?basados en la ejecución del contrato?,
mientras que en el texto se hace referencia también a los tratamientos que el firmante acepte
para finalidades comerciales. El texto dice así: ?Los datos de carácter personal del firmante?
se incorporarán? para ser tratados con la finalidad de dar cumplimiento y mantener las
mismas (las relaciones comerciales), verificar la corrección de la operativa y las finalidades
comerciales que el firmante acepte en el presente contrato?.
- Información sobre las categorías de los datos personales sometidos a tratamiento;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
88/177
y sobre las categorías de datos personales concretas que se tratarán para cada
una de las finalidades específicas.
La información ofrecida es incompleta en relación con aspectos claves, como las
categorías de los datos personales tratados.
De acuerdo con los criterios manifestados por el Comité Europeo de Protección de
Datos, esa información sería necesaria en relación con aquellos tratamientos de datos cuya
base legal venga determinada por el consentimiento del interesado. Así lo entendió el Grupo
de Trabajo del Artículo 29 en su documento ?Directrices sobre el consentimiento en virtud del
Reglamento 2016/679?, adoptado el 28/11/2017, revisadas y aprobadas el 10/04/2018 (estas
Directrices han sido actualizadas por el Comité Europeo de Protección de Datos el
04/05/2020 mediante el documento ?Directrices 05/2020 sobre el consentimiento con arreglo
al Reglamento 2016/679?, el cual mantiene literalmente idénticas las parte que se transcriben
a continuación).
El Grupo de Trabajo del Artículo 29 obtiene sus conclusiones a partir de la definición
del ?consentimiento? recogida en el artículo 4 del RGPD, que se expresa en los términos
siguientes:
?11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen?.
A partir de esta definición, se concretan como elementos necesarios para la validez del
consentimiento los siguientes:
. Manifestación de voluntad libre
. específica
. informada e
. inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara
acción afirmativa, el tratamiento de datos personales que le conciernen.
En relación con el elemento ?manifestación de voluntad específica? se dice:
?3.2. Manifestación de voluntad específica
(?)
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el
requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para
varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios
puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el
objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este
modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el
requisito de que los responsables faciliten información clara?.
Además, el consentimiento, para ser válido, debe ser informado. Este elemento se
analiza en las mencionadas ?directrices? como sigue:
3.3. Manifestación de voluntad informada
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
89/177
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad con el
artículo 5 del RGPD, el requisito de transparencia es uno de los principios fundamentales,
estrechamente relacionado con los principios de lealtad y licitud. Facilitar información a los interesados
antes de obtener su consentimiento es esencial para que puedan tomar decisiones informadas,
comprender qué es lo que están autorizando y, por ejemplo, ejercer su derecho a retirar su
consentimiento. Si el responsable no proporciona información accesible, el control del usuario será
ilusorio y el consentimiento no constituirá una base válida para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el consentimiento no será válido
y el responsable podrá estar incumpliendo el artículo 6 de RGPD.
3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos que
son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al menos, la información
siguiente para obtener el consentimiento válido:
i) la identidad del responsable del tratamiento,
ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el consentimiento,
iii) qué (tipo de) datos van a recogerse y utilizarse,
iv) la existencia del derecho a retirar el consentimiento,
v) información sobre el uso de los datos para decisiones automatizadas de conformidad con el artículo
22, apartado 2, letra c), cuando sea pertinente, e
vi) información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una
decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo 46>>.
La información que se facilita en el ?Contrato Marco? sobre los tipos de datos
personales de clientes que se someten a tratamiento no se contiene, con carácter general, en
un apartado específico, sino que se incluye en cada uno de los apartados reseñados al
detallar la estructura del documento, articulada en torno a las bases jurídicas, finalidades y
tratamientos de datos pretendidos.
A la vista de los criterios interpretativos sobre la noción de ?consentimiento informado?
que ofrece el Comité Europeo de Protección de Datos, se considera que CAIXABANK no
proporciona información suficiente sobre la tipología de los datos que serán sometidos a
tratamientos cuya base jurídica sea el consentimiento de los interesados.
Esta insuficiencia se observa en el ?Contrato Marco? y en el ?Contrato de
Consentimientos? en relación con las finalidades de ?análisis y estudio de datos? y ?para la
oferta comercial de productos y servicios?, sobre las que se informa en el apartado 8
?Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas del
Grupo CaixaBank basados en el consentimiento?. En este apartado se indica que se tratarán,
entre otros, los datos siguientes:
?b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank,
con las Empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas,
detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de
seguro, reclamaciones, etc.?.
?g) Los obtenidos de las navegaciones del firmante por el servicio de banca digital y otras webs de
CaixaBank y las Empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank y las
Empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir
información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
90/177
establecida entre las partes?.
Todo ello se refiere a los datos tratados por razón de los productos y servicios
contratados, de modo que, aunque éstos sean conocidos por el usuario, no puede conocer los
que se seleccionarán a partir del uso de tales productos y servicios. Lo mismo puede decirse
respecto de los datos de navegación y los obtenidos de las comunicaciones que se
establezcan entre el cliente y la entidad.
En esta información se advierte al interesado que CAIXABANK podrá tratar ?todos? los
datos que ?se generen en la contratación y operativas de productos y servicios?.
Seguidamente pone algunos ejemplos, precedidos de la expresión ?tales como? y finalizando
con la expresión, ?etc.?, cuyo empleo debe evitarse al ofrecer información en materia de
protección de datos.
Tampoco los ejemplos que se indican son lo suficientemente descriptivos como para
entender las categorías de datos que serán tratados (?movimientos?, ?recibos?, ?nóminas?,
?siniestros? y ?reclamaciones?). En relación con los ?recibos domiciliados? se indica que se
tratarán los ?detalles? de los mismos; y respecto de todos esos ejemplos se indica, como ya
se ha dicho, que se tratarán ?todos? los datos.
A la vista de dicha información queda claro que CAIXABANK tratará datos
personales generados en la contratación y operativa de productos y servicios contratados con
esa entidad.
Con esa información no queda claro qué datos personales registrará CAIXABANK
por cada ?movimiento?, ?recibo?, ?nómina?, ?siniestro? o ?reclamación? (¿registrará el concepto
y emisor correspondiente al pago de una cuota sindical?). Podría ocurrir, incluso, que la
información recabada por la entidad responsable a partir de los productos y servicios
contratados estuviera integrada por datos sensibles o categorías especiales de datos
personales, por ejemplo, la cuota sindical ya mencionada o cuotas abonadas a partidos
políticos, o a entidades de carácter religioso, o por uso de servicios prestados por entidades
sanitarias o religiosas.
No se concluye que CAIXABANK realice tratamientos de datos personales como los
indicados en el párrafo anterior. Se dice aquí, simplemente, en un fundamento que analiza la
información ofrecida por CAIXABANK a sus clientes, que esta información es defectuosa en la
medida en que no permite al destinatario de la información conocer con certeza todas las
categorías de datos personales que se utilizarán por aquella entidad y que, incluso, la
repetida información, por su falta de concreción, podría estar dando cobertura a una recogida
y tratamiento de datos personales inaceptable.
La ?Política de Privacidad? hace referencia, igualmente, a la utilización de datos
personales generados de los productos y servicios contratados (?Básicamente, son tus datos
identificativos y de detalle de la actividad profesional o laboral, tus datos de contacto y los
datos financieros y socioeconómicos, tanto los que nos has facilitado como los que se
generan de los productos o servicios contratados. También? podremos tratar datos que
obtengamos de la prestación de servicios a terceros cuando seas el destinatario del
servicio??).
También al referirse a los datos personales que se utilizarán para tratamientos de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
91/177
datos basados en el interés legítimo de la entidad, el ?Contrato Marco? informa sobre el uso
de información ?generada de los propios productos contratados durante el último año?. En
este apartado del ?Contrato Marco? relativo al interés legítimo se dice:
?También trataremos su información (movimientos de cuenta, movimientos de tarjeta, préstamos, etc.)
para personalizar su experiencia comercial en nuestros canales en base a anteriores usos, para
ofrecerle productos y servicios que se ajusten a su perfil, para aplicarle beneficios y promociones que
tengamos vigentes y a los que tenga derecho, y para evaluar si podemos asignarle límites de crédito
pre concedidos que pueda utilizar cuando lo considere más oportuno.
En estos tratamientos utilizaremos únicamente información facilitada por usted, o generada de los
propios productos contratados durante el último año?.
En este caso, la insuficiente información sobre las categorías de datos a tratar no está
relacionada con la necesidad de que el consentimiento sea informado, dado que se trata de
tratamientos basados en el interés legítimo de la entidad. Sin embargo, se tiene en cuenta la
posible relación existente entre estos tratamientos de datos personales basados en el interés
legítimo y los tratamientos basados en el consentimiento de los interesados. La utilización de
datos personales en base al interés legítimo da lugar a la elaboración de perfiles, que pueden
ser posteriormente utilizados para tratamientos con finalidades comerciales basados en el
consentimiento de los interesados; y dichos datos personales, incluidos los perfilados se
comunican a las sociedades del Grupo CaixaBank. Siendo así, los defectos en la información
en relación con el tratamiento de datos en base al interés legítimo afectan por igual a la
validez del consentimiento.
La obligación de informar sobre la categoría de los datos que se someterán a
tratamiento se incumple también en relación con los datos que no son facilitados al
responsable por el interesado, sino que se obtienen por éste de fuentes externas o son
inferidos por la propia entidad. Facilitar información sobre las tipologías de datos personales
sometidas a tratamiento que no se recaben directamente de los interesados se exige
expresamente en el artículo 14.1 d) del RGPD.
Según lo detallado anteriormente, CAIXABANK no solo utiliza datos personales
generados en la contratación y operativa de productos y servicios contratados con esa
entidad, sino también los generados de productos y servicios contratados por el interesado
con terceros (?Todos los que se generen en la contratación y operativas de productos y
servicios? con las Empresas del Grupo CaixaBank o con terceros?). En relación con estos
datos, se detallan los mismos ejemplos mencionados anteriormente (?movimientos?, ?recibos?,
?nóminas?, ?siniestros? y ?reclamaciones?), sobre los que sirven los reparos antes señalados
respecto de los mismos.
Se deduce de ello que CAIXABANK, bajo la condición de responsable del tratamiento,
recaba y utiliza datos personales que no obtiene directamente de los interesados. Se trata de
datos personales procedentes de terceros que CAIXABANK utiliza con las finalidades
expresadas en la información facilitada a los interesados.
No es esta la única alusión a datos personales obtenidos de terceros, fuentes externas
o inferidos por la propia entidad CAIXABANK contenida en el ?Contrato Marco?:
. En relación con los tratamientos necesario para la ejecución del contrato, se informa sobre la
incorporación a los ficheros de la entidad de datos que se deriven de las relaciones
comerciales de CAIXABANK y las empresas del Grupo con terceros; y datos confeccionados
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
92/177
a partir de los anteriores.
. En el apartado que informa sobre ?Tratamientos de datos de carácter personal con
finalidades regulatorias?, se incluyen las referencias siguientes:
?(ii) Se realizarán comprobaciones de la información facilitada por el Firmante contrastándola con
fuentes externas, tales como las bases de datos de la Tesorería General de la Seguridad Social u
otros organismos públicos, Registros Públicos, Boletines Oficiales, o empresas prestadoras de
servicios de información?.
?(iv) Se intercambiará (cederá y recibirá) la información de que disponga relativa al Firmante con
las empresas del Grupo CaixaBank
(v) Se verificará el desempeño, actual o pasado de cargos de responsabilidad pública por parte del
firmante.
(vi) Se verificará, con fuentes internas y externas, la relación del Firmante con sociedades y, en su
caso, su posición de control en la estructura de propiedad de las mismas.
(vii) Se clasificará al Firmante en diferentes grados de conformidad con la Política de Admisión de
Clientes, en función de la información facilitada y de la que resulte de la operativa efectuada por el
Firmante?.
. En el mismo subapartado relativo a los tratamientos de datos con finalidades regulatorias
también se informa sobre la consulta de datos registrados en ficheros de cumplimiento o
incumplimiento de obligaciones dinerarias (erróneamente incluido en este subapartado) y a la
Central de Información de Riesgos del Banco de España, CIRBE (erróneamente incluidos en
este subapartado):
?7.3.3 Comunicación con ficheros de cumplimiento o incumplimiento de obligaciones dinerarias.
Se informa al Firmante que CaixaBank, en el estudio del establecimiento de Relaciones Comerciales,
podrá consultar información obrante en ficheros de cumplimiento o incumplimiento de obligaciones
dinerarias?.
?7.3.4 Comunicación de datos a la Central de Información de Riesgos del Banco de España
Se informa al Firmante del derecho que asiste a CaixaBank S.A. para obtener de la Central de
Información de Riesgos del Banco de España (CIR) informes sobre los riesgos que pudiera tener
registrados en el estudio del establecimiento de Relaciones Comerciales?.
. En el apartado 8, relativos a los tratamientos de datos basados en el consentimiento (y
también en el ?Contrato de Consentimientos?) se añade expresamente que los datos del
cliente ?podrán ser complementados y enriquecidos por datos obtenidos de empresas
proveedoras de información comercial, por datos obtenidos de fuentes públicas, así como por
datos estadísticos, socioeconómicos (en adelante, ?Información Adicional?) siempre
verificando que estos cumplen con los requisitos establecidos en las normas vigentes sobre
protección de datos?, sin facilitar ningún detalle sobre las categorías de datos personales que
se obtendrán de estas fuentes externas.
Asimismo, la Política de Privacidad? incluye información sobre tratamientos de datos
de salud ?en la comercialización de determinados productos de seguro (salud, vida?)?. Sobre
estos datos personales, se aclara que el responsable es la compañía aseguradora:
?Cuando comercializamos estos productos, el responsable de los datos de salud es la compañía
aseguradora, por ello queremos que sepas que todas las compañías aseguradoras cuyos productos
comercializamos respetan y cumplen estrictamente la normativa de protección de datos?.
Con la información facilitada, como se ha indicado anteriormente, no queda claro qué
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
93/177
datos personales son tratados o qué datos registrará CAIXABANK.
La utilización por CAIXABANK de datos personales procedentes de productos y
servicios de terceros, de fuentes externas o inferidos por la propia entidad, requiere que se
facilite a los interesados la información adecuada y disponer de una base jurídica que ampare
el tratamiento.
Cabe precisar que no se cuestiona en este caso la obtención de datos personales
procedente de ficheros de cumplimiento de obligaciones dinerarias y de CIRBE para gestionar
los productos y servicios contratados, siempre que resulte necesaria para la ejecución del
contrato. Este es el fundamento que determina el acceso a esta información.
Sin embargo, la utilización de estos datos personales por parte de CAIXABANK no se
limita a comprobar la situación del interesado para la formalización de una operación de
riesgo, sino también con las finalidades basadas en el consentimiento. Teniendo en cuenta
que en la cláusula o apartado 8 se informa sobre el tratamiento de ?todos? los datos facilitados
en el establecimiento o mantenimiento de relaciones comerciales o de negocio, se estima
procedente que CAIXABANK informe sobre las categorías concretos de datos personales que
se obtendrán de los ficheros de cumplimiento o incumplimiento de obligaciones dinerarias y
de la CIRBE.
Por otro lado, en el caso de datos personales procedentes de productos y servicios de
terceros, la responsabilidad sobre estos datos personales corresponde a la entidad titular del
producto adquirido por el interesado o prestadora del servicio contratado por el mismo.
Cuando se trata de productos o servicios de terceros comercializados por
CAIXABANK, como en el caso de los productos de seguros, esta entidad accede a tales datos
bajo la condición de encargada de tratamiento, por su intervención mediadora. Esta Agencia
cuestiona la utilización de estos datos por parte de aquella entidad y con las finalidades que
se señalan, considerando que no se trata de productos propios. La condición de encargada
del tratamiento bajo la que intervine CAIXABANK en estos casos limita la posibilidad de
utilizar la información de que se trate con fines propios.
En definitiva, se recogen y tratan datos personales sin que los titulares de los mismos
sean conscientes de que CAIXABANK está accediendo a los mismos para registrarlos en sus
sistemas de información, los somete a tratamientos sobre los que el cliente no es informado
de forma clara, precisa y sencilla, y con finalidades no explícitas e indeterminadas, en contra
de los principios relativos al tratamiento establecidos en el artículo 5 del RGPD (lealtad,
limitación de la finalidad y minimización de datos), por cuanto, a partir de la información
facilitada, considerando su inconcreción, el interesado no puede conocer, como señala el
Tribunal Constitucional, ?a qué uso lo está destinando y, por otro lado, el poder oponerse a
esa posesión y usos?. Esta falta de precisión convierte en ineficaz la información facilitada
sobre los tratamientos de datos que se pretenden.
Lo indicado anteriormente contrasta con la información facilitada a través de la web de
la entidad sobre los datos personales recabados de redes sociales:
. Twitter: Nombre, nombre de usuario, tweets e información del perfil de usuario, incluyendo biografía e
información de ubicación.
. Facebook: Identificador de usuario, dirección de correo electrónico, sexo, fecha de nacimiento, ciudad
actual, y preferencias manifestadas por Usted mediante el click en "Me gusta" (o Likes).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
94/177
. Linkedin: Usuario registrado, nombre y apellidos, dirección de correo electrónico, URL de perfil,
información del perfil y Grupos.
Y no solo no especifica qué datos someterá a tratamiento, sino que tampoco se
informa debidamente en todos los casos sobre las categorías de datos personales concretas
que se tratarán para cada una de las finalidades especificadas.
La necesidad de completar la información que se ofrece a los clientes en el sentido
expresado resulta especialmente relevante cuando se trata de datos no facilitados por el
cliente, sino inferidos por la propia entidad a partir del uso de productos, servicios y canales.
No cabe admitir que toda la información se destine a todos los usos, que todos los datos
recabados, del interesado o de terceros, o inferidos puedan utilizarse para todas las
finalidades, sin delimitar.
Esto ocurre en relación con la finalidad expresada en el apartado 8 del ?Contrato
Marco? y en el ?Contrato de Consentimientos? relativa a la ?cesión de datos a terceros? con el
consentimiento como base jurídica. Con la información que se ofrece no es posible que el
interesado tenga una idea clara sobre los datos personales que se cederán a las entidades de
los sectores que se indican.
A este respecto, El Dictamen del Grupo de Trabajo del Artículo 29 antes citado,
?Directrices sobre el consentimiento en virtud del Reglamente 2016/679?, adoptadas el
28/11/2017, revisadas y aprobadas el 10/04/2018, y revisadas nuevamente en mayo de 2020,
al referirse a la obligación de informar sobre los datos que se recogerán y utilizarán, remite al
Dictamen 15/2011 sobre la definición del consentimiento, en tanto que ?manifestación de
voluntad específica?:
?Para ser válido, el consentimiento debe ser específico. En otras palabras, el consentimiento
indiscriminado sin especificar la finalidad exacta del tratamiento no es admisible.
Para ser específico, el consentimiento debe ser comprensible: referirse de manera clara y precisa al
alcance y las consecuencias del tratamiento de datos. No puede referirse a un conjunto indefinido de
actividades de tratamiento. Esto significa, en otras palabras, que el consentimiento se aplica en un
contexto limitado.
El consentimiento debe darse en relación con los diversos aspectos del tratamiento, claramente
identificados. Esto implica saber cuáles son los datos y los motivos del tratamiento. Este conocimiento
debería basarse en las expectativas razonables de las partes. Por tanto, el ?consentimiento específico?
está intrínsecamente relacionado con el hecho de que el consentimiento debe estar informado. Existe
un requisito de precisión del consentimiento con respecto a los diferentes elementos del tratamiento de
datos: no puede pretenderse que abarque ?todos los fines legítimos? perseguidos por el responsable
del tratamiento. El consentimiento debe referirse al tratamiento que es razonable y necesario en
relación con la finalidad?.
En General, como se ha dicho, el principio de transparencia debe entenderse como un
aspecto fundamental de los principios de tratamiento lícito y leal. Interesa reiterar lo
expresado en los Considerandos 39 y 60 y las referencias que contienen a la necesidad de
facilitar información para garantizar un tratamiento leal y transparente:
?39. Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar
totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos
personales que les conciernen, así como la medida en que dicho datos son o serán tratados? Dicho
principio se refiere en particular a la información de los interesados sobre la identidad del responsable
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
95/177
del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las
personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos
relativos al tratamiento de datos personales?.
?60. Los principios de tratamiento leal y transparente exigen que se informe al interesado de la
existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al
interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales?.
Y en el también citado documento del Grupo de Trabajo del Artículo 29 ?Directrices
sobre la transparencia en virtud del Reglamento 2016/679?, adoptadas el 29/11/2017 y
revisadas el 11/04/2018, que analiza el alcance que debe atribuirse al principio de
transparencia, se indica:
?Una consideración fundamental del principio de transparencia esbozado en estas disposiciones es que
el interesado debe poder determinar de antemano el alcance y las consecuencias derivadas del
tratamiento, y que no debe verse sorprendido en un momento posterior por el uso que se ha dado a
sus datos personales?.
En relación con la información sobre la categoría de datos personales que son
recabados y utilizados por CAIXABANK, alega que el artículo 13 del RGPD no exige
proporcionar a los interesados esta información de forma obligatoria, si bien, no obstante,
ofrece un listado suficientemente descriptivo de los tipos de datos que se tratan en base al
consentimiento, de conformidad con lo establecido en las Directrices 05/2020 sobre el
consentimiento con arreglo al Reglamento 2016/679, del Comité Europeo de Protección de
Datos (CEPD).
Asimismo, alega (i) que es suficiente la información que facilita sobre el tratamiento de
datos de movimientos, recibos, nominas, siniestros y reclamaciones, considerando que se
trata de productos y operativas del cliente, que conoce la información que incluyen; y (ii) que
esa información no incluye datos sensibles.
Advierte al respecto que la obligación que pretende imponer la AEPD supondría, por
un lado, la necesidad de informar sobre datos concretos, que implicaría una fatiga informativa
difícil de vencer; y, por otro lado, supondría también informar sobre lo que no se hace, en
base a una sospecha de tratamiento de datos sensibles.
Esta alegación no puede ser estimada, de acuerdo con los argumentos ya expuestos
en este apartado. Considera esta Agencia que la reseña de aquellos conceptos (movimientos,
recibos, nominas, siniestros y reclamaciones), sin incluir el detalle de las categorías de datos
que incluyen, es insuficiente para entender cumplida la obligación de informar sobre las
categorías de datos personales que son recabados y sometidos a tratamiento y, en definitiva,
para que el interesado pueda tener la información esencial y necesaria para la toma de sus
decisiones y comprender lo que está autorizando, así como para el ejercicio de sus derechos.
Sin olvidar que aquellos conceptos se incluyen como ejemplos, precedidos de la
expresión ?tales como? y seguidos del término ?etc.?.
En cuanto a la sospecha de esta Agencia sobre la posibilidad de que CAIXABANK
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
96/177
pudiera estar amparando, con la información ofrecida, la recogida y tratamiento de categorías
especiales de datos, debe reiterarse que la misma resulta de la propia información ofrecida en
los documentos objeto de las actuaciones. Por un lado, se dice que podrán obtenerse datos
de productos y servicios contratados por el cliente, ?tales como movimientos de cuentas o
tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas?, etc.?, y, por otro lado,
se indica también que se recabarán ?todos los datos que se generen en la contratación y
operativas? de esos productos y servicios. Luego, nada impide entender que pudieran
recabarse por CAIXABANK categorías de datos como emisor y concepto de los recibos
domiciliados, que podrían estar referidos al pago de una cuota sindical, pagos a una entidad
de atención sanitaria, cuotas a un partido político o donaciones a una entidad religiosa,
asociaciones de la sociedad civil o a grupos de activismo político, que podrían servir para
vincular al interesado con determinadas posiciones ideológicas, raza, religión, etc.
En cualquier caso, esta cuestión no ha determinado ninguna imputación a
CAIXABANK por tratamiento de datos de esta naturaleza, si bien se incluye esta
circunstancia, como se ha dicho, en la medida en que la información proporcionada es
defectuosa y podría servir de cobertura para una recogida y tratamiento de datos personales
inaceptable.
Lo expresado anteriormente sirve tanto para la obtención de datos personales
generados en la contratación de productos y servicios con CAIXABANK, como los generados
en la contratación de productos y servicios con terceros.
Por otra parte, en relación con la información sobre la categoría de datos personales
que no se obtienen del interesado, CAIXABANK alega que cumple con esta obligación
informando en la Cláusula 8 del ?Contrato Marco? cuando se indica que ?los datos del firmante
podrán ser complementados y enriquecidos por datos obtenidos de empresas proveedoras de
información comercial, por datos obtenidos de fuentes públicas, así como por datos
estadísticos, socioeconómicos (en adelante, ?Información Adicional?) siempre verificando que
estos cumplen con los requisitos establecidos en las normas vigentes sobre protección de
datos?.
Sin embargo, con esta información el interesado no tiene detalle sobre los tipos de
datos que se recabarán de esas fuentes externas o como serán complementados y
enriquecidos. No resulta suficiente a tales efectos con indicar que se recabarán datos de
fuentes externas, de empresas proveedoras o fuentes públicas, que no son categorías de
datos personales; y tampoco resulta suficiente con indicar que los datos del cliente se
complementarán con datos estadísticos y socioeconómicos sin más detalle que delimite las
categorías que se tratarán en realidad.
Nada se indica tampoco por CAIXABANK en sus alegaciones sobre los datos
confeccionados a partir de todos los anteriores.
También se alega por parte de CAIXABANK que no puede exigirse esta información en
relación con las categorías de datos que se tratan en base al interés legítimo. Sin embargo,
esta Agencia no exige esta información tal y como la expresa CAIXABANK. Lo que se
defiende es la necesidad de informar en tales casos cuando la información tratada en base al
interés legítimo, incluido los perfiles elaborados con esta base jurídica, se emplee también
para tratamientos basados en el consentimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
97/177
Del mismo modo, en caso de tratamientos de datos personales basados en intereses
legítimos realizados con datos personales que no se obtuvieron del interesado, la obligación
de informar sobre las categorías de datos personales utilizados en ese tratamiento viene
determinada, también, por lo establecido en el artículo 14 del RGPD.
También en relación con la información sobre las categorías de datos personales
advierte CAIXABANK que mejora la información en su nueva Política de Privacidad. No hay
más que ver la información sobre categorías de datos que CAIXABANK ha incluido en este
nuevo documento, aportada a las actuaciones junto con sus alegaciones a la propuesta de
resolución, para entender que la información analizada no puede entenderse satisfactoria,
que no es suficiente con hacer referencia a movimientos de cuentas o tarjetas, recibos,
nóminas, siniestros y reclamaciones. Sirven algunos ejemplos tomados de esta nueva Política
de Privacidad para ilustrar sobre categorías de datos que no detalla CAIXABANK en los
documentos objeto de las presentes actuaciones, ni el interesado podía deducir a partir de la
información que se facilita: unidad o círculo familiar; datos fiscales; datos tributarios;
información sobre inversiones realizadas y su evolución; o agrupación de clientes en
categorías y segmentos en función de edad, patrimonio, operativa, hábitos de consumo,
preferencias, demografía.
Finalmente, considera CAIXABANK que la incorporación de toda aquella información
relativa a la tipología de datos daría lugar a un documento excesivamente extenso,
susceptible de ocasionar fatiga informativa en los interesados. Las Directrices del GT29 sobre
Transparencia recomiendan evitar esa consecuencia, pero tal propósito no puede tomarse
como una justificación para omitir información necesaria. Obliga a estructurar la información
adecuadamente, pero no a limitarla.
Esas Directrices exigen a los responsables del tratamiento demostrar responsabilidad
proactiva en el desarrollo y utilización de métodos para dar cumplimiento a los requisitos de
transparencia que eviten la fatiga del interesado. Aunque ofrecen numerosas
recomendaciones y ejemplos de distintas modalidades para facilitar la información, se
advierte que son los responsables del tratamiento los que deciden las herramientas de
información de las que se sirven.
- Información sobre las finalidades a que se destinarán los datos personales de los
clientes y la base jurídica del tratamiento. Confusión de bases jurídicas.
En cuanto a las finalidades a que se destinarán los datos personales de los clientes y
la base jurídica del tratamiento, la entidad CAIXABANK, en el ?Contrato Marco? refiere
tratamientos similares en relación con finalidades distintas, amparadas en el interés legítimo
en unos casos y en el consentimiento en otros. Ello puede suponer que un tratamiento no
consentido por el interesado se lleve finalmente a cabo al amparo del interés legítimo del
responsable, desvirtuando la capacidad de los clientes de decidir sobre el destino de sus
datos personales.
En relación con los tratamientos basados en el interés legítimo se facilita información
sobre las finalidades en los términos siguientes:
. ?le remitiremos actualizaciones e información acerca de productos o servicios similares a los que ya
tenga contratados?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
98/177
. ?personalizar su experiencia comercial en nuestros canales en base a anteriores usos?
. ?ofrecerle productos y servicios que se ajusten a su perfil?.
. ?aplicarle beneficios y promociones que tengamos vigentes y a los que tenga derecho?
. ?evaluar si podemos asignarle límites de crédito pre concedidos?.
En relación con los tratamientos basados en el consentimiento se facilita información
sobre las finalidades en los términos siguientes:
. ?Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia?
. ?efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias?
. ?Diseñar nuevos productos o servicios?
. ?definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del
Grupo CaixaBank?.
. ?Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o telemáticos,
relativas a los productos y servicios que, en cada momento: a) comercialice CaixaBank o cualquiera de
las Empresas del Grupo CaixaBank b) comercialicen otras empresas participadas por CaixaBank y
terceros?.
La información ofrecida puede provocar confusión, a un ciudadano medio, sobre la
base jurídica que justifica el tratamiento, en el sentido expresado.
En este caso, (?) se desprende que esta entidad era consciente de las deficiencias
antes descritas, apreciadas en relación con la información sobre la base jurídica del
tratamiento.
(?)
Por otra parte, en el documento mediante el que el cliente suscribe el alta en el
servicio de agregación se incluye como objeto del contrato la personalización de ofertas
comerciales ajustadas al perfil y situación del contratante por parte de CAIXABANK y la
mejora del análisis de riesgos e idoneidad para la contratación de productos y servicios
solicitados por el contratante y la mejora de la gestión de impagos e incidencias derivadas de
los productos y servicios contratados; y entre los tratamientos que se citan con la finalidad de
gestionar el servicio se incluye la mejora de la gestión de impagos e incidencias y el
seguimiento de los productos; mientras que en el ?Contrato Marco? se requiere el
consentimiento del cliente para llevar a cabo tratamientos de datos personales con estas
finalidades (la mención a los tratamientos indicados en el objeto del contrato del servicio de
agregación y en relación con la gestión del servicio ha sido suprimida en la nueva versión de
este contrato aportada por CAIXABANK con su escrito de alegaciones).
La información sobre los fines, en general, está muy ligada al principio de limitación de
la finalidad, regulado en el artículo 5.1 b) del RGPD, que establece lo siguiente:
?1. Los datos personales serán:
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior
de los datos personales con fines de archivo en interés público, fines de investigación científica e
histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la
finalidad»)?.
La importancia de este principio viene determinada por su objeto, que no es otro que
establecer los límites dentro de los cuales los datos personales pueden ser tratados y la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
99/177
medida en que pueden utilizarse, además de determinar los datos que podrán recopilarse.
Para ser ?explícito?, un fin deberá ser inequívoco y expresarse claramente, con el detalle
suficiente para que el interesado, cualquier interesado, conozca de forma cierta cómo serán o
no tratados los datos y favoreciendo el ejercicio de sus derechos y la evaluación del
cumplimiento de la normativa. Para ser ?explícita?, la finalidad también deberá ser revelada, lo
que debe tener lugar en el momento en que se recaban los datos personales
Sobre esta cuestión, el Grupo de Trabajo del Artículo 29 se pronunció en su Dictamen
03/2013, sobre limitación de los fines. En este trabajo, se consideró que deben rechazarse,
por inespecíficas, las finalidades expresadas con fórmulas vagas o demasiado generales,
tales como ?mejorar la experiencia de los usuarios?, ?propósitos de comercialización? o
?investigación futura?.
En este Dictamen se indica que cuanto más complejo sea el tratamiento de los datos
personales, los fines deben especificarse de manera más detallada y exhaustiva, ?incluyendo,
entre otras cosas, la forma en que se procesan los datos personales. También deben
revelarse los criterios de decisión utilizados para la elaboración de perfiles de clientes?.
De acuerdo con lo expuesto, las finalidades para las que se tratarán los datos
personales sobre las que CAIXABANK informa a sus clientes, no se ajustan a los
mencionados requisitos de transparencia, especialmente si consideramos la ingente cantidad
de datos personales que somete a tratamiento, individual o globalmente considerada, y los
complejos procesos técnicos a los que son sometidos, sobre todo para la elaboración de
perfiles, que son utilizados con todos los propósitos descritos en la información que ofrece a
sus clientes:
. ?personalizar su experiencia comercial en nuestros canales?.
. ?ofrecerle productos y servicios que se ajusten a su perfil?.
. ?tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y servicios
ajustados al perfil de cliente?.
. ?Estudiar productos o servicios que puedan ser ajustados a su perfil y situación comercial o crediticia?.
. ?ofertas comerciales ajustadas a sus necesidades y preferencias?.
. ?definir o mejorar las experiencias de los usuarios?.
En las alegaciones de CAIXABANK se niegan, una vez más, las conclusiones
obtenidas por esta Agencia del análisis de los documentos en cuestión, esta vez en relación
con la confusión que provoca la información sobre los tratamientos de datos realizados en
base al interés legítimo y en el consentimiento, antes destacadas, y, de nuevo, otra vez más,
advierte que la Nueva Política de Privacidad ?reconfigura las divergencias entre los
tratamientos basados en el interés legítimo y en el consentimiento?.
Y tampoco en este caso ofrece ninguna explicación sobre las deficiencias anteriores, a
las que CAIXABANK no se refiere.
- Información sobre el interés legítimo del responsable
Asimismo, los preceptos citados establecen la obligación del responsable de informar
sobre los intereses legítimos en los que basa el tratamiento de los datos personales (los
artículos 13 y 14 del RGPD establece la obligación de informar sobre ?los intereses legítimos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
100/177
del responsable o de un tercero?). Sin embargo, la información ofrecida por CAIXABANK
queda indefinida en cuanto a la base del tratamiento, de modo que no fundamenta
debidamente esta habilitación para el tratamiento de los datos, resultando, por ello, contraria
al principio de transparencia.
El Considerando 47 del RGPD resulta especialmente clarificador en la tarea de precisar
el contenido y alcance de esta base legitimadora del tratamiento, descrita en la letra f) del
artículo 6.1 del RGPD. De lo expuesto en este Considerando, interesa destacar como criterio
interpretativo, que la aplicación de esta base legitimadora ha de ser previsible para sus
destinatarios, teniendo en cuenta sus expectativas razonables.
El Grupo de Trabajo del Artículo 29 elaboró el Dictamen 6/2014 relativo al ?Concepto de
interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la
Directiva 95/46/CE?, de fecha 09/04/2014. Aunque este Dictamen 6/2014 se emitió para
favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente, derogada por el
RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del RGPD, y habida
cuenta de que las reflexiones que el Dictamen ofrece son exponente y aplicación de principios
que inspiran también el RGPD -como el principio de proporcionalidad- o de principios
generales del Derecho comunitario ?el principio de equidad y de respeto a la ley y al
Derecho- muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual,
el RGPD.
El Dictamen mencionado se refiere al ?Concepto de interés? en los siguientes Términos:
?El concepto de ?interés? está estrechamente relacionado con el concepto de ?finalidad? mencionado en
el artículo 6 de la Directiva, aunque se trata de conceptos diferentes. En términos de protección de
datos, ?finalidad? es la razón específica por la que se tratan los datos: el objetivo o la intención del
tratamiento de los datos. Un interés, por otro lado, se refiere a una mayor implicación que el
responsable del tratamiento pueda tener en el tratamiento, o al beneficio que el responsable del
tratamiento obtenga -o que la sociedad pueda obtener- del tratamiento.
Por ejemplo, una empresa puede tener un interés en garantizar la salud y seguridad del personal que
trabaje en su central nuclear. Por consiguiente, la empresa puede tener como finalidad la aplicación de
procedimientos de control de acceso específicos que justifique el tratamiento de determinados datos
personales específicos con el fin de velar por la salud y la seguridad del personal.
Un interés debe estar articulado con la claridad suficiente para permitir que la prueba de sopesamiento
se lleve a cabo en contraposición a los intereses y los derechos fundamentales del interesado.
Además, el interés en juego debe también ser ?perseguido por el responsable del tratamiento?. Esto
exige un interés real y actual, que se corresponda con actividades presentes o beneficios que se
esperen en un futuro muy próximo. En otras palabras, los intereses que sean demasiado vagos o
especulativos no serán suficientes.
La naturaleza del interés puede variar. Algunos intereses pueden ser apremiantes y beneficiosos para
la sociedad en general, tales como el interés de la prensa en publicar información sobre la corrupción
gubernamental o el interés en llevar a cabo investigación científica (sujetos a las garantías adecuadas).
Otros intereses pueden ser menos apremiantes para la sociedad en su conjunto o, en cualquier caso,
el impacto de su búsqueda en la sociedad puede ser más dispar o controvertido. Esto puede, por
ejemplo, aplicarse al interés económico de una empresa en aprender tanto como sea posible sobre sus
potenciales clientes con el fin de orientar mejor la publicidad sobre sus productos y servicios?.
En el apartado conclusiones de este Dictamen se añade:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
101/177
?El concepto de ?interés? es la implicación más amplia que el responsable del tratamiento pueda tener
en el tratamiento, o el beneficio que este obtenga, o que la sociedad pueda obtener, del tratamiento.
Este puede ser apremiante, claro o controvertido. Las situaciones a las que hace referencia el artículo
7, letra f), pueden variar, por tanto, del ejercicio de derechos fundamentales o la protección de
intereses personales o sociales importantes a otros contextos menos obvios o incluso problemáticos.
?Debe estar articulado también con la claridad suficiente y debe ser lo suficientemente específico para
permitir que la prueba de sopesamiento se realice en contraposición a los intereses y los derechos
fundamentales del interesado. Debe también representar un interés real y actual, es decir, no debe ser
especulativo?.
El ?interés? va más allá que la ?finalidad?. En términos del GT29 representa ?una mayor
implicación que el responsable del tratamiento pueda tener en el tratamiento, o el beneficio
que el responsable del tratamiento obtenga?; mientras que ?finalidad?, en términos de
protección de datos, ?es la razón específica por la que se tratan los datos: el objetivo o la
intención del tratamiento de los datos.
En este caso el ?interés? no se expresa. La entidad CAIXABANK no informa en el
?Contrato Marco? ni en la ?Política de Privacidad? sobre ningún interés específico al referirse a
los tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica. Se limita
a señalar los tratamientos que realiza con esta base jurídica y las finalidades, principalmente
comerciales, para las que son tratados los datos personales, pero ningún interés legítimo de
CAIXABANK en el sentido expresado.
Esta Agencia considera que estos tratamientos de los datos personales, tal como
aparecen fundamentados en los documentos mediante los que se informa a los interesados
en materia de protección de datos, no pueden ampararse en la base jurídica del interés
legítimo, que exige una evaluación para determinar los intereses o derechos que prevalecen.
Esta ponderación ha de tener en cuenta ?las expectativas razonables de los interesados
basadas en su relación con el responsable?, entendidas como lo que el interesado puede
percibir o deducir como razonable por sí mismo en base a las circunstancias específicas que
se dan en cada caso, lo que pudo prever en el momento de la recogida de datos de forma
razonable.
El concepto ?expectativa razonable? debe utilizarse siempre con moderación,
atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de
la relación o servicio que les vincula, que podrían dar lugar al uso posterior de los datos
personales de éste. Se tiene en cuenta el contexto para poder delimitar, en base a todo ello,
el tratamiento ulterior de los datos que el interesado puede esperar que se realice. Esta
?expectativa razonable? del cliente se tiene que deducir por sí misma.
La información que ofrece CAIXABANK sobre utilizaciones de datos basadas en el
interés legítimo resulta contraria al planteamiento anterior, por cuanto dicha información es
insuficiente para justificar esta habilitación legal y para realizar el juicio de ponderación que
permita determinar si dichas razones prevalecen sobre los intereses y derechos del
interesado, limitando la posibilidad de que el cliente pueda sopesar correctamente la
actuación de la entidad. La determinación específica del interés de CAIXABANK, articulado
con claridad suficiente, permitirá al interesado contraponer sus propios intereses. Posibilita,
asimismo, un mejor análisis sobre la realidad y actualidad de dicho interés.
Todo ello sin olvidar lo ya indicado en relación con la utilización de términos imprecisos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
102/177
y formulaciones vagas en la información facilitada, en particular en lo relativo a la definición de
las finalidades.
Sobre el interés legítimo del responsable y la prueba de ponderación, el documento
del Grupo de Trabajo del Artículo 29 ?Directrices sobre la transparencia en virtud del
Reglamento 2016/679?, adoptadas el 29/11/2017 y revisadas el 11/04/2018, ofrece los
siguientes criterios:
?El interés específico en cuestión debe identificarse en beneficio del interesado. Como cuestión de
buena práctica, el responsable del tratamiento también puede facilitar al interesado la información
resultante del ?examen de ponderación? que debe llevarse a cabo para poder acogerse a lo dispuesto
en el artículo 6, apartado 1, letra f), como base lícita para el tratamiento, con anterioridad a cualquier
recogida de los datos personales de los interesados. Para evitar la fatiga informativa, esto puede
incluirse dentro de una declaración/aviso de privacidad estructurado en niveles (véase el apartado 35).
En cualquier caso, la posición del GT29 es que la información dirigida al interesado debe dejar claro
que este puede obtener información sobre el examen de ponderación previa petición. Esto resulta
fundamental para que la transparencia sea efectiva cuando los interesados duden de si el examen de
ponderación se ha llevado a cabo lealmente o desean presentar una reclamación ante la autoridad de
control?.
Por otra parte, en cuanto a los tratamientos de datos realizados en base al interés
legítimo, tanto el ?Contrato Marco? como la ?Política de Privacidad? señalan los siguientes:
. Envío de ?actualizaciones e información acerca de productos o servicios similares a los que ya tenga
contratados?.
. Tratamiento de la información ?personalizar su experiencia comercial en nuestros canales en base a
anteriores usos?.
. Oferta de productos y servicios ?que se ajusten a su perfil?
. Tratamientos de datos ?para aplicarle beneficios y promociones que tengamos vigentes y a los que
tenga derecho?
. Tratamientos de datos ?para evaluar si podemos asignarle límites de crédito pre concedidos?.
Sin embargo, se ha comprobado que CAIXABANK realiza otros tratamientos de datos
personales en base al interés legítimo sobre los que no informa en ningún momento a los
interesados. (?)
Algunos de estos tratamientos, y otros más, también se mencionan en el documento
denominado ?Tratamientos de datos de carácter personal en base al interés legítimo?, al que
puede accederse a través de la web ?caixabank.es?, incorporado a las actuaciones por los
Servicios de Inspección de la Agencia con fecha 07/01/2020, el cual consta reproducido en
Anexo VI:
. Seguimiento del cumplimiento de los objetivos, incentivos o premios fijados a nuestros empleados.
. Comunicación de datos entre CaixaBank y las empresas participadas por ésta con la finalidad de
realizar informes internos (sin datos de carácter personal), que nos permitan, entre otros aspectos,
realizar estudios de mercado y modelos matemáticos para establecer la estrategia de negocio del
Grupo CaixaBank.
. Creación de modelos estadísticos (sin datos de carácter personal) que ayuden a la Entidad a conocer
mejor las preferencias y gustos de nuestros clientes, colaborando en la mejora del diseño y ejecución
de acciones comerciales, así como realizando informes agregados sobre el resultado de los modelos
para llevar a cabo el seguimiento del comportamiento de los clientes.
. Estructuración y perfilado de la información tratada por la Entidad para mantener los recursos y
sistemas técnicos preparados para atender de manera eficiente las necesidades de gestión.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
103/177
. Control y supervisión de la actividad de la Entidad mediante muestreos y autoevaluaciones con la
finalidad de identificar y valorar posibles riesgos en la comercialización de productos, controles y
evaluar el cumplimiento de normas y reglamentos internos.
. Control y supervisión de operativas con la finalidad de prevenir fraudes, tanto a clientes como a la
propia Entidad.
Sin embargo, este documento no se facilita a los interesados ni consta ninguna
referencia al mismo en el ?Contrato Marco?, el ?Contrato de Consentimientos? o en la ?Política
de Privacidad?, de modo que CAIXABANK no puede tener certeza sobre el acceso de los
clientes a esta información ni está en situación de poder acreditar este acceso.
Sobre este documento denominado ?Tratamientos de datos de carácter personal en
base al interés legítimo? interesa destacar, asimismo, que la relación de tratamientos basados
en el interés legítimo que contiene se presenta como un listado abierto que ?será actualizado
de forma permanente para incluir nuevos tratamientos, o dar de baja los que se dejen de
realizar?. Este planteamiento de CAIXABANK debe rechazarse por cuanto podría dar lugar a
la realización de tratamientos de datos sobre los que no se informa puntualmente a los
interesados en los documentos que suscriben sobre protección de datos de carácter personal,
como así ocurre en los ejemplos señalados.
Si no se informa debidamente a los interesados sobre los tratamientos, y menos aún
sobre el concreto interés perseguido por el responsable con estos tratamientos sobre los que
no se informa, difícilmente pueden éstos enfrentar los intereses legítimos de CAIXABANK a
sus propios intereses y derechos, ni tienen oportunidad si quiera de ejercer el derecho de
oposición.
En su escrito de alegaciones a la propuesta de resolución, CAIXABANK no hace
ninguna mención a esta falta de información sobre el interés legítimo perseguido, que supone
un incumplimiento de los dispuesto en el artículo 13.1.d) del RGPD, ni tampoco a las demás
circunstancias expresadas en el presente apartado.
- Información sobre elaboración de perfiles
Otro aspecto importante relativo al asunto analizado tiene que ver con la utilización de
los datos personales para la elaboración de perfiles de los clientes, entendida como cualquier
forma de tratamiento de datos personales que evalúe aspectos personales relativos a una
persona física. Según el art. 13.1.c) del RGPD, el responsable debe informar al interesado de
los fines del tratamiento, así como de su base jurídica, lo que supone que deberá informarle
sobre la elaboración de perfiles cuando el responsable haya previsto tal finalidad y precisar la
base jurídica que ampara el tratamiento con ese fin.
El artículo 11 de la LOPDGDD establece el contenido mínimo de la información básica
que debe facilitarse al interesado:
?2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
(?)
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información
básica comprenderá asimismo esta circunstancia?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
104/177
El Considerando 60 del RGPD también se refiere a la obligación de ?informar al
interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha
elaboración?.
Sobre los principios relativos al tratamiento de datos personales, cuando estos
consistan en la elaboración de perfiles, las Directrices del Grupo de Trabajo del Artículo 29
sobre decisiones individuales automatizadas y elaboración de perfiles a efectos del
Reglamento 2016/679, adoptadas el 03/10/2017 y revisadas el 06/02/2018, señalan lo
siguiente:
?La transparencia del tratamiento es un requisito fundamental del RGPD.
El proceso de elaboración de perfiles suele ser invisible para el interesado. Funciona creando datos
derivados o inferidos sobre las personas (datos personales «nuevos» que no han sido directamente
facilitados por los propios interesados). Las personas tienen distintos niveles de comprensión y les
puede resultar difícil entender las complejas técnicas de los procesos de elaboración de perfiles y
decisiones automatizadas?.
?Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los responsables del
tratamiento deben garantizar que explican a las personas de forma clara y sencilla el funcionamiento
de la elaboración de perfiles o las decisiones automatizadas.
En particular, cuando el tratamiento implique la toma de decisiones basada en la elaboración de
perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22), debe
aclararse al usuario el hecho de que el tratamiento tiene fines tanto de a) elaboración de perfiles como
de b) adopción de una decisión sobre la base del perfil generado
El considerando 60 establece que facilitar información acerca de la elaboración de perfiles forma parte
de las obligaciones de transparencia del responsable del tratamiento según el artículo 5, apartado 1,
letra a). El interesado tiene derecho a ser informado por el responsable del tratamiento, en
determinadas circunstancias, acerca de su derecho de oposición a la «elaboración de perfiles»
independientemente de si se han producido decisiones individuales basadas únicamente en el
tratamiento automatizado sobre la base la elaboración de perfiles?.
?El responsable del tratamiento debe mencionar explícitamente al interesado detalles sobre el derecho
de oposición según el artículo 21, apartados 1 y 2, y presentarlos claramente y al margen de cualquier
otra información (artículo 21, apartado 4).
Según el artículo 21, apartado 1, el interesado puede oponerse al tratamiento (incluida la elaboración
de perfiles) por motivos relacionados con su situación particular. Los responsables del tratamiento
están específicamente obligados a ofrecer este derecho en todos los casos en los que el tratamiento se
base en el artículo 6, apartado 1, letras e) o f)?.
La información objeto de las actuaciones se refiere a la elaboración de perfiles en
numerosas ocasiones al describir las finalidades para las que se utilizarán los datos, o bien
las finalidades que se detallan conllevan estas operaciones de perfilado. Así puede
entenderse, por ejemplo, en relación con la personalización de ofertas o de la experiencia del
cliente o la finalidad de ?conocerte mejor?.
Por tanto, CAIXABANK realiza tratamientos de datos personales de sus clientes para
proceder a su perfilado, que posteriormente utiliza. En la mayor parte de los supuestos en los
que se refiere a la elaboración de perfiles o a la utilización de datos que sean resultado de
actividades de perfilado, el fundamento de su acción está basado, conforme a la información
que facilita a los interesados, en el consentimiento de éstos (Cláusula 8 del Contrato Marco);
salvo en lo que se refiere a la ?personalización de la experiencia? del cliente o envío de
información en la que éste pueda tener interés, que CAIXABANK ampara en el interés
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
105/177
legítimo, sobre el que ya se ha indicado que la información es insuficiente.
Por las razones ya expresadas en relación con la falta de justificación del interés
legítimo, han de rechazarse las operaciones de tratamiento que incluyan la elaboración de
perfiles o que estén basadas en estos perfiles y que tengan base legal en el interés legítimo
del responsable.
Además, en relación con las operaciones de perfilado no se cumplen, a juicio de esta
Agencia, las exigencias de información descritas. CAIXABANK se limita a informar sobre
actuaciones que puede desarrollar adaptadas al ?perfil de cliente? o ?personalizadas?, pero no
ofrece una información sobre el tipo de perfiles que se van a realizar, los usos específicos a
que se van a destinar estos perfiles o la posibilidad de que el interesado pueda ejercer el
derecho de oposición en aplicación del artículo 21.2 RGPD, cuando el perfilado esté
relacionado con actividades de mercadotecnia directa.
En los términos del GT29, no se ?explican a las personas de forma clara y sencilla el
funcionamiento de la elaboración de perfiles? ni se les advierte sobre la adopción de
decisiones ?sobre la base del perfil generado?, independientemente de si entran en el ámbito
de las disposiciones del artículo 22.
El concepto de perfilado no se trata de forma sistematizada por CAIXABANK. De
hecho, en la Política de Privacidad solo se habla de ?conocerte mejor, es decir, estudiar tus
necesidades para saber qué nuevos productos y servicios se ajustan a tus preferencias y
analizar la información que nos permita tener determinado por anticipado cuál es tu
capacidad crediticia?, omitiendo la elaboración de perfiles, a pesar de que esta finalidad,
según aparece enunciada, precisa hacer un perfilado previo.
Esto supone un incumplimiento de lo establecido en el artículo 11 de la LOPDGDD.
En este caso, además, las operaciones de tratamiento basadas en el perfilado del
cliente van más allá de la mejora de la experiencia o del envío de ofertas comerciales
ajustadas a las necesidades y preferencias del cliente, hasta el punto de que dicho perfilado
se utiliza por CAIXABANK para el diseño de productos y servicios o mejorar el diseño y
usabilidad de los existentes, es decir, para su propio negocio.
CAIXABANK dedica un subapartado de sus alegaciones a la elaboración de perfiles,
pero sin ofrecer ninguna explicación sobre las deficiencias apreciadas, a las que no se refiere.
En relación con las operaciones de perfilado, en sus alegaciones a la apertura del
procedimiento advierte CAIXABANK que se incluyeron tratamientos en la cláusula redactada
en 2016 (se refiere a la Cláusula 8 del ?Contrato Marco?, la relativa a los tratamientos basados
en el consentimiento del cliente), cuando no se disponía de criterios claros, que podrían
ampararse en otra base jurídica distinta al consentimiento, como las obligaciones legales
(control de fraudes y gestión de riesgos) o la relación contractual (seguimiento y adopción de
medias recuperatorias). Añade que lo que se ha producido es un exceso de información.
Posteriormente, en sus alegaciones a la propuesta de resolución reitera esta alegación
indicando que en esa cláusula se cometía el error (subsanado en la Nueva Política de
Privacidad), de listar operaciones de tratamiento que no tenían que ver con el consentimiento
para perfilado. Y enumera los concretos tratamientos que, a su juicio, pueden ampararse en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
106/177
otra base jurídica distinta al interés legítimo (el listado de los tratamientos a los que se refiere
esta alegación consta reseñado en el Fundamento de Derecho siguiente).
Sin embargo, esta alegación no guarda relación con las deficiencias apreciadas en la
información ofrecida sobre la elaboración de perfiles, antes expresadas, y es objeto de
análisis en el Fundamento de Derecho siguiente, en el apartado que examina los tratamientos
de datos basados en el consentimiento de los interesados. Cabe aclarar ahora que ha sido la
propia entidad CAIXABANK la que decidió amparar los perfilados en el consentimiento.
Por otra parte, procede añadir que las conclusiones expresadas no enjuician la
información ofrecida por su amplitud (CAIXABANK alega un exceso de información y aporta
un ejemplo de cláusula reducida), sino que se valora si es suficiente y adecuada a la norma.
En relación con esta cuestión de los perfilados, CAIXABANK alega que en la Cláusula
8 del ?Contrato Marco?, se informa sobre las finalidades indicando que se pide el
consentimiento para el ?análisis, estudio y seguimiento para la oferta y diseño de producto
ajustados a su perfil de cliente?, y se informa sobre la elaboración de perfiles al explicitar las
operaciones de tratamientos que comprenden esta finalidad (?Estudiar productos o servicios
que puedan ser ajustados a su perfil y situación comercial o crediticia concreta?).
Ya se ha dicho anteriormente que la información ofrecida se refiere en ocasiones a la
elaboración de perfiles al describir las finalidades para las que se usarán los datos
personales. Pero esa información contenida en la Cláusula 8 del ?Contrato Marco? no salva
aquellas otras informaciones sobre finalidades que conllevan operaciones de perfilado sobre
las que no se advierte al cliente. Además, CAIXABANK no explica la falta de información, en
general, sobre los tipos de perfiles y los usos a los que se van a destinar, de modo que el
interesado tenga conocimiento claro del funcionamiento de esos perfilados y, sobre todo, de
las consecuencias de su elaboración. Estas circunstancias no se mencionan por CAIXABANK
en sus alegaciones, y nada se dice en las mismas para justificar que no se informe al
interesado acerca de la posibilidad de ejercer el derecho de oposición, cuando así procede.
- Información sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia
Española de Protección de Datos, existencia de un Delegado de Protección de
Datos y sus datos de contacto y plazos de conservación.
Por otra parte, la información facilitada por CAIXABANK sobre el ejercicio de
derechos, posibilidad de reclamar ante la Agencia Española de Protección de Datos,
existencia de un Delegado de Protección de Datos y sus datos de contacto no es uniforme en
todos los documentos analizados.
El ?Contrato Marco? y la ?Política de Privacidad? de CAIXABANK informan sobre los
derechos que corresponden al interesado en materia de protección de datos personales,
incluido el de revocación de los consentimientos otorgados, así como sobre los canales para
ejercitarlos. Informan, asimismo, sobre la posibilidad de interponer una reclamación ante la
Agencia Española de Protección de Datos y sobre la existencia de un Delegado de Protección
de Datos del Grupo de empresas CaixaBank, con indicación de los medios para contactar con
el mismo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
107/177
El ?Contrato de Consentimientos? o documento de ?Autorización/Revocación de
consentimientos?, en cambio, en su versión 2, informaba sobre la posibilidad de ejercer los
derechos, pero sin mencionar los que se establecen en la normativa aplicable, y tampoco
hacía referencia a la existencia de un Delegado de Protección de Datos; si bien, estas
deficiencias fueron subsanadas en la versión 3 del documento.
A referirse a la utilización de los datos en base al interés legítimo, el ?Contrato Marco?
advierte expresamente sobre la posibilidad de oponerse. En la Política de Privacidad no se
menciona el derecho de oposición, pero se indica ?? si prefieres que no lo hagamos, solo
tienes que decírnoslo, en??. También se informa sobre el derecho de oposición en el
documento insertado en la web de CAIXABANK relativo al ?Tratamiento de datos de carácter
personal en base al interés legítimo?.
La información que se ofrece para el acceso a datos personales de los clientes en
redes sociales informa sobre los derechos recogidos en la LOPD, no en el RGPD:
?Usted podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición de acuerdo con la
normativa de protección de datos. Para ejercitar estos derechos deberá dirigirse al domicilio de
CaixaBank??.
Asimismo, el contrato que regula el servicio de agregación informa sobre los derechos
y canales para su ejercicio, la posibilidad de contactar con el Delegado de Protección de
Datos y de reclamar ante esta Agencia, pero no menciona expresamente la posibilidad de
revocar el consentimiento y sobre el derecho de oposición se indica lo siguiente:
?La no aceptación o la posterior oposición al tratamiento de sus datos, con las finalidades más adelante
detalladas, implica que CaixaBank no podrá o (en su caso) deberá dejar de ofrecerle el servicio de
agregación?.
Esta información se modifica en las nuevas estipulaciones del Contrato del Servicio de
Agregación, (?)
- Información sobre plazos de conservación de los datos personales
Al igual que se indicó en relación con las cuestiones indicadas en el apartado anterior,
la información facilitada sobre los plazos de conservación de datos tampoco es uniforme en
los documentos objeto de las actuaciones.
En cuanto a la conservación de datos, el ?Contrato Marco? incluye un apartado
específico sobre esta cuestión (11.3) con el contenido siguiente:
?Sus datos serán tratados mientras permanezcan vigentes las relaciones contractuales o de negocio
establecidas o las autorizaciones de uso comercial otorgadas.
Una vez revocadas las autorizaciones de uso, o bien a los seis meses de finalizadas las relaciones
contractuales o de negocio establecidas, no siendo sus datos necesarios para los fines para los que
fueron recogidos o tratados, sus datos dejarán de tratarse.
De acuerdo con la normativa, los datos serán conservados a los únicos efectos de cumplir aquellas
obligaciones legales impuestas a CaixaBank y/o Empresas del Grupo, y para la formulación, ejercicio o
defensa de reclamaciones, durante el plazo de prescripción de las acciones derivadas de las relaciones
contractuales o de negocio suscritas?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
108/177
Sin embargo, en el apartado 7.1 ?Tratamientos de datos de carácter personal con la
finalidad de gestionar las Relaciones Comerciales? se indica que los datos se cancelarán con
el cese de todas las relaciones comerciales, sin hacer mención al plazo de seis meses
posterior a las relaciones comerciales:
?? en el momento de cancelación por el Firmante de todas las Relaciones Comerciales, los
mencionados tratamientos de datos cesarán, siendo sus datos cancelados conforme a lo establecido
en la normativa aplicable, conservándolos CaixaBank debidamente limitado su uso hasta que hayan
prescrito las acciones derivadas de los mismos?.
Por otra parte, el denominado ?Contrato de Consentimientos? o
?Autorización/revocación para el tratamiento de datos de carácter personal con finalidades
comerciales por CaixaBank, S.A. y empresas del grupo CaixaBank?, por su parte, indicaba en
su versión 2 que los datos serían tratados mientras permanecieran vigentes las
autorizaciones de uso otorgadas o las relaciones contractuales o de negocio establecidas,
pero sin advertir sobre la utilización durante los seis meses posteriores a la finalización de
dichas relaciones contractuales. Ese período de utilización de los datos de seis meses fue
añadido en la versión 3 de este documento, con un alcance similar al reseñado en el
?Contrato Marco?:
?Las autorizaciones que usted otorgue permanecerán vigentes hasta su revocación o, en ausencia de
esta, hasta transcurridos seis meses desde que usted cancele todos sus productos o servicios con
CaixaBank o cualquier empresa del Grupo CaixaBank?.
Similar contenido contiene el apartado de la ?Política de Privacidad? relativo a la
conservación de datos personales.
En ninguno de los casos se motiva la conservación de los datos durante los seis
meses posteriores a las relaciones contractuales o de negocio.
