Última revisión
Resolución de la Agencia Española de Protección de Datos REPOSICION-PS-00500-2020 de 23 de febrero de 2022
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 23/02/2022
Num. Resolución: REPOSICION-PS-00500-2020
Cuestión
Sector:1 / 82
Procedimiento nº.: PS/00500/2020
Recurso de reposición Nº RR/00672/2021
Examinado el recurso de reposición interpuesto por CAIXABANK PAYMENTS &
CONSUMER EFC, EP, S.A.U. contra la resolución dictada por la Directora de la
Agencia Española...
Contestacion
1/82
? Procedimiento nº.: PS/00500/2020
Recurso de reposición Nº RR/00672/2021
Examinado el recurso de reposición interpuesto por CAIXABANK PAYMENTS &
CONSUMER EFC, EP, S.A.U. contra la resolución dictada por la Directora de la
Agencia Española de Protección de Datos en el procedimiento sancionador
PS/00500/2020, y en base a los siguientes
HECHOS
PRIMERO: Con fecha 22 de septiembre de 2021, se dictó resolución por la Directora
de la Agencia Española de Protección de Datos en el procedimiento sancionador
PS/00500/2020, en la que se acordó lo siguiente:
?PRIMERO: Imponer a la entidad CAIXABANK PAYMENTS & CONSUMER EFC, EP,
S.A.U., con NIF A08980153, por una infracción del Artículo 6.1 del RGPD, tipificada en
el Artículo 83.5 del RGPD, y calificada como muy grave a efectos de prescripción en el
artículo 73 de la LOPDGDD, una multa por importe de 3.000.000 de euros (tres
millones de euros).
SEGUNDO: Requerir a la entidad CAIXABANK PAYMENTS & CONSUMER EFC, EP,
S.A.U en el plazo de 6 meses adopte las medidas necesarias para adecuar a la
normativa de protección de datos personales los procedimientos mediante los que
recaba a sus clientes el consentimiento para elaborar perfiles con finalidades
comerciales, con el alcance expresado en el Fundamento de Derecho VII. En el plazo
indicado, CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U, deberá justificar
ante esta Agencia Española de Protección de Datos la atención del presente
requerimiento.?
Dicha resolución, que fue notificada al recurrente en fecha 23 de septiembre de 2021,
fue dictada previa la tramitación del correspondiente procedimiento sancionador, de
conformidad con lo dispuesto en la LOPDPGDD, y supletoriamente en la LPACAP, en
materia de tramitación de procedimientos sancionadores.
SEGUNDO: Como hechos probados del citado procedimiento sancionador,
PS/00500/2020, quedó constancia de los siguientes:
?PRIMERO: Con fecha 6 de noviembre de 2018, tuvo entrada en esta Agencia escrito
de D. A.A.A., denunciando que la entidad CAIXABANK, CONSUMER FINANCE, EFC
había solicitado a ***EMPRESA.1 información sobre las inscripciones relativas a su
persona en el fichero ***EMPRESA.2, sin ser cliente de dicha entidad, ya que la
relación con la misma se había extinguido formalmente en 2014. Trasladada la
reclamación al Delegado de Protección de Datos del responsable, se recibe respuesta
en la que se admite un error de carácter humano y puntual, ya que aunque el
reclamante fue cliente en el pasado, a fecha de la reclamación ya había dejado de
serlo, sin embargo sus datos fueron incluidos por equivocación en una campaña de
créditos preconcedidos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/82
La reclamación fue inadmitida a trámite con fecha 6 de febrero de 2019, sin perjuicio,
tal y como se señala en la propia Resolución, de que la AEPD, aplicando los poderes
de investigación y correctivos que ostenta, pudiera llevar a cabo posteriores
actuaciones relativas al tratamiento de datos referido en la reclamación.
La resolución de inadmisión a trámite fue recurrida por el reclamante, alegando que no
siendo cliente de la entidad, ésta ha utilizado los ficheros de solvencia patrimonial con
la finalidad de elaborar un perfil y ofrecerle un servicio financiero, sin solicitar su
consentimiento, estimándose dicho recurso.
SEGUNDO: Consta en la información aportada por CAIXABANK PAYMENTS &
CONSUMER, que se ha producido una operación de fusión por absorción entre
CaixaBank Payments, E.F.C., E.P., S.A.U., sociedad absorbida, y CaixaBank
Consumer Finance, E.F.C., S.A.U., sociedad absorbente, quedando, como
consecuencia de dicha operación, CaixaBank Consumer Finance, E.F.C., S.A.
subrogada por sucesión universal en todos los derechos y obligaciones, adquiridos y
asumidas, por CaixaBank Payments, E.F.C., E.P., S.A.U., modificando su
denominación social a la actual CaixaBank Payments & Consumer, E.F.C., E.P., S.A.?
Consta en dicha información, asimismo, que ?la actividad principal de CAIXABANK
PAYMENTS & CONSUMER consiste en la comercialización de tarjetas de crédito o de
débito (en adelante, denominadas ?Tarjetas?), cuentas de crédito con o sin tarjeta (en
adelante, denominadas ?Cuentas de Crédito?) y préstamos (en adelante, denominados
?Préstamos?), ( todos ellos denominados individualmente ?Producto? y conjuntamente,
?Productos?), directamente o bien por medio de terceros ?ya sean agentes o
Prescriptores-, con quienes tiene suscritos los correspondientes contratos de agencia
o de colaboración. En concreto: - Directamente, CPC comercializa algunos de los
mencionados Productos. - Indirectamente, CPC comercializa a través de Prescriptores
y agentes.
Se entiende por ?Prescriptor? o ?Prescriptores?, aquellas entidades con las que CPC
tiene suscrito un acuerdo de colaboración, en base al cual, éstas se comprometen a
ofrecer a sus clientes la posibilidad de contratar los Productos de CPC para,
principalmente, financiar el precio de compra de los productos y/o servicios
comercializados por ellas (Prescriptores) en sus puntos de venta, ya sea presenciales
u online (por ejemplo, establecimientos como ***ESTABLECIMIENTO.1 o
***ESTABLECIMIENTO.2 y ***ESTABLECIMIENTO.3). En particular, los Productos de
CPC comercializados a través de Prescriptores son las Tarjetas, las Cuentas de
Crédito y los Préstamos.
Se entiende por agente, CaixaBank, S.A. (en adelante, indistintamente el ?Agente? o
?CaixaBank?), entidad con la que CPC mantiene un acuerdo de agencia, en virtud del
cual, CaