Resolución de la Agencia ...re de 2021

Última revisión
09/02/2023

Texto

Resolución de la Agencia Española de Protección de Datos PS-00500-2020 de 21 de octubre de 2021

Resolución

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Legislación

Tiempo de lectura: 337 min

Órgano: Agencia Española de Protección de Datos

Fecha: 21/10/2021

Num. Resolución: PS-00500-2020

Cuestión

Sector:

1 / 133

Procedimiento Nº: PS/00500/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 6 de noviembre de 2018, tuvo entrada en esta Agencia escrito de D.

A.A.A. ,...

Contestacion

1/133

? Procedimiento Nº: PS/00500/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 6 de noviembre de 2018, tuvo entrada en esta Agencia escrito de D.

A.A.A., en el que denuncia que la entidad CAIXABANK, CONSUMER FINANCE, EFC ha

solicitado a EMPRESA.1 información sobre las inscripciones relativas a su persona en el

fichero EMPRESA.2. Expone que en la actualidad no existe ningún contrato ni ha

solicitado ningún servicio a ninguna empresa del grupo CAIXABANK. Señala que si bien

fue cliente de la CAIXA dicha relación se extinguió formalmente en 2014 con rescisión de

todos los contratos existentes.

Dicha reclamación fue trasladada al delegado de Protección de Datos del responsable,

de conformidad con lo previsto en el artículo 9.4 del Real Decreto-ley 5/2018, de 27 de

julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la

Unión Europea en materia de protección de datos, recibiendo respuesta de

CAIXABANK CONSUMER FINANCE EFC, S.A.U., en la que se admite un error de

carácter humano y puntual. Se indicaba que, aunque el reclamante fue cliente en el

pasado, a fecha de la reclamación ya había dejado de serlo. A pesar de esto, sus

datos fueron incluidos por equivocación en una campaña de créditos preconcedidos.

Con fecha 6 de febrero de 2019, la Directora de la Agencia Española de Protección de

Datos acuerda no admitir a trámite la reclamación presentada, advirtiendo no obstante

en dicha resolución que ?Ello sin perjuicio de que la Agencia, aplicando los poderes de

investigación y correctivos que ostenta, pueda llevar a cabo posteriores actuaciones

relativas al tratamiento de datos referido en la reclamación.?

Dicha resolución fue recurrida, alegando el reclamante que dicha entidad de la que no

es cliente, ya que su relación con ella fue puntual y limitada en el tiempo en el marco

de un contrato de venta con financiación asociada finalizado años antes, ha utilizado

los ficheros de solvencia patrimonial con la finalidad de elaborar un perfil y ofrecerle un

servicio financiero, sin solicitar su consentimiento. Dicho recurso fue estimado.

SEGUNDO : A la vista de esta reclamación, con fecha 16 de octubre de 2019 la Directora

de la Agencia Española de Protección de datos instó a la Subdirección General de

Inspección de Datos el inicio de actuaciones previas de investigación que revelen de qué

forma CAIXABANK CONSUMER FINANCE EFC, S.A.U está realizando perfilados de los

datos personales de sus clientes en el contexto de su actividad comercial, con objeto de

verificar su adecuación a la normativa de protección de datos personales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/133

TERCERO : Con fecha 6 de febrero de 2020 la Subdirección General de Inspección de

Datos formula requerimiento a CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.

para que facilite la siguiente información:

Listado de actividades de tratamiento de datos personales de clientes y/o potenciales

clientes llevadas a cabo en el desarrollo de la actividad comercial de CAIXABANK

PAYMENTS & CONSUMER EFC, EP, S.A.U. que impliquen la elaboración de perfiles

(según la definición consignada en el artículo 4.4 del RGPD, en particular en lo relativo a la

situación económica de los interesados). Por cada una de las actividades de tratamiento

de datos personales, se solicita aporte:

1. Definición de la lógica aplicada en el perfilado y de las consecuencias previstas de dicho

tratamiento para el interesado.

2. Descripción de la finalidad del tratamiento y detalle de la base de legitimación del

artículo 6.1 del RGPD en que se sustenta.

3. Procedimiento seguido para cumplir con el deber de información al interesado (artículos

13 y 14 del RGPD)

4. Medios utilizados para la recogida del consentimiento en caso de que la actividad de

tratamiento se ampare en el artículo 6.1.a del RGPD.

5. Categorías de interesados y de datos personales objeto de tratamiento.

6. Origen u orígenes de los datos personales objeto de tratamiento (con indicación de la

base de legitimación que sustenta, en su caso, la utilización de datos recogidos de fuentes

externas -sistemas de información crediticia, otras sociedades del grupo empresarial,

etc.-).

7. En su caso, listado de encargados de tratamiento que participen en la actividad de

perfilado por cuenta de CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. y copia

de los contratos que rijan dichos tratamientos.

8. Descripción de las medidas técnicas y organizativas de seguridad aplicadas en

virtud del artículo 32 del RGPD a la actividad de perfilado.

9. En su caso, copia de la Evaluación de Impacto de Protección de Datos Personales

(EIPD) realizada sobre la actividad de perfilado.

10. Número de interesados cuyos datos personales han sido tratados en el desarrollo

de la actividad de perfilado por categoría (cliente, potencial cliente) y año (2018 y

2019).

CUARTO: Con fecha 2 de marzo de 2020, CAIXABANK PAYMENTS & CONSUMER

EFC, EP, S.A. solicita ampliación de plazo ante la imposibilidad de recabar y

estructurar la información requerida en el plazo establecido.

Con fecha 3 de marzo de 2020 la Subdirectora General de Inspección de Datos

acuerda la ampliación del plazo para responder por un periodo de cinco días, que

deberán computarse a partir del día siguiente a aquel en el que finalice el primer plazo

otorgado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/133

QUINTO: Con fecha 2 de junio de 2020 tiene entrada en esta Agencia escrito de

contestación al requerimiento de información al que hace referencia el punto

SEGUNDO. En dicho documento se expone lo siguiente:

En primer lugar, se hace referencia a que ?con fecha 14 de marzo de 2020, se publicó

en el Boletín Oficial del Estado (BOE) y entró en vigor el Real Decreto 463/2020, de 14

de marzo, por el que se declara el estado de alarma para la gestión de la situación de

crisis sanitaria ocasionada por el COVID-19, que incluye en su Disposición adicional

tercera la suspensión de los plazos administrativos, aplicándose la suspensión de

términos y la interrupción de plazos a todo el sector público definido en la Ley 39/2015,

de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas; quedando, por tanto, suspendidos los términos e interrumpidos los plazos

para la tramitación de los procedimientos de las entidades del sector público,

decretando que el cómputo de dichos plazos se reanudará en el momento de la

finalización de la vigencia de este Real Decreto, prorrogado, a su vez, mediante Real

Decreto 476/2020, de 27 de marzo, por el que se prorroga el estado de alarma

declarado en virtud del texto legislativo antecedente, así como por sus prórrogas

sucesivas.?

En segundo lugar, efectúa unas consideraciones preliminares, de las que deben

destacarse las siguientes:

- ?CAIXABANK PAYMENTS & CONSUMER es la entidad resultante de la

operación de fusión por absorción entre CaixaBank Payments, E.F.C., E.P.,

S.A.U., sociedad absorbida, y CaixaBank Consumer Finance, E.F.C., S.A.U.,

sociedad absorbente; ambas participadas íntegramente por CaixaBank, S.A.

(en adelante, también denominada ?CaixaBank?). Esta fusión tuvo lugar en

fecha de 11 de julio de 2019, después de haberse notificado la no oposición de

Banco de España a la operación de modificación estructural, al amparo de lo

prevenido en la Ley 10/2014 de 26 de junio, de ordenación, supervisión y

solvencia de entidades de crédito, así como del correspondiente procedimiento

de autorización frente al Ministerio de Economía y Empresa previsto en la Ley

5/2015 de 27 de abril, de fomento de financiación empresarial. Como

consecuencia de la antedicha operación, CaixaBank Consumer Finance,

E.F.C., S.A. ha quedado subrogada por sucesión universal en todos los

derechos y obligaciones, adquiridos y asumidas, respectivamente, por

CaixaBank Payments, E.F.C., E.P., S.A.U., modificando su denominación social

a la actual CaixaBank Payments & Consumer, E.F.C., E.P., S.A.?