La información relativa al acceso a datos personales de los clientes en redes sociales
no contiene ninguna indicación sobre la conservación de datos personales; mientras que el
contrato que regula el servicio de agregación, aunque informa que los datos se tratarán
mientras permanezcan vigentes las relaciones contractuales, advierte que, en el caso de que
los datos se traten de acuerdo con su consentimiento, podrán ser tratados mientras no lo
retire, aun finalizada la relación. En el clausulado del contrato de este servicio de agregación
se indica:
?Los datos serán tratados mientras permanezcan vigentes las relaciones derivadas de las relaciones
contractuales, y serán conservados (durante el plazo de prescripción de las acciones derivadas de
dichas relaciones) a los únicos efectos de cumplir las obligaciones legales requeridas, y para la
formulación, ejercicio o defensa de reclamaciones. Sin embargo, en el caso de que los datos se traten
de acuerdo con su consentimiento, podrán ser tratados mientras no lo retire.
Sin perjuicio de lo anterior, CaixaBank le informa que procederá a eliminar de sus sistemas los datos
recabados por el servicio de agregación:
(i) en el supuesto de eliminación de una entidad financiera, CaixaBank procederá a la eliminación de
los datos de la entidad financiera eliminada.
(ii) en el supuesto que el contratante nos comunique su baja del Servicio, CaixaBank procederá a la
eliminación de los datos de todas las terceras entidades financieras?.
(En el nuevo clausulado del Contrato del Servicio de Agregación se modifica la información
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
109/177
sobre conservación de datos personales en relación con los tratamientos con finalidad
comercial, indicando que serán tratados hasta la revocación del consentimiento o hasta
transcurridos doce meses desde la finalización de la relación contractual).
CAIXABANK ha alegado que el plazo de conservación de seis meses posterior a la
relación contractual es una medida autoimpuesta, que no existe obligación legal de motivar
ese plazo y que la indicación de un plazo de seis meses en uno casos y doce en otros
responde a que cada cliente tiene un contrato, por lo que no existe un plazo único de
conservación.
Sobre esta cuestión conviene aclarar que no se juzga aquí la oportunidad y
regularidad de esos plazos, si cumplen o no el principio establecido en el artículo 5 del RGPD,
sino la información ofrecida, que no es uniforme en la información que se ofrece a los
interesados. La propia entidad imputada ha resaltado en su escrito de alegaciones la
conveniencia de regularizar esta información.
Estas diferencias en cuanto al plazo de conservación no pueden justificarse por el
contrato que vincula al cliente con la entidad, dado que el plazo en cuestión no se refiere a la
conservación de los datos vinculados a la relación negocial, sino que se refiere a las
autorizaciones de uso.
A lo largo del presente Fundamento de Derecho se han descrito las deficiencias
apreciadas en relación con el cumplimiento del deber de información en materia de protección
de datos por parte de CAIXABANK, que pueden resumirse, sucintamente, como sigue:
. La información ofrecida a los clientes de CAIXABANK no es uniforme. Los documentos
dispuestos por CAIXABANK para informar a los clientes emplean una terminología diferente
para referirse a las mismas cuestiones y no tienen el mismo contenido, por lo que no se
ofrece la información con la misma amplitud en todos los casos.
. Se emplea una terminología imprecisa y formulaciones vagas, con significados ambiguos en
algunos casos, y cuyo verdadero alcance no se desarrolla, dificultando que el destinatario de
la información pueda concluir su alcance real y concreto.
. La información ofrecida sobre los tratamientos de datos personales basados en la relación
contractual no permite valorar si todos los tratamientos incluidos en este apartado pueden
ampararse en esa base jurídica.
. Información sobre las categorías de datos personales sometidos a tratamiento; y sobre las
categorías de datos personales concretas que se tratarán para cada una de las finalidades
específicas. No se cumple esta exigencia en relación con:
. Los tratamientos de datos cuya base jurídica venga determinada por el consentimiento
del interesado, para los que se utilizan datos personales obtenidos a partir del uso de los
productos y servicios contratados por el cliente, datos de navegación y los obtenidos de
las comunicaciones que se establezcan entre el cliente y la entidad.
. Los tratamientos de datos cuya base legal venga determinada por el interés legítimo de
CAIXABANK y que tengan por objeto la elaboración de perfiles que posteriormente se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
110/177
emplean para la realización de tratamientos de datos basados en el consentimiento del
interesado.
. Los datos personales obtenidos por CAIXABANK de fuentes externas o inferidos por la
propia entidad. Entre ellos se incluyen los datos obtenidos por CAIXABANK de productos
y servicios contratados por los interesados con terceros, incluidos los de aquellos
productos y servicios de terceros comercializados por CAIXABANK; así como los datos
que deriven de las relaciones comerciales de la propia CAIXABANK con terceros y los
datos confeccionados a partir de los anteriores.
. No se informa debidamente en todos los casos sobre las categorías de datos personales
concretas que se tratarán para cada una de las finalidades especificadas.
. Información sobre las finalidades a que se destinarán los datos personales de los clientes y
la base jurídica del tratamiento. Confusión de bases jurídicas.
. El ?Contrato Marco? refiere tratamientos similares en relación con finalidades distintas,
amparadas en el interés legítimo en unos casos y en el consentimiento en otros.
. El documento que suscribe el cliente para el alta en el servicio de agregación informa
sobre finalidades ligadas al objeto del contrato que en el ?Contrato Marco?, en cambio, se
asocian a tratamientos para los que se requiere el consentimiento del cliente.
. Información sobre el interés legítimo del responsable:
. El ?interés? no se expresa. La entidad CAIXABANK no informa en el ?Contrato Marco? ni
en la ?Política de Privacidad? sobre ningún interés específico al referirse a los
tratamientos de datos que tiene previsto realizar al amparo de esta base jurídica.
. La información es insuficiente para justificar esta habilitación jurídica y para realizar el
juicio de ponderación que permita determinar si dichas razones prevalecen sobre los
intereses y derechos del interesado, limitando la posibilidad de que el cliente pueda
sopesar correctamente la actuación de la entidad.
. CAIXABANK realiza tratamientos de datos personales en base al interés legítimo sobre
los que no informa en ningún momento a los interesados.
. El documento denominado ?Tratamientos de datos de carácter personal en base al
interés legítimo? incluye una relación de tratamientos basados en el interés legítimo que
se presenta como un listado abierto.
. Información sobre elaboración de perfiles
. No se especifica el interés legítimo de CAIXABANK en la elaboración de perfiles para la
?personalización de la experiencia? del cliente o envío de información en la que éste
pueda tener interés.
. No se ofrece información sobre el tipo de perfiles que se van a realizar, los usos
específicos a que se van a destinar estos perfiles o su funcionamiento y las
consecuencias de su elaboración.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
111/177
. No se informa sobre el ejercicio del derecho de oposición, cuando el perfilado esté
relacionado con actividades de mercadotecnia directa.
. En la Política de Privacidad se omite la elaboración de perfiles en relación con la
finalidad de ?conocerte mejor, es decir, estudiar tus necesidades para saber qué nuevos
productos y servicios se ajustan a tus preferencias y analizar la información que nos
permita tener determinado por anticipado cuál es tu capacidad crediticia?.
. Información sobre el ejercicio de derechos, posibilidad de reclamar ante la Agencia Española
de Protección de Datos, existencia de un Delegado de Protección de Datos y sus datos de
contacto y plazos de conservación.
. El ?Contrato de Consentimientos? informaba sobre la posibilidad de ejercer los derechos,
pero sin mencionar los que se establecen en la normativa aplicable.
. En la Política de Privacidad no se menciona el derecho de oposición.
. La información que se ofrece para el acceso a datos personales de los clientes en redes
sociales informaba sobre los derechos recogidos en la LOPD, no en el RGPD.
. El contrato que regula el servicio de agregación no mencionaba expresamente la
posibilidad de revocar el consentimiento y de ejercer el derecho de oposición.
. La información sobre plazos de conservación de los datos personales no es uniforme:
. Según el apartado 11.3 del ?Contrato Marco?, los datos personales dejarán de tratarse a
los seis meses de finalizadas las relaciones contractuales; mientras que en el apartado
7.1 del mismo documento no se menciona dicho plazo y se informa que los tratamientos
cesarán con la cancelación de las relaciones contractuales.
. El denominado ?Contrato de Consentimientos?, en su versión 2, no advertía sobre la
utilización de los datos personales durante los seis meses posteriores a la finalización de
dichas relaciones contractuales. Ese período de utilización de los datos de seis meses
fue añadido en la versión 3.
. La información relativa al acceso a datos personales de los clientes en redes sociales no
contiene ninguna indicación sobre la conservación de datos personales.
. El contrato que regula el servicio de agregación informaba que los tratamientos de datos
basados en el consentimiento del cliente podrán llevarse a cabo mientras no lo retire, aun
finalizada la relación. En el nuevo clausulado de este contrato se indica que serán
tratados hasta la revocación del consentimiento o hasta transcurridos doce meses desde
la finalización de la relación contractual.
CAIXABANK, en sus alegaciones, se limita a afirmar de manera genérica que cumple
las exigencias establecidas en la normativa aplicable, en los artículos 13 y 14 del RGPD, o
bien a negar las conclusiones expuestas, sin ofrecer en ningún caso justificación alguna sobre
las irregularidades observadas, que ni siquiera menciona.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
112/177
En muchas ocasiones, simplemente califica esos defectos o incumplimientos como un
mero error al que no puede atribuirse ningún efecto. En otras ocasiones, al mismo tiempo que
niega aquellos incumplimientos, admite los defectos y alega que el proceso de mejora
desarrollado los ha subsanado. Llega a afirmar que no sostiene que la información fuera
perfecta o que no hubiera errores, pero que eso no quiere decir que se haya producido
incumplimiento alguno.
Así ocurre, por ejemplo, en relación con la falta de uniformidad de la información
ofrecida; la confusión sobre las bases jurídicas que genera la información ofrecida de los
tratamientos de datos realizados en base al interés legítimo y en el consentimiento;
información sobre el interés legítimo perseguido y los tratamientos de datos personales
realizados con finalidad comercial amparados en esta base jurídica; en relación con la
elaboración de perfiles; o en relación con la información facilitada sobre el ejercicio de
derechos y el plazo de conservación de datos.
En general, CAIXABANK presenta esa supuesta regularización como suficiente para
impedir que se le exija cualquier tipo de responsabilidad, sin considerar que se trata de
incumplimientos sustantivos o de fondo que afectan a la validez de la información y a
principios básicos de la protección de datos de carácter personal.
Por otra parte, en sus alegaciones a la propuesta de resolución, CAIXABANK se
refiere de forma prioritaria a la cuestión relativa a la compresión del texto, en relación con el
empleo de una terminología imprecisa y formulaciones vagas, a pesar de que solo es uno de
los muchos aspectos destacados en el resumen anterior. Alega la citada entidad que no se ha
probado que las expresiones utilizadas no sean claras y comprensibles para el ?integrante
medio de la audiencia objetivo? (Directrices sobre Transparencia), conculcando el principio de
presunción de inocencia, y aporta el resultado de una encuesta y un test de usuarios
realizado por una empresa externa e independiente que, según CAIXABANK, acreditan que
los clientes entienden perfectamente la información facilitada (los detalles de estos trabajos
externos constan reseñados en el Antecedente Decimosegundo). A este respecto, aclara que
con la aportación de estas pruebas está asumiendo una inversión de la carga de la prueba
conculcadora de sus derechos fundamentales.
Estos estudios externos se realizaron mediante encuestas telefónicas a 171 clientes,
la primera, y a 100 usuarios no clientes, la segunda.
La primera de esas encuestas consistió en leer al encuestado un extracto de la
Cláusula 8 del ?Contrato Marco?, para realizarles posteriormente unas preguntas sobre la
misma (?)
En el segundo trabajo se trasladaron a los usuarios las pantallas de recogida de
consentimiento, su dinámica y contexto, así como la integridad de la cláusula 8 del ?Contrato
Marco?, simulando la experiencia de un firmante de este documento en una oficina. (?)
Aporta, también, CAIXABANK un informe de una empresa especializada en lingüística
sobre el análisis realizado de dos cláusulas del ?Contrato Marco?, una de ellas la Cláusula 8,
en el que las recomendaciones realizadas son mínimas.
Con el resultado este estudio y de aquellas encuestas, según los cuales un porcentaje
medio superior al 90% había entendido que la información ofrecida en la citada Cláusula 8
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
113/177
incluía el contenido de las preguntas, CAIXABANK pretende dar respuesta, no solo a la
cuestión relativa al empleo de terminología imprecisa, sino también a otros muchos
incumplimientos reseñados en el presente Fundamento de Derecho, como son la falta de
concreción de las categorías de datos personales tratados, la falta de información sobre las
finalidades y confusión de bases jurídicas.
Esta Agencia no comparte los planteamientos expresados por CAIXABANK en sus
alegaciones. En los apartados que preceden se ha demostrado con rigor y detalle suficiente
que CAIXABANK no cumple las exigencias de información establecidas y que los
incumplimientos constatados no resultan de meros errores, por lo que debe rechazarse la
exoneración de responsabilidad a CAIXABANK en base a la supuesta regularización de esos
errores, cometidos por quien los invoca.
En cuanto a la falta de prueba sobre la no comprensión por los clientes de los textos
analizados, alegada por CAIXABANK, se entiende que esta Agencia ha probado el uso de las
expresiones que se citan en el apartado correspondiente de este Fundamento de Derecho y
ha fundamentado suficientemente los motivos por los que la terminología y expresiones
utilizadas deben ser rechazadas.
Se basa esta conclusión en criterios consolidados, como los expresados por el Grupo
de Trabajo del Artículo 29 en sus ?Directrices sobre la transparencia en virtud del Reglamento
2016/679?, que son conocidas por CAIXABANK. El Grupo de Trabajo del artículo 29 se
estableció en virtud de la Directiva 95/46/CE con carácter consultivo e independiente, y cuyos
dictámenes y recomendaciones sirven como elemento interpretativo en la materia que nos
ocupa, admitido por la jurisprudencia. En la actualidad es el Comité Europeo de Protección de
Datos el órgano con competencia para emitir directrices, recomendaciones y buenas prácticas
a fin de promover la aplicación coherente del RGPD.
Por otra parte, el empleo de esas expresiones indeterminadas se produce a lo largo de
todo el texto de los documentos que se analizan, y no solo en la Cláusula 8 del ?Contrato
Marco?, a la que se refieren los estudios aportados por CAIXABANK. Por tanto, las
conclusiones de esos estudios nada acreditan en contrario respecto de la indefinición de la
información ofrecida, en general.
No se dice aquí que la información ofrecida no sea comprensible en su totalidad, ya
que, obviamente, las dificultades para la compresión de las expresiones ambiguas o
indeterminadas afectan a las partes del texto en las que se emplean. Pero si puede decirse
que la comprensión por el cliente de una parte del texto de un documento no significa que se
entienda todo el texto de todos los documentos.
Y también cabe precisar que la información no es válida por el solo hecho de que
resulte comprensible. Los estudios aportados no se refieren a aspectos importantes que son
cuestionados en esta resolución, cuya comprensión por los clientes no modifica las
conclusiones de esta Agencia y las consecuencias que conllevan los incumplimientos
respectivos. Así puede decirse, como ejemplo, (i) en relación con los defectos apreciados
sobre la falta de información de la base jurídica de los tratamientos: aunque los interesados
entiendan que sus datos serán facilitados a las empresas del Grupo, esta circunstancia no
salva la falta de información sobre la base jurídica de esa cesión de datos; o (ii) respecto de la
utilización de datos personales obtenidos de ?la contratación y operativas de productos y
servicios con terceros?: el hecho de que el cliente entienda que se utilizarán estos datos no
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
114/177
salva la falta de información sobre las categorías de datos personales que se recaban y
someten a tratamiento; o (iii) sobre las tratamientos de datos que se citan en la Cláusula 8
que tienen finalidad distinta de las tres señaladas en la repetida Cláusula 8: aunque el cliente
entendiera estas actividades de tratamiento, no resuelve que se llevan a cabo sin base
jurídica (como se verá en el Fundamento de Derecho siguiente).
Desde el punto de vista técnico, los trabajos realizados nada indican sobre la selección
de la muestra de clientes a los que se realizó la entrevista (solo se indican que se han
seleccionado personas que firmaron el ?Contrato Marco? en el último año); los enunciados de
las preguntas son esquemáticos, no precisos y aclaratorios del contenido de la información, y
no tienen como objeto aspectos esenciales, como los relativos a los perfilados, su elaboración
y utilización; y no resulta aceptable que la encuesta se realice sobre un extracto de la
información, cuyo contenido, además, no coincide exactamente con el de la Cláusula 8 del
?Contrato Marco?. Se trata, en definitiva, de una encuesta mínima en comparación con los
fines y tratamientos de datos que se contemplan en la información facilitada por CAIXABANK
a sus clientes en materia de protección de datos.
En consecuencia, de conformidad con las evidencias expuestas, los hechos descritos
en el presente Fundamento de Derecho suponen una vulneración del principio de
transparencia regulado en los artículos 13 y 14 del RGPD, que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia Española de
Protección de datos.
VII
Los artículos 6 y 7 del mismo RGPD se refieren, respectivamente, a la ?Licitud del
tratamiento? y las ?Condiciones para el consentimiento?:
Artículo 6 del RGPD.
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios
fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para
la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las
autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar
la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del
apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras
medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
115/177
de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al
tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de
normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del
tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados
afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal
comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las
operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento
lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo
IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será
proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales
no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados
miembros que constituya una medida necesaria y proporcional en una sociedad democrática para
salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con
objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron
inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines
del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la
relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos
personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones
penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización?.
Artículo 7 del RGPD.
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser
capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se
refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga
claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y
sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente
Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del
consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.
Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el
consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida
posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un
servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para
la ejecución de dicho contrato?.
En relación con lo establecido en los artículos reseñados, se tiene en cuenta lo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
116/177
expresado en los considerandos 32 (ya reseñado), 40, 41, 42 (ya reseñado), 43, 44 y 47 (ya
citado en el Fundamento de Derecho anterior) del RGPD. De lo expresado en estos
considerandos, cabe destacar lo siguiente:
(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un
fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el
que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular
cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el
consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se
presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las
distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o
cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del
consentimiento, aún cuando este no sea necesario para dicho cumplimiento.
(44) El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención
de concluir un contrato.
Procede tener en cuenta, igualmente, lo establecido en el artículo 6 de la LOPDGDD:
?Artículo 6. Tratamiento basado en el consentimiento del afectado
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por
consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca
por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento
de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una
pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho
consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los
datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control
de la relación contractual?.
En el presente caso, CAIXABANK contempla en el ?Contrato Marco? que suscriben los
clientes la utilización de sus datos personales con las finalidades siguientes (excluidas las
finalidades denominadas por dicha entidad como ?regulatorias?):
1. Gestionar las relaciones comerciales: dar cumplimiento y mantener las mismas, verificar la
corrección de la operativa, verificar la identidad del firmante, establecimiento y mantenimiento
de las relaciones comerciales.
2. Envío de información y actualizaciones acerca de productos o servicios similares a los que
ya tenga contratados; personalizar la experiencia comercial del cliente en los canales de la
entidad en base a anteriores usos, para ofrecerle productos y servicios que se ajusten a su
perfil, para aplicarle beneficios y promociones que tengamos vigentes y a los que tenga
derecho, y para evaluar si podemos asignarle límites de crédito preconcedidos que pueda
utilizar cuando lo considere más oportuno.
3. Finalidades comerciales:
. Oferta y diseño de productos y servicios ajustados al perfil de cliente.
. Oferta comercial de productos y servicios de CaixaBank y las Empresas del Grupo
CaixaBank.
. Cesión de datos a terceros.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
117/177
4. Cesión de datos personales a las empresas del Grupo CaixaBank.
5. Gestionar la firma del cliente y, en su caso, verificar la identidad del firmante en sucesivas
operaciones, mediante la utilización de métodos de contraste de patrones. Esta finalidad se
persigue mediante el tratamiento de datos biométricos.
En relación con estas finalidades, CAIXABANK se refiere al cumplimiento de la
relación contractual como base legitimadora de las finalidades señaladas en el número 1
anterior; al interés legítimo como base legal para el uso de los datos con la finalidad señalada
en el apartado 2 anterior; y al consentimiento en relación con finalidades señaladas en el
apartado 3.
CAIXABANK no informa sobre ninguna base jurídica que habilite las cesiones de datos
a las empresas del Grupo CaixaBank.
La información sobre el tratamiento de datos biométricos se incluyó inicialmente en el
?contrato marco? como un subapartado del apartado 7 (?Tratamientos de datos de carácter
personal basados en la ejecución de los contratos, obligaciones legales e interés legítimo y
política de privacidad), pero sin especificar claramente la base jurídica del tratamiento; y
actualmente se amparan en el consentimiento de los interesados.
- Tratamientos de datos personales basados en el consentimiento de los interesados
contemplados en el ?Contrato Marco? (cláusula 8) y ?Contrato de Consentimientos?.
De acuerdo con lo expresado, el tratamiento de datos requiere la existencia de una
base legal que lo legitime, como el consentimiento del interesado prestado válidamente,
necesario cuando no concurra alguna otra base jurídica de la mencionadas en el artículo 6.1
del RGPD o el tratamiento persiga un fin compatible con aquel para el que se recogieron los
datos.
El artículo 4 del RGPD) define el ?consentimiento? como sigue:
?11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e
inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen?.
El consentimiento se entiende como un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar
el tratamiento de datos de carácter personal que le conciernan, prestada con garantías
suficientes para que el responsable pueda acreditar que el interesado es consciente del
hecho de que da su consentimiento y de la medida en que lo hace. Y debe darse para todas
las actividades de tratamiento realizadas con el mismo o mismos fines, de modo que, cuando
el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos de manera
específica e inequívoca, sin que pueda supeditarse la ejecución del contrato a que el afectado
consienta el tratamiento de sus datos personales para finalidades que no guarden relación
con el mantenimiento, desarrollo o control de la relación negocial. A este respecto, la licitud
del tratamiento exige que el interesado sea informado sobre los fines a que están destinados
los datos (consentimiento informado).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
118/177
El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no
es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o
retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por
separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado
en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea
dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento.
Esto ocurre cuando el consentimiento se incluye como una parte no negociable de las
condiciones generales o cuando se impone la obligación de estar de acuerdo con el uso de
datos personales adicionales a los estrictamente necesarios.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un
verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la
actividad del tratamiento.
El Grupo de Trabajo del Artículo 29 analizó estas cuestiones en su documento
?Directrices sobre el consentimiento en virtud del Reglamente 2016/679?, adoptado el
28/11/2017, revisadas y aprobadas el 10/04/2018.
Estas Directrices han sido actualizadas por el Comité Europeo de Protección de Datos
el 04/05/2020 mediante el documento ?Directrices 05/2020 sobre el consentimiento con
arreglo al Reglamento 2016/679? (mantiene literalmente idénticas las parte que se transcriben
a continuación). En este documento 5/2020 se dice expresamente que los dictámenes del
Grupo de Trabajo del artículo 29 (WP29) sobre el consentimiento siguen siendo pertinentes,
siempre que sean coherentes con el nuevo marco jurídico, declarando que esas directrices no
sustituyen los dictámenes previos, sino que los amplían y completan.
De lo indicado en el documento del GT29 anteriormente citado, interesa ahora
destacar algunos de los criterios relacionados con la validez del consentimiento, en concreto
sobre los elementos ?específico?, ?informado? e ?inequívoco?:
?3.2. Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para el tratamiento de
sus datos debe darse «para uno o varios fines específicos» y que un interesado puede elegir con
respecto a cada uno de dichos fines. El requisito de que el consentimiento deba ser «específico» tiene
por objeto garantizar un nivel de control y transparencia para el interesado. Este requisito no ha sido
modificado por el RGPD y sigue estando estrechamente vinculado con el requisito de consentimiento
«informado». Al mismo tiempo, debe interpretarse en línea con el requisito de «disociación» para
obtener el consentimiento «libre». En suma, para cumplir con el carácter de «específico» el
responsable del tratamiento debe aplicar:
i) la especificación del fin como garantía contra la desviación del uso,
ii) la disociación en las solicitudes de consentimiento, y
iii) una clara separación entre la información relacionada con la obtención del consentimiento para las
actividades de tratamiento de datos y la información relativa a otras cuestiones.
Ad. i): De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención del consentimiento
válido va siempre precedida de la determinación de un fin específico, explícito y legítimo para la
actividad de tratamiento prevista. La necesidad del consentimiento específico en combinación con la
noción de limitación de la finalidad que figura en el artículo 5, apartado 1, letra b), funciona como
garantía frente a la ampliación o difuminación gradual de los fines para los que se realiza el tratamiento
de los datos una vez que un interesado haya dado su autorización a la recogida inicial de los datos.
Este fenómeno, también conocido como desviación del uso, supone un riesgo para los interesados ya
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
119/177
que puede dar lugar a un uso imprevisto de los datos personales por parte del responsable del
tratamiento o de terceras partes y a la pérdida de control por parte del interesado.
Si el responsable del tratamiento se basa en el artículo 6, apartado 1, letra a), los interesados deberán
siempre dar su consentimiento para un fin específico para el tratamiento de los datos. En consonancia
con el concepto de limitación de la finalidad, con el artículo 5, apartado 1, letra b), y con el
considerando 32, el consentimiento puede abarcar distintas operaciones, siempre que dichas
operaciones tengan un mismo fin. Huelga decir que el consentimiento específico solo puede obtenerse
cuando se informa expresamente a los interesados sobre los fines previstos para el uso de los datos
que les conciernen.
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el consentimiento debe ser
específico para cada fin. Los interesados darán su consentimiento entendiendo que tienen control
sobre sus datos y que estos solo serán tratados para dichos fines específicos. Si un responsable trata
datos basándose en el consentimiento y, además, desea tratar dichos datos para otro fin, deberá
obtener el consentimiento para ese otro fin, a menos que exista otra base jurídica que refleje mejor la
situación?
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir el
requisito de consentimiento «libre», sino que también deben cumplir con el de consentimiento
«específico». Esto significa que un responsable del tratamiento que busque el consentimiento para
varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de manera que los usuarios
puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para cada fin, con el
objeto de que los interesados conozcan la repercusión de las diferentes opciones que tienen. De este
modo, se permite a los interesados dar un consentimiento específico. Esta cuestión se solapa con el
requisito de que los responsables faciliten información clara, tal y como se ha expuesto anteriormente
en la sección 3.3?.
?3.3. Manifestación de voluntad informada?? (este apartado 3.3 ya reseñado en el Fundamento de
Derecho anterior).
?3.4. Manifestación de voluntad inequívoca
El RGPD establece claramente que el consentimiento requiere una declaración del interesado o una
clara acción afirmativa, lo que significa que siempre debe darse el consentimiento mediante una acción
o declaración. Debe resultar evidente que el interesado ha dado su consentimiento a una operación
concreta de tratamiento de datos?
Una «clara acción afirmativa» significa que el interesado debe haber actuado de forma deliberada para
dar su consentimiento a ese tratamiento en particular. El considerando 32 ofrece orientación adicional
sobre este punto?
El uso de casillas de aceptación ya marcadas no es válido con arreglo al RGPD. El silencio o la
inactividad del interesado, o simplemente continuar con un servicio, no pueden considerarse como una
indicación activa de haber realizado una elección?
Un responsable del tratamiento debe tener también en cuenta que el consentimiento no puede
obtenerse mediante la misma acción por la que el usuario acuerda un contrato o acepta los términos y
condiciones generales de un servicio. La aceptación global de los términos y condiciones generales no
puede considerarse una clara acción afirmativa destinada a dar el consentimiento al uso de datos
personales. El RGPD no permite que los responsables del tratamiento ofrezcan casillas marcadas
previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para
evitar el acuerdo (por ejemplo, ?casillas de exclusión voluntaria?)...?.
Los responsables del tratamiento deben diseñar los mecanismos de consentimiento de manera que
sean claros para los interesados. Deben evitar la ambigüedad y garantizar que la acción mediante la
cual se presta el consentimiento se distinga de otras acciones??.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
120/177
En este documento se cita el Dictamen 15/2011 del GT29, sobre la definición del
consentimiento. Sobre el consentimiento como manifestación de voluntad inequívoca, en este
último Dictamen se indica:
?Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su obtención y
otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado al dar su
consentimiento. En otras palabras, la manifestación mediante la cual el interesado consiente no debe
dejar lugar a ningún equívoco sobre su intención. Si existe una duda razonable sobre la intención de la
persona se producirá una situación equívoca.
Como se describe a continuación, este requisito obliga a los responsables del tratamiento a crear
procedimientos rigurosos para que las personas den su consentimiento??.
?Este ejemplo ilustra el caso de la persona que permanece pasiva (por ejemplo, inacción o «silencio»).
El consentimiento inequívoco no encaja bien con los procedimientos para obtener el consentimiento a
partir de la inacción o el silencio de las personas: el silencio o la inacción de una parte es
intrínsecamente equívoco (la intención del interesado podría ser de asentimiento o simplemente no
realizar la acción)?.
?? el comportamiento individual (o más bien, la falta de acción), plantea serias dudas sobre la voluntad
de acuerdo de la persona. El hecho de que la persona no realice una acción positiva no permite
concluir que ha dado su consentimiento. Por tanto, no cumple el requisito de consentimiento
inequívoco?. Además, como se ilustra a continuación, también será muy difícil para el responsable del
tratamiento de datos aportar la prueba que demuestre que la persona ha consentido?.
La Cláusula 8 del ?Contrato Marco? está dedicada al ?Tratamiento y cesión de datos
con finalidades comerciales por CAIXABANK y las empresas del grupo CaixaBank basados
en el consentimiento?. Es lo que CAIXABANK denomina genéricamente ?finalidades
comerciales?, entre las que incluye: (i) análisis, estudio y seguimiento para la oferta y diseño
de productos y servicios ajustados al perfil de cliente; (ii) oferta comercial de productos y
servicios de CaixaBank y las Empresas del Grupo CaixaBank; (iii) y cesión de datos a
terceros.
El consentimiento del interesado es la base legal para el tratamiento de sus datos
personales con tales finalidades.
La mencionada Cláusula 8 describe estos tratamientos como sigue:
?El detalle de los usos que se realizará conforme a sus autorizaciones es el siguiente:
(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y
servicios ajustados al perfil de cliente.
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas
y de segmentación de clientes, con una triple finalidad: 1) Estudiar productos o servicios que
puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo ello para
efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias, 2) Realizar el
seguimiento de los productos y servicios contratados,3) Ajustar medidas recuperatorias sobre los
impagos e incidencias derivadas de los productos y servicios contratados.
b) Asociar sus datos con los de sociedades con las que tenga algún tipo de vínculo, tanto por su
relación de propiedad como de administración, al efecto de analizar posibles interdependencias
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
121/177
económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de
productos.
c) Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los
productos y servicios contratados.