- ?La actividad principal de CAIXABANK PAYMENTS & CONSUMER consiste en

la comercialización de tarjetas de crédito o de débito (en adelante,

denominadas ?Tarjetas?), cuentas de crédito con o sin tarjeta (en adelante,

denominadas ?Cuentas de Crédito?) y préstamos (en adelante, denominados

?Préstamos?), (en adelante, todos ellos denominados individualmente

?Producto? y conjuntamente, ?Productos?), directamente o bien por medio de

terceros ?ya sean agentes o Prescriptores-, con quienes tiene suscritos los

correspondientes contratos de agencia o de colaboración. En concreto: -

Directamente, CPC comercializa algunos de los mencionados Productos. -

Indirectamente, CPC comercializa a través de Prescriptores y agentes.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/133

- ?Se entiende por ?Prescriptor? o ?Prescriptores?, aquellas entidades con las que

CPC tiene suscrito un acuerdo de colaboración, en base al cual, éstas se

comprometen a ofrecer a sus clientes la posibilidad de contratar los Productos

de CPC para, principalmente, financiar el precio de compra de los productos

y/o servicios comercializados por ellas (Prescriptores) en sus puntos de venta,

ya sea presenciales u online (por ejemplo, establecimientos como

***ESTABLECIMIENTO.1 o ***ESTABLECIMIENTO.2 y

***ESTABLECIMIENTO.3). En particular, los Productos de CPC

comercializados a través de Prescriptores son las Tarjetas, las Cuentas de

Crédito y los Préstamos.?

- ?Finalmente, se entiende por agente, CaixaBank, S.A. (en adelante,

indistintamente el ?Agente? o ?CaixaBank?), entidad con la que CPC mantiene

un acuerdo de agencia, en virtud del cual, CaixaBank promueve y concluye, a

través de sus canales, las Tarjetas de CPC, así como, en su caso, préstamos

de refinanciación de la deuda derivada de estas Tarjetas.?

Respecto de las actividades de tratamiento de datos personales que en el desarrollo

de su operativa comercial implican la elaboración de perfiles, según la definición

consignada en el artículo 4.4 del RGPD, en particular en lo relativo a la situación

económica de los interesados, indica que son las siguientes:

I. ?Análisis de la capacidad de devolución o riesgo de impago de un

interesado ante su Solicitud de un Producto: Consiste en la evaluación por

parte de CPC de la Solicitud de un Producto (Tarjeta, Cuenta de Crédito o

Préstamo, en adelante la ?Solicitud?) recibida de un interesado (en

adelante, ?Solicitante? o ?Solicitantes?). Esta evaluación implica un

tratamiento de datos personales que se concreta en la necesaria valoración

de la capacidad de devolución o solvencia del Solicitante (probabilidad de

riesgo de impago). Dicha valoración se realiza, en el marco de la Solicitud

recibida, con la finalidad de cumplir cuanto establece la normativa que, en

calidad de establecimiento financiero de crédito y entidad de pago, le

resulta de aplicación a CPC (Normativas Prudencial y de Solvencia y de

Préstamo Responsable).?

II. ?Análisis de la capacidad de devolución o riesgo de impago en la gestión

del riesgo de crédito concedido a clientes: Consiste en el seguimiento

continuo de la capacidad de devolución o riesgo de impago de los clientes a

quienes CAIXABANK PAYMENTS & CONSUMER ha concedido

financiación y, por tanto, con los que mantiene un riesgo de crédito con dos

finalidades i) la gestión del riesgo de crédito concedido a los mismos en

cumplimiento de determinadas obligaciones legales (en concreto, la

Normativa Prudencial y de Solvencia y de Préstamo Responsable, tal y

como la misma se define en el apartado I.A.6 de este escrito); y, ii) la

gestión comercial de acuerdo con los consentimientos recabados de los

titulares de los datos (clientes) con la posterior finalidad de ofrecerles

productos y servicios ajustados a sus necesidades, lo que puede incluir la

asignación de límites de crédito ?preconcedidos? (preconcesión de un

crédito en base a la información de que dispone la Entidad).?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/133

III. ?Análisis y selección de público objetivo: Consiste en el análisis y selección,

de forma previa a un determinado impacto comercial, de un público objetivo

(compuesto por aquellos clientes de CAIXABANK PAYMENTS &

CONSUMER que reúnan, en su caso, los requisitos diseñados para ser

impactados por una potencial campaña con la finalidad de ofrecerle

Productos). Dicho tratamiento se lleva a cabo de acuerdo con los

consentimientos recabados a los titulares de los datos (clientes).?

En cuanto a las categorías de titulares de datos que se tratan en la ejecución de los

tratamientos detallados, señala que ?trata únicamente datos de interesados que son

clientes de la Entidad o solicitantes de sus Productos. No realiza tratamientos de datos

sobre interesados que podrían denominarse ?clientes potenciales?, entendiendo por

éstos, titulares de datos que no tienen relación vigente con CPC o que previamente no

han solicitado un Producto por alguno de los canales establecidos.?

En tercer lugar, del examen de lo expuesto por CPC respecto a la actividad

denominada ?análisis de la capacidad de devolución o riesgo de impago para la

gestión del riesgo de crédito concedido a clientes durante la relación contractual? cabe

destacar los siguientes aspectos:

1.Respecto de las finalidades y bases de legitimación del tratamiento se expone que

tiene dos finalidades:

I. ?La gestión del riesgo de crédito concedido, en cumplimiento de

determinadas obligaciones legales de la Normativa Prudencial y de

Solvencia y de Préstamo Responsable, aplicable cuando el Producto es

una cuenta de crédito ya que, al permitir la disponibilidad del crédito

concedido de manera constante, este (Producto) debe adaptarse

constantemente a la capacidad actualizada de solvencia del interesado.

Según manifiesta, el título habilitante para llevar a cabo esta finalidad, dar

cumplimiento a requerimientos regulatorios, es la obligación legal, de

conformidad con el artículo 6.1 c) del RGPD.

II. La gestión comercial para el caso de que disponga del consentimiento del

titular del dato. Dicho tratamiento prevé, entre otras, poder etiquetar al

cliente con la finalidad de concederle un ?preconcedido? (concesión de un

crédito en base únicamente a la información de que dispone la Entidad).

En este caso se tratan únicamente los datos de aquellos clientes que hayan

dado su consentimiento para el perfilado.?

2.Respecto de la lógica aplicada en el perfilado y las consecuencias previstas de

dicho tratamiento para el interesado expone lo siguiente:

?CAIXABANK PAYMENTS & CONSUMER utiliza una lógica que se ha definido en

el proceso de financiabilidad de la Entidad. Este proceso de financiabilidad consta

de diferentes políticas explicadas a continuación y en base a las cuales se les

asigna a los clientes (?).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/133

i. (?) Esta etiqueta es la utilizada por CPC para categorizar a sus clientes en

relación con la actividad de promoción que sobre los mismos podría hacer de

Préstamos o Cuentas de Crédito. (?)

? (?)

Tal y como se ha mencionado esta Financiación directa tiene finalidad comercial

por lo que CPC únicamente la utiliza en aquellos clientes que han consentido el

tratamiento de sus datos. Los que no han consentido, en consecuencia, se

separan de los anteriores incluyéndose -a los únicos efectos de respetar lo

solicitado en relación con el tratamiento de sus datos- en la subcategoría de

Financiación directa - D - No evaluable. La implicación de tal subcategoría es, por

lo tanto, que los clientes con esta ETIQUETA 1 - D no pueden ser incluidos en

campañas comerciales.

ii. (?)

? (?)

Finalmente, también en este caso se incluyen los clientes que no han autorizado el

tratamiento de sus datos en la subcategoría Financiación Prescriptor - D - No

evaluable. Se trata, por tanto, de clientes que no han dado su consentimiento para el

tratamiento de datos de perfilado.

i. (?)

? (?)

Finalmente, al igual que en las otras etiquetas existe la subcategoría Ampliación de

limites D - No evaluable que incorpora a aquellos clientes que no han autorizado el

tratamiento de sus datos de carácter personal y, en consecuencia, no pueden ser

objeto de campañas comerciales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/133

i. (?)

a) (?)

b) (?)

(?)

? (?)

3.En cuanto a los datos personales objeto de tratamiento se indica que son los

siguientes:

- Identificativos: DNI/NIE/Pasaporte y fecha de nacimiento.

- Financieros: Datos internos de CPC obtenidos o derivados de la relación

contractual existente entre esta y su cliente y consulta a ficheros de solvencia y

a la Central de Información de Riesgos (CIR) del Banco del Banco de España.

- Sociodemográficos: código postal, país de nacimiento y nacionalidad, tipo de

vivienda y antigüedad y estado civil.