Los tratamientos indicados en los apartados (i), (ii) y (iii) podrán ser realizados de manera
automatizada y conllevar la elaboración de perfiles, con las finalidades ya señaladas. A este
efecto, le informamos de su derecho a obtener la intervención humana en los tratamientos, a
expresar su punto de vista, a obtener una explicación acerca de la decisión tomada en base al
tratamiento automatizado, y a impugnar dicha decisión.
d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de
valorar los servicios recibidos.
e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los existentes, así
como definir o mejorar las experiencias de los usuarios en su relación con CaixaBank y las
Empresas del Grupo CaixaBank.
(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios de CaixaBank y las
Empresas del Grupo CaixaBank.
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o telemáticos,
relativas a los productos y servicios que, en cada momento: a) comercialice CaixaBank o cualquiera de
las Empresas del Grupo CaixaBank b) comercialicen otras empresas participadas por CaixaBank y
terceros cuyas actividades estén comprendidas entre las bancarias, de servicios de inversión y
asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de
bienes y servicios, de servicios de consultoría, ocio y benéfico-sociales.
El firmante podrá elegir en cada momento los diferentes canales o medios por los que desea o no
recibir las indicadas comunicaciones comerciales a través de su banca digital, mediante el ejercicio de
sus derechos, o mediante su gestión en la red de oficinas de CaixaBank?.
?(iii) Cesión de datos a terceros
Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a ceder sus datos a
empresas con las que CaixaBank y/o las Empresas del Grupo CaixaBank tenga/n acuerdos, cuyas
actividades estén comprendidas entre las bancarias, de servicios de inversión y asegurador, tenencia
de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de
servicios de consultoría, ocio y benéfico-sociales, con la finalidad de que estas empresas le hagan
ofertas comerciales de productos por ellas comercializados.
En todo caso, producida una cesión de datos en virtud de su autorización, la empresa receptora de la
comunicación informaría al firmante del tratamiento de sus datos y de su procedencia?.
Se detallan, asimismo, los datos personales de los clientes que se someten a los
tratamientos citados:
?a) Todos los facilitados en el establecimiento o mantenimiento de relaciones comerciales o de negocio.
b) Todos los que se generen en la contratación y operativas de productos y servicios con CaixaBank,
con las Empresas del Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o tarjetas,
detalles de recibos domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de
seguro, reclamaciones, etc.
c) Todos los que CaixaBank o las Empresas del Grupo CaixaBank obtengan de la prestación de
servicios a terceros, cuando el servicio tenga como destinatario al firmante, tales como la gestión de
trasferencias o recibos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
122/177
d) Su condición o no de accionista de CaixaBank según conste en los registros de la entidad, o de las
entidades que de acuerdo con la normativa reguladora del mercado de valores hayan de llevar los
registros de los valores representados por medio de anotaciones en cuenta.
e) Los obtenidos de las redes sociales que el firmante autorice a consultar
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos
solicitadas por el firmante
g) Los obtenidos de las navegaciones del firmante por el servicio de banca digital y otras webs de
CaixaBank y las Empresas del Grupo CaixaBank o aplicación de telefonía móvil de CaixaBank y las
Empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos datos pueden incluir
información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de comunicación
establecida entre las partes.
Los datos del firmante podrán ser complementados y enriquecidos por datos obtenidos de empresas
proveedoras de información comercial, por datos obtenidos de fuentes públicas, así como por datos
estadísticos, socioeconómicos (en adelante, ?Información Adicional?) siempre verificando que estos
cumplen con los requisitos establecidos en las normas vigentes sobre protección de datos?.
En base a dicha información, CAIXABANK limita las opciones del cliente a la
prestación de su consentimiento, por separado, para cada una de las tres finalidades (i), (ii) y
(iii) indicadas. El resumen de lo manifestado por el cliente en relación con estas
?autorizaciones? se traslada al encabezado del ?Contrato Marco?, al apartado relativo a los
datos personales y económicos del cliente, en el epígrafe ?Autorizaciones para el tratamiento
de datos?. A continuación, se reseña un ejemplo:
?Autorizaciones para el tratamiento de los datos
En los términos establecidos en la cláusula 8 y 9 del presente Contrato, sus autorizaciones para el
tratamiento de los datos son las siguientes:
Finalidades comerciales:
. Finalidad de estudios y perfilado: Usted ha manifestado su no aceptación y consentimiento al
tratamiento de sus datos.
. Finalidad de comunicación de ofertas de productos, servicios y promociones: Usted ha
manifestado su no aceptación y consentimiento al contacto con finalidades comerciales por
cualquier canal o medio, incluidos los medios electrónicos.
. Cesión de datos a terceros: Usted ha manifestado su no aceptación a la cesión a terceros de sus
datos?.
Posteriormente, de las comprobaciones realizadas en la inspección desarrollada en
fecha 28/11/2019 y de la documentación aportada por CAIXABANK con su escrito de
20/11/2019, se constata que se ha añadido un cuarto consentimiento, relativo al tratamiento
de datos biométricos:
?4. Uso de mis datos biométricos (imagen facial, huella dactilar, etc.) con la finalidad de verificar mi
identidad y firma: Esta autorización se complementará en cada caso con el registro de los datos
biométricos a utilizar en cada momento. Para poder verificar la identidad/firma de sus clientes,
Caixabank utiliza métodos de reconocimiento biométrico como sistemas de reconocimiento facial,
lectura de huella dactilar y similares. Actualmente, algunos de nuestros cajeros ya permiten realizar
operaciones utilizando estos métodos.
( ) Sí, acepto el uso de mis datos biométricos
( ) No?.
Estima esta Agencia que dichos consentimientos (cuatro) no cumplen las condiciones
para que la manifestación de voluntad del interesado se considere válidamente prestada, lo
que convierte en ilegales los tratamientos de datos que realiza CAIXABANK en base al
consentimiento del interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
123/177
La manifestación que realiza el cliente para prestar esos consentimientos puede
considerarse un acto afirmativo, pero no una manifestación de voluntad libre, específica,
informada e inequívoca de aceptar los tratamientos de datos de carácter personal que le
conciernan, prestada con garantías suficientes para acreditar que es consciente del hecho de
que da su consentimiento y de la medida en que lo hace.
En este caso, el consentimiento no puede considerarse libre porque con la firma del
contrato se imponen al cliente aspectos esenciales relativos al tratamiento de sus datos
personales, mermando su capacidad de elección; como es el intercambio de información que
CAIXABANK realiza con las entidades que integran el Grupo CaixaBank, que será analizado
más adelante.
Por otra parte, tal como aparece configurado el mecanismo para la prestación del
consentimiento, no se ha previsto que el interesado exprese su opción sobre todos los fines
para los que se tratan los datos. CAIXABANK lleva a cabo tratamientos de datos que figuran
agrupados en una de las finalidades indicadas, pero que persiguen una finalidad distinta a
aquellas sobre las que el interesado se pronuncia. La enumeración de los tratamientos que la
citada entidad realiza para cada uno de los fines sobre los que se ofrece al cliente la opción
de consentir o no, en realidad supone una ampliación de los fines, por lo que el
consentimiento prestado no puede considerarse específico al no haberse disociado
suficientemente las solicitudes de consentimiento.
CAIXABANK considera que la agrupación de consentimientos incluidas en la cláusula
8 es adecuada y que todos los tratamientos incluidos en la misma son matices de una mismo
perfilado, como puede comprobarse con las depuraciones convenientes.
Esta Agencia no comparte esa opinión. Se habla en el apartado (i) de tratamientos
para ?la oferta y diseño de productos y servicios ajustados al perfil de cliente?, sobre los que el
cliente se pronuncia. Sin embargo, se añaden después finalidades como ?ajustar medidas
recuperatorias sobre los impagos e incidencias derivadas de los productos y servicios
contratados?, ?analizar posibles interdependencias económicas en solicitudes de riesgo y
contratación de productos?, ?valorar los servicios recibidos? o ?diseñar nuevos productos o
servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las
experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo
CaixaBank?.
El apartado (ii) agrupa en una sola manifestación de voluntad del interesado el envío
de comunicaciones comerciales relativas a productos y servicios de CAIXABANK, las
empresas del Grupo CaixaBank y de terceros.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con
el mismo o los mismos fines y, cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos, si bien mediante una manifestación de voluntad expresada
para cada uno de los fines de forma separada o diferenciada, permitiendo al interesado optar
por elegir todos, una parte o ninguno de ellos. Según lo expresado en el Considerando 43, no
puede entenderse libremente prestado el consentimiento al no haberse permitido ?autorizar
por separado las distintas operaciones de tratamiento de datos personales pese a ser
adecuado en el caso concreto?. En el considerando 32 se afirma que "el consentimiento debe
abarcar todas las actividades de tratamiento realizadas con el mismo fin o fines. Cuando el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
124/177
procesamiento tenga múltiples propósitos, debe darse el consentimiento para todos ellos?.
?Cuando el tratamiento de datos se realiza con varios fines, la solución para cumplir
con las condiciones de consentimiento válido reside en la granularidad, es decir, la
separación de estos fines y la obtención de consentimiento para cada fin? (Directrices del
GT29).
Entender que la prestación del consentimiento para aquellas finalidades supone la
aceptación de todos los tratamientos que se incluyen dentro de tales finalidades, cuando en
realidad algunos de estos tratamientos persiguen finalidades distintas, como se ha dicho, no
cumple esta exigencia de separación de los fines y prestación del consentimiento para cada
uno de ellos.
En relación con la incorrecta agrupación de consentimientos, una mención separada
requiere la indicación que se contiene en la Cláusula 8 en relación con los tres primeros
tratamientos que se enumeran en el apartado (i), según la cual esos tratamientos podrán ser
realizados de manera automatizada y conllevar la elaboración de perfiles. Es obvio que estos
tratamientos automatizados requieren un consentimiento del cliente explícito que no se
recaba en legal forma.
El consentimiento prestado, además, no se considera informado. Ya se ha dicho aquí
la importancia de facilitar información a los interesados antes de obtener su consentimiento,
esencial para que puedan tomar decisiones habiendo comprendido qué está autorizando. Si
el responsable no proporciona información accesible, el control del usuario será ilusorio y el
consentimiento no constituirá una base válida para el tratamiento de los datos.
Lo expuesto en el Fundamento de Derecho IV, sobre los reparos observados en la
información que CAIXABANK facilita en materia de protección de datos de carácter personal,
afectan por igual al consentimiento que hubiera podido prestarse. Sirven, a tales efectos, las
observaciones o reparos realizados en dicho Fundamento de Derecho sobre el lenguaje
empleado, la información poco clara e indeterminada sobre los tratamientos de datos
personales y la falta de una formulación clara e inteligible de las finalidades para las que
serán utilizados, así como la falta de información sobre las categorías concretas de datos que
se tratarán para cada una de las finalidades especificadas.
Estas deficiencias impiden a los interesados conocer el sentido y significado real de
las indicaciones facilitadas y el alcance real del consentimiento que pudieran prestar,
haciéndolo inválido al no tratarse de un consentimiento informado, en relación con las
operaciones de recogida de datos o tratamientos de datos respecto de los cuales se
apreciaron aquellos defectos en la información, incluido el tratamiento de aquellos datos que
no hayan sido facilitados directamente por el interesado o que no sean necesarios para el
cumplimiento de la relación contractual que le vincule con la entidad.
La falta de información es evidente si se tiene en cuenta el proceso habilitado por
CAIXABANK para recabar los consentimientos de los clientes para el tratamiento de sus
datos personales, ya sea de forma presencial en oficinas de la entidad, a través del portal web
(para nuevos clientes o a través del área personal habilitada en la web) o de la aplicación
móvil. Estos procedimientos constan reseñados en detalle en los Antecedentes de este acto y
en los Hechos Probados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
125/177
Cabe destacar la recogida de consentimientos llevada a cabo de forma presencial en
las oficinas de la entidad, que se formaliza con la firma del ?Contrato Marco?. CAIXABANK ha
introducido varias modificaciones en este mecanismo desde la entrada en vigor del RGPD.
En mayo de 2018 (así consta en la respuesta de CAIXABANK de 16/05/2018), las
respectivas manifestaciones de voluntad del interesado se expresaban de forma verbal en
una entrevista dirigida por el empleado, que cumplimenta las opciones marcando las casillas
correspondientes en la pantalla respectiva, las cuales se hacen constar en el documento
(?Contrato Marco?) que se imprime posteriormente, cuando el cliente ya se ha pronunciado.
Consta acreditado que las manifestaciones verbales del cliente expresando sus opciones
sobre los tratamientos y fines indicados, así como la firma del documento, se llevan a cabo sin
que el mismo haya tenido acceso a la información que consta en el ?Contrato Marco?.
Posteriormente, según informó CAIXABANK, se dotó a toda la red de oficinas de
tabletas digitalizadoras, posibilitando que el ?Contrato Marco? y el ?Contrato de
Consentimientos? se firmen, no en papel, sino en la propia tableta. El ?Contrato Marco? se
suscribe por el cliente sin tener acceso al documento, lo que equivale a decir que presta su
consentimiento sin que CAIXABANK le facilite información alguna.
(?)
En la inspección realizada a CAIXABANK en fecha 28/11/2019, se comprobó un nuevo
cambio en el proceso antes descrito, consistente en disponer la entrega de una tableta digital
al cliente para que él mismo marque las opciones de consentimientos correspondientes, pero
no modifica las circunstancias anteriores.
El sistema guía al gestor en todo el proceso, advirtiéndole que debe consultar al
cliente sus preferencias y facilitarle físicamente la tablet para que el propio cliente proceda a
marcar sus opciones. Una vez marcadas las preferencias, el propio terminal le indica que
dichas preferencias han sido registradas y le invita a devolver el dispositivo al gestor (una vez
marcadas las opciones por el cliente, en la pantalla siguiente desaparece la indicación ?Modo
Tablet? y se expresa lo siguiente: ?Sus consentimientos se han indicado. Gracias por su
colaboración. Por favor devuelva la Tablet a su gestor?). Posteriormente, ?el gestor finaliza y
consolida el documento y lo facilita para su firma al cliente?.
Se comprobó que las pantallas ?Modo Tablet. Cliente? no contienen ningún enlace a la
información en materia de protección de datos personales contenida en el ?Contrato Marco?.
En el proceso de alta a través de la web, el sistema muestra una pantalla que permite
al cliente marcar las opciones ?Si? o ?No? para cada uno de los consentimientos que se
solicitan. Esta pantalla incluye un símbolo (i) que conduce a otra pantalla con un mensaje
sobre la información en materia de protección de datos y un enlace que lleva hasta la misma.
Sin embargo, la información que se ofrece es insuficiente porque únicamente recoge la
correspondiente a la cláusula 8 ?Tratamiento y cesión de datos con finalidades comerciales
por CaixaBank y empresas del Grupo CaixaBank basados en el consentimiento? del Contrato
Marco. En este caso, según informó CAIXABANK, en la pantalla de firma se incluye una
casilla para marcar ?He leído y acepto el contrato?.
El mismo reparo sobre la información ofrecida presenta el proceso habilitado para la
prestación de los consentimientos en el espacio privado del cliente en la web de ?Caixabank
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
126/177
Now? y cuando ése utiliza la aplicación móvil, que redirige al portal Web.
Estos procesos no aseguran que el interesado acceda a la información con carácter
previo a la selección de sus consentimientos y firma del documento en todos los casos, lo que
ocurre tanto en relación con el ?Contrato Marco? como con el ?Contrato de Consentimientos?.
Por tanto, devienen en ilícitos todos los tratamientos detallados cuya base legal venga
determinada, conforme a lo expresado por la propia entidad CAIXABANK, por el
consentimiento de los interesados.
Sobre la cuestión analizada en este apartado, relativa a los tratamientos de datos
personales basados en el consentimiento de los interesados, CAIXABANK, en su escrito de
alegaciones a la propuesta de resolución, se limita a afirmar que los consentimientos
obtenidos son libres, específicos, inequívocos y suficientemente informados. Señala
simplemente que el cliente tiene la absoluta libertad de otorgarlos o no, sin consecuencias
negativas asociadas y sin condicionalidades, que no existe una combinación de diferentes
finalidades bajo un mismo consentimiento, y que el interesado otorga su consentimiento
mediante una acción afirmativa.
Sin embargo, omite cualquier justificación sobre las irregularidades que se han
detallado y que fundamentan la conclusión sobre la falta de base jurídica de los tratamientos
que CAIXABANK realiza en base al consentimiento.
Frente a los importantes reparos mencionados en relación con los tratamientos de
datos que persiguen una finalidad distinta a aquellas sobre las que el interesado presta su
consentimiento, manifiesta CAIXABANK que en la Cláusula 8 del ?Contrato Marco? y en el
?Contrato de Consentimientos? se desglosan las tres únicas actividades, tres fines, que se
realizan al amparo del consentimiento (el perfilado de datos para ofrecer a los clientes
productos que puedan ser de su interés; la elección del canal de comunicación de las ofertas;
y la posibilidad de ceder los datos a terceros). Y añade que aquellos tratamientos sobre los
que el cliente no tiene oportunidad de pronunciarse no se llevan a cabo (no dice cuáles), o
están amparados por otra base legal, o son más sencillos y limitados de lo que la AEPD
entiende.
Califica como un ?error? que no rompe el principio de especificidad el hecho de incluir
dentro de los ejemplos algunas operaciones de tratamiento que debían haber sido incluidas
en otras bases jurídicas, entre los tratamientos que se realizan en base a la ejecución de los
contratos o en cumplimientos de leyes. Añade que ha sido subsanado en la Nueva Política de
Privacidad incluyendo esas actividades en sus respectivos y correctos epígrafes (tratamientos
en ejecución de una relación contractual o por obligación legal).
A este respecto, en su alegación cuarta, al referirse a la información sobre la
elaboración de perfiles, también alega este ?error? y enumera las operaciones de tratamiento
que, a su juicio, no tienen que ver con el consentimiento:
?- Realizar el seguimiento de los productos y servicios contratados, que es claramente un tratamiento
necesario para la ejecución de la relación contractual según se establece en el art. 6.1.b)
- Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los productos y
servicios contratados también claramente un tratamiento necesario para la ejecución de la relación
contractual según se establece en el art. 6.1.b)
- Asociar sus datos con los de sociedades con los que tenga algún tipo de vínculo, tanto por su relación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
127/177
de propiedad, como de administración, al efecto de analizar posibles interdependencias económicas en
el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos, que es un
tratamiento necesario para la ejecución de la relación contractual según se establece en el art. 6.1.b), y
obligatorio para cumplir con la Ley 10/2014, de 26 de junio, de Ordenación, Supervisión y Solvencia de
Entidades de Crédito, la Ley 44/2002, de Medidas de Reforma del Sistema Financiero y demás
obligaciones y principios de las normativas sobre concesión de préstamo responsable, y de cuyo
detalle se informa en las propias solicitudes de productos que los clientes suscriben al pedir su
contratación.
- Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los
productos y servicios contratados, que es claramente un tratamiento en base al interés legítimo de
CaixaBank, según se establece en el art. 6.1.f), interés que se resume en el interés de evitar fraudes
que le supongan pérdidas económicas o reputacionales.
- Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo de valorar
los servicios recibidos, que es un tratamiento necesario para la ejecución de la relación contractual
según se establece en el art. 6.1.b), y vinculado a la autorización para el uso del canal concreto.
- Diseñar productos o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o
mejorar las experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo
CaixaBank, que es un tratamiento que no se realiza con datos personales, si no analizando
estadísticas y datos agregados tras procesos de anonimización?.
Con esta alegación se está reconociendo que estas operaciones tienen finalidades
distintas a las expresadas en la Cláusula 8 del ?Contrato Marco? y en el ?Contrato de
Consentimientos? bajo las que se agrupan los consentimientos sobre los que se pronuncia el
cliente, y también que no es cierto que las actividades de tratamiento que se mencionan en
aquellos documentos puedan agruparse en las tres únicas finalidades que se desglosen. Si
esos tratamientos pudieran tener una base jurídica distinta al consentimiento, está claro que
son tratamientos distintos y que persiguen finalidades distintas. Ello es evidente si
consideramos que todos los tratamientos a los que se refiere CAIXABANK en sus
alegaciones, los recogidos en la lista anterior, están ligados en la Cláusula 8 del ?contrato
Marco? al ?Tratamiento de datos con finalidades comerciales por CAIXABANK y las empresas
del Grupo CaixaBank?, y ?los usos que se realizarán? se describen como ?Tratamientos de
análisis, estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al
perfil del cliente?.
Existen, además, otros tratamientos de datos a los que no se refiere CAIXABANK en
sus alegaciones y que también requieren del consentimiento del interesado para que puedan
llevarse a cabo, como es el intercambio de información con las empresas del Grupo.
Se trata de defectos sustantivos, que afectan al principio básico de la licitud del
tratamiento. Por tanto, no puede aceptarse el planteamiento de CAIXABANK, que pretende
evitar la responsabilidad que conlleva ese incumplimiento alegando un mero error no
reprobable.
Por otra parte, no comparte esta Agencia que no pueda atribuirse ningún efecto a esta
importante irregularidad, como pretende CAIXABANK, asumiendo que las actividades de
tratamiento de datos enumeradas pudieran encontrar amparo en otra base jurídica distinta al
consentimiento.
Por una parte, se estaría proporcionando información inexacta a los interesados sobre
las bases jurídicas en que se legitiman los correspondientes tratamientos, lo cual,
indudablemente, afecta al conocimiento y expectativas que los interesados puedan tener
respecto a los derechos que les corresponden en función de las diferentes bases jurídicas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
128/177
implicadas y, en definitiva, al control que pueden ejercer sobre sus datos personales. Así, por
ejemplo, si un interesado no presta su consentimiento para estos tratamientos.
Por otra parte, sería necesario, como aquí se ha visto, un análisis exhaustivo de todas
las circunstancias concurrentes en relación con los tratamientos pretendidos para valorar la
pertinencia de la nueva base jurídica que CAIXABANK indica en sus alegaciones, de modo
que no pueden darse por buenas las razones alegadas.
Esto es evidente en relación con los tratamientos que ahora, en sus alegaciones,
CAIXABANK pretende fundamentar en el interés legítimo del responsable (?Realizar estudios
y controles automáticos de fraude, impagos e incidencias derivadas de los productos y
servicios contratados?). Aceptar este planteamiento sería tanto como admitir un interés
legítimo sobrevenido, o a posteriori, respecto del cual no se han respetado las exigencias
previstas en la normativa de protección de datos personales, en particular la obligación de
ponderar los derechos e intereses en juego, y sobre el que no se informa en la Política de
Privacidad.
Alega también CAIXABANK que los tratamientos que realiza para ?Diseñar productos
o servicios, o mejorar el diseño y usabilidad de los existentes, así como definir o mejorar las
experiencias de los usuarios en su relación con CaixaBank y las Empresas del Grupo
CaixaBank?, no se realizan con datos personales, sino analizando estadísticas y datos
agregados tras procesos de anonimización. Pero no tiene en cuenta que esta actividad
conlleva dos tratamientos, el que dé lugar a la información anónima (la anonimización
propiamente dicha), sometido a la normativa de protección de datos, y el tratamiento que se
lleve a cabo con los datos ya anonimizados, excluidos de dicha normativa. Así, también en
este caso es necesario disponer de base jurídica que ampare esos tratamientos de datos.
Ha sido la propia entidad CAIXABANK la que dispuso, en el diseño de sus
operaciones de tratamiento, amparar en el consentimiento los tratamientos citados
anteriormente y viene obligada, en consecuencia, a cumplir las exigencias que ello conlleva.
Sobre el proceso habilitado para otorgar el consentimiento presencialmente en oficina,
reitera que, tras dar los consentimientos (o no), el cliente accede al texto completo del
contrato para que pueda leerlo y revisarlo, de modo que puede no ratificar su elección y
?volver atrás?. Por último, señala que la AEPD omite el análisis del proceso de recogida de
consentimientos en el canal no presencial (la banca on line) que revisó en la misma
inspección, en el que se demostró que el cliente debe acceder necesariamente a la
información antes de prestar el consentimiento.
En relación con esta cuestión, CAIXABANK no tiene en cuenta que el proceso para la
formalización del ?Contrato Marco? o del ?Contrato de Consentimientos, y con ello la
prestación del consentimiento de forma presencial, ha seguido distintas operativas a lo largo
del período analizado. Según ha quedado expuesto, la prestación por el cliente de los
consentimientos solicitados por CAIXABANK, incluso la firma de los citados documentos, se
realizaba sin que la información en materia de protección de datos personales se pusiera a
disposición del cliente. Incluso durante el proceso que denomina ?Modo Tablet?, al que se
refieren las alegaciones, el cliente presta el consentimiento sin recibir esa información
previamente.
Esto no ocurre, como se dijo anteriormente, en el proceso de recogida de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
129/177
consentimientos durante el proceso de alta a través de la web y en el mecanismo habilitado
en el área privada del cliente en la web de ?Caixabank Now?. En este caso, la información se
ofrece al cliente antes de que marque las opciones dispuestas, pero solo la información
correspondiente a la Cláusula 8 del ?Contrato Marco?, no toda la información.
Estas conclusiones sobre el proceso de alta a través de la web y del área personal de
los clientes ya fueron expuestas, en los mismos términos, en la propuesta de resolución. No
se entiende, por tanto, que CAIXABANK alegue que la AEPD ha omitido el análisis de estos
procesos de recogida de consentimientos.
- b) Otros tratamientos de datos personales basados en el consentimiento de los
interesados contemplados en el ?Contrato de Consentimientos?.
Sobre el documento denominados ?Contrato de Consentimientos? sirven todas las
observaciones y reparos realizados en relación con la Cláusula 8 del ?Contrato Marco?, por la
similitud de sus contenidos y del proceso de recogida de los consentimientos, según ha
quedado expuesto.
No obstante, interesa destacar dos cuestiones en relación con el ?Contrato de
Consentimientos? o documento de ?Autorización/revocación para el tratamiento de datos de
carácter personal con finalidades comerciales por CaixaBank, S.A. y empresas del grupo
CaixaBank?:
1. La información ofrecida al interesado es menor que la ofrecida en el ?Contrato Marco?,
puesto que sólo se da acceso a un texto similar al de la Cláusula 8 de dicho Contrato.
2. Otra cuestión de la que derivan tratamientos de datos personales sin el consentimiento de
sus titulares tiene que ver con la asociación de datos de los clientes de CAIXABANK con los
de otros clientes con los que aquél tenga algún tipo de vínculo, familiar o social, ?al efecto de
analizar posibles interdependencias económicas en el estudio de ofertas de servicios,
solicitudes de riesgo y contratación de productos?. Esta vinculación de datos del cliente con
datos personales de terceros, que se añadió en la versión 3ª de este documento en la
autorización (ii) del apartado correspondiente a la finalidad 1 (?Tratamientos de análisis,
estudio y seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de
cliente?), no puede llevarse a cabo sobre la base del pronunciamiento que pueda realizar el
cliente, que no es el titular de los datos en cuestión (se trata de datos personales de terceros
que se asocian a los datos del cliente).
- c) Tratamientos de datos personales basados en el consentimiento de los
interesados contemplados en el ?Contrato de redes sociales?.
En relación con el tratamiento de datos obtenidos de redes sociales, pesan las mismas
objeciones sobre el consentimiento que se presta y las finalidades pretendidas con el
tratamiento. Además, el cliente consiente mediante un solo acto y lo hace para tratamientos
de datos con finalidades diversas:
Desde el área personal de la banca online, el cliente consiente que CAIXABANK
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
130/177
acceda y utilice información de redes sociales. La herramienta habilitada para ello solicita al
cliente que seleccione la red (Facebook, Twitter y LinkedIn), le ofrece la información dispuesta
por la entidad en una caja de texto y requiere que el interesado pulse el botón habilitado con
el texto ?Aceptar y continuar?. Con esta sola acción, el cliente presta su consentimiento a la
recogida de los datos personales que se mencionan en esa información, a los tratamientos
que se detallan y para las diferentes finalidades que se indican (esta información consta
reproducida íntegramente en Anexo III):
?Al hacer click en el botón ?Aceptar y continuar?, Usted consiente expresamente que
CaixaBank? incorpore a ficheros los siguientes datos de carácter personal? con las
finalidades de
a) contactar con Usted y remitirle comunicaciones comerciales por medios electrónicos
relativas a productos y servicios y/o cualesquiera otros que actualmente o en el futuro
comercialice CaixaBank, y relativas a productos y servicios de terceros cuyas actividades
estén comprendidas en las que se indican en el apartado siguiente.
b) comunicar los datos por Usted proporcionados a Caixabank, S.A., con NIF?, domicilio
en Av. Diagonal 621 08028 de Barcelona, y a las empresas y entidades en cuyo capital
fundacional participe directa o indirectamente CaixaBank, para que estas puedan dirigirle
comunicaciones comerciales en papel y por medios electrónicos sobre los productos y
servicios propios de sus respectivas actividades, comprendiendo las bancarias, de
servicios de inversión y asegurados, tenencia de acciones, capital riesgo, inmobiliarias,
viarias, de venta y distribución de bienes y servicios, de servicios de consultoría, ocio y
benéfico-sociales, así como la comunicaciones de sus datos por dichas entidades a
Caixabank, con las finalidades previstas en el anterior apartado a).
c) validar, por parte del Servicio de Atención al Cliente en redes sociales, los datos
identificativos que proporcione Usted al mismo, al efecto de atender las solicitudes que
Usted le dirija.
d) validar sus datos identificativos cuando Usted acceda a otras aplicaciones de
CaixaBank mediante su Nombre de usuario (Twitter), su Identificador de usuario
(Facebook) o su Usuario registrado (Linkedin).
e) contactar con Usted en el supuesto que fuera detectado o existieran fundadas
sospechas en relación a un posible fraude o suplantación de su identidad o actividad en
las redes sociales, o en el uso de canales o aplicaciones de CaixaBank.
Asimismo, Usted consiente expresamente el acceso de CaixaBank a aquellos contenidos e
información que Usted haya decidido hacer públicos en cada momento (y, en su caso, a
aquellos contenidos e información cuyo acceso Usted haya permitido específicamente) en las
redes sociales señaladas, así como la comunicación de la mencionada información, a las
empresas y entidades indicadas en el apartado b) anterior, para su tratamiento con las
siguientes finalidades:
(i) personalización de las ofertas comerciales.
(ii) elaboración de perfiles y segmentación en base a la información pública de su perfil,
al objeto de recomendarle y ofrecerle los productos y servicios que más se adecuen a
sus preferencias y necesidades?.