- Socioeconómicos: ingresos y pagas, situación laboral y profesión, antigüedad

bancaria y entidad domiciliada.

- Otros: risk score.

4. Respecto al origen de los datos personales objeto de tratamiento detalla, para las

categorías de datos indicadas en el apartado anterior, los siguientes orígenes:

- Datos aportados por el Solicitante en la propia Solicitud del Producto.

- Datos de CPC en relación con el Solicitante para el caso de que este ya sea

cliente y siempre que CPC disponga de datos de su comportamiento de pago.

- Datos de fuentes externas: de acuerdo con la normativa que le resulta de

aplicación a CPC como establecimiento financiero de crédito y entidad de pago,

se incorpora asimismo la siguiente información:

? Información del Grupo consolidado de entidades del Grupo

CaixaBank.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/133

? Resultado de la consulta a sistemas de información crediticia.

? Resultado de la consulta a la Central de Información de Riesgos

(CIR) de Banco de España.

(?)

5. Respecto de los medios utilizados para la recogida del consentimiento en caso de

que la actividad de tratamiento se ampare en el artículo 6.1.a del RGPD, informa que

los canales por los que recaba los consentimientos con fines comerciales de sus

clientes son los que se indican a continuación:

a) A través de los Prescriptores.

b) A través de su Agente CaixaBank.

a) ?A través de los Prescriptores En relación con este canal, podemos diferenciar tres

(3) formas de captación distintas:

i. La primera es a través de los empleados de los propios Prescriptores, los cuales,

en el momento de la formalización de los contratos de financiación con los clientes

que quieren contratar los Productos ofrecidos por CAIXABANK PAYMENTS &

CONSUMER, les preguntan sobre cada uno de los consentimientos, para después

plasmar la respuesta dada por su parte para cada uno de ellos en las Condiciones

Particulares del contrato de financiación suscrito al efecto.

A este respecto, las tres (3) herramientas facilitadas por CAIXABANK PAYMENTS

& CONSUMER a los vendedores de los Prescriptores para que puedan realizar la

captación de la información necesaria para tramitar las operaciones de

financiación y, por tanto, también para recabar los mencionados consentimientos,

son la Web ?***WEB.1?, la App de captación (su utilización se realiza a través de

una tablet que llevan los vendedores de los Prescriptores que están en constante

movimiento por la tienda) y la ?Web Auto? (?), que son los software facilitados por

parte de CAIXABANK PAYMENTS & CONSUMER a los Prescriptores, conectados

con los sistemas de aquella (CAIXABANK PAYMENTS & CONSUMER), para que

sus vendedores tramiten las operaciones de financiación mediante la introducción

de los datos personales y económicos de los clientes y los datos contractuales de

las operaciones (TIN, TAE, meses de amortización, etc.), así como recabar los

consentimientos, que posteriormente se plasmarán en las Condiciones

Particulares de los contratos de financiación que se formalicen y entreguen a los

clientes.?

Aporta tres impresiones de pantalla que se corresponden con estas tres

herramientas. En ellas se observa que se solicita el consentimiento para las

siguientes finalidades, pudiendo elegir si o no en cada modalidad:

- ?Autorizo al Grupo CaixaBank a utilizar mis datos para finalidades de estudio y

perfilado?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/133

- ?Autorizo a que se me remita publicidad y ofertas comerciales del Grupo

CaixaBank por los siguientes medios?, que a su vez permite consentir o no por

cada uno de los epígrafes siguientes):

- Telemarketing

- Medios electrónicos como SMS, email y otros

- Correo postal

- Contactos comerciales por cualquier canal de mi gestor

- ?Autorizo a ceder mis datos a terceros con los que el Grupo CaixaBank tenga

acuerdos?

- ?Autorizo al Grupo CaixaBank a usar mis datos biométricos (imagen, huella

dactilar, etc.) con la finalidad de verificar mi identidad y firma. Esta autorización se

complementará con el registro de los datos biométricos a utilizar en cada

momento?

Se aporta, asimismo, una captura de pantalla de la herramienta web AUTO en la

que se permite consultar más detalles. Según la impresión facilitada el detalle

consiste en lo siguiente:

?Consentimientos y protección de datos personales

Las autorizaciones que prestas ahora o hayas prestado anteriormente

pueden revocarse en cualquier momento a través de

www.caixabankpc.com/ejerciciode derechos.

Si otorgas la autorización (1) las ofertas que se te remitan estarán

adaptadas a tu perfil.

Las autorizaciones (2) (3) (4) y (5) se refieren a los canales a través de los

que aceptas que te contacte el grupo Caixabank ya sea por teléfono, por

medios electrónicos, por correo postal y/o presencialmente.

Si no autorizas algún canal, el grupo Caixabank no podrá contactarte para

ofrecerte productos de tu interés.

Si facilitas la autorización (6) en el momento en que se cedan los datos, se

te informará de qué tercero es el receptor de tus datos y si no estás de

acuerdo podrás revocar esa autorización.

La autorización (7) es para poder verificar tu identidad/firma ya que en el

grupo Caixabank utilizamos métodos de reconocimiento biométrico como

sistemas de reconocimiento facial, lectura de huella dactilar y similares.?

ii. ?La segunda forma de captación dentro de este grupo es a través del portal web

de CAIXABANK PAYMENTS & CONSUMER habilitado para tramitar la operación

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/133

de financiación por el propio cliente, el cual habrá sido redirigido mediante clicar

en un enlace incorporado en la web del Prescriptor de que se trate. Así, por

ejemplo, el interesado que decida solicitar la tarjeta (?) iniciará la solicitud en el

portal propio del Prescriptor ***ESTABLECIMIENTO.1 e inmediatamente será

redirigido al portal web habilitado al efecto por y de CAIXABANK PAYMENTS &

CONSUMER donde se llevará a cabo todo el procedimiento de contratación.

En este caso, es el propio cliente, a través de su ordenador/tablet el que marca la

respuesta para cada uno de los tratamientos previstos, los cuales después se

transcribirán en las Condiciones Particulares del contrato de financiación

formalizado.?

Se adjunta, como DOCUMENTO ANEXO Nº 13, la pantalla que visualiza el cliente

y en la que se le recaban los consentimientos, así como DOCUMENTO ANEXO Nº

14, un ejemplo de cómo se reflejan los consentimientos otorgados por el cliente en

las Condiciones Particulares del contrato de financiación.

El anexo 13 contiene una impresión de la pantalla en la que se recogen los

consentimientos, que coinciden con los descritos anteriormente en el punto

relativo al canal prescriptores.

El anexo 14 se denomina SOLICITUD-CONTRATO DE CREDITO. Se estructura

en diversos apartados relativos a datos personales del titular y cotitular, a la

compra, al plan de financiación, etc. De dichos apartados cabe destacar lo

indicado en los apartados RESUMEN DE TRATAMIENTO DE DATOS Y

AUTORIZACIONES PARA EL TRATAMIENTO DE DATOS.

El apartado RESUMEN DE TRATAMIENTOS contiene la siguiente información:

?los tratamientos de sus datos respecto de los que puede facilitar su

autorización en los términos establecidos en el presente contrato son los

siguientes:

?FINALIDADES COMERCIALES:

A. Tratamiento de los datos por parte de Caixabank Payments

& Consumer y de las empresas del Grupo Caixabank con

finalidades de estudio y perfilado para informarle de los productos

que se ajusten a sus intereses/necesidades, así como para el

seguimiento de los servicios y productos contratados, realización de

encuestas y diseño de nuevos servicios y productos.

B. Tratamiento de los datos por parte de Caixabank Payments

& Consumer y de las empresas del Grupo Caixabank con la

finalidad de comunicarle ofertas de productos, servicios y

promociones comercializados por ellas, propios o de terceros cuyas

actividades estén comprendidas entre las bancarias, de servicios de

inversión y aseguradoras, tenencia de acciones, capital riesgo,

inmobiliarias, viarias, de venta y distribución de bienes o servicios,

de servicios de consultoría, ocio y benéfico-sociales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/133

C. Cesión de los datos por parte de Caixabank Payments &

Consumer y de las empresas del Grupo Caixabank a terceros con

la finalidad de que éstos puedan enviarle comunicaciones

comerciales. Dichos terceros estarán dedicados a las actividades

bancarias, de servicios de inversión y asegurador, tenencia de

acciones, capital riesgo, inmobiliarias, viarias, de venta y

distribución de bienes y servicios, de servicios de consultoría, ocio y

benéfico-sociales.