Es significativo que algunas de las finalidades son similares a las mencionadas en la
Cláusula 8 del ?Contrato Marco? y del ?Contrato de Consentimientos?
(?Autorización/revocación?) para las que CAIXABANK dispone que el interesado preste su
consentimiento específico y, en cambio, para el tratamiento de los datos personales obtenidos
de redes sociales el interesado consiente todos los tratamientos y para todas las finalidades
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
131/177
mediante una acción única, pulsando el botón habilitado con el texto ?Aceptar y continuar?.
Otra cuestión relevante tiene que ver con la comunicación de datos a las empresas y
entidades en cuyo capital fundacional participe directa o indirectamente CaixaBank (en este
caso no se habla de Grupo de empresas CaixaBank, ni se detalla a qué empresas se refiere),
que exige igualmente una manifestación específica del interesado para que CAIXABANK
pueda llevarla a efecto.
Debe rechazarse, igualmente, el hecho de que el consentimiento recabado en relación
con la información obtenida de redes sociales incluya las comunicaciones de datos por las
entidades indicadas en el párrafo anterior a CAIXABANK.
Ningún comentario incluye CAIXABANK sobre las circunstancias anteriores en relación
con el ?Contrato de redes sociales?, salvo la indicación de que fue un proyecto que no tuvo
éxito y se dio de baja.
- d) Tratamientos de datos personales basados en el consentimiento de los
interesados contemplados en el ?Contrato del servicio de agregación?.
Lo mismo puede decirse del servicio de agregación. Este servicio se presta por
CAIXABANK a solicitud del interesado y se formaliza mediante la suscripción del contrato
correspondiente.
En relación con el consentimiento para el tratamiento de datos que el interesado
presta con la contratación de este servicio pesan las mismas objeciones. También en este
caso el cliente consiente mediante un solo acto y lo hace para tratamientos de datos con
finalidades diversas.
El objeto de la relación consiste en permitir al contratante la gestión y visualización
sobre posiciones y movimientos de los productos y servicios que éste mantenga con otras
entidades financieras. Sin embargo, de conformidad con el clausulado dispuesto en el modelo
de contrato elaborado por CAIXABANK, la firma del documento conlleva la prestación del
consentimiento del cliente para tratamientos de datos con finalidades distintas, algunas de las
cuales se presentan como si se tratase del puro objeto del contrato, a pesar de que van más
allá del objeto expresado, con el que no guardan relación.
Así, en el apartado 2 del Contrato, en el que se define su objeto, se indica que el
mencionado servicio ?también? tiene por objeto, en base a la información agregada, ?la
personalización de ofertas comerciales ajustadas al perfil y situación del contratante por parte
de CaixaBank; la mejora del análisis de riesgos e idoneidad para la contratación de productos
y servicios solicitados por el contratante; y la mejora de la gestión de impagos e incidencias
derivadas de los productos y servicios contratados?.
Asimismo, en el apartado 11 se informa sobre dos finalidades más:
a) la personalización de ofertas comerciales ajustadas al perfil y situación del contratante por
parte de CaixaBank, en relación a productos propios o de terceros comercializados por ella.
b) realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el objetivo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
132/177
de valorar los servicios recibidos por parte de CaixaBank?.
En este caso se advierte al interesado que se trata de finalidades adicionales que
deberá consentir expresamente (se expresa así: ?Adicionalmente, en el caso de que lo haya
consentido expresamente, los datos obtenidos podrán ser tratados con las siguientes
finalidades??). Considerando los mecanismos habilitados por CAIXABANK para prestar el
consentimiento al que se refiere esta cláusula, entendemos que se refiere a las
manifestaciones de voluntad recabadas mediante el ?Contrato Marco? o mediante el ?Contrato
de Consentimientos?, y ya se han indicado los reparos a los consentimientos recabados
mediante estos documentos. Además, en relación con lo expresado en el contrato del servicio
de agregación, debe añadirse que ninguno de estos dos documentos recaba el
consentimiento del cliente para la personalización de ofertas comerciales ajustadas al perfil y
situación del contratante por parte de CAIXABANK, en relación con productos de terceros
comercializados por esta entidad. Por tanto, CAIXABANK no ha previsto la prestación del
consentimiento para la finalidad a) antes indicada en relación con productos de terceros.
Por otra parte, es preciso señalar que las finalidades y tratamientos sobre los que
informa el contrato del servicio de agregación no hacen referencia alguna a las empresas del
Grupo CaixaBank. Por tanto, con la firma de este contrato no se puede entender prestado el
consentimiento para las finalidades indicadas en el ?Contrato Marco? y en el ?Contrato de
Consentimientos?, que incluyen la utilización por aquellas empresas de los datos recabados
con motivo de este servicio. Se trata por tanto de una comunicación de datos ilícita.
Finalmente, interesa destacar una observación más sobre el objeto del servicio de
agregación. Según el contrato, este servicio tiene por objeto la gestión y visualización de
información sobre posiciones y movimientos de productos que el interesado mantenga en
otras entidades. Sin embargo, a pesar de esta descripción del objeto y del término ?gestión?
que se incluye, se advierte en el mismo documento que el servicio no permite realizar
operaciones o transacciones sobre los productos de entidades terceras y que la prestación
del mismo se plasmará en la posibilidad del contratante de visualizar a través de la banca
digital información agregada.
Considerando esa limitación del objeto, los datos que se recaban y el uso que se
pretende realizar, podría entenderse que el servicio de agregación más bien parece que
estaba diseñado para la recogida de información por la entidad responsable. Más aún si
consideramos que el propio contrato dispone que la no aceptación o la posterior oposición al
tratamiento de sus datos con las finalidades detalladas implica que CAIXABANK ?no podrá o
(en su caso) deberá dejar de ofrecerle el servicio de agregación? y que, en el caso de que los
datos se traten con el consentimiento del interesado, podrán ser tratados mientras no retire el
consentimiento, incluso habiendo finalizado la relación contractual.
CAIXABANK niega esta observación alegando que la Agencia no ha entendido la
naturaleza de este servicio, que está previsto en la normativa de pagos y sirve para no
desposicionar a la entidad respecto a nuevos actores. Sin embargo, aquella conclusión no
resulta de analizar la naturaleza de este servicio, sino de las finalidades, especialmente
comerciales o publicitarias, y la elaboración de perfiles que se imponían como objeto del
contrato.
Esa misma normativa de pagos que cita CAIXABANK establece la prohibición de
utilizar los datos personales para fines distintos de la prestación del servicio. El Real Decreto-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
133/177
ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia
financiera, se refiere a las normas de acceso a la información relativa a las cuentas de pago y
al uso de esa información. Concretamente, en su artículo 39.1.f) dispone lo siguiente:
?Artículo 39. Normas de acceso a la información sobre cuentas de pago y uso de dicha información en
caso de servicios de información sobre cuentas.
1. El proveedor de servicios de pago que preste el servicio de información sobre cuentas:
f) no utilizará, almacenará o accederá a ningún dato, para fines distintos de la prestación del servicio de
información sobre cuentas expresamente solicitado por el usuario del servicio de pago, de conformidad
con las normas sobre protección de datos?.
En relación con el Contrato del Servicio de Agregación, y también con los Términos de
Redes Sociales, CAIXABANK ha señalado que la firma de estos documentos es
complementaria al ?Contrato Marco?, que en estos documentos adicionales no se obtiene un
nuevo consentimiento, el cual se otorga en el ?Contrato Marco?.
Esto no concuerda con lo expresado en aquellos documentos y en el propio ?Contrato
Marco?. Este contrato no requiere la prestación de ningún consentimiento para el tratamiento
de estos datos, sino que se limita a informar sobre la utilización de los datos obtenidos de
redes sociales y del servicio de agregación que el interesado haya autorizado. Esa
autorización solo puede prestarse mediante la aceptación de los Términos de Redes Sociales
y la firma del Contrato del Servicio de Agregación en la forma antes indicada. En concreto, el
?Contrato Marco? señala lo siguiente:
?Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la oferta
comercial de productos y servicios serán:
e) Los obtenidos de las redes sociales que el firmante autorice a consultar
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de datos
solicitadas por el firmante?.
Finalmente, interesa destacar que el nuevo Contrato del Servicio de Agregación no
incluye la realización de tratamientos de datos con las finalidades indicadas. En relación con
las finalidades comerciales, se remite a las autorizaciones que el cliente haya otorgado y
advierte sobre la posibilidad de gestionarlas en oficina, a través de banca digital o móvil.
No se tiene constancia, en cambio, de que las referencias que contiene el ?Contrato
Marco? al uso de datos obtenidos de este servicio hayan sido adaptadas a los cambios del
Contrato del Servicio de Agregación.
- Otros tratamientos de datos personales sin base jurídica
Por otra parte, existen otros tratamientos de datos que constan en la información que
CAIXABANK facilita a sus clientes que se llevan a cabo sin ninguna base de legitimación:
Según lo detallado en el Fundamento de Derecho anterior, CAIXABANK utiliza datos
personales (?movimientos?, ?recibos?, ?nóminas?, ?siniestros? y ?reclamaciones?) generados en
la contratación y operativa de productos y servicios contratados por el interesado con terceros
(?Todos los que se generen en la contratación y operativas de productos y servicios? con las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
134/177
Empresas del Grupo CaixaBank o con terceros?).
Se deduce de ello que CAIXABANK, bajo la condición de responsable del tratamiento,
recaba y utiliza datos personales que no obtiene directamente de los interesados. Se trata de
datos personales procedentes de terceros que CAIXABANK utiliza con las finalidades
expresadas en la información facilitada a los interesados.
No existe base jurídica que legitime la utilización de estos datos personales.
CAIXABANK no es la entidad responsable de estos datos obtenidos de productos de terceros,
lo que limita la posibilidad de utilizar la información de que se trate con fines propios.
También en relación con esta cuestión es necesario tener en cuenta las limitaciones
sobre el suso de los datos personales que impone el Real Decreto-ley 19/2018 antes citado.
En su artículo 65 se refiere expresamente a la protección de datos personales en los
siguientes términos:
?Artículo 65. Protección de datos.
1. El tratamiento y cesión de los datos relacionados con las actividades a las que se refiere este real
decreto-ley se encuentran sometidos a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE y en la normativa española de protección de datos, y en la normativa
nacional que lo desarrolla?.
- Tratamiento de datos personales basados en el interés legítimo del responsable
El análisis de esta cuestión debe tener en cuenta inicialmente lo dispuesto en el
artículo 1.2 del RGPD, según el cual ?El presente Reglamento protege los derechos y
libertades fundamentales de las personas físicas y, en particular, su derecho a la protección
de los datos personales?. Para ello habrán de tenerse en cuenta todas las circunstancias que
rodean la recogida y tratamiento de los datos y el modo en que se ven cumplidos o reforzados
los principios, derechos y obligaciones exigidos por la normativa de protección de datos de
carácter personal.
El artículo 6 del RGPD exige que el tratamiento de datos personales, para que sea
lícito, pueda ampararse en alguna de las bases de legitimación que establece y que el
responsable del tratamiento sea capaz de demostrar que, efectivamente, concurría en la
operación de tratamiento el fundamento jurídico que invoca (artículo 5.2, principio de
responsabilidad proactiva).
Las bases jurídicas del tratamiento que se detallan en el artículo 6.1 RGPD están
relacionados con el principio, más amplio, de licitud, del artículo 5.1.a) del RGPD, precepto
que dispone que los datos personales serán tratados de manera ?lícita, leal y transparente en
relación con el interesado?.
En relación con la base jurídica del interés legítimo, invocada por CAIXABANK para
los tratamientos descritos, el artículo 6 citado establece:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
135/177
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable
del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño...?.
El Considerando 47 del RGPD precisa el contenido y alcance de esta base
legitimadora del tratamiento.
Los criterios interpretativos que se extraen de este Considerando son, entre otros, (i)
que el interés legítimo del responsable prevalezca sobre los intereses o derechos y libertades
fundamentales del titular de los datos, a la vista de las expectativas razonables que éste
tenga, fundadas en la relación que mantiene con el responsable del tratamiento; (ii) será
imprescindible que se efectúe una ?evaluación meticulosa? de los derechos e interés en juego,
también en aquellos supuestos en los que el interesado pueda prever de forma razonable, en
el momento y en el contexto de la recogida de datos, que pueda producirse el tratamiento con
tal fin; (iii) los intereses y derechos fundamentales del titular de los datos personales podrían
prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos
se efectúe en circunstancias tales en las que el interesado ?no espere razonablemente? que
se lleve a cabo un tratamiento ulterior de sus datos personales.
Debe añadirse que el interesado, en todos los casos, puede ejercer el derecho de
oposición, que también supone una nueva evaluación de los intereses de responsable y titular
de los datos, salvo en los casos de prospección comercial, en los que el ejercicio del derecho
obliga a interrumpir los tratamientos sin ninguna evaluación (artículo 21.3 del RGPD).
Interesa destacar algunos aspectos recogidos en el Dictamen 6/2014 elaborado por el
Grupo de Trabajo del Artículo 29 relativo al ?Concepto de interés legítimo del responsable del
tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE?, de fecha
09/04/2014, especialmente los factores que pueden ser valorados cuando se efectúa la
preceptiva ponderación de los derechos e intereses en juego. Aunque el Dictamen 6/2014 se
emitió para favorecer una interpretación uniforme de la Directiva 95/46 entonces vigente,
derogada por el RGPD, dada la casi total identidad entre su artículo 7.f) y el artículo 6.1.f) del
RGPD, y que las reflexiones ofrecidas son exponente y aplicación de principios que inspiran
también el RGPD, como el principio de proporcionalidad, o de principios generales del
Derecho comunitario, como los principios de equidad y de respeto a la ley y al Derecho,
muchas de sus reflexiones son extrapolables a la aplicación de la normativa actual.
Según se ha indicado, para que el apartado f) del artículo 6.1. RGPD pueda constituir
la base legitimadora del tratamiento de los datos personales que se efectúa, preceptivamente,
y con carácter previo al tratamiento, ha de hacerse una ponderación, una ?evaluación
meticulosa?, de los derechos e intereses en juego: el interés legítimo del responsable del
tratamiento, de una parte, y de otra, tanto los intereses como los derechos y libertades
fundamentales de los afectados. Ponderación que es imprescindible, pues sólo cuando como
resultado de ella prevalece el interés legítimo del responsable del tratamiento sobre los
derechos o intereses de los titulares de los datos podrá operar como fundamento jurídico del
tratamiento el referido interés.
Sobre la prueba de ponderación, el repetido Dictamen señala lo siguiente:
?El interés legítimo del responsable del tratamiento, cuando es menor y no muy apremiante, en general,
solo anula los intereses y los derechos de los interesados en casos en los que el impacto sobre estos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
136/177
derechos e intereses sea incluso más trivial. Por otro lado, un interés legítimo importante y apremiante
puede, en algunos casos y sujeto a garantías y medidas, justificar incluso una intrusión significativa en
la privacidad o cualquier otra repercusión importante en los intereses o derechos de los interesados.
Aquí es importante destacar el papel especial que las garantías pueden desempeñar para reducir un
impacto indebido sobre los interesados y, por tanto, para cambiar el equilibrio de derechos e intereses
hasta el punto de que prevalezca el interés legítimo del responsable del tratamiento de datos. Por
supuesto, el uso de garantías exclusivamente no es suficiente para justificar cualquier tipo de
tratamiento en cualquier contexto. Además, las garantías en cuestión deben ser adecuadas y
suficientes, y deben, incuestionable y significativamente, reducir la repercusión para los interesados?.
El Dictamen mencionado hace referencia a los múltiples factores que pueden operar
en la ponderación de los intereses en juego y los agrupa en estas categorías:
(a) la evaluación del interés legítimo del responsable del tratamiento, la naturaleza y fuente
del interés legítimo y si el tratamiento de datos es necesario para el ejercicio de un derecho
fundamental, resulta de otro modo de interés público o se beneficia del reconocimiento de la
comunidad afectada;
(b) el impacto o repercusión sobre los interesados y sus expectativas razonables sobre qué
sucederá con sus datos (?lo que una persona considera razonablemente aceptable en virtud
de las circunstancias?), así como la naturaleza de los datos y la manera en la que sean
tramitados; subrayando que la pretensión no es que el tratamiento de datos efectuado por el
responsable no tenga ningún impacto negativo sobre los interesados sino impedir que el
impacto sea ?desproporcionado?;
(c) el equilibrio provisional y
(d) las garantías adicionales que podrían limitar un impacto indebido sobre el interesado, tales
como la minimización de los datos, las tecnologías de protección de la intimidad, el aumento
de la transparencia, el derecho general e incondicional de exclusión voluntaria y la
portabilidad de los datos.
En primer término, el Dictamen subraya que la implicación que el responsable del
tratamiento puede tener en el tratamiento de datos efectuado es la de ?interés?, al que ya se
hizo referencia en el Fundamento de Derecho anterior para señalar que está relacionado con
la finalidad, pero es un concepto más amplio (?finalidad es la razón específica por la que se
tratan los datos: el objetivo o la intención del tratamiento de los datos. Un interés, por otro
lado, se refiere a una mayor implicación que el responsable del tratamiento pueda tener en el
tratamiento, o al beneficio que el responsable del tratamiento obtenga del tratamiento?).
También es más amplio que el de derechos y libertades fundamentales, de ahí que respecto a
los afectados se ponderen no solo sus derechos y libertades fundamentales, sino también sus
?intereses?.
Según el GT29, ?un interés debe estar articulado con la claridad suficiente para
permitir que la prueba de sopesamiento se lleve a cabo en contraposición a los intereses y los
derechos fundamentales del interesado. Además, el interés en juego debe también ser
perseguido por el responsable del tratamiento. Esto exige un interés real y actual, que se
corresponda con actividades presentes o beneficios que se esperen en un futuro muy
próximo. En otras palabras, los intereses que sean demasiado vagos o especulativos no
serán suficientes?.
Además, el ?interés? del responsable del tratamiento, según establece el artículo 6.1.f)
del RGPD y antes el artículo 7.f) de la Directiva, debe ser ?legítimo?, lo que significa, dice el
Dictamen, que ha de ser ?lícito? (respetuoso con la legislación nacional y de la U.E aplicable).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
137/177
Sin embargo, el GT29 añade que ?La legitimidad del interés del responsable del tratamiento
es solo un punto de partida, uno de los elementos que deben analizarse en virtud del artículo
7, letra f). Si el artículo 7, letra f), puede utilizarse como fundamento jurídico o no dependerá
del resultado de la prueba de sopesamiento siguiente?; ?si el interés perseguido por el
responsable del tratamiento no es apremiante, es más probable que el interés y los derechos
del interesado prevalezcan sobre el interés legítimo ?pero menos importante? del
responsable del tratamiento. Del mismo modo, esto no significa que un interés menos
apremiante del responsable del tratamiento no pueda prevalecer a veces sobre los intereses
y derechos de los interesados: esto sucede normalmente cuando el impacto del tratamiento
sobre los interesados es también menos importante?.
Y expone el siguiente ejemplo:
?Sirva como ejemplo: los responsables del tratamiento pueden tener un interés legítimo en conocer las
preferencias de sus clientes de manera que esto les permita personalizar mejor sus ofertas y, en último
término, ofrecer productos y servicios que respondan mejor a las necesidades y los deseos de sus
clientes. A la luz de esto, el artículo 7, letra f), puede constituir un fundamento jurídico apropiado en
algunos tipos de actividades de mercado, en línea y fuera de línea, siempre que se prevean las
garantías adecuadas (incluido, entre otros, un mecanismo viable que permita oponerse al tratamiento
en virtud del artículo 14, letra b), tal como se explicará en la sección III.3.6 El derecho de oposición y
más allá).
Sin embargo, esto no quiere decir que los responsables del tratamiento puedan remitirse al artículo 7,
letra f), como fundamento jurídico para supervisar de manera indebida las actividades en línea y fuera
de línea de sus clientes, combinar enormes cantidades de datos sobre ellos, provenientes de diferentes
fuentes, que fueran inicialmente recopilados en otros contextos y con fines diferentes, y crear -y, por
ejemplo, con la intermediación de corredores de datos, también comerciar con ellos- perfiles complejos
de las personalidades y preferencias de los clientes sin su conocimiento, sin un mecanismo viable de
oposición, por no mencionar la ausencia de un consentimiento informado. Es probable que dicha
actividad de elaboración de perfiles represente una intrusión importante en la privacidad del cliente y,
cuando esto suceda, los intereses y derechos del interesado prevalecerán sobre el interés del
responsable del tratamiento?.
En definitiva, la concurrencia de dicho interés en el responsable del tratamiento no
significa necesariamente que se pueda utilizar el artículo 6.1 f) RGPD, como fundamento
jurídico del tratamiento. El hecho de que pueda utilizarse o no como fundamento jurídico
dependerá del resultado de la prueba de sopesamiento.
Además, el tratamiento ha de ser el necesario para la satisfacción del interés legítimo
perseguido por el responsable, de forma que sean preferidos siempre medios menos invasivos
para servir a un mismo fin. Necesidad supone aquí que el tratamiento resulte imprescindible
para la satisfacción del referido interés, de modo que, si dicho objetivo se puede alcanzar de
forma razonable de otra manera que produzca menos impacto o menos intrusiva, el interés
legítimo no puede ser invocado.
El término ?necesidad? que utiliza el artículo 6.1 f) del RGPD tiene a juicio del TJUE un
significado propio e independiente en la legislación comunitaria. Se trata de un ?concepto
autónomo del Derecho Comunitario? (STJUE de 16/12/2008, asunto C-524/2006, apartado
52). De otra parte, el Tribunal Europeo de Derechos Humanos (TEDH) ha ofrecido también
directrices para interpretar el concepto de necesidad. En el apartado 97 de su Sentencia de
25/03/1983 afirma que el ?adjetivo necesario no es sinónimo de ?indispensable? ni tiene la
flexibilidad de las expresiones ?admisible, ?ordinario?, ?útil?, ?razonable? o ?deseable?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
138/177
Sobre el impacto o repercusión que el tratamiento de datos tiene en los intereses o
derechos y libertades fundamentales de los interesados, indica que cuanto más ?negativo? o
?incierto? pueda ser el impacto del tratamiento, es más improbable que el tratamiento en su
conjunto pueda considerarse legítimo.
?El Grupo de trabajo pone de manifiesto que es crucial entender que «impacto» pertinente es un
concepto mucho más amplio que daño o perjuicio a uno o más interesados en concreto. El término
«impacto» tal como se utiliza en este Dictamen cubre cualquier posible consecuencia (potencial o real)
del tratamiento de datos. En aras de la claridad, también subrayamos que el concepto no está
relacionado con la noción de violación de los datos personales y es mucho más amplio que las
repercusiones que puedan derivarse de dicha violación. Por el contrario, la noción de impacto, tal como
se utiliza aquí, engloba las diversas maneras en las que un individuo pueda verse afectado, positiva o
negativamente, por el tratamiento de sus datos personales?.
?En general, cuanto más negativo e incierto pueda ser el impacto del tratamiento, más improbable es
que el tratamiento se considere, en conjunto, legítimo. La disponibilidad de métodos alternativos para
conseguir los objetivos perseguidos por el responsable del tratamiento, con menos impacto negativo
sobre el interesado, debería ser, sin duda, una consideración pertinente en este contexto?.
Como fuentes de repercusiones potenciales para los interesados cita la probabilidad
de que el riesgo pueda materializarse y la gravedad de las consecuencias, señalando que
este concepto de ?gravedad puede tener en cuenta el número de individuos potencialmente
afectado?.
Se encuadra aquí la valoración de la naturaleza de los datos personales que han sido
objeto de tratamiento), si los datos se han puesto a disposición del público por el interesado o
por un tercero, hecho -dice el Dictamen- que puede ser un factor de evaluación especialmente
si la publicación se llevó a cabo con una expectativa razonable de reutilización de los datos
para determinados fines:
??no significa que los datos que parezcan en sí mismos y por sí mismos inocuos puedan tratarse
libremente?, incluso dichos datos, dependiendo del modo en que se traten, pueden tener un impacto
significativo sobre las personas?.
La manera en la que el responsable trata los datos; si se han revelado al público o se
han puesto a disposición de un gran número de personas o si grandes cantidades de datos se
tratan o combinan con otros datos (?por ejemplo, en el caso de la elaboración de perfiles, con
fines mercantiles, con fines de cumplimiento de la ley u otros?). Sobre esta cuestión se dice:
?Los datos aparentemente inocuos, cuando se tratan a gran escala y se combinan con otros datos,
pueden dar lugar a injerencias en datos más sensibles, como se demuestra en el anterior escenario 3,
que pone como ejemplo la relación entre los patrones de consumo de pizza y las primas de seguro de
asistencia sanitaria.
Además de dar lugar, potencialmente, al tratamiento de datos más sensibles, dicho análisis puede
llevar también a predicciones extrañas, inesperadas y a veces inexactas, por ejemplo, relativas al
comportamiento o la personalidad de las personas afectadas. Dependiendo de la naturaleza y del
impacto de dichas predicciones, esto puede resultar altamente intrusivo en la intimidad de la persona?.
Todo ello, sin olvidar las expectativas razonables de los interesados:
?? es importante considerar si la posición del responsable de los datos, la naturaleza de la relación o
del servicio prestado, o las obligaciones jurídicas o contractuales aplicables (u otras promesas hechas
en el momento de la recopilación de los datos) podrían dar lugar a expectativas razonables de una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
139/177
confidencialidad más estricta y de limitaciones más estrictas relativas a su uso ulterior. En general,
cuanto más específico y restrictivo sea el contexto de la recopilación de los datos, más limitaciones es
probable que se utilicen. En este caso, de nuevo, es necesario tener en cuenta el contexto fáctico y no
basarse simplemente en la letra pequeña del texto?.
El Dictamen ve también pertinente al evaluar el impacto del tratamiento analizar la
posición del responsable del tratamiento y del interesado; su posición puede ser más o menos
dominante respecto al interesado dependiendo de si el responsable del tratamiento es una
persona, una pequeña organización o una gran empresa, incluso una empresa multinacional:
?Una empresa multinacional puede, por ejemplo, tener más recursos y poder de negociación que el
interesado individual y, por tanto, puede encontrarse en una mejor posición para imponer al interesado
lo que cree que corresponde a su «interés legítimo». Esto puede producirse con más razón si la
empresa tiene una posición dominante en el mercado?.
A la hora de ponderar los intereses y derechos en juego, el GT29 entiende que el
cumplimiento de las obligaciones generales que impone la normativa, incluidos los principios
de proporcionalidad y transparencia, contribuyen a garantizar que se cumplan los requisitos
del interés legítimo. Si bien, aclara que eso no significa que el cumplimiento de esos
requisitos horizontales, por sí mismo, sea siempre suficiente.
Si, finalmente, efectuada la evaluación, no queda claro cómo alcanzar el equilibrio, la
adopción de garantías adicionales puede ayudar a reducir el impacto indebido y a garantizar
que el tratamiento pueda basarse en el interés legítimo. Como medidas adicionales se
contempla, por ejemplo, la facilitación de mecanismos de exclusión voluntaria e incondicional,
o el aumento de la transparencia:
?El concepto de responsabilidad está íntimamente ligado al concepto de transparencia. Con el fin de
permitir que los interesados ejerciten sus derechos y que haya un escrutinio público más amplio por
parte de los interesados, el Grupo de trabajo recomienda que los responsables del tratamiento
expliquen a los interesados de manera clara y fácil las razones por las que creen que sus intereses
prevalecen sobre los intereses o los derechos y las libertades fundamentales de los interesados, y
también les expliquen las garantías que hayan adoptado para proteger sus datos personales, incluido,
cuando así proceda, el derecho de exclusión voluntaria del tratamiento?.
?Tal como se explica en la página 46 del Dictamen 3/2013 del Grupo de trabajo sobre la limitación de la
finalidad (citado en el pie de página 9 anterior), en el caso de la elaboración de perfiles y la toma de
decisiones automatizada, se deberá dar acceso a los interesados o consumidores a sus perfiles para
garantizar la transparencia, así como a la lógica del proceso de toma de decisiones (algoritmo) que dio
lugar al desarrollo de dichos perfiles. En otras palabras: las organizaciones deberán revelar sus
criterios para la toma de decisiones. Se trata de una garantía fundamental y resulta especialmente
importante en el mundo de los macrodatos. El hecho de que una organización ofrezca o no esta
transparencia es un factor muy pertinente que se deberá considerar también en la prueba de
sopesamiento?.
Al referirse al derecho de oposición y al mecanismo de exclusión voluntaria o derecho
de oposición incondicional, el GT29 reflexiona sobre la publicidad basada en perfiles del
cliente, que requiere un seguimiento de las actividades y los datos personales de los
interesados, que son analizados con métodos automáticos sofisticados. Concluye lo siguiente:
?En este sentido, resulta útil recordar el Dictamen del Grupo de trabajo sobre la limitación de la
finalidad, donde se afirmaba concretamente que cuando una organización desea analizar o predecir de
manera específica las preferencias personales, el comportamiento y las actitudes de los clientes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
140/177
individuales que posteriormente motivarán las «decisiones o medidas» adoptadas en relación con
dichos clientes... debería exigirse casi siempre un consentimiento gratuito, específico, informado e
inequívoco de «inclusión voluntaria», pues de otro modo la reutilización de los datos no podrá
considerarse compatible. Y lo que es más importante, dicho consentimiento deberá exigirse, por
ejemplo, para el seguimiento y la elaboración de perfiles con fines de prospección, publicidad
comportamental, comercialización de datos, publicidad basada en la localización, o investigación digital
de mercado basada en el seguimiento?.
A continuación, se reproduce la información incluida en el ?Contrato Marco? sobre
estos tratamientos de datos basados en el interés legítimo de CAIXABANK:
?7.3.5 Tratamientos basados en interés legítimo
Salvo que nos haya indicado, o nos indique en el futuro lo contrario, le remitiremos actualizaciones e
información acerca de productos o servicios similares a los que ya tenga contratados.
También trataremos su información (movimientos de cuenta, movimientos de tarjeta, préstamos, etc.)
para personalizar su experiencia comercial en nuestros canales en base a anteriores usos, para
ofrecerle productos y servicios que se ajusten a su perfil, para aplicarle beneficios y promociones que
tengamos vigentes y a los que tenga derecho, y para evaluar si podemos asignarle límites de crédito
pre concedidos que pueda utilizar cuando lo considere más oportuno.
En estos tratamientos utilizaremos únicamente información facilitada por usted, o generada de los
propios productos contratados durante el último año.