OTRAS FINALIDADES

A. Tratamiento de los datos biométricos que facilite por parte de

Caixabank Payments & Consumer y las empresas del

GrupoCaixabank, tales como la imagen facial, voz, huellas dactilares,

grafos, etc., con la finalidad de verificar su identidad y firma con la

ayuda de métodos de reconocimiento biométrico.?

En el apartado AUTORIZACIONES PARA EL TRATAMIENTO DE DATOS figuran

una serie de apartados en cada uno de los cuales, tanto para el titular como para

el cotitular aparecen dos casillas, una para marcar si y otra para marcar no, las

diversas autorizaciones para efectuar tratamientos de datos. Estas autorizaciones,

son las siguientes:

A) ?Autorizo el tratamiento de mis datos con la finalidad de estudio y

análisis por parte de Caixabank Payments & Consumer y de las empresas

del grupo Caixabank.?

B) ?Consiento el tratamiento de mis datos por parte de Caixabank

Payments & Consumer y de las empresas del grupo Caixabank con la

finalidad de que estas me comuniquen ofertas de productos, servicios y

promociones por los canales que autorice.? En este caso, las casillas si/no

se desglosan para cada uno de los siguientes canales: Telemarketing,

Medios electrónicos como SMS, email y otros, Correo postal. Contactos

comerciales por cualquier canal de mi gestor.

C) ?Autorizo a que Caixabank Payments & Consumer y de las

empresas del grupo Caixabank cedan mis datos a terceros.?

i. La tercera vía es a través de la captación telefónica en la que interactúan los

vendedores de los Prescriptores y los gestores de CAIXABANK PAYMENTS &

CONSUMER. En este caso, el vendedor del Prescriptor facilita telefónicamente al

gestor de CAIXABANK PAYMENTS & CONSUMER todos los datos del cliente

necesarios para formalizar la operación de financiación y este la tramita. Una vez

aprobada la contratación, el cliente, mediante las Condiciones Particulares del

contrato que debe suscribir, define el otorgamiento de sus consentimientos

marcando libremente y de manera manuscrita su opción sobre las casillas

habilitadas al efecto, tal como puede comprobarse en el DOCUMENTO Nº 14

adjunto a este escrito?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/133

Dicho documento ha quedado descrito en el punto anterior.

a) ?A través de su Agente CaixaBank. Adicionalmente CPC es beneficiario de los

consentimientos otorgados, en su caso, por los clientes ante CaixaBank.

Adjuntamos, ejemplo de las pantallas de recogida de consentimientos en las

oficinas de CaixaBank donde es el propio cliente quien, interactuando

directamente con el dispositivo que le entrega el empleado (Tablet), procede a

señalizar sus preferencias en relación con el tratamiento de sus datos.?

En la impresión de la pantalla, que incorpora en su escrito, se solicitan diversas

autorizaciones para cada una de las cuales existe la opción de marcar sí o no en

su respectiva casilla. Las autorizaciones se refieren, como en los casos anteriores:

-A la utilización de los datos para finalidades de estudio y perfilado, aclarando que

si se autoriza las ofertas que se le remitan estarán adaptadas al perfil del

interesado.

- A recibir publicidad y ofertas comerciales. En este punto se permite también

elegir los canales para recibir publicidad marcando en la respectiva casilla.

- A ceder los datos a terceros con los que el grupo Caixabank tenga acuerdos.

-Al uso de los datos biométricos con la finalidad de verificar mi identidad y firma.

6. En lo que se refiere al procedimiento seguido para cumplir con el deber de

información al interesado (artículos 13 y 14 del RGPD) indica que ?Se adjunta, como

DOCUMENTO ANEXO Nº 12, copia del condicionado general que se facilita al

interesado en el marco de la contratación de un producto y en el que se informa de lo

previsto en el artículo 13; no resultando de aplicación, por tanto, lo previsto en el

artículo 14 del RGPD.?

El documento contenido en el anexo 12 denominado ?CONDICIONES GENERALES

DE LA SOLICITUD-CONTRATO DE CRÉDITO? contiene diversos apartados,

refiriéndose el apartado número 26 a los ?Tratamiento de datos de carácter personal

basados en la ejecución de los contratos, obligaciones legales e interés legítimo y

política de privacidad?. Este punto se estructura a su vez en 10 apartados, de los

cuales interesa transcribir aquí la información contenida en los puntos 26.1 y 26.4.

?26.1 Tratamientos de datos de carácter personal con la finalidad de gestionar

las Relaciones Comerciales.

Los datos de carácter personal del Titular, tanto los que él mismo aporte, como

los que se deriven de las relaciones comerciales, negociales y contractuales

que se establezcan entre el Titular y CaixaBank Payments & Consumer bien en

la comercialización de productos y servicios propios, bien en su condición de

mediador en la comercialización de productos y servicios de terceros(en

adelante todas ellas referidas como las Relaciones Comerciales), o de las

Relaciones Comerciales de CaixaBank Payments & Consumer y las empresas

del Grupo CaixaBank con terceros y los confeccionados a partir de ellos, se

incorporarán en ficheros titularidad de CaixaBank Payments & Consumer y de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/133

las empresas del Grupo CaixaBank titulares de las Relaciones Comerciales,

para ser tratados con la finalidad de dar cumplimiento y mantener las mismas,

verificar la corrección de la operativa y las finalidades comerciales que el Titular

acepte en el presente contrato.

Estos tratamientos incluyen la digitalización y registro de los documentos

identificativos y la firma del Titular, y su puesta a disposición de la red interna

de CaixaBank Payments & Consumer, para la verificación de la identidad del

Titular en la gestión de sus Relaciones Comerciales.

Los tratamientos indicados, salvo los que tienen finalidad comercial cuya

aceptación es voluntaria para el Titular, resultan necesarios para el

establecimiento y mantenimiento de las Relaciones Comerciales, y

necesariamente se entenderán vigentes mientas dichas Relaciones

Comerciales continúen vigentes. En consecuencia, en el momento de

cancelación por el Titular de todas las Relaciones Comerciales con CaixaBank

Payments & Consumer y/o con las empresas del Grupo CaixaBank, los

mencionados tratamientos de datos cesarán, siendo sus datos cancelados

conforme a lo establecido en la normativa aplicable, conservándolos CaixaBank

debidamente limitado su uso hasta que hayan prescrito las acciones derivadas

de los mismos?

?26.4. Tratamiento y cesión de datos con finalidades comerciales por

CaixaBank y las empresas del Grupo CaixaBank basados en el consentimiento.

En las Condiciones Particulares de este contrato se recogerá, bajo el epígrafe

de autorizaciones para el tratamiento de datos, las autorizaciones que Usted

nos otorgue o nos revoque en relación a:

(i) Los tratamientos de análisis y estudio de datos con finalidad comercial por

CaixaBank Payments & Consumer y empresas del Grupo CaixaBank.

(ii) Los tratamientos para la oferta comercial de productos y servicios por

CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank.

(iii) La cesión de datos a terceros.

Con la finalidad de poner a su disposición una oferta global de productos y

servicios, su autorización a (i) los tratamientos de análisis y estudio de datos, y

(ii) para la oferta comercial de productos y servicios, en caso de otorgarse,

comprenderá a CaixaBank Payments & Consumer y a las empresas del Grupo

CaixaBank detalladas en www.caixabank.es/empresasgrupo (las ?empresas del

Grupo CaixaBank?) quienes podrán compartirlos y utilizarlos con las finalidades

indicadas.

El detalle de los usos de los datos que se realizará conforme a sus

autorizaciones es el siguiente:

(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta

y diseño de productos y servicios ajustados al perfil de cliente. Otorgando su

consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/133

a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos

técnicas estadísticas y de segmentación de clientes, con una triple finalidad:

1) Estudiar productos o servicios que puedan ser ajustados a su

perfil y situación comercial o crediticia concreta, todo ello para

efectuarle ofertas comerciales ajustadas a sus necesidades y

preferencias,

2) Realizar el seguimiento de los productos y servicios contratados,

3) Ajustar medidas recuperatorias sobre los impagos e incidencias

derivadas de los productos y servicios contratados.

b) Asociar sus datos con los de otros clientes o sociedades con las que tenga

algún tipo de vínculo, tanto familiar o social, como por su relación de propiedad

como de administración, al efecto de analizar posibles interdependencias

económicas en el estudio de ofertas de servicios, solicitudes de riesgo y

contratación de productos.

c) Realizar estudios y controles automáticos de fraude, impagos e incidencias

derivadas de los productos y servicios contratados.

d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica

con el objetivo de valorar los servicios recibidos.

e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los

existentes, así como definir o mejorar las experiencias de los usuarios en su

relación con CaixaBank Payments& Consumer y las empresas del Grupo

CaixaBank.