Si usted no desea que se realicen estos tratamientos, puede oponerse a los mismos
comunicándonoslo en cualquiera de nuestras oficinas, en el Apartado de Correos nº 209 de Valencia
(46080), en la dirección electrónica www.CaixaBank.com/ejerciciodederechos, o mediante las opciones
habilitadas a dicho efecto en su banca digital y en nuestras aplicaciones móviles?.
Para cualquier otro uso comercial se le solicitará el consentimiento, según se establece en la cláusula
siguiente.
Según CAIXABANK, el interés legítimo es la base jurídica de los tratamientos que
realiza con las ?finalidades comerciales? señaladas en el apartado 7.3.5 del ?Contrato Marco?
(erróneamente incluido dentro del subapartado dedicado a los ?Tratamientos de datos de
carácter personal con finalidades regulatorias?) y el apartado 03 de la ?Política de Privacidad?
(con un contenido similar al anterior): envío de información y actualizaciones acerca de
productos o servicios similares a los que ya tenga contratados el cliente; personalizar la
experiencia comercial del cliente en los canales de la entidad en base a anteriores usos, para
ofrecerle productos y servicios que se ajusten a su perfil, para aplicarle beneficios y
promociones que tengamos vigentes y a los que tenga derecho, y para evaluar si podemos
asignarle límites de crédito preconcedidos que pueda utilizar cuando lo considere más
oportuno.
Sin embargo, según quedó expuesto en el Fundamento de Derecho anterior, ha
quedado acreditado que CAIXABANK realiza otros tratamientos de datos personales en base
al interés legítimo que no son conocidos por el cliente, al que no se informa en ningún caso, y
que, por la amplitud de datos personales que se utilizan y las distintas finalidades para las que
son tratados, afectan a múltiples aspectos de la vida personal del cliente, por lo que tales
tratamientos se estiman ilícitos. Entre ellos se mencionaron los siguientes:
(?)
En relación con el tratamiento de datos con finalidades comerciales en base al interés
legítimo a los que se hace referencia en el ?Contrato Marco? y en la ?Política de Privacidad?,
durante la fase de pruebas, (?), CAIXABANK ha manifestado que no se están llevando a
cabo los siguientes tratamientos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
141/177
. Envío de información acerca de productos o servicios similares a los que ya tenga contratados o
información que consideremos que puede ser de su interés, o que consideremos que puede tener una
expectativa razonable de recibir.
. Estudio de la información que nos consta de usted (movimientos de cuenta, movimientos de tarjeta,
préstamos, etcétera) para personalizar su experiencia con la Entidad, por ejemplo mostrándole primero
en los cajeros y webs sus operativas más habituales, u ofreciéndole productos y servicios que se
ajusten a su perfil y aplicarle los beneficios y promociones vigentes en cada momento.
No obstante, en su escrito de alegaciones, (?), según la cual los datos de aquellos
clientes que no han consentido el tratamiento de sus datos con finalidades comerciales, o ha
revocado el consentimiento prestado anteriormente para ello, tampoco son tratados en base
al interés legítimo. Añade que únicamente realiza tratamientos de datos personales en
relación con aquellos a los que se preguntó y no contestaron, es decir, que no han firmado el
?Contrato Marco? ni el ?Contrato de Consentimientos?. De lo que se desprende que sí está
realizando estos tratamientos de datos personales.
(?)
En relación con estos tratamientos con ?finalidades comerciales? basados en el interés
legítimo, ya se indicó también al tratar el deber de información, que son similares a
tratamientos que CAIXABANK ampara en consentimiento del cliente y las consecuencias que
se derivan de esta circunstancia en relación con la validez de estos tratamientos.
Concretamente, la realización de ofertas personalizadas, la aplicación de beneficios y
promociones o la asignación de créditos preconcedidos, son tratamiento de datos similares a
los reseñados al citar otras finalidades basadas en el consentimiento (?Estudiar productos o
servicios que puedan ser ajustados a su perfil y situación comercial o crediticia concreta, todo
ello para efectuarle ofertas comerciales ajustadas a sus necesidades y preferencias?),
motivando que la descripción de las finalidades y enumeración de tratamientos de datos
contenida en la información que se ofrece provoque confusión a los interesados. De este
modo, no puede admitirse un tratamiento de datos basado en el interés legítimo similar a
otros llevados a cabo sobre la base del consentimiento del cliente, el cual, además, no se
presta de un modo válido, como se expuso anteriormente. Podría dar lugar a una situación en
la que se realicen tratamientos de datos en base al interés legítimo que hubiesen sido
negados por el afectado.
Por otra parte, teniendo en cuenta que CAIXABANK registra datos personales ?de
Relaciones Comerciales, o de Relaciones Comerciales de CAIXABANK y las empresas del
Grupo CaixaBank con terceros?, no es posible entender si el envío de ?información y
actualizaciones acerca de productos o servicios similares a los que tenga ya contratados? se
refiere a productos propios, de las empresas del Grupo o de terceros. Sirven al respecto las
mismas observaciones ya expresadas anteriormente sobre el uso de datos recabados de
productos de las empresas del Grupo o terceros.
También se dijo que la información facilitada no especifica ningún interés legítimo de
CAIXABANK, que se limita a señalar los tratamientos de datos que realiza con esta base
jurídica. Por tanto, se reiteran las circunstancias expresadas en el Fundamento de Derecho
sobre la falta de justificación del interés legítimo de forma suficiente para permitir la prueba de
ponderación entre el interés del responsable y los derechos del interesado para determinar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
142/177
los que prevalecen, necesaria para determinar la licitud de los tratamientos llevados a cabo
Se reitera aquí lo ya indicado sobre la insuficiente información facilitada sobre las
categorías de datos que se utilizarán y sobre la determinación de las finalidades, o sobre los
tipos de perfiles que se van a realizar y los usos específicos y aplicaciones que se darán a
esos perfilados; y, especialmente, la falta de información sobre el interés específico del
responsable, que no se expresa, por las limitaciones y dificultades, si no impedimento, que
supone a la hora de realizar una verdadera evaluación sobre la concurrencia de un interés
legítimo prevalente, real y no especulativo.
Y también lo ya indicado sobre el lenguaje empleado; la indefinición de las finalidades
para las que se usarán los datos personales (?conocer mejor al cliente? y ?mejorar los
productos y servicio? o ?elaborar el modelo de negocio?, etc.) y el análisis exhaustivo de la
información relativa a los clientes que conllevan tales finalidades; o sobre los tipos de perfiles
que se van a realizar y los usos específicos y aplicaciones que se darán a esos perfilados.
Realizar el juicio de ponderación en este caso requiere valorar, asimismo, la amplitud
de las tipologías de datos que son recabadas por CAIXABANK, y hacer dicha valoración
conjuntamente con los aspectos destacados en los párrafos anteriores, especialmente con la
indefinición de las finalidades para las que son tratados los datos personales.
Ello tiene como consecuencia que los tratamientos que se realizan no resulten
previsibles para un ciudadano medio.
Siendo así, resulta imposible que el interesado, o esta autoridad de control, pueda
valorar si las operaciones de tratamiento realizadas son necesarias, o si, por el contrario,
podría obtenerse el mismo resultado por medios menos invasivos; tampoco podrá concluirse,
menos aún, que el interés invocado sea prevalente.
Esta base jurídica requiere la existencia de intereses reales, no especulativos y que,
además, sean legítimos. Y no solo la existencia de ese interés legítimo significa que puedan
realizarse aquellas operaciones de tratamiento. Es preciso también que estos tratamientos
sean necesarios para satisfacer ese interés y considerar la repercusión para el interesado. En
este caso, se lleva a cabo una combinación de datos cuyo alcance no se ha definido y se
realizan operaciones de perfilado para ofrecer productos y servicios que se ajusten a dicho
perfil, para aplicarle beneficios y promociones que CAIXABANK tenga vigentes y a los que
tenga derecho el cliente, y para evaluar si es posible asignarle límites de crédito
preconcedidos que pueda utilizar cuando lo considere más oportuno. Por tanto, el intrusismo
en la privacidad del interesado puede ser alto y los efectos pueden repercutirle
negativamente.
Considerando las limitaciones expuestas, no se acredita la idoneidad (si la medida
permite conseguir el objetivo propuesto); necesidad (que no exista otra medida más
moderada); proporcionalidad en sentido estricto (más beneficios o ventajas que perjuicios), de
los tratamientos de datos indicados anteriormente.
Además de lo expuesto, se tienen en cuenta las circunstancias siguientes:
. La falta de transparencia sobre la lógica del tratamiento consistente en la elaboración de
perfiles, que puede llevar a una discriminación de productos y suponer una repercusión
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
143/177
potencial financiera que puede tener el carácter de excesiva.
. El elevado número de afectados, así como la gran cantidad de datos que se tratan y
combinan con otros datos. Dicha combinación de datos, por la indefinición de los datos que se
utilizarán, no respeta la proporcionalidad antes señalada ni posibilita el juicio de ponderación
necesario para valorar la concurrencia de un interés legítimo que justifique el tratamiento de
los datos.
. La posición dominante del responsable frente al interesado, por su condición de gran
empresa y una de las líderes del mercado en su sector.
Una importancia especial ha de prestarse, asimismo, a la ausencia de medidas o
garantías adicionales que, aunque no vengan exigidas por las normas aplicables, se
consideran una buena práctica que favorece la apreciación del interés legítimo del
responsable cuando en el juicio de ponderación no quedara claro cómo alcanzar el equilibrio,
en la medida en que reducen el impacto del tratamiento sobre la privacidad del interesado.
Entre ellas, se han destacado el aumento de la transparencia y la habilitación de mecanismos
de exclusión voluntaria.
En cuanto a la transparencia, CAIXABANK no pone a disposición de los interesados el
Informe de ponderación del interés legítimo ni las evaluaciones de impacto.
Tampoco CAIXABANK ofrece mecanismos de exclusión voluntaria. Se limita a informar
sobre la posibilidad de ejercer el derecho de oposición, que no es sino una exigencia
normativa. Este derecho exige una nueva ponderación, conforme a lo establecido en el
artículo 21 del RGPD (?el responsable del tratamiento dejará de tratar los datos personales,
salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre
los intereses, los derechos y las libertades del interesado?) y nada tiene que ver con los
mecanismos de exclusión voluntaria o incondicional que se recomiendan.
En resumen, en contra de lo manifestado por CAIXABANK en sus alegaciones, de
conformidad con lo expuesto, queda acreditado que esta entidad realiza tratamientos de datos
personales de sus clientes basados en el interés legítimo, incluidos tratamientos con
finalidades comerciales.
En cambio, por las razones expresadas, no ha quedado acreditado que el interés
legítimo que manifiesta tener CAIXABANK prevalezca sobre los intereses y derechos y
libertades fundamentales de los clientes; y las garantías ofrecidas no son suficientes para
salvar el desequilibrio que se produce con estas operaciones de tratamiento de datos
personales.
En consecuencia, se ha de concluir que no prevalece el interés legítimo de CAIXABANK
como base legitima para el tratamiento.
CAIXABANK alega que la AEPD concluye que no es posible determinar la idoneidad,
necesidad y proporcionalidad de estos tratamientos, y que la intrusión en la privacidad del
interesado puede ser alta, sin aportar prueba alguna al respecto. Sin embargo, es a
CAIXABANK a quien corresponde probar la concurrencia del interés legítimo para las
operaciones de tratamientos de datos que pretenda fundamentar en esta base jurídica, a
quien corresponde concretar el interés que persigue y realizar el juicio de ponderación que lo
justifique.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
144/177
También en relación con esta cuestión hace referencia a los cambios introducidos en la
Nueva Política de Privacidad, dando a entender con estas supuestas subsanaciones que no
existen responsabilidades que exigirle por los hechos analizados, cosa que debe rechazarse
absolutamente por improcedente. Alega, en concreto, que ha procedido a eliminar el
tratamiento basado en el interés legítimo para fines comerciales, pero omite cualquier
referencia al resto de circunstancias que determinan la ilicitud de los tratamientos analizados
en este apartado y que no se realizan exclusivamente con finalidad comercial.
Finalmente, cabe señalar que la conclusión obtenida de este examen no contradice lo
expresado en el Informe del Gabinete Jurídico de la AEPD 195/2017, al que se refiere
CAIXABANK, tanto en la evaluación de impacto mencionada, que contiene el informe de
ponderación del interés legítimo, como en su escrito de alegaciones.
Las premisas valoradas en dicho informe no se ajustan al supuesto presente, en el
que los tratamientos de datos personales detallados tienen un propósito mucho más amplio
que los analizados en dicho informe en lo que se refiere a los fines del tratamiento como a la
información o datos personales utilizados.
- Otros tratamientos de datos personales sin base jurídica. Comunicación de datos a
empresas del Grupo CaixaBank.
Por otra parte, procede analizar también la cesión de datos a empresas del Grupo
CaixaBank que se incluye en el ?Contrato Marco?, sobre la que no se consulta al interesado.
Se reitera aquí que dicho documento se presenta como de suscripción obligatoria para
el cliente, estableciendo expresamente que la firma del documento supone que éste ?conoce,
entiende y acepta su contenido?. Se establece, asimismo, que los términos y condiciones son
de aplicación general a todas las ?relaciones comerciales? del interesado ?con CaixaBank y
las empresas del Grupo CaixaBank, y por ello, la suscripción y vigencia del presente
Contrato, respetando los correspondientes derechos de elección que para el Firmante
otorgue el clausulado, es necesaria para la contratación y mantenimiento de contratos de
productos o servicios?.
En el mismo apartado relativo al objeto del contrato indica que ?informa y regula?
acerca de ?las autorizaciones para el uso de datos del firmante para llevar a cabo actividad
comercial propia de CaixaBank y de las empresas del Grupo CaixaBank?.
Las alusiones a las empresas del Grupo CaixaBank se producen a lo largo de todo el
?Contrato Marco? y la sitúan, prácticamente, en el mismo nivel de intervención de
CAIXABANK:
?7.1 Tratamientos de datos de carácter personal con la finalidad de gestionar las Relaciones
Comerciales.
Los datos de carácter personal del Firmante, tanto los que el mismo aporte, como los que se deriven
de las Relaciones Comerciales, o de Relaciones Comerciales de CaixaBank y las empresas del Grupo
CaixaBank con terceros y los confeccionados a partir de ellos, se incorporarán en ficheros titularidad de
CaixaBank y de las empresas del Grupo CaixaBank titulares de las Relaciones Comerciales??.
?8. tratamiento y cesión de datos con finalidades comerciales por CAIXABANK y las empresas del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
145/177
Grupo CaixaBank basados en el consentimiento
El presente documento recogerá en su primera página, bajo el epígrafe de autorizaciones para el
tratamiento de datos, las autorizaciones que Usted nos otorgue o nos revoque en relación a:
(i) Los tratamientos de análisis y estudio de datos con finalidad comercial por CaixaBank y empresas
del Grupo CaixaBank
(ii) Los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las empresas del
Grupo CaixaBank
(iii)La cesión de datos a terceros
Con la finalidad de poner a su disposición una oferta global de productos y servicios, su autorización a
(i) los tratamientos de análisis y estudio de datos, y (ii) para la oferta comercial de productos y
servicios, en caso de otorgarse, comprenderá a CaixaBank, y a las empresas del grupo CaixaBank
detalladas en www.CaixaBank.es/empresasgrupo (las ?empresas del Grupo CaixaBank?) quienes
podrán compartirlos y utilizarlos con las finalidades indicadas.
Las autorizaciones que usted otorgue permanecerán vigentes hasta su revocación o, en ausencia de
esta, hasta trascurridos 6 meses desde que usted cancele todos sus productos o servicios con la
Entidad.
El detalle de los usos de los datos que se realizará conforme a sus autorizaciones es el siguiente? (ya
detallados anteriormente)?.
?Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la oferta
comercial de productos y servicios serán? (ya detallados anteriormente)?
?11.3 Plazo de Conservación de los datos?
De acuerdo con la normativa, los datos serán conservados a los únicos efectos de cumplir aquellas
obligaciones legales impuestas a CaixaBank y/o Empresas del Grupo??.
La ?Política de Privacidad? también alude al ?intercambio de información comercial
entre las empresas del Grupo CaixaBank?.
El concepto de ?Grupo empresarial? se define en el punto 19 del artículo 4 del RGPD:
controladas>>.
Sobre el alcance que debe atribuirse a este concepto desde el punto de vista del
RGPD, es necesario considerar lo señalado en los Considerandos 37 y 48 de dicho
Reglamento:
?(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las
empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una
influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación
financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos
personales. Una empresa que controle el tratamiento de los datos personales en las empresas que
estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial»?.
?(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un
organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo
empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes
o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un
grupo empresarial, a una empresa situada en un país tercero no se ven afectados?.
El Grupo CaixaBank, en principio, puede entenderse dentro de este concepto, desde
el punto de vista de la protección de datos personales, con la entidad CAIXABANK como
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
146/177
empresa que ejerce el control. Pero el intercambio de información que lleva a cabo
CAIXABANK a favor de las empresas del Grupo CaixaBank no tiene cabida en las acciones
que pueden basarse en el interés legítimo a las que se refiere el Considerando 48, referidas a
la transmisión de datos personales dentro del grupo empresarial ?para fines administrativos
internos?. Nada que ver con las cesiones de datos referidas en el ?Contrato Marco? y las
finalidades para las que están previstas.
Con ello, no se excluye que pudiera admitirse otras comunicaciones de datos
personales, con otras finalidades, que pudieran justificarse por el concepto de grupo
empresarial, incluso basadas en el interés legítimo.
A todo ello, deben añadirse los defectos apreciados en la información ofrecida que se
han señalado en este acto. CAIXABANK ni siquiera informa sobre la base jurídica que justifica
este intercambio global de información con las empresas del Grupo CaixaBank.
Tampoco figura entre los consentimientos que se solicitan a los clientes ninguno que
se refiera a esta cesión de datos personales de clientes de CAIXABANK a las empresas del
Grupo CaixaBank, la cual no puede estimarse cubierta por los tres consentimientos
recabados. Además de las objeciones apuntadas sobre la validez de los consentimientos
prestados por los clientes, esta cesión de datos constituye una finalidad específica en sí
misma considerada, la cual requiere una manifestación de voluntad del cliente por la que éste
consienta que pueda llevarse a cabo esta comunicación de datos personales. CAIXABANK no
recaba de sus clientes un consentimiento específico para esta cesión de datos.
Esta falta de diseño o habilitación de un mecanismo específico para recabar el
consentimiento de sus clientes en orden a la cesión de datos a empresas del Grupo no se
subsana con la firma por el cliente del repetido ?Contrato Marco?, que se produce sin recibir la
información precisa y no supone un pronunciamiento del cliente sobre la utilización de sus
datos personales por parte de las empresas del Grupo CaixaBank. Esa utilización conlleva la
cesión previa de los datos por parte de CAIXABANK a las empresas del Grupo sin que el
interesado se haya manifestado al respecto, es decir, sin el consentimiento del interesado.
La aceptación mediante una acción única, como es la firma del contrato, deviene en
inválido el consentimiento prestado por el interesado respecto de la utilización de los datos
con finalidades distintas a la ejecución del contrato o relación negocial mantenida por el
interesado y la entidad responsable o, lo que es lo mismo, respecto de todos aquellos
tratamientos que requieren un consentimiento diferenciado y granular. En relación con la
comunicación de datos a las empresas del Grupo CaixaBank, este consentimiento explícito y
separado exigiría posibilitar la selección de la empresa o empresas concretas a las que se
refiere el consentimiento para la cesión que pudiera prestarse.
No se cumple el requisito según el cual ?el consentimiento debe darse mediante un
acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e
inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le
conciernen?, entendiéndose que ?la inacción no debe constituir consentimiento?
(Considerando 32). El consentimiento, además, debe darse para todas las actividades de
tratamiento realizadas con el mismo o los mismos fines y, cuando el tratamiento tenga varios
fines, debe darse el consentimiento para todos ellos mediante una manifestación de voluntad
expresada para cada uno de los fines de forma separada o diferenciada, permitiendo al
interesado optar por elegir todos, una parte o ninguno de ellos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
147/177
No puede entenderse libremente prestado el consentimiento al no haberse permitido
?autorizar por separado las distintas operaciones de tratamiento de datos personales pese a
ser adecuado en el caso concreto? (Considerando 43).
El Grupo de Trabajo del Artículo 29, en su documento ?Directrices sobre el
consentimiento en virtud del Reglamento 2016/679?, que ha sido citado en varias ocasiones,
se refiere a la disociación de los fines del tratamiento y a la libertad que deberían tener los
interesados para elegir qué fines aceptan, en lugar de tener que dar su consentimiento a un
conjunto de fines. Añade que ?Cuando el tratamiento de los datos se realice con fines
diversos, la solución para cumplir la condición del consentimiento válido estará en la
granularidad, es decir, en la disociación de dichos fines y la obtención del consentimiento
para cada uno de ellos?, y cita el siguiente ejemplo:
?[Ejemplo 7]
En la misma solicitud de consentimiento un minorista pide a sus clientes el consentimiento para utilizar
sus datos para enviarles publicidad por correo electrónico y para compartir sus datos con otras
empresas de su grupo. Este consentimiento no es granular ya que no es posible consentir por
separado a estos dos fines distintos y, por tanto, el consentimiento no será válido. En este caso,
debería obtenerse un consentimiento específico para enviar los datos de contacto a socios
comerciales. Dicho consentimiento específico se considerará válido para cada socio (véase también la
sección 3.3.1) cuya identidad se haya facilitado al interesado en el momento de la obtención de su
consentimiento y en la medida en que se envíe para el mismo fin (en este ejemplo, un fin comercial)?.
Por tanto, devienen en ilícitas todas las cesiones de datos realizados por CAIXABANK
a empresas del Grupo CaixaBank.
De la misma forma, se consideran irregulares o ilícitos todos los tratamientos que lleva
a cabo CAIXABANK de datos personales que le son facilitados por las entidades
pertenecientes al Grupo CaixaBank, relativos a clientes de estas últimas.
Al margen de ese intercambio de información, en la Cláusula 8 del ?Contrato Marco? se
indican que el cliente otorga su autorización ?en relación a: (i) Los tratamientos de análisis y
estudio de datos con finalidad comercial por CaixaBank y empresas del Grupo CaixaBank; (ii)
Los tratamientos para la oferta comercial de productos y servicios por CaixaBank y las
empresas del Grupo CaixaBank?. Con ello, CAIXABANK pretende que los interesados le
presten, a la propia CAIXABANK, su consentimiento para que otras empresas del Grupo
realicen tratamientos de datos personales, lo cual no puede ser aceptado.
CAIXABANK ha manifestado en sus alegaciones que el Grupo CaixaBank opera bajo
un mismo concepto de marca, con aquella entidad como eje.
Señala que esta circunstancia se traslada a las diversas facetas del tratamiento de los
datos, incluida la gestión de los consentimientos para tratamientos con finalidades
comerciales, que van a llevarse a cabo de forma conjunta en el contexto de las actividades
del Grupo para un mismo fin con los mismos medios, en relación con datos de los que las
entidades del Grupo son corresponsables. Y añade que cada entidad tiene su base de datos
propia (solo accede a los datos necesarios para la prestación de sus servicios), pero que
todas ostentan ?una suerte de responsabilidad compartida?, son responsables conjuntas del
tratamiento, por lo que no hay una finalidad propia en la cesión que justifique la prestación de
un consentimiento separado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
148/177
Por otra parte, CAIXABANK alega que esta ?integración de todas las bases? es una
exigencia regulatoria para la correcta gestión del riesgo y necesaria para el cumplimiento de
obligaciones legales, que deben apoyarse en la gestión coordinada de la información. Pero,
incluso en esta gestión del riesgo deberá distinguirse el riesgo del grupo empresarial que
deba cuantificarse con finalidades regulatorias, del riesgo individual, que solamente deberá
valorarse por la entidad con la que el interesado mantenga una relación contractual. En
cualquier caso, nada se dice al cliente sobre esta corresponsabilidad (en el ?Contrato Marco?,
al informar sobre las finalidades regulatorias solo se hace referencia a las responsabilidades y
obligaciones de CAIXABANK).
Finalmente, advierte CAIXABANK que esta cuestión fue objeto de una evaluación de
impacto, que no aporta.
CAIXABANK, sin embargo, no ha justificado que nos encontremos ante un supuesto
de corresponsabilidad, más allá del intercambio de información entre empresas del Grupo
CaixaBank que sean necesarios con finalidades regulatorias o para el cumplimiento de una
obligación legal, que no se cuestionan en estas actuaciones.
En este caso, no se ha detallado la atribución de responsabilidades entre las distintas
empresas del Grupo que exige el RGPD, ni las funciones y obligaciones de estas empresas
en su relación con los interesados; y tampoco consta que se haya formalizado el
correspondiente acuerdo que regule estas circunstancias de modo transparente, el cual,
además, debe ponerse a disposición de los interesados. La obligación de formalizar ese
acuerdo en el que se determinen las responsabilidades respectivas, así como la de ponerlo a
disposición de los interesados en sus aspectos esenciales, se establece en el artículo 26 del
RGPD:
?Artículo 26 Corresponsables del tratamiento
1.Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del
tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de
modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las
obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los
derechos del interesado y a sus respectivas obligaciones de suministro de información a que se
refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan
por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá
designar un punto de contacto para los interesados.
2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de
los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los
aspectos esenciales del acuerdo.
3.Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados
podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada
uno de los responsables?.
Al contrario, considerando los datos que se utilizan por el Grupo CaixaBank y los usos
a los que se destinan, ya detallados en los Fundamentos que analizan la información ofrecida
a los clientes, se desprende que el intercambio de toda la información entre todas las
empresas que lo integran responde más a propósitos ?comerciales?, ajenos a la relación
contractual, como son la realización de impactos comerciales y el diseño de nuevos productos
o servicios, para lo que se emplean todos los datos relativos al cliente disponibles en todas
las empresas del Grupo, los facilitados por el interesado y los que ?se generen en la
contratación y operativas de productos y servicios?, con CaixaBank y con las Empresas del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
149/177
Grupo CaixaBank, incluyendo los perfilados realizados a partir de tales datos. CAIXABANK
manifestó, incluso, haber dispuesto que los consentimientos de los clientes para el
tratamiento de sus datos personales con ?finalidad comercial? se recabarían a nivel de
?grupo?, de manera conjunta para todas las sociedades del ?grupo?.
Ese intercambio, como se ha dicho, se produce entre todas las empresas del Grupo,
es decir, cada una de las empresas que integran dicho Grupo comparte los datos personales
registrados en sus sistemas de información con todas las demás. Se decía que los datos se
gestionarían ?desde un repositorio común de información de las empresas del Grupo
CaixaBank?.
Así, dicho intercambio no se produce solo entre CAIXABANK y el resto o entre éstas y
CAIXABANK únicamente. Aunque el presente procedimiento tiene por objeto el análisis de las
infracciones imputadas a CAIXABANK y no alcanza al resto de empresas del Grupo, interesa
hacer patente ese intercambio global para dejar constancia de la irregular actuación que se
viene produciendo.
Si a eso añadimos el detalle de las empresas que integran el repetido Grupo
CaixaBank y la concreta actividad mercantil que cada una de ellas lleva a cabo, la
irregularidad es aún más manifiesta.
Obviamente, no puede haber corresponsabilidad de todas las empresas del Grupo
CaixaBank en relación con el tratamiento de datos que conlleve el contrato, del tipo que fuera,
que formalice un cliente con una de ellas. Si en el contrato interviniera más de una empresa,
el resto de empresas, que no participan en forma alguna en ese contrato, no pueden ser
consideradas corresponsables.
Basta con examinar las entidades que integran el Grupo CaixaBank y el objeto de sus
negocios, para concluir que no puede darse esa corresponsabilidad global, que supondría
admitir que todas actúan como responsable en el tratamiento de los datos de clientes de una
de esas empresas, aunque no participen en la concreta relación contractual formalizada por el
cliente.
En la Política de Privacidad consta el siguiente detalle:
?Tu banco CAIXABANK, S.A.
La emisora de tus tarjetas de crédito y débito CAIXABANK PAYMENTS, E.F.C., E.P., S.A.U.
La emisora de tus tarjetas de prepago CAIXABANK ELECTRONIC MONEY, EDE, S.L.
Tu aseguradora VIDACAIXA, S.A.U. DE SEGUROS Y REASEGUROS
La comercializadora de tus fondos CAIXABANK ASSET MANAGEMENT, S.G.I.I.C., S.A.U.
Tu banco social, experto en microcréditos NUEVO MICRO BANK, S.A.U.
Tu financiera de consumo CAIXABANK CONSUMER FINANCE, E.F.C., S.A.U.
Tu compañía de renting CAIXABANK EQUIPMENT FINANCE, S.A.U.
Tu compañía de comercio electrónico PROMOCAIXA, S.A.
La compañía que gestiona los pagos en tus comercios COMERCIA GLOBAL PAYMENTS, E.P., S.L.?.
La intervención de más de una empresa del Grupo en la relación que formalice el
cliente tampoco determina, sin más, la corresponsabilidad de ambas. Será necesario analizar
cada uno de los casos para concluir lo que proceda al respecto.
Se da la circunstancia de que algunas de estas actividades y las relaciones que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
150/177
vinculan a cada empresa con el cliente se encuentra regulado expresamente en una norma,
que dispone la naturaleza de su participación desde el punto de vista de la protección de
datos personales, por lo que no puede quedar a la voluntad de esas empresas disponer un
marco distinto.
Un ejemplo claro lo encontramos en la normativa reguladora de la mediación en
seguros privados, para los casos en que la entidad financiera o las sociedades mercantiles
controladas o participadas por ésta celebre un contrato de agencia de seguros con una
entidad aseguradora y realicen la actividad de mediación de seguros como agente de seguros
utilizando las redes de distribución de la entidad de crédito, asumiendo el carácter de
Operador de Banca-Seguros.
En estos casos, el artículo 62 de la Ley 26/2006, de 17 de julio, de mediación de
seguros y reaseguros privados, señala que, a los efectos de la LOPD, ?a. Los agentes de
seguros exclusivos y los operadores de banca-seguros exclusivos tendrán la condición de
encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el
correspondiente contrato de agencia, en los términos previstos en esta Ley?.
Esta norma ha sido derogada por el Real Decreto-ley 3/2020, de 4 de febrero, de
medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas
directivas de la Unión Europea en el ámbito de la contratación pública en determinados
sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de
litigios fiscales. Este Real Decreto-ley no modifica el esquema anterior:
?Artículo 203. Condición de responsable o encargado del tratamiento.
1. A los efectos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, así como en el Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos:
a) Los agentes de seguros y los operadores de banca-seguros tendrán la condición de encargados del
tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de
agencia, en los términos previstos en el título I?.
?Artículo 204. Otras normas de protección de datos.