Los tratamientos indicados en este punto (i) podrán ser realizados de manera

automatizada y conllevar la elaboración de perfiles, con las finalidades ya

señaladas. A este efecto, le informamos de su derecho a obtener la

intervención humana en los tratamientos, a expresar su punto de vista, a

obtener una explicación acerca de la decisión tomada en base al tratamiento

automatizado, y a impugnar dicha decisión.

(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios

de CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank.

Otorgando su consentimiento a las finalidades aquí detalladas, Usted nos

autoriza a:

Enviar comunicaciones comerciales tanto en papel como por medios

electrónicos o telemáticos, relativas a los productos y servicios que, en cada

momento: a) comercialice CaixaBank Payments & Consumer o cualquiera de

las empresas del Grupo CaixaBank b) comercialicen otras empresas

participadas por CaixaBank Payments & Consumer y terceros cuyas

actividades estén comprendidas entre las bancarias, de servicios de inversión y

asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de venta

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/133

y distribución de bienes y servicios, de servicios de consultoría, ocio y benéficosociales.

El Titular podrá elegir en cada momento los diferentes canales o medios por los

que desea o no recibir las indicadas comunicaciones comerciales a través de

su banca por internet, mediante el ejercicio de sus derechos, o mediante su

gestión en la red de oficinas de CaixaBank.

Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos,

y (ii) para la oferta comercial de productos y servicios serán:

a) Todos los facilitados en el establecimiento o mantenimiento de

relaciones comerciales o de negocio.

b) Todos los que se generen en la contratación y operativas de productos y

servicios con CaixaBank Payments & Consumer, con las empresas del

Grupo CaixaBank o con terceros, tales como, movimientos de cuentas o

tarjetas, detalles de recibos domiciliados, domiciliaciones de nóminas,

siniestros derivados de pólizas de seguro, reclamaciones, etc.

c) Todos los que CaixaBank Payments & Consumer o las empresas del

Grupo CaixaBank obtengan de la prestación de servicios a terceros,

cuando el servicio tenga como destinatario al Titular, tales como la

gestión de trasferencias o recibos.

d) Su condición o no de accionista de CaixaBank según conste en los

registros de esta, o de las entidades que de acuerdo con la normativa

reguladora del mercado de valores hayan de llevar los registros de los

valores representados por medio de anotaciones en cuenta.

e) Los obtenidos de las redes sociales que el Titular autorice a consultar.

f) Los obtenidos de terceras entidades como resultado de solicitudes de

agregación de datos solicitadas por el Titular.

g) Los obtenidos de las navegaciones del Titular por el servicio de la web

de CaixaBank Payments & Consumer y otras webs esta y/o de las

empresas del Grupo CaixaBank o aplicación de telefonía móvil de

CaixaBank Payments& Consumer y/o de las empresas del Grupo

CaixaBank, en las que opere debidamente identificado. Estos datos

pueden incluir información relativa a geolocalización.

h) Los obtenidos de chats, muros, videoconferencias o cualquier otro

medio de comunicación establecida entre las partes.

Los datos del Titular podrán ser complementados y enriquecidos por datos

obtenidos de empresas proveedoras de información comercial, por datos

obtenidos de fuentes públicas, así como por datos estadísticos,

socioeconómicos (en adelante, ?Información Adicional?) siempre verificando

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

16/133

que estos cumplen con los requisitos establecidos en las normas vigentes

sobre protección de datos.?

7. En cuanto al número de interesados cuyos datos personales han sido tratados en el

desarrollo de la actividad de perfilado por categoría (cliente, potencial cliente) y año

(2018 y 2019), (?).

Por último, respecto de la tercera actividad que lleva a cabo denominada ?Análisis y

selección de público objetivo? expone lo siguiente:

1. Respecto de la definición de la lógica aplicada en el perfilado y de las

consecuencias previstas de dicho tratamiento para el interesado, señala que ?La

actividad de tratamiento denominado como Perfilado Comercial responde a la

necesidad de CPC de analizar, seleccionar y extraer, de forma previa a su impacto

comercial, el público objetivo al que se dirigirán las comunicaciones comerciales

asociadas a una potencial campaña.

A tal efecto, CPC selecciona y extrae la información de los clientes a los que

potencialmente se les remitirá las comunicaciones comerciales de la campaña en

cuestión.

Para ello, se tratan los datos personales procedentes de fuentes internas de CPC

(Host, DataPool y DataWareHouse) de aquellos de sus clientes que han autorizado

expresamente el tratamiento de perfilado comercial y, posteriormente, no lo han

revocado. Sobre los mencionados repositorios (Host, DataPool y DataWareHouse), se

toma un listado de clientes en base al resultado obtenido una vez llevado a cabo el

tratamiento en base al consentimiento del cliente, detallado en el apartado anterior (?II.

Análisis de la capacidad de devolución o riesgo de impago para la gestión del riesgo

de crédito concedido a clientes?) y sobre dicho listado de clientes, se aplican filtros de

selección basados en datos identificativos tales como rangos de edad, idioma de

comunicación, sexo, localidad o domicilio, con el objetivo de proceder a la extracción

del público objetivo al que irá dirigida la campaña. En última instancia, el sistema

genera un fichero con la selección del público objetivo que reúne las condiciones

fijadas una vez aplicados los filtros.

Se debe advertir, no obstante, que los criterios de selección que, en esencia,

constituyen la lógica aplicada al perfilado, no devienen parámetros estandarizados

sino que son segmentos que varían y se ajustan a las necesidades propias del

Producto o de las características asociadas a la iniciativa comercial o promocional de

la que se pretende su lanzamiento, así como a la tipología o el volumen de los datos

de que CAIXABANK PAYMENTS & CONSUMER dispone con respecto a cada uno de

los interesados.

Por su parte, la consecuencia que la actividad de perfilado llevada a cabo por

CAIXABANK PAYMENTS & CONSUMER genera sobre el cliente, queda circunscrita al

hecho de que pasará, o no, a formar parte de un listado que podrá ser potencialmente

empleado en el marco de una campaña comercial.?

2. Respecto de la descripción de la finalidad del tratamiento y detalle de la base de

legitimación del artículo 6.1 del RGPD en que se sustenta, manifiesta que

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

17/133

?CAIXABANK PAYMENTS & CONSUMER trata los datos de carácter personal de los

interesados asociados a la actividad de Perfilado Comercial con el fin de conocer si los

mismos cumplen las condiciones necesarias para su inclusión en una potencial

campaña comercial y mejorar el impacto de sus campañas comerciales. En definitiva,

aunque expresado en distintos términos, el proceso de perfilado vinculado a esta

actividad de tratamiento se efectúa con el ánimo de generar el listado con el público

objetivo que, en momentos ulteriores, podrá ser explotado para impactar a los clientes

mediante comunicaciones con contenido comercial. Por su parte, en cuanto al título

habilitante, es el previsto en el art. 6.1.a) del RGPD (consentimiento).

3. En cuanto al procedimiento seguido para cumplir con el deber de información al

interesado (artículos 13 y 14 del RGPD), remite a lo expuesto en la actividad de

tratamiento ?Análisis de la capacidad de devolución o riesgo de impago para la gestión

del riesgo de crédito concedido a clientes? en la que se hacía referencia al documento

anexo nº12.

4. En lo que respecta a los medios utilizados para la recogida del consentimiento en

caso de que la actividad de tratamiento se ampare en el artículo 6.1.a del RGPD, se

remite igualmente a los señalados en la actividad de tratamiento ?Análisis de la

capacidad de devolución o riesgo de impago para la gestión del riesgo de crédito

concedido a clientes.?

5. Expone lo siguiente respecto de las categorías de interesados y de datos

personales objeto de tratamiento:

?La categoría de interesados objeto del tratamiento denominado Perfilado Comercial

es la de clientes con contrato vigente con CPC. La categoría de potenciales clientes en

ningún caso es objeto de esta actividad de tratamiento?

?Los datos personales objeto de tratamiento son los siguientes:

- Identificativos: identificador de cliente, NIF/NIE/Pasaporte, nombre y apellidos, fecha

de nacimiento, sexo, dirección postal, correo electrónico, teléfono (fijo o móvil) e

idioma de comunicación.