2. Los agentes de seguros y operadores de banca-seguros únicamente podrán tratar los datos de los
interesados en los términos y con el alcance que se desprenda del contrato de agencia de seguros y
siempre en nombre y por cuenta de la entidad aseguradora con la que hubieran celebrado el contrato.
Los operadores de banca-seguros no podrán tratar los datos relacionados con su actividad mediadora
para fines propios de su objeto social sin contar con el consentimiento inequívoco y específico de los
afectados?.
En cualquier caso, el intercambio de información diseñado por CAIXABANK y las
empresas del Grupo CaixaBank no se ajusta al concepto de ?corresponsabilidad?, que se
establece para tratamientos específicos, ?cuando dos o más responsables determinen
conjuntamente los objetivos y los medios del tratamiento?; y que exige un poder decisorio de
todos los responsables que no se da en este caso.
De acuerdo con lo expuesto, no pueden estimarse las alegaciones a la propuesta de
resolución realizadas por CAIXABANK, en las que manifiesta que no existe cesión indebida
de datos personales, sino que se establece un régimen de corresponsabilidad transparente
para los interesados, que deriva de una recogida directa de los datos por las sociedades en el
ámbito de la corresponsabilidad y de una participación conjunta en la determinación de fines y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
151/177
medios.
Ni existe régimen de corresponsabilidad, ni puede decirse que fuera transparente para
los clientes. De hecho, CAIXABANK en ningún momento anterior ha dispuesto del acuerdo de
corresponsabilidad, por lo que nunca antes pudo poner a disposición de los interesados los
aspectos esenciales de un acuerdo que no existía. Ni tan siquiera en las fases anteriores ha
alegado esta corresponsabilidad, refiriéndose a este asunto en sus alegaciones al acuerdo de
inicio del procedimiento señalando que todas las empresas del Grupo ostentan ?una suerte de
responsabilidad compartida?, como ya se ha indicado. Y tampoco el Registro de Actividades
de Tratamiento recoge operaciones en las que CAIXABANK intervenga como corresponsable.
Ha sido con ocasión del trámite de alegaciones a la propuesta de resolución cuando
CAIXABANK ha planteado esta alegación y ha aportado un ?Contrato de corresponsabilidad?,
que figura en la ?Alegación sexta? del escrito de alegaciones a la propuesta de resolución
entre las nuevas medidas implementadas, el cual aparece sin firmar por las entidades que
supuestamente intervienen en su formalización. En sus alegaciones sobre la graduación de la
sanción hace referencia a las cesiones de datos realizadas en el marco ?de la
corresponsabilidad de facto, y, en la actualidad, formal?. Sin embargo, este acuerdo no
remedia la situación irregular mantenida durante el período de tiempo previo a la apertura del
procedimiento.
Por otra parte, CAIXABANK no ha aportado la información imprescindible para
disponer de elementos suficientes para valorar si se dan las condiciones, desde el punto de
vista fáctico y no solo formal, para esa corresponsabilidad en cada uno de los tratamientos a
los que se refiere el acuerdo aportado, considerado caso a caso; ni para concluir si todas las
entidades han dado cumplimiento a las previsiones normativas, especialmente las relativas al
deber de transparencia y la existencia de base jurídica para el tratamiento.
Si puede decirse, como se ha señalado anteriormente, que CAIXABANK no ha
cumplido esas previsiones en relación con el intercambio de información relativa a sus
clientes con las empresas que integran el Grupo, y tampoco se cumplirían en relación con
estos supuestos tratamientos conjuntos, sobre los que no ha informado a los clientes
debidamente y para los que no dispone de base jurídica.
(?)
Finalmente, se estima oportuno citar las Directrices 07/2020, sobre los conceptos de
responsable del tratamiento y encargado del tratamiento en el RGPD, adoptado por el CEPD
el 2 de septiembre de 2020, en el que se rechaza como supuesto de corresponsabilidad la
utilización para fines publicitarios de una base de datos compartida por un grupo de
empresas:
?También puede excluirse el control conjunto en caso de que varias entidades utilicen una base de
datos compartida o una infraestructura común, si cada entidad determina de forma independiente sus
propios fines.
Ejemplo: operaciones de marketing en un grupo de empresas que utilizan una base de datos
compartida.
Un grupo de empresas utiliza la misma base de datos para la gestión de clientes y clientes potenciales.
Dicha base de datos está alojada en servidores de la empresa matriz que, por lo tanto, es un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
152/177
encargado del tratamiento de las empresas con respecto al almacenamiento de los datos. Cada
entidad del grupo introduce los datos de sus propios clientes y clientes potenciales y los trata
únicamente para sus propios fines. Además, cada entidad decide independientemente sobre el acceso,
los períodos de retención, la corrección o supresión de sus clientes y de los datos de los clientes
potenciales. No pueden acceder o utilizar los datos de los demás. El mero hecho de que estas
empresas utilicen una base de datos de grupos compartidos no implica como tal un control conjunto.
En estas circunstancias, cada empresa es por lo tanto un responsable del tratamiento?.
En consecuencia, de conformidad con las constataciones expuestas, los hechos
expuestos en el presente Fundamento de Derecho suponen una vulneración del artículo 6 del
RGPD, en relación con el artículo 7 del mismo texto legal y artículo 6 de la LOPDGDD, que da
lugar a la aplicación de los poderes correctivos que el artículo 58 del RGPD otorga a la
Agencia Española de Protección de datos.
VIII
El artículo 22 del RGPD admite las ?decisiones individuales automatizadas, incluida la
elaboración de perfiles? si tal decisión es necesaria para la ejecución del contrato, está
autorizada por el Derecho de la Unión o de los Estados miembros o se basa en el
consentimiento del interesado, lo que conlleva el cumplimiento de la obligación de informar
sobre ello. Dicho artículo establece lo siguiente:
?Artículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfiles
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el
tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le
afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable
del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los
derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las
medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a
expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos
personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2,
letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los
intereses legítimos del interesado?.
Se tiene en cuenta, además, lo expresado en los considerandos 71 y 72 del RGPD.
?(71) El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida,
que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento
automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la
denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los
que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles
consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
153/177
relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el
rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la
fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que
produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben
permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles? en los casos en
los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe
estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al
interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una
explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no
debe afectar a un menor.
A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las
circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del
tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de
perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se
corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el
riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos
para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios
en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias,
afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a
medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la
base de categorías particulares de datos personales únicamente deben permitirse en condiciones
específicas.
(72) La elaboración de perfiles está sujeta a las normas del presente Reglamento que rigen el
tratamiento de datos personales, como los fundamentos jurídicos del tratamiento o los principios de la
protección de datos??.
En las citadas normas se prohíbe las decisiones basadas únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el
interesado o le afecten significativamente de modo similar, salvo que tales decisiones se
basen en el consentimiento explícito del mismo.
Un aspecto importante relativo a las decisiones individuales automatizadas tiene que
ver con la utilización de los datos personales para la elaboración de perfiles de los clientes,
entendida como cualquier forma de tratamiento de datos personales que evalúe aspectos
personales relativos a una persona física.
Según el art. 13.1.f) del RGPD, apartado 2, el responsable está obligado a informar
sobre la ?existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se
refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa
sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho
tratamiento para el interesado?.
La información que CAIXABANK ofrece a sus clientes en los distintos documentos que
son objeto de análisis se refiere expresamente a la elaboración de perfiles en numerosas
ocasiones y en otras se detallan finalidades o tratamientos que conllevan la realización de
operaciones de perfilado.
La ?Política de Privacidad? accesible a través de la web de CAIXABANK, al referirse a
los usos basados en el consentimiento del interesado, informa:
?04 NO TE LO PODEMOS OCULTAR: ¡QUEREMOS CONOCERTE MEJOR!
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
154/177
Usos basados en tu consentimiento
Únicamente si así nos lo autorizas cuando te preguntemos, nos gustaría tratar todos los datos que
tenemos sobre ti para conocerte mejor, es decir, estudiar tus necesidades para saber qué nuevos
productos y servicios se ajustan a tus preferencias y analizar la información que nos permita tener
determinado por anticipado cuál es tu capacidad crediticia.
También te enviaríamos ofertas de productos de todas las empresas del Grupo y de terceros que
pensemos que pueden interesarte?.
En la Cláusula 8 del ?Contrato Marco?, tan repetida, se refiere CAIXABANK a los
?Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las empresas del
grupo CaixaBank basados en el consentimiento?, los cuales se agrupan como sigue:
(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y diseño de productos y
servicios ajustados al perfil de cliente.
(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios de CaixaBank y las
Empresas del Grupo CaixaBank.
(iii) Cesión de datos a terceros
Estos subapartados se corresponden con tres consentimientos que se recaban del
interesado y que se reseñan en la primera página del documento, bajo el epígrafe
?Autorizaciones para el tratamiento?.
La descripción del primer grupo de tratamientos (i) en otros documentos o canales de
recogida de consentimientos se expresa como sigue:
. Finalidad de estudios y perfilado.
. Efectuar estudios y seguimiento de la operativa; gestionar las alertas de los productos que tiene
contratados; estudiar productos y servicios ajustados a su perfil del Grupo CaixaBank.
. Autorización para perfilados y segmentados.
Este primer grupo de tratamientos, ?Detalle de los tratamientos de análisis, estudio y
seguimiento para la oferta y diseño de productos y servicios ajustados al perfil de cliente?,
detalla cinco finalidades:
?Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas estadísticas y de
segmentación de clientes, con una triple finalidad: 1) Estudiar productos o servicios que puedan ser
ajustados a su perfil y situación comercial o crediticia concreta, todo ello para efectuarle ofertas
comerciales ajustadas a sus necesidades y preferencias, 2) Realizar el seguimiento de los productos y
servicios contratados,3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de
los productos y servicios contratados.
b) Asociar sus datos con los de sociedades con las que tenga algún tipo de vínculo, tanto por su
relación de propiedad como de administración, al efecto de analizar posibles interdependencias
económicas en el estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos.
c) Realizar estudios y controles automáticos de fraude, impagos e incidencias derivadas de los
productos y servicios contratados...?.
Y en relación con estas finalidades, se indica lo siguiente:
?Los tratamientos indicados en los apartados (i), (ii) y (iii) podrán ser realizados de manera
automatizada y conllevar la elaboración de perfiles, con las finalidades ya señaladas. A este efecto, le
informamos de su derecho a obtener la intervención humana en los tratamientos, a expresar su punto
de vista, a obtener una explicación acerca de la decisión tomada en base al tratamiento automatizado,
y a impugnar dicha decisión?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
155/177
CAIXABANK advierte al cliente que los tratamientos indicados podrán ser realizados
de manera automatizada y conllevar la elaboración de perfiles. A este efecto, CAIXABANK le
informa sobre ?su derecho a obtener la intervención humana en los tratamientos, a expresar
su punto de vista, a obtener una explicación acerca de la decisión tomada en base al
tratamiento automatizado, y a impugnar dicha decisión?.
Con ello, CAIXABANK advierte sobre operaciones de perfilado que se corresponden
con las decisiones individuales automatizadas reguladas en el artículo 22 del RGPD, que
dichos perfiles van a servir para tomar decisiones automatizadas con efectos jurídicos para el
interesado o que le van a afectar significativamente de un modo similar. En este caso, según
lo indicado, el interesado tiene derecho a ser informado por virtud de lo establecido en el
artículo 13.2.f) del RGPD, incluyendo en esa información todas las cuestiones que esa letra
menciona, como es la lógica aplicada, la importancia y las consecuencias previstas de dicho
tratamiento para el interesado, así como sobre la posibilidad de oponerse a la adopción de
estas decisiones individuales automatizadas, y derecho a que sean atendidas todas las
garantías previstas (además de la información específica al interesado, el derecho a obtener
intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión
tomada después de tal evaluación y a impugnar la decisión).
El fundamento jurídico de estas acciones está basado, conforme a la información que
facilita a los interesados-clientes, en el consentimiento de éstos.
Esta información, y las evidencias sobre la irregularidad de los consentimientos
prestados por los clientes de CAIXABANK para el tratamiento de sus datos personales,
determinó la imputación a dicha entidad en el acuerdo de apertura del procedimiento de una
presunta infracción por la vulneración del artículo 22 del RGPD.
Sin embargo, la instrucción del procedimiento no ha permitido constatar que
CAIXABANK lleve a cabo tratamientos de datos como los regulados en este artículo 22 del
RGPD, es decir, que adopte decisiones basada únicamente en el tratamiento automatizado y
que produzcan efectos jurídicos en el interesado o le afecten significativamente de modo
similar.
Algunos tratamientos de datos conllevan la utilización de perfilados de los que podrían
resultar efectos discriminatorios para los interesados (como, por ejemplo, créditos
preconcedidos, precios ajustados al perfil del cliente, beneficios y promociones). Pero no se
tiene constancia de que estos tratamientos respondan al concepto de ?decisión individual
automatizada? y que produzcan efectivamente efectos jurídicos o afecten significativamente al
interesado.
Si así fuera, CAIXABANK deberá considerar lo establecido en el citado artículo 22 del
RGPD y dar cumplimiento a las exigencias expresadas y a los requisitos que permiten
considerar que el consentimiento se ha prestado de un modo válido, si esta fuera la base
jurídica.
En consecuencia, se estima procedente, por falta de evidencias, declarar la
inexistencia de infracción en relación con la imputación por un presunto incumplimiento de lo
establecido en el artículo 22 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
156/177
IX
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos, como
autoridad de control, el artículo 58.2 de dicho Reglamento contempla los siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(?)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a
las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de
un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas
mencionadas en el presente apartado, según las circunstancias de cada caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
X
En el presente caso, ha quedado acreditado el incumplimiento del principio de
trasparencia establecido en los artículos 12, 13 y 14 del RGPD, así como el principio de licitud
del tratamiento regulado en el artículo 6 del mismo Reglamento, con el alcance expresado en
los Fundamentos de Derecho anteriores, lo que supone la comisión de sendas infracciones
tipificadas en el artículo 83.5 del RGPD, que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone lo siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con
multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una
cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio
financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de
los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;(?)?.
A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83
del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica?.
A efectos del plazo de prescripción, los artículos 72 y 74 de la LOPDGDD indican:
?Artículo 72. Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy
graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los
artículos mencionados en aquel y, en particular, las siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del
tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
157/177
validez del consentimiento.
(?)
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos
establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679?.
?Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en
particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de información del
afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE)
2016/679?.
A fin de determinar la multa administrativa a imponer se han de observar las previsiones
de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al
presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean
en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a
título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y
j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá
debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o
propósito de la operación de tratamiento de que se trate así como el número de interesados afectados
y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y
perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las
medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y
mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el
responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente
contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento
de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los
beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la
infracción.?
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se
aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado
artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán
tenerse en cuenta:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
158/177
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no
puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de
resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre
aquellos y cualquier interesado?.
En este caso, considerando la gravedad de las infracciones constatadas procede la
imposición de multa, además de la adopción de medidas.
De forma subsidiaria y por razones de proporcionalidad, CAIXABANK ha solicitado que
se impongan otros poderes correctivos que permitan la implementación de ciertos cambios
que tiene en proceso para depurar los errores en las cláusulas informativas y mejorarlas,
como es el apercibimiento, y señala que esta medida se ha aplicado en algunos casos a
personas jurídicas y no solo a personas físicas (cita como ejemplo los procedimientos
PS/00072/2019; o PS/00096/2019). Adicionalmente, para el caso de que se desestime la
petición anterior, solicita que se imponga una sanción en grado mínimo.
No cabe aceptar la solicitud formulada por CAIXABANK para que se impongan otros
poderes correctivos, concretamente, el apercibimiento, que está previsto para personas
físicas y cuando la sanción constituya una carga desproporcionada (considerando 148 del
RGPD). En este caso, a diferencia de los precedentes invocados por CAIXABANK, no
concurre ninguno de los presupuestos que fundamentarían la aplicación de la medida de
apercibimiento, para lo cual, obviamente, también deberán considerarse otros factores, como
la infracción cometida y su gravedad. En el presente caso, las irregularidades cometidas son
mucho más graves y tienen mayor repercusión que la expresada por CAIXABANK, quien
pretende reducir el supuesto analizado a unos simples defectos de la información ofrecida
que no merecen ningún reproche que no sea su rectificación.
Por las mismas razones, y considerando los criterios de graduación de las sanciones
que seguidamente se indican, se desestima igualmente la petición de imposición de una sanción
en su grado mínimo.
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las sanciones
de multa a imponer en el presente caso al reclamado, como responsable de infracciones
tipificadas en el artículo 83.5.a) y b) del RGPD, procede graduar la multa que correspondería
imponer por cada una de las infracciones imputadas como sigue:
1. Infracción por incumplimiento de lo establecido en los artículos 13 y 14 del RGPD, tipificada
en el artículo 83.5.b) y calificada como leve a efectos de prescripción en el artículo 74.a) de la
LOPDGDD:
Se estima que concurren en calidad de agravantes los siguientes factores que revelan
una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad CAIXABANK:
a) La naturaleza, gravedad y duración de la infracción: los hechos constatados ponen en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
159/177
cuestión toda la actuación desarrollada por CAIXABANK, en su conjunto, por cuanto las
infracciones resultan de los procedimientos de gestión de datos personales diseñados por esa
entidad para la adecuación de esos procesos al RGPD, los cuales se consideran irregulares
desde el mismo momento de la recogida de los datos personales, poniendo en cuestión toda
la actividad desarrollada por la entidad responsable desde la entrada en vigor del RGPD. Se
tiene en cuenta, no obstante, que no se trata de un supuesto de ausencia total de
información, sino que los hechos controvertidos resultan de no proporcionar a los interesados
información suficiente y adecuada en relación con los diversos tratamientos realizados.
A este respecto, alega CAIXABANK que las cuestiones analizadas en el procedimiento
no revisten especial gravedad, considerando que se proporciona toda la información, aunque
la AEPD entienda que es mejorable; que la infracción está calificada como leve; y no se ha
causado perjuicio a los dos únicos reclamantes, dado que los tratamientos realizados son los
necesarios para el desarrollo de la actividad.
En contra de lo expuesto por dicha entidad, se entiende que las deficiencias
apreciadas revisten especial gravedad, por cuanto afectan a aspectos sustantivos del
principio de transparencia y a todas las operaciones de tratamiento realizadas, que no se
limitan a los tratamientos necesarios para el desarrollo de la actividad, como señala
CAIXABANK. Ninguno de los precedentes citados en las alegaciones puede asimilarse en
modo alguno al presente supuesto.
b) La intencionalidad o negligencia apreciada en la comisión de la infracción: las actuaciones
han acreditado una conducta negligente en relación con la vulneración de la normativa de
protección de datos personales. Las vulneraciones constatadas, dada su evidencia, deberían
haber sido advertidas por una entidad de las características de CAIXABANK y evitadas al
diseñar sus procesos de gestión de datos personales.
Entiende CAIXABANK que el establecimiento de procedimientos claros en relación con
la información y la prestación de consentimientos conlleva que este criterio de graduación de
la sanción deba considerarse como una atenuante, sin considerar que las infracciones se
consideran cometidas, precisamente, por lo contrario. Además, las infracciones no resultan
solo del incumplimiento de los requisitos de obtención del consentimiento ni de las
operaciones realizadas con esta base jurídica.
c) El carácter continuado de la infracción, en el sentido interpretado por la Audiencia Nacional,
como infracción permanente.
d) La alta vinculación de la actividad del infractor con la realización de tratamientos de datos
personales: todas las operaciones que constituyen la actividad empresarial desarrollada por
CAIXABANK conllevan operaciones de tratamiento de datos personales.
e) La condición de gran empresa de la entidad responsable y su volumen de negocio: es una
empresa líder en el sector financiero con una fuerte implantación nacional. Según la
información que consta en la web ?caixabank.es?, a 26/12/2019, CAIXABANK se declara líder
en banca minorista, con un 29,3% de cuota de penetración de particulares en España. A
30/09/2019, la Cuenta de Resultados refleja un ?Margen de explotación? de 2.035 millones de
euros. Según la información que consta en el Registro Mercantil Central, el ?Capital suscrito?
asciende a 5.981.438.031,00 euros.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
160/177
f) Elevado volumen de datos y tratamientos que constituye el objeto del expediente: las
infracciones afectan a todos los tratamientos de datos que realiza CAIXABANK que no
resulten necesarios para la ejecución del contrato, en los que se emplea toda la información
relativa a los clientes.
g) Elevado número de interesados: los defectos apreciados afectan a todos los clientes
personas físicas de la entidad. Según la información disponible en la web ?caixabank.es? a
fecha 26/12/2019, la entidad contaba con 15,7 millones de clientes.
h) La entidad imputada no tiene implantados procedimientos adecuados de actuación en la
recogida y tratamiento de los datos de carácter personal, de modo que la infracción no es
consecuencia de una anomalía en el funcionamiento de dichos procedimientos, sino un
defecto del sistema de gestión de los datos personales diseñado por la responsable. Se tiene
en cuenta que los incumplimientos constatados son estructurales y no resultan de un
incumplimiento puntual.
Según CAIXABANK un defecto de información no puede entenderse como un defecto
del sistema. Sin embargo, resulta evidente que el presente supuesto no se refiere,
simplemente, a un defecto de información.
Considerando los factores expuestos, la valoración que alcanza la multa por la
infracción imputada es de 2.000.000 euros.
2. Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, en relación con
el artículo 7 del mismo texto legal y artículo 6 de la LOPDGDD, tipificada en el artículo 83.5.a)
y calificada como muy grave a efectos de prescripción en el artículo 72.1.b) y c) de la
LOPDGDD:
Se estima que concurren en calidad de agravantes, además de los factores expuestos
en relación con la infracción anterior, señalados con las letras b), c), d), e), g) y h), los
siguientes factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la
entidad CAIXABANK:
a) La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de las operaciones de tratamiento de que se trata: las infracciones
resultan de los procedimientos de gestión de datos personales diseñados por CAIXABANK
para la adecuación de esos procesos al RGPD, los cuales se consideran irregulares desde la
recogida de los datos personales y de la prestación de los consentimientos solicitados a los
clientes en ese mismo momento. La gravedad de las infracciones se incrementa atendiendo al
alcance o propósito de las operaciones de tratamiento de que se trata, que incluyen la
elaboración de perfilados utilizando una información excesiva.
b) El grado de responsabilidad del responsable, habida cuenta de las medidas técnicas y
organizativas aplicadas en virtud de los artículos 25 y 32; considerando que los hechos
constatados ponen de manifiesto que CAIXABANK no ha cuidado que en los tratamientos de
datos se utilicen exclusivamente los datos necesarios en razón al fin pretendido.
Frente a ello no puede oponerse la adopción de medidas durante los últimos años
encaminadas a favorecer la privacidad desde el diseño. Lo relevante es que tales medidas
sean las adecuadas y, en relación con lo expuesto, las adoptadas por CAIXABANK no lo son.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
161/177
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción: la información
relativa a los clientes se utiliza para diseñar nuevos productos o servicios o mejorar los
existentes y para la difusión de los mismos. Para apreciar este beneficio no es necesario que
la entidad responsable haya monetizado los datos personales, realizando ventas de datos con
fines comerciales, como alega CAIXABANK.
d) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas:
se tiene en cuenta el alto grado de intromisión en la privacidad de los clientes de CAIXABANK
y que toda la información es comunicada a terceros (empresas del Grupo CaixaBank).
Las cesiones se han producido y han quedado acreditadas. La propia CAIXABANK ha
reconocido el intercambio de información con las empresas del Grupo.
e) Elevado volumen de datos y tratamientos que constituye el objeto del expediente; entre los
que destacan, de modo significativo, las cesiones de datos personales a terceros. Alega la
entidad responsable que no ha iniciado las cesiones de datos, sin considerar las realizadas a
las entidades del Grupo CaixaBank.
f) Las categorías de los datos de carácter personal afectados por la infracción, que incluye
perfiles del cliente, inferidos utilizando toda la información disponible del cliente, incluida la
recabada para el cumplimiento de obligaciones legales. En nada afecta a esta conclusión el
hecho de que los tratamientos no utilicen datos de categoría especial, manifestado por
CAIXABANK.
Considerando los factores expuestos, la valoración que alcanza la multa por la
infracción imputada es de 4.000.000 euros.
Las alegaciones a la apertura del procedimiento formuladas por la entidad
CAIXABANK no contienen ninguna observación sobre las circunstancias señaladas con las
letras c), d), e), f) y g) del punto 1.
En cambio, solicitó que se tengan en cuenta como atenuante las medidas tomadas
para regularizar la situación puesta de manifiesto en la reclamación reseñada en el Hecho
Probado Cuarto, implementando las medidas recomendadas por la organización de
consumidores y usuarios que presentó la reclamación; junto con el propósito que tiene de
elaborar un nuevo ?Contrato Marco?; así como el grado de cooperación mostrado para poner
remedio a la situación irregular y mitigar los posibles efectos adversos.
Estas acciones no se estiman de relevancia suficiente para ser consideradas en este
procedimiento a los efectos pretendidos por CAIXABANK. Con las medidas tomadas en
relación con la reclamación citada, relacionadas únicamente con el proceso presencial de
obtención del consentimiento del cliente, no se ha produjo una verdadera regularización, ni se
mitigaron los efectos adversos de las infracciones cometidas. Por otra parte, la elaboración de
un nuevo ?Contrato Marco? no es sino la consecuencia necesaria de la irregularidad del
documento empleado por CAIXABANK y analizado en el presente procedimiento. Por tanto,
se desestima la solicitud de considerar tales actuaciones como una circunstancia atenuante.
En sus alegaciones a la propuesta de resolución, CAIXABANK declara reproducidas
sus alegaciones al acuerdo de inicio, sin formular, tampoco en este caso, ninguna
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
162/177
consideración sobre los criterios de graduación señaladas con las letras c), d), e), f) y g) del
punto 1.
En estas alegaciones solicita nuevamente que se tengan en cuenta como atenuantes
las medidas tomadas por CAIXABANK, así como el grado de cooperación mostrado, dentro y
fuera del marco del procedimiento, para poner remedio a la infracción y mitigar los posibles
efectos adversos de la infracción.
Por último, advierte CAIXABANK sobre la desproporción sin precedentes de la sanción
impuesta, considerando que se trata de un supuesto de infracción leve y no de ausencia de
información, y que no se producen cesiones de datos fuera del marco de la corresponsabilidad
de facto y, en la actualidad, formal que existe en el Grupo CaixaBank (sin que la libre voluntad
de los sujetos se haya visto mermada en caso alguno). Añade que la sanción propuesta
es 8 veces superior a la multa más alta impuesta bajo el RGPD (si no tenemos en cuenta
?la otra? sanción ejemplar del sector financiero, recientemente conocida), y 3 veces superior al
máximo previsto bajo el régimen anterior para las infracciones más graves, ignorando la aplicación
de los atenuantes que CAIXABANK detalla en sus alegaciones.
A juicio de esta Agencia, no puede admitirse la actitud cooperante de CAIXABANK,
que ha negado sistemáticamente los hechos, a pesar de su evidencia.
Por otra parte, ninguna de las circunstancias expresadas por dicha entidad para fundamentar
la desproporción de la sanción concurre en este caso, en el que también se comete
una infracción muy grave, a la que CAIXABANK no suele referirse en ninguna de sus alegaciones
, intentando reducir el supuesto analizado, como ya se ha dicho, a meros errores en la
información proporcionada a los clientes. Precisamente, uno de los hechos determinantes, no
el único, de la infracción muy grave tiene que ver con las cesiones de datos de los clientes, de
todos los datos y todos los clientes, que CAIXABANK realiza a las empresas del Grupo Caixa-
Bank, sobre la que el interesado no tiene oportunidad de pronunciarse, quedando comprometida
su libre elección.
En todo caso, la proporcionalidad de la sanción resulta de la aplicación de los criterios
de graduación establecidos en el correspondiente régimen de infracciones y sanciones, el que
resulte de aplicación a los hechos constatados, es decir, el régimen vigente. Así, no procede
calificar la sanción impuesta como desproporcionada acudiendo al régimen de infracciones y
sanciones que regulaba la Ley Orgánica 15/1999 (LOPD), para afirmar que la sanción impuesta
es tantas veces superior a las previstas en aquella Ley Orgánica, sino a la norma que
establece las medidas que procede imponer en este caso, esto es, el RGPD.
Este Reglamento, en su artículo 83.3, establece que los incumplimientos de los
artículos 13, 14, y 6 del mismo RGPD se sancionarán con multas administrativas de
20.000.000 de euros (veinte millones de euros) como máximo o, tratándose de una empresa,
de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del
ejercicio financiero anterior, optándose por la de mayor cuantía. Considerando esta regulación
y los criterios de graduación antes valorados, la multa impuesta a CAIXABANK no resulta
desproporcionada. De nada vale argumentar que la LOPD preveía sanciones por importes
inferiores.
Lo cierto es que, en este aspecto, como en muchos otros, el RGPD ha supuesto un
cambio de paradigma en la protección de los datos personales, estableciendo medidas con un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
163/177
claro carácter disuasorio. Basta con examinar las sanciones que, en esta materia, han
impuesto recientemente otros países europeos, que son públicas, para entender el alcance
del cambio que conlleva la aplicación del RGPD. A continuación, se incluyen los enlaces a
algunas de estas resoluciones, como ejemplos:
. https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-
50-million-euros_es;
. https://edpb.europa.eu/news/national-news/2020/aggressive-telemarketing-practices-vodafone-finedover-12-million-euro
_es;
. https://edpb.europa.eu/news/national-news/2020/belgian-dpa-imposes-eu600000-fine-google-belgiumnot-respecting-right-be
_es.
Por otra parte, entiende también CAIXABANK que procede calificar como atenuante el
hecho de haber procedido a clarificar más aún la información ofrecida a sus clientes y el
procedimiento mediante el cual solicita el consentimiento, hasta tal punto que devendría del
todo innecesaria la imposición de las medidas correctoras propuestas por la AEPD.
La citada entidad ha manifestado en su escrito de alegaciones que ha dispuesto una
nueva estructura de los documentos mediante los que informa a los clientes en la materia que
nos ocupa, elaborando una nueva Política de Privacidad, como documento básico, y
modificando el ?Contrato Marco? para que el mismo ofrezca únicamente información básica y
remita a la Política de Privacidad, como segunda capa. Según indica, se pretende una total
uniformidad y un detalle más profundo de la información. Y ha aportado copia de ambos
documentos, junto con el ?Acuerdo de corresponsabilidad?, al que se hizo referencia en el
Fundamento de Derecho VII al tratar las comunicaciones de datos a las empresas del Grupo
CaixaBank, impresión de pantalla relativas a los procesos de recogida de consentimientos.