Financieros: productos y servicios contratados y condición de

titular/beneficiario/apoderado y la etiqueta resultante del tratamiento descrito en el

apartado anterior II).?

6. En cuanto al origen de los datos personales objeto de tratamiento (con indicación de

la base de legitimación que sustenta, manifiesta que ?El origen de los datos de

carácter personal objeto de tratamiento es el propio interesado y las fuentes internas

propias de CAIXABANK PAYMENTS & CONSUMER, ya descritas en el punto 1 de

este apartado (III. Tratamiento: ?Perfilado Comercial?), así como las etiquetas

detalladas en el apartado anterior (Análisis de la capacidad de devolución o riesgo de

impago para la gestión del riesgo de crédito concedido a clientes). En este caso, la

base de legitimación es el consentimiento del interesado (art. 6.1.a RGPD).?

7. En cuanto al número de interesados cuyos datos personales han sido tratados en el

desarrollo de la actividad de perfilado por categoría (cliente, potencial cliente) y año

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

18/133

(2018 y 2019), señala que ?En primer lugar, hay que indicar que los números que se

reflejan a continuación hacen referencia únicamente a la categoría de clientes, puesto

que en esta actividad de perfilado no se tratan datos de potenciales clientes, de

acuerdo con lo expuesto en el punto b) de las Consideraciones Preliminares. (?).?

SEXTO: Se obtiene información sobre el volumen de ventas de la entidad siendo los

resultados de la cifra de negocio durante el año 2019 de 872.976.000 ?. El capital

social asciende a 135.155.574 ?.

SÉPTIMO: Con fecha 23 de diciembre de 2020, la Directora de la Agencia Española

de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, con

arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,

LPACAP), por la presunta infracción del Artículo 6 del RGPD, tipificada en el Artículo

83.5.a del RGPD, declarando que la sanción que pudiera corresponder ascendería a

un total de de 3. 000.000,00 euros, sin perjuicio de lo que resultase de la instrucción.

OCTAVO: Notificado el citado acuerdo de inicio, la entidad investigada presentó el 28

de diciembre de 2020 escrito, reiterado el 4 de enero de 2021, en el que solicitaba

ampliación de plazo al objeto de presentar alegaciones. Concedida la ampliación del

plazo con fecha 30 de diciembre de 2020, se presentó escrito de alegaciones en fecha

19 de enero de 2021, en el que solicita la anulación del acuerdo de inicio,

subsidiariamente el archivo de las actuaciones y subsidiariamente, en caso de que se

le considere responsable de las infracciones del artículo 6, que se acuerde el

apercibimiento o, en su defecto, que se imponga la cuantía de la sanción en su grado

mínimo. En todo caso que no se declaren nulos los consentimientos obtenidos y, si

fuera el caso, se ordene por parte de la AEPD las medidas que a su juicio puedan ser

adecuadas para mejorar el cumplimiento de la normativa de protección de datos.

La citada entidad basa sus peticiones en las alegaciones que, resumidamente, se

exponen a continuación, que divide en dos grupos:

A. En relación con el acuerdo de inicio y la vulneración de principios de

actuación administrativa y del procedimiento sancionador

1. Considera que para la Agencia la denuncia a que hace referencia el hecho primero

del acuerdo de inicio, es relevante para la adopción de éste, ya que en el SEGUNDO

antecedente de hecho se señala textualmente que ?A la vista de esta reclamación, con

fecha 16 de octubre de 2019 la Directora de la Agencia Española de Protección de

datos instó a la Subdirección General de Inspección de Datos el inicio de actuaciones

previas de investigación que revelen de qué forma CAIXABANK CONSUMER

FINANCE EFC, S.A.U está realizando perfilados de los datos personales de sus

clientes en el contexto de su actividad comercial, con objeto de verificar su adecuación

a la normativa de protección de datos personales.?

Señala que los hechos que motivan la incoación de un procedimiento sancionador

forman parte del contenido mínimo del acuerdo de iniciación (artículo 64.2.b de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas, en adelante LPACAP) y que, a pesar de la relevancia que

tiene la denuncia en el Acuerdo de Inicio, se han obviado algunos detalles sobre el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

19/133

trámite seguido con tal Reclamación ya que, si bien se menciona que ésta fue

trasladada al Delegado de Protección de Datos del responsable del tratamiento, no se

hace referencia a la fecha del traslado (29 de noviembre de 2018); se indica

erróneamente que el traslado de la reclamación se llevó a cabo de conformidad con lo

previsto en el artículo 65.4 de la LOPDGDD, cuando se llevó a cabo de conformidad

con lo previsto en el artículo 9.4 del Real Decreto-ley 5/2018 (BOE 30 de julio de 2018,

derogado el 7 de diciembre de 2018 por la LOPDGDD y se obvia que el 7 de febrero

de 2019 la AEPD acordó no admitir a trámite la aludida reclamación.

No se acompaña motivación alguna por parte de la Agencia al hecho de que una

inadmisión a trámite de una reclamación dé lugar 8 meses después al inicio de unas

actuaciones previas de investigación. No existe una conexión directa entre el

contenido de la reclamación inadmitida y el inicio de actuaciones previas. Ya que el

objeto de la denuncia no admitida a trámite, fue el hecho de que al denunciante se le

incluyó en una campaña de créditos preconcedidos y que tal comunicación comercial

se atribuyó a un error humano, calificado como de puntual y excepcional, por otra

parte, un error no relacionado con la lógica o el proceso de la elaboración de perfiles,

sino más bien por haber considerado que el interesado era aún cliente de la Entidad,

adoptándose en su momento medidas para que no volviera a suceder, error que, en

todo caso, no generó perjuicio alguno al interesado o a terceras personas.

De un error humano puntual y excepcional que tuvo como única consecuencia para el

interesado su inclusión en una campaña comercial y respecto del cual la Directora de

la AEPD acordó no admitir a trámite la reclamación, aparentemente se deriva que 8

meses después la misma Directora inste a la Subdirección General de Inspección de

Datos a que iniciara actuaciones previas de investigación, a los efectos de obtener

información sobre la forma en que CAIXABANK CONSUMER FINANCE EFC, S.A.U

estaba ?realizando perfilados de los datos personales de sus clientes en el contexto de

su actividad comercial?, con el ?objeto de verificar su adecuación a la normativa de

protección de datos personales?.

2. Afirma que con carácter general, la posibilidad de abrir un periodo de información o

de actuaciones previas antes de iniciar un procedimiento sancionador está prevista en

el artículo 55 de la LPACAP, y corresponde exclusivamente al órgano competente para

iniciar tal procedimiento administrativo tomar esa decisión en toda su extensión, es

decir, no meramente acordar el inicio, deberá también concretar el alcance de la

investigación. En este caso, tal decisión corresponde exclusivamente a la Directora de

la AEPD, como titular del órgano administrativo. El requerimiento de información

planteado el 6 de febrero de 2020 claramente se extralimitó en las instrucciones sobre

las actuaciones previas dadas por la Directora de la Agencia, en particular en cuanto al

alcance de la investigación, ya que lo que fue instado por la Directora de la AEPD, el

16 de octubre de 2019, fue averiguar cómo se llevaba a cabo el perfilado de datos

personales de los ?clientes de CPC?; sin embargo, el requerimiento de información

cursado amplió sorpresivamente su alcance ya que el Inspector decidió incluir también

a los ?potenciales clientes?, un cambio sin duda significativo que sobrepasa las

atribuciones del personal que desarrolla la actividad de investigación, que vienen

concretadas en el artículo 53 de la LOPDGDD, ya que estos deben limitarse a

investigar aquello que el titular del órgano administrativo haya decidido que debe ser

objeto de actuaciones previas de investigación. No sabemos si hay que seguir

atribuyendo esta circunstancia a un nuevo error en la tramitación o si es práctica

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

20/133

habitual que los inspectores decidan arbitrariamente cuál es el alcance de las

actuaciones previas de investigación, desoyendo las instrucciones del titular del

órgano administrativo; esperamos, en todo caso, que la Agencia se pronuncie al

respecto.