CAIXABANK señala, asimismo, que ha dispuesto un comunicado masivo a los clientes
informando sobre los cambios.
Considera esta Agencia que las acciones mencionadas, vistas las evidencias
obtenidas en el presente caso, son una exigencia del principio de responsabilidad proactiva y
la diligencia en cuanto al cumplimiento de la normativa de protección de datos que debe
esperarse de una entidad como CAIXABANK y que el propio RGPD impone expresamente,
incluida la obligación de revisar y actualizar las medidas organizativas que garantizan la
adecuación de sus tratamientos de datos con el RGPD.
Y considera también esta Agencia que no existe una verdadera regularización de la
situación generada por los incumplimientos constatados, ni se han mitigado sus efectos.
Por un lado, no cabe aceptar el planteamiento que realiza CAIXABANK en su alegato,
según el cual la única actuación que se reprocha es el redactado de los textos informativos,
mediante los que informa a sus clientes sobre el tratamiento de sus datos personales.
Y, por otro lado, en relación con los consentimientos prestados y con los tratamientos
de datos que realiza, CAIXABANK se limita a señalar que las menciones al cese de
tratamientos son desproporcionadas. En sus alegaciones, no hace referencia alguna a la
regularización en sus registros de las anotaciones correspondientes a los consentimientos
recabados hasta la fecha, ni a la suspensión de los tratamientos de datos personales
calificados como ilícitos en las presentes actuaciones o la supresión de los datos personales
recabados de terceros o inferidos por la propia entidad.
Una vez más, como tantas veces antes se ha dicho, CAIXABANK pretende reducir las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
164/177
cuestiones suscitadas a defectos de información, de los que únicamente puede derivarse, a
su juicio, la exigencia de corregirlos. Sin embargo, en contra de lo pretendido por
CAIXABANK, no puede obviarse el incumplimiento de lo establecido en el artículo 6 del
RGPD, junto con la gravedad y repercusión de los defectos apreciados en la información
ofrecida a los interesados.
Así, la supuesta corrección de la información contenida en los documentos aportados
por CAIXABANK, aun suponiendo que esta corrección fuera completa, no constituye una
verdadera regularización de la situación irregular comprobada en el presente procedimiento
sancionador. Por tanto, se desestima la solicitud de considerar tales actuaciones como una
circunstancia atenuante.
Por otra parte, CAIXABANK no aporta ningún informe o evaluación, ni explica cómo ha
adaptado los documentos que determinan la configuración de esa nueva Política de
Privacidad y posibilitarían su análisis por esta autoridad de control (ej., el registro de
actividades de tratamiento, los informes de evaluación de impacto o la ponderación del interés
legítimo).
CAIXABANK ha disfrutado de numerosas oportunidades para aportar esta
documentación durante la tramitación del procedimiento. En todas y cada una de las
comunicaciones que le han sido remitidas ha sido advertida sobre el principio de acceso
permanente regulado en el artículo 53 ?Derechos del interesado en el procedimiento
administrativo? de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas, que reconoce a los interesados en el procedimiento el
derecho a conocer, en cualquier momento, el estado de la tramitación y a formular
alegaciones, utilizar los medios de defensa admitidos por el Ordenamiento Jurídico, y a
aportar documentos en cualquier fase del procedimiento anterior al trámite de audiencia.
No es posible, en consecuencia, considerar regularizada la situación irregular.
XI
De acuerdo con lo establecido en el artículo 58.2.d) del RGPD, cada autoridad de
control podrá ?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una
determinada manera y dentro de un plazo especificado??.
En este caso, considerando las circunstancias expresadas en relación con los
incumplimientos apreciados, procede requerir a CAIXABANK para que, en el plazo que se
indica en la parte dispositiva, adecúe a la normativa de protección de datos personales las
operaciones de tratamiento que realiza, la información ofrecida a sus clientes y el
procedimiento mediante el que los mismos prestan su consentimiento para la recogida y
tratamiento de sus datos personales.
En aquellos casos en los que el interesado no haya sido debidamente informado sobre
las circunstancias reguladas en los artículos 13 y 14 del RGPD o el interesado no hubiese
prestado su consentimiento válido, CAIXABANK no podrá llevar a cabo la recogida y
tratamiento de los datos personales. Lo mismo procede en relación con los tratamientos de
datos basados en el interés legítimo del responsable y con todos aquellos declarados ilícitos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
165/177
en el presente acto, incluidas las comunicaciones de datos personales a las empresas del
Grupo CaixaBank.
Todo ello con el alcance y en el sentido expresado en los Fundamentos de Derecho
del presente acto.
Asimismo, procede requerir a CAIXABANK para que comunique a las entidades del
Grupo CaixaBank a las que hubiese comunicado datos personales de los clientes para que
supriman tales datos y cesen en la utilización de los mismos. Procede, asimismo, requerir a
CAIXABANK para que cese en el tratamiento de los datos personales que le son facilitados
por las entidades pertenecientes al Grupo CaixaBank, relativos a clientes de estas últimas.
Se advierte que no atender los requerimientos de este organismo puede ser
considerado como una infracción administrativa grave al ?no cooperar con la Autoridad de
control? ante los requerimientos efectuados, pudiendo ser valorada tal conducta a la hora de
la apertura de un procedimiento administrativo sancionador con multa pecuniaria.
En relación con estas medidas, con las que se pretende reparar la situación irregular
generada por CAIXABANK en el tratamiento de los datos de sus clientes y de los clientes de
las entidades del Grupo CaixaBank, así como la corrección de la información que ofrece en
materia de protección de datos personales, dicha entidad ha manifestado que supondrían un
impacto irreparable, pero sin describir en qué consiste este impacto y sin justificar por qué es
irreparable.
En todo caso, no cabe alegar circunstancias particulares para justificar la no aplicación
de la norma.
Advierte también sobre la situación sanitaria mundial actual, que restringe las visitas a
las oficinas por parte de los clientes. Entiende esta Agencia que con ello pretende reflejar las
dificultades que supone esta crisis para regularizar la situación de los clientes. Sin embargo,
el plazo otorgado en la parte dispositiva se estima suficiente para llevar a cabo la
regularización pertinente.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de
las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CAIXABANK, S.A., con NIF A08663619, por una infracción
de los artículos 13 y 14 del RGPD, tipificada en el artículo 83.5.b) y calificada como leve a
efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa por importe de
2.000.000 euros (dos millones de euros).
SEGUNDO: IMPONER a la entidad CAIXABANK, S.A., por una infracción del artículo 6 del
RGPD, tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripción
en el artículo 72.1.b) de la LOPDGDD, una multa por importe de 4.000.000 euros (cuatro
millones de euros).
TERCERO: DECLARAR la inexistencia de infracción en relación con la imputación a la
entidad CAIXABANK, S.A. de una posible vulneración de lo establecido en el artículo 22 del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
166/177
RGPD.
CUARTO: REQUERIR a la entidad CAIXABANK, S.A., para que, en el plazo de seis meses,
adecúe a la normativa de protección de datos personales las operaciones de tratamiento de
datos personales que realiza, la información ofrecida a sus clientes y el procedimiento
mediante el que los mismos deben prestar su consentimiento para la recogida y tratamiento
de sus datos personales, con el alcance expresado en el Fundamento de Derecho XI. En el
plazo indicado, CAIXABANK, S.A. deberá justificar ante esta Agencia Española de Protección
de Datos la atención del presente requerimiento.
QUINTO: NOTIFICAR la presente resolución a CAIXABANK, S.A.
SEXTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez que la
presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante LPACAP), en el plazo de pago voluntario establecido en el art. 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio,
en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso,
indicando el NIF del sancionado y el número de procedimiento que figura en el
encabezamiento de este documento, en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria
CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta
el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y
último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes
siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados
podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia
Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala
de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de
julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo
46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
167/177
También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-131120
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
168/177
ANEXO I
Versión 4 del ?Contrato Marco?, fechada por CAIXABANK el 12/11/2018:
(?)
Modificaciones al texto anterior o nuevas cláusulas informativas introducidas por la Versión 5
del ?Contrato Marco?, fechada por CAIXABANK el 20/12/2018.
(?)
Modificaciones al texto anterior o nuevas cláusulas informativas introducidas por el
documento aportado por CAIXABANK con su respuesta a los Servicios de Inspección e fecha
20/11/2019, que se ha denominado en este acto como ?Versión 7 del Contrato Marco? o
?Contrato Marco de cliente de fecha 06/11/2019.
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
169/177
ANEXO II
Documento aportado por CAIXABANK en fecha 10/07/2018, denominado por la misma ?Contrato de
Consentimientos?, el cual consta reseñado en el Hecho Segundo del presente Acuerdo:
(?)
Modificaciones al texto anterior introducidas por el documento que consta incorporado al Acta
correspondiente a la inspección realizada en las dependencias de CAIXABANK en fecha
28/11/2019 (Documentos adjuntos 4 y 5):
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
170/177
ANEXO III
Información ofrecida para el acceso a información del interesado en REDES SOCIALES
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
171/177
ANEXO IV
SERVICIO DE AGREGACIÓN
(?)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
172/177
ANEXO V
Política de Privacidad disponible en la web de la entidad CaixaBank.
01 ¿QUIÉNES SOMOS?
CaixaBank, como ya sabes, es el mayor banco de España por número de clientes, y comercializa,
además de sus productos y servicios, los de un gran grupo de empresas participadas, con actividades
en los sectores de servicios de pago, inversión, seguros, tenencia de acciones, capital riesgo,
inmobiliarios, viarias, venta y distribución de bienes y servicios, servicios de consultoría, ocio y
benéfico-sociales.
El listado de estas empresas lo encontraras en www.CaixaBank.es/empresasgrupo y sus datos, en el
anexo al final de esta comunicación (en adelante las llamaremos empresas del Grupo CaixaBank).
02 ¿PARA QUÉ NECESITAMOS UTILIZAR TUS DATOS?
Usos con finalidad contractual
El primer y principal motivo por el que necesitamos tratar tus datos es para la prestación de los
servicios que hayas contratado con nosotros y para nuestra propia gestión. Este tratamiento es
imprescindible. Si no lo hiciéramos, no podríamos gestionar tus cuentas, tarjetas, seguros, etcétera.
Usos con finalidad legal o regulatoria
En CaixaBank, y en las empresas del Grupo CaixaBank, estamos obligados por diferentes normativas a
tratar tus datos para cumplir con las obligaciones que las mismas disponen. Son normas que nos
establecen, por ejemplo, obligaciones de reporte regulatorio, medidas de prevención de blanqueo de
capitales y financiación del terrorismo o controles e informes tributarios. En estos supuestos, el
tratamiento que se hace de los datos se limita a lo necesario para cumplir con aquellas obligaciones o
responsabilidades requeridas legalmente.
Usos con la finalidad de prevenir el fraude
También necesitamos tratar tus datos para la prevención del fraude, así como para garantizar la
seguridad, tanto de tu información como de nuestras redes y sistemas de información.
Como habrás podido ver, estos tres tipos de tratamientos son imprescindibles para poder mantener tu
relación con nosotros. Sin ellos no podríamos prestarte nuestros servicios
03 ¿Y MIS DATOS NO SE UTILIZARÁN CON MÁS FINALIDADES?
Los anteriores usos son los necesarios para poder prestarte nuestros servicios pero, con tu confianza,
nos gustaría ofrecerte mucho más.
Usos con finalidad comercial basados en el interés legítimo
Salvo que nos hayas dicho, o nos digas lo contrario, te remitiremos actualizaciones e información
acerca de productos o servicios similares a los que ya tengas contratados.
También utilizaremos tu información (movimientos de cuenta, movimientos de tarjeta, préstamos,
etcétera) para personalizar tu experiencia con nosotros, por ejemplo mostrándote primero en los
cajeros y webs tus operativas más habituales; para ofrecerte los productos y servicios que se ajusten a
tu perfil y así no molestarte con lo que no te interese; para aplicarte los beneficios y promociones que
tengamos vigentes y a los que tengas derecho, porque no queremos que te pierdas ninguna de las
ventajas que tiene ser nuestro cliente: y para evaluar si podemos asignarte límites de crédito
preconcedidos que puedas usar cuando lo consideres más oportuno, así, cuando lo necesites,
podremos atenderte con la mayor velocidad.
No te preocupes. En estos tratamientos no utilizaremos más información que la que nos hayas dado tú
o la que se genera de los propios productos contratados durante el último año y, si prefieres que no lo
hagamos, solo tienes que decírnoslo, en cualquiera de nuestras oficinas, en el apartado de correos n.º
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
173/177
209 de Valencia (46080), en la dirección electrónica www.CaixaBank.es/ejerciciodederechos o
mediante las opciones habilitadas a dicho efecto en tu banca por internet y en nuestras aplicaciones
móviles.
Para cualquier otro uso comercial que queramos hacer, te preguntaremos antes, tal como vas a ver a
continuación. Recuerda que uno de nuestros valores fundamentales es la confianza.
04 NO TE LO PODEMOS OCULTAR: ¡QUEREMOS CONOCERTE MEJOR!
Hoy en día, existen muchas posibilidades de utilizar la información para conocerte mejor, darte un
mejor servicio, estar más atentos y siempre dispuestos a atender tus necesidades. Por ello, te
pediremos autorización para tratar tus datos un poco más de lo que te contábamos antes.
Si ya lo has probado, o lo pruebas en el futuro, seguro que no te arrepentirás, pero no te preocupes, no
tienes que decidirlo ahora, te preguntaremos por ello en la oficina, en los canales electrónicos o en tus
relaciones con el resto de empresas del Grupo CaixaBank.
Usos basados en tu consentimiento
Únicamente si así nos lo autorizas cuando te preguntemos, nos gustaría tratar todos los datos que
tenemos sobre ti para conocerte mejor, es decir, estudiar tus necesidades para saber qué nuevos
productos y servicios se ajustan a tus preferencias y analizar la información que nos permita tener
determinado por anticipado cuál es tu capacidad crediticia.
También te enviaríamos ofertas de productos de todas las empresas del Grupo y de terceros que
pensemos que pueden interesarte.
Como te hemos dicho, CaixaBank es una gran familia, así que, cuando nos autorices estos
tratamientos te beneficiarás del trabajo conjunto de las empresas del Grupo CaixaBank del cuadro que
sigue (recuerda que la lista estará actualizada en todo momento en el enlace
www.CaixaBank.es/empresasgrupo).
Tu banco CAIXABANK, S.A.
La emisora de tus tarjetas de crédito y débito CAIXABANK PAYMENTS, E.F.C., E.P., S.A.U.
La emisora de tus tarjetas de prepago CAIXABANK ELECTRONIC MONEY, EDE, S.L.
Tu aseguradora VIDACAIXA, S.A.U. DE SEGUROS Y REASEGUROS
La comercializadora de tus fondos CAIXABANK ASSET MANAGEMENT, S.G.I.I.C., S.A.U.
Tu banco social, experto en microcréditos NUEVO MICRO BANK, S.A.U.
Tu financiera de consumo CAIXABANK CONSUMER FINANCE, E.F.C., S.A.U.
Tu compañía de renting CAIXABANK EQUIPMENT FINANCE, S.A.U.
Tu compañía de comercio electrónico PROMOCAIXA, S.A.
La compañía que gestiona los pagos en tus comercios COMERCIA GLOBAL PAYMENTS, E.P., S.L.
Por último, si tú quieres, podremos comunicar tus datos a terceros con los que tengamos acuerdos,
cuyas actividades estén comprendidas entre las bancarias, de servicios de inversión, previsión y
asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes
y servicios, de servicios de consultoría, ocio y benéfico-sociales.
Queremos que tengas muy claro que respetamos tus elecciones y actuamos de acuerdo con ellas, de
manera que trataremos tus datos solo para aquellas finalidades que, de entre las tres anteriores, nos
hayas autorizado expresamente.
05 ¿Y QUÉ PASA CON MIS DATOS CUANDO NAVEGO POR LAS PÁGINAS WEB O LAS
APLICACIONES MÓVILES DEL GRUPO CAIXABANK?
Cuando navegues por nuestras páginas web o utilices nuestras aplicaciones móviles, queremos poder
personalizar tu experiencia para que te sea lo más excepcional posible. También es posible que
queramos recordarte nuestros productos y ofertas cuando estés navegando por internet.
Ya sabes que para eso se utilizan cookies. Te informaremos en todo momento de los detalles de su uso
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
174/177
en la Política de cookies, que encontrarás en todas nuestras páginas web, así como en las condiciones
de uso de las aplicaciones móviles que te descargues.
Ahí te describiremos en cada momento qué datos podemos recabar, cómo y para qué se utilizan.
Además, la mayoría de navegadores web te permiten gestionar tus preferencias sobre el uso de las
cookies. Recuerda que puedes ajustar en cualquier momento el navegador para que rechace o elimine
determinadas cookies según tu criterio.
Asimismo, la configuración de privacidad del dispositivo móvil te permite gestionar el tratamiento de tus
datos.
06 POR CIERTO, ¿QUÉ DATOS MÍOS SE TRATAN?
Como podrás imaginar, gracias a la confianza que has depositado en nosotros, tenemos mucha
información sobre ti. Ya te hemos contado para qué los usamos y cómo puedes controlar en cada
momento dichos usos, pero ¿qué información concreta tuya vamos a tratar?
Básicamente, son tus datos identificativos y de detalle de la actividad profesional o laboral, tus datos de
contacto y los datos financieros y socioeconómicos, tanto los que nos has facilitado como los que se
generan de los productos o servicios contratados.
También, solo si así lo consientes cuando te lo consultemos, podremos tratar datos que obtengamos de
la prestación de servicios a terceros cuando seas el destinatario del servicio, los obtenidos de las redes
sociales que nos autorices a consultar, los obtenidos de terceras entidades como resultado de servicios
de agregación de datos que tú solicites, los obtenidos de las navegaciones que realices por el servicio
de banca por internet, las aplicaciones de telefonía móvil y otras páginas web de las empresas del
Grupo CaixaBank o los obtenidos de empresas proveedoras de información comercial.
07 ¿SE TRATAN DATOS DE SALUD, IDEOLOGÍA U OTROS DATOS ESPECIALES O SENSIBLES?
Con carácter general, no necesitamos tratar determinados datos tuyos que están considerados como
categorías especiales de datos, por ejemplo los relativos al origen étnico o racial, opiniones políticas,
convicciones religiosas o identidad sexual.
Si fuera necesario tratar este tipo de datos sensibles, en cada caso te solicitaremos un consentimiento
explícito. Estas son algunas de las situaciones en las que si necesitaremos usar alguno de estos datos:
Datos de salud relacionados con productos de seguro
Los datos de salud están dentro de la categoría de datos sensibles, y su tratamiento es imprescindible
en la comercialización de determinados productos de seguro (salud, vida?). Cuando comercializamos
estos productos, el responsable de los datos de salud es la compañía aseguradora, por ello queremos
que sepas que todas las compañías aseguradoras cuyos productos comercializamos respetan y
cumplen estrictamente la normativa de protección de datos.
Datos biométricos recogidos en la firma electrónica de documentos
Cuando utilizamos sistemas de firma electrónica, en ocasiones, para tu mayor seguridad y comodidad,
se utilizan elementos biométricos en la creación de la firma, por ejemplo el trazo de la firma en tabletas
digitalizadoras o las huellas dactilares en el teléfono móvil. Estos datos son imprescindibles para
asegurarnos de que eres tú quien está utilizando las aplicaciones y que, por tanto, nadie está
suplantando tu identidad.
Para la utilización de estos medios de firma o identificación deberás aceptar explícitamente estos
tratamientos de datos biométricos.
08 ¿MIS DATOS ESTÁN SEGUROS?
Para nosotros la seguridad de tus datos es esencial, y asumimos la obligación y el compromiso de
protegerlos en todo momento.
Por ello, dentro de este estándar de máxima protección, los protegemos contra tratamientos no
autorizados o ilícitos y contra su pérdida, destrucción o daño accidental, y tenemos implementados los
más rigurosos protocolos de seguridad de la información siguiendo las mejores prácticas en esta
materia.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
175/177
09 ¿DURANTE CUÁNTO TIEMPO ES NECESARIO GUARDAR MIS DATOS?
Trataremos tus datos mientras permanezcan vigentes las autorizaciones de uso que nos hayas
otorgado o bien no hayas cancelado las relaciones contractuales o de negocio con nosotros.
Dejaremos de tratarlos una vez revocadas las autorizaciones de uso que nos hayas dado o, si no has
revocado las autorizaciones pero has dejado de ser cliente, pasados seis meses desde que finalizaran
las relaciones contractuales o de negocio establecidas, siempre que tus datos no sean necesarios para
los fines para los que fueron recogidos o tratados.
Esto no significa que los borremos inmediatamente, ya que estamos obligados por diferentes normas a
conservar cierto tiempo la información (en muchos casos hasta diez años), pero de acuerdo con la
normativa, tus datos solo se conservarán para cumplir con estas obligaciones legales, y para la
formulación, ejercicio o defensa de reclamaciones, durante el plazo de prescripción de las acciones
derivadas de las relaciones contractuales o de negocio suscritas.
10 ¿A QUIÉN SE COMUNICAN MIS DATOS?
Además del intercambio de información comercial entre las empresas del Grupo CaixaBank (del que te
informábamos anteriormente), en determinadas ocasiones necesitamos compartir cierta información
con terceros para poder prestar nuestros servicios, o bien porque una normativa nos los exija, o bien
porque necesitamos el apoyo de empresas especialistas que nos ayuden en nuestro trabajo.
A continuación te explicamos con quiénes podemos compartir tu información, siempre con la máxima
seguridad y confidencialidad:
Comunicación de datos para el cumplimiento de una obligación legal
Como te hemos explicado, colaboramos con las autoridades, tribunales y organismos públicos. Si la
normativa lo establece, compartiremos con ellos la información que nos soliciten.
Comunicación de datos para la ejecución de una relación contractual
En ocasiones, recurrimos a prestadores de servicios con acceso potencial a datos de carácter personal.
Estos prestadores aportan garantías adecuadas y suficientes en relación con el tratamiento de datos,
ya que llevamos a cabo una selección responsable de prestadores de servicio que incorpora
requerimientos específicos en el supuesto de que los servicios impliquen el tratamiento de datos de
carácter personal.
A continuación, verás qué tipología de servicios encargamos:
SERVICIOS DE BACKOFFICE FINANCIERO
SERVICIOS DE APOYO ADMINISTRATIVO
SERVICIOS DE AUDITORÍA Y CONSULTORÍA
SERVICIOS JURÍDICOS Y DE RECUPERACIÓN DE ACTIVOS E IMPAGADOS
SERVICIOS DE PAGO
SERVICIOS DE MARKETING Y PUBLICIDAD
SERVICIOS DE ENCUESTAS
SERVICIOS DE CALL CENTER
SERVICIOS LOGÍSTICOS
SERVICIOS DE SEGURIDAD FÍSICA
SERVICIOS INFORMÁTICOS (SEGURIDAD DE LOS SISTEMAS Y DE LA INFORMACIÓN,
CIBERSEGURIDAD, SISTEMAS DE INFORMACIÓN, ARQUITECTURA, ALOJAMIENTO, PROCESO
DE DATOS)
SERVICIOS DE TELECOMUNICACIONES (VOZ Y DATOS)
SERVICIOS DE IMPRESIÓN, ENSOBRADO, ENVÍOS POSTALES Y MENSAJERÍA
SERVICIOS DE CUSTODIA Y DESTRUCCIÓN DE LA INFORMACIÓN (DIGITAL Y FÍSICA)
SERVICIOS DE MANTENIMIENTO DE EDIFICIOS, INSTALACIONES Y EQUIPOS
También podemos comunicar tus datos a terceros que son necesarios para el desarrollo, cumplimiento
y control de los contratos de productos y servicios que has suscrito con nosotros, por ejemplo, a
cámaras o sistemas de compensación para la ejecución de trasferencias o recibos o para el pago de
tasas o tributos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
176/177
11 ¿SE TRANSFIEREN MIS DATOS FUERA DEL ESPACIO ECONÓMICO EUROPEO?
El tratamiento de tus datos se realiza, con carácter general, por prestadores de servicios ubicados
dentro del Espacio Económico Europeo o en países que han sido declarados con un nivel adecuado de
protección.
En otros supuestos garantizamos la seguridad y legitimidad del tratamiento de tus datos exigiendo a
sus proveedores que dispongan de normas corporativas vinculantes que garanticen la protección de la
información de manera similar a las que establecen las normas europeas, que se encuentren acogidos
al Privacy Shield, en caso de prestadores de servicios en los EE. UU., o que suscriban las cláusulas
tipo de la Unión Europea.
En todo momento velaremos por que, sea quien sea quien tiene tu información para ayudarnos a
prestar nuestros servicios, lo hace con todas las garantías.
12 ¿TIENEN CAIXABANK Y LAS EMPRESAS DE SU GRUPO UN DELEGADO DE PROTECCIÓN DE
DATOS?
Efectivamente, tal como requiere la normativa de protección de datos, las empresas del Grupo
CaixaBank tienen un delegado de Protección de Datos que vela por que todos los tratamientos que se
realicen se hagan con total respeto a tu privacidad y a la normativa aplicable en cada momento.
El delegado de Protección de Datos está a tu disposición para atender todas las cuestiones que puedas
tener relativas al tratamiento de tus datos personales y al ejercicio de tus derechos. Puedes contactar
con el delegado de Protección de Datos en: www.CaixaBank.es/delegadoprotecciondedatos
13 ¿QUÉ DERECHOS TENGO EN RELACIÓN CON MIS DATOS Y SUS TRATAMIENTOS?
Estos son los derechos que puedes ejercer en relación con tus datos:
Derecho de acceso: Derecho a conocer qué datos tuyos estamos tratando.
Derecho de revocación del consentimiento: Derecho a retirar el consentimiento en cualquier momento
cuando nos hayas dado autorización para tratar tus datos.
Derecho de rectificación: Derecho a que rectifiquemos o completemos tus datos si estos son inexactos.
Derecho de oposición: Derecho a oponerte a aquellos tratamientos basados en interés legítimo.
Derecho de supresión: Derecho a que eliminemos tus datos cuando ya no sean necesarios para las
finalidades para las que fueron recogidos.
Derecho de limitación: Derecho a que limitemos el tratamiento de tus datos (en determinados
supuestos, expresamente previstos en la normativa).
Derecho de portabilidad: Derecho a que te entreguemos tus datos (datos tratados para la ejecución de
los productos y servicios y datos que tratamos con tu consentimiento) para que puedas transmitirlos a
otro responsable.
Podrás ejercer tus derechos en cualquiera de los canales que ponemos a tu disposición:
- En las oficinas de CaixaBank o de las empresas del Grupo
- Mediante comunicación postal dirigida al apartado de Correos n.º 209 de Valencia (46080)
- En la dirección electrónica www.CaixaBank.es/ejerciciodederechos
- Mediante las opciones habilitadas a dicho efecto en tu banca por internet y en nuestras aplicaciones
móviles
Adicionalmente, ya sabes que, si a pesar de todo tienes alguna reclamación derivada del tratamiento
de tus datos que no hayamos podido solucionar, la podrás dirigir a la Agencia Española de Protección
de Datos (www.agpd.es).
Nota: La Política de Privacidad incluye un Anexo en el que se relacionan las empresas del Grupo
CaixaBank (las mismas relacionadas en el punto 04), con indicación de su domicilio, NIF e inscripción
en el Registro Mercantil y Registro Administrativo Especial del Banco de España, Registro
Administrativo de Entidades Aseguradoras de la Dirección General de Seguros y Fondos de Pensiones,
Registro de Sociedades Gestoras de Instituciones de Inversión Colectiva de la Comisión Nacional del
Mercado de Valores, según proceda en cada caso.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
177/177
ANEXO VI
Documento denominado ?Tratamientos de datos de carácter personal en base al interés
legítimo?, obtenido de la web caixabank.es, en el apartado ?Privacidad?, en fecha 07/01/2020:
Le informamos que, de acuerdo con lo previsto en el artículo 6.1.f) del Reglamento General de
Protección de Datos, CaixaBank, en ocasiones, trata datos de sus clientes en base al interés legítimo.
A continuación encontrará la relación de todos los tratamientos que CaixaBank puede realizar con esta
base legal. Este listado será actualizado de forma permanente para incluir nuevos tratamientos, o dar
de baja los que se dejen de realizar.
Usted puede oponerse a los tratamientos que seguidamente le relacionamos indicándolo en cualquiera
de nuestras oficinas, por escrito al apartado de correos n.º 209 de Valencia (46080), en la dirección
electrónica www.CaixaBank.es/ejerciciodederechos o mediante las opciones habilitadas a dicho efecto
en su banca por internet y las aplicaciones móviles.
Tratamientos basados en el interés legítimo
. Envío de información acerca de productos o servicios similares a los que ya tenga contratados o
información que consideremos que puede ser de su interés, o que consideremos que puede tener
una expectativa razonable de recibir.
. Estudio de la información que nos consta de usted (movimientos de cuenta, movimientos de
tarjeta, préstamos, etcétera) para personalizar su experiencia con la Entidad, por ejemplo
mostrándole primero en los cajeros y webs sus operativas más habituales, u ofreciéndole
productos y servicios que se ajusten a su perfil y aplicarle los beneficios y promociones vigentes
en cada momento.
. Seguimiento del cumplimiento de los objetivos, incentivos o premios fijados a nuestros
empleados.
. Comunicación de datos entre CaixaBank y las empresas participadas por ésta con la finalidad
de realizar informes internos (sin datos de carácter personal), que nos permitan, entre otros
aspectos, realizar estudios de mercado y modelos matemáticos para establecer la estrategia de
negocio del Grupo CaixaBank.
. Creación de modelos estadísticos (sin datos de carácter personal) que ayuden a la Entidad a
conocer mejor las preferencias y gustos de nuestros clientes, colaborando en la mejora del
diseño y ejecución de acciones comerciales, así como realizando informes agregados sobre el
resultado de los modelos para llevar a cabo el seguimiento del comportamiento de los clientes.
. Estructuración y perfilado de la información tratada por la Entidad para mantener los recursos y
sistemas técnicos preparados para atender de manera eficiente las necesidades de gestión.
. Control y supervisión de la actividad de la Entidad mediante muestreos y autoevaluaciones con
la finalidad de identificar y valorar posibles riesgos en la comercialización de productos, controles
y evaluar el cumplimiento de normas y reglamentos internos.
. Control y supervisión de operativas con la finalidad de prevenir fraudes, tanto a clientes como a
la propia Entidad.
. Uso de datos de contacto de empleados o representantes de personas jurídicas para mantener
relaciones con la persona jurídica en la que preste servicios>>.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es