3. Afirma que, tal vez, la explicación a algunas de las dudas planteadas sobre las

razones por las que se ha dictado el Acuerdo de Inicio se encuentra en el hecho de

que las actuaciones relacionadas con este se han alimentado de otro procedimiento

sancionador contra CAIXABANK, S.A. (procedimiento número: PS/00477/2019), cuya

dilatada tramitación va en paralelo a las actuaciones relacionadas con el Acuerdo de

Inicio, y en el que también ha sido objeto de investigación, y de resolución, la misma

recogida de consentimientos para la elaboración de perfiles, de modo que nos

encontraríamos ante un presunto caso de vulneración del principio ?non bis in ídem?,

en primer término desde la perspectiva material, que impone a la Agencia evitar la

duplicidad de sanciones por los mismos hechos, es decir, que podría llegar a

sancionarse dos veces la misma conducta, ya que la conducta que da lugar al Acuerdo

de Inicio (presunta falta de consentimiento para el tratamiento de perfilado) es la

misma que ya ha sido objeto de resolución por la AEPD con fecha 7 de enero de 2021

en el procedimiento sancionador contra CAIXABANK, S.A., por lo que el Acuerdo de

Inicio, en el improbable supuesto de que se siga tramitando el procedimiento

sancionador iniciado contra CPC, podría vulnerar el principio ?non bis in ídem?,

prohibido en nuestro ordenamiento jurídico.

CPC forma parte del Grupo CaixaBank. La forma en la que ha sido articulado este

Grupo responde a la regulación del sector bancario, lo que conlleva que muchos

tratamientos se realicen en régimen de corresponsabilidad; en particular, esa

corresponsabilidad aplica al tratamiento identificado en el apartado 6.1.

(TRATAMIENTOS BASADOS EN EL CONSENTIMIENTO), con la letra A, descrito

como ?Análisis de sus datos para la elaboración de perfiles que nos ayuden a ofrecerle

productos que creemos que pueden interesarle?, en la política de privacidad de

CAIXABANK, S.A., en su versión de 17 de diciembre de 2020, disponible públicamente

en https://www.caixabank.es/particular/general/politica-privacidad.html, y en la Política

de Privacidad de CPC, disponible en https://www.caixabankpc.com/, a pie de página

en el enlace ?Política de privacidad?.

Existe identidad de sujeto sancionado, ya que CAIXABANK, S.A. y CPC forman parte

del Grupo CaixaBank, que como sociedades actúan en régimen de corresponsabilidad

respecto de tratamientos que implican la elaboración de perfiles para una misma

actividad de negocio, y en ambos casos se ha imputado la presunta infracción del

artículo 6 del RGPD sobre el mismo tratamiento y con vinculación material a una

misma recogida de consentimientos; por tanto, nos encontramos ante una indiscutible

identidad del sujeto, hecho y fundamento, en consecuencia lo ajustado a derecho sería

proceder al archivo del acuerdo de iniciación del procedimiento sancionador incoado

contra CPC, a fin de que esta Agencia cumpla con el ordenamiento jurídico y no se

separe arbitrariamente de sus propios precedentes administrativos (cuestión sobre la

que incidiremos, desde otra perspectiva y en detalle, más adelante).

4. Alega que el artículo 9.3 de Constitución prohíbe la actuación arbitraria de los

poderes públicos, y el artículo 103 obliga a que la Administración Pública sirva con

objetividad los intereses generales, considerando que el acuerdo de inicio del presente

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

21/133

procedimiento sancionador es una actuación arbitraria que no persigue con objetividad

el interés general, evidenciando, además, un trato discriminatorio respecto de otros

administrados. Causa extrañeza a esta parte que, si la Agencia tenía una especial

preocupación por la adecuación a la normativa de protección de datos personales de

los tratamientos efectuados por las entidades financieras, no hubiera procedido a

plantear un plan de auditoria preventivo ya que, tal y como dispone el artículo 54 de la

LOPDGDD, la Presidencia de la Agencia Española de Protección de Datos puede

acordar la realización de planes de auditoría preventiva referidos a los tratamientos de

un sector concreto de actividad. Lo que nos causa extrañeza y plantea dudas sobre la

aplicación del principio de igualdad de trato es que para otros sectores parece que la

Agencia ha sido más sensible y ha preferido llevar a cabo una aproximación más

preventiva en su actividad de supervisión. La actuación administrativa de la AEPD

resulta errática en base a la aplicación de criterios dispares a la hora de decidir qué

mecanismos utilizar con unas u otras entidades o sectores, máxime teniendo en

cuenta que la Directora de la institución en declaraciones públicas ha equiparado a

ciertos sectores y, sin embargo, después ha decidido aplicar criterios de actuación

administrativa muy diferentes.

Conocemos sobradamente que ya en el año 2016 CAIXABANK, S.A. compartió con la

AEPD aspectos que ahora han sido objeto de sanción, o por los que se pretende

ahora sancionar a CPC, cuando decidió de motu propio comunicar a la autoridad una

estructura documental relacionada con la adecuación del Grupo Caixabank al RGPD,

solicitando además expresamente una reunión o contactos, a fin de obtener y adoptar

criterios y recomendaciones que la AEPD hubiera querido trasladar al respecto;

gestiones iniciales que no dieron resultado a pesar de la insistencia de CAIXABANK,

S.A.. Así pues, el Grupo Caixabank adoptó una actitud diligente y preventiva, y el

efecto ha sido que la AEPD haya adoptado una actitud exclusivamente punitiva con el

Grupo Caixabank. ¿Dónde queda entonces la función que debe asumir la AEPD,

según lo dispuesto por el artículo 57.1.d del RGPD, de ?promover la sensibilización de

los responsables y encargados del tratamiento acerca de las obligaciones que les

incumben?.

5. Cuando la Directora de la AEPD, en entrevistas concedidas a medios de

comunicación a inicios de 2020, adelantaba el resultado de expedientes

sancionadores apenas iniciados, vulneraba el principio de presunción de inocencia

(cuestión sobre la que incidiremos en profundidad más adelante), pero además faltaba

a la debida discreción que debe mantener una autoridad en relación a este tipo de

asuntos, y aún más allá, también olvidaba lo dispuesto en el artículo 54.2 del RGPD,

que dispone que: ?El miembro o miembros y el personal de cada autoridad de control

estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados

miembros, al deber de secreto profesional, tanto durante su mandato como después

del mismo, con relación a las informaciones confidenciales de las que hayan tenido

conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. ?; así,

por poner tres ejemplos, tenemos las siguientes entrevistas e intervenciones públicas

de la Directora de la AEPD, la Ilma. Sra. Mar España Martí:

- El 13 de enero de 2020, en una entrevista en ?Cinco días? de El País, se usa como

titular de la misma una de las afirmaciones de la Directora de la AEPD: ?Hay

expedientes a grandes empresas que pueden acabar en sanciones muy altas?

https://cincodias.elpais.com/cincodias/2020/01/10/legal/1578667140_483443.html

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

22/133

- El 9 de febrero de 2020, en otra entrevista en ?La Voz de Galicia?, de nuevo se usa

como titular un de las declaraciones de la Directoria de la AEPD; en este caso

con pleno convencimiento de que se sancionará: ?Habrá sanciones muy

importantes por vulnerar la protección de datos?

https://www.lavozdegalicia.es/noticia/sociedad/2020/02/08/marespana-habrasanciones-importantes-vulnerarprotecciondatos

/00031581176394099239215.htm

- El 13 de marzo de 2020, en la crónica de la revista ?Elderecho.com? (de la editorial

jurídica Lefebvre), sobre el XII Foro de la privacidad, organizado por ISMS Forum,

junto con el Data Privacy Institute (DPI), celebrado el 3 de marzo de 2020 en el

Auditorio Principal CaixaForum Madrid, se reproduce una parte de la intervención de la

Directora de la AEPD en los siguientes términos, que ya proporcionaron detalles más

precisos sobre esas sanciones previstas: ?Tenemos ya dos o tres procedimientos

sancionadores de alto impacto que van a tener mucha repercusión mediática en

relación con el sector financiero, serán las primeras multas cuantitativas importantes

por parte de la Agencia.?

En relación a la última manifestación referenciada, es evidente que la repercusión

mediática es el principal resultado buscado por esos procedimientos sancionadores a

que se hace referencia, a pesar de estar todavía en aquel momento en fases de

tramitación muy iniciales, un impacto derivado del hecho de que iban a suponer unas

?multas cuantitativas importantes?, no tanto por el resultado de protección del derecho

fundamental a la protección de los datos personales y de los interesados, que no es

que quede en segundo plano, sino que simplemente parece no tener relevancia alguna

en esos procedimientos sancionadores; al menos esa conclusión se puede extraer de

lo expresado por la Directora de la AEPD, ya que no parece haber un interés general a

proteger, ni unos daños y perjuicios a remediar, ni unos bienes jurídicos a preservar.

Todo queda en el objetivo de conseguir: ?mucha repercusión mediática?.

Conviene recordar que el requerimiento de información que se dirigió a CPC tuvo lugar

el 6 de febrero de 2020 y el acuerdo de iniciación de expediente sancionador a

CAIXABANK, S.A. el 21 de enero de 2020. Tal y como se ha puesto sobradamente en

evidencia, ya en ese mismo momento, la Directora de la AEPD tuvo la capacidad de

prever que habría sanciones muy importantes; previamente, apenas un mes antes, el

2 de diciembre de 2019, la AEPD había acordado el inicio de procedimiento

sancionador a la entidad BBVA , que se resolvió con la imposición de una multa total

de cinco millones de euros; es decir, en menos de 3 meses se iniciaron actuaciones en

relación a entidades financieras y ya se sabía que todas ellas tendrían como resultado

cuantiosas multas administrativas, unas multas con cuantías no impuestas hasta el

momento, todo y que el RGPD y su régimen sancionador ya era de aplicación desde el

25 de mayo de 2018.

En cuanto a la ya mencionada vulneración del derecho fundamental a la presunción de

inocencia, reconocido por el artículo 24.2 de la Constitución Española, el propio

Tribunal Constitucional ha proyectado el contenido de este derecho fundamental en los

procedimientos administrativos sancionadores. A este efecto, las SSTC 129 y 131,

ambas del 30 de junio, establecen: ?(?) la presunción de inocencia rige sin

excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

23/133

de cualesquiera sanciones, sean penales, sean administrativas (?), pues el ejercicio

de ius puniendi en sus diversas manifestaciones está condicionado por el artículo 24.2

de la Constitución al juego de la prueba y a un procedimiento contradictorio en el que

puedan defenderse las propias posiciones.?

Este principio se encuentra, asimismo, expresamente recogido para los

procedimientos administrativos sancionadores en el artículo 53.2.b) de la LPACAP.

La presunción de inocencia tiene un doble significado esencial; por un lado, es una

regla de juicio y, por el otro, constituye una regla de tratamiento, esto es, en relación

con el trato que debe darse al imputado durante la tramitación del procedimiento

sancionador. En este sentido, la jurisprudencia constitucional obliga a considerar

inocente al imputado y a tratarlo como tal durante la tramitación de todo el

procedimiento, tanto dentro como fuera de este, lo que conlleva que no pueda

castigársele antes de que se pruebe su culpabilidad. Así, la STC 25/2003, de 10 de

febrero, subraya que ?la presunción de inocencia, además de constituir un principio o

un criterio informador del ordenamiento procesal penal es, ante todo, un derecho

fundamental en cuya virtud una persona acusada de una infracción no puede ser

considerada culpable hasta que así se declare en sentencia condenatoria?.

Ad extra, la presunción de inocencia como regla de tratamiento implica que la

Administración no puede perjudicar al inculpado en otros ámbitos, precisamente por

estar tramitándose un procedimiento sancionador en su contra o, en general, por ser

sospechoso de haber cometido una infracción administrativa.

En el presente caso, nos hallamos ante el inicio de un procedimiento sancionador,

precedido de un requerimiento de información previa de 6 de febrero de 2020. Pues

bien, antes de que expirara el plazo administrativo preceptivo para dar respuesta a

dicho requerimiento, en concreto, el día 3 de marzo, en un acto de ISMS Fórum

celebrado en Madrid, tal y como ya se ha descrito en detalle anteriormente, la

Directora de la AEPD, máxima autoridad de la institución, y persona competente para

resolver el presente expediente , señaló públicamente sobre la existencia de dos o tres

procedimientos sancionadores de alto impacto que iban a tener mucha repercusión

mediática en relación con el sector financiero.

De conformidad con los artículos 24.2, 103. 1 y 3 CE ?y art. 6.1 del Convenio Europeo

de Derechos Humanos-, cualquier actuación de la Administración Pública debe

obedecer a los principios de objetividad e imparcialidad; no obstante, en este caso, sin

haber valorado todavía la respuesta al requerimiento de información, puesto que esta

fue presentada el 2 de junio de 2020 (casi tres meses después de las mencionadas

declaraciones de la Directora ), la persona que ha de resolver, y de quien, además,

como autoridad máxima, dependen jerárquicamente inspectores e instructores de la

AEPD, lejos de guardar alguna apariencia de justicia decidió (públicamente) que

habría sanción, y ello sin tan solo haber acordado la iniciación de procedimiento

sancionador.

Debe remarcarse que la Directora de la AEPD no es solo quien dicta las resoluciones

sino que, atendiendo al artículo 12.2 i) del Estatuto Orgánico de la AEPD (RD

428/1993 de 26 de marzo), tiene como una de sus funciones la de ?Iniciar, impulsar la

instrucción y resolver los expedientes sancionadores referentes los responsables de

los ficheros privados?. Y debe remarcarse, también, que la AEPD es la única de las

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

24/133

denominadas administraciones independientes que no tiene como máximo órgano de

resolución de expedientes a un órgano colegiado sino a una sola persona. Por tanto,

no hay debate en la afirmación de que es su sola voluntad la que informa el impulso

instructor y la que determinará la resolución final del expediente administrativo. Pues

bien, si la persona que va a resolver por sí misma este procedimiento sancionador, la

persona que ha estado impulsando su instrucción, en definitiva, la máxima autoridad

de la institución, tenía claro, antes de escuchar qué tenía que decir CPC al respecto,

que le iba a sancionar, y lo tenía tan claro como para decirlo en un acto público, difícil

es entender que no se haya producido una flagrante conculcación del derecho

fundamental a la presunción de inocencia (artículo 24.2 de la Constitución). Esto, en

definitiva, debería llevar a la inmediata nulidad de las actuaciones administrativas.

Asimismo, son reiteradas las resoluciones de procedimientos sancionadores de esta

Agencia en los que se sanciona al responsable del tratamiento por infracción del

artículo 6 RGPD (vid. PPSS 00235/2019, 00182/2019, 00415/2019) y que, teniendo en

cuenta la condición de gran empresa y volumen de negocio, entre otros, ni de lejos las

sanciones alcanzan el nivel económico de la propuesta de sanción contenida en el

presente Acuerdo de Inicio, puesto que son sanciones que han oscilado entre los

60.000? y los 120.000?.

En este sentido, no se entiende en qué se basa esta Agencia para modular las

sanciones económicas puesto que el Acuerdo de Inicio ni motiva ni explica

mínimamente la aplicación de los criterios de graduación de la sanción, ni el hecho de

desviarse de los mismos en la sanción propuesta, tratándose de hechos muy

semejantes.

Al hilo del punto anterior, de manera subsidiaria, y en el improbable supuesto de que

esta Agencia resolviese que debe sancionar a CPC por las infracciones imputadas y

no estimase las presentes alegaciones, esta representación entiende que resultarían

de aplicación los siguientes criterios de valoración de las sanciones establecidos en el

artículo 83.2 RGPD (en calidad de atenuantes): (a) Cualquier medida tomada por el

responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por

los interesados (art. 83.2.c) RGPD): CPC ha realizado un importante esfuerzo durante

los últimos años ?y especialmente desde la entrada en aplicación del RGPD y la fusión

realizada el 11 de julio de 2019 ? para proporcionar a sus clientes la información

pertinente sobre el tratamiento de sus datos personales de forma adecuada. El

ejemplo más claro de esta iniciativa lo constituye las diferentes versiones de las

políticas y cláusulas de privacidad, hecho que reafirma la proactividad y espíritu de

mejora continua de CPC. Este comportamiento demuestra un claro ejercicio de

transparencia y lealtad, así como una actividad proactiva y diligente por parte de CPC

en relación con el cumplimiento de la normativa de protección de datos, además de

demostrar el afán de CPC por reparar potenciales errores, si los hubiera, a la hora de

recabar los consentimientos de los interesados.

El grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción (art. 83.2.f) RGPD):

CPC ha mostrado, en todo momento, su disposición a colaborar con la Agencia a fin

de mejorar aquellos aspectos de los tratamientos que sean susceptibles de mejora.

Según se ha puesto de manifiesto en el presente Escrito, CPC ha puesto en marcha

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

25/133

una serie de medidas dirigidas a esa mejora en la recogida de los consentimientos.

Así, estas circunstancias deben ser valoradas por la Agencia como atenuantes. Cabe

recordar que tanto CPC como su delegado de protección de datos han estado, en todo

momento, disponibles para cooperar y han sido proactivos en la respuesta a

cualesquiera requerimientos de la Agencia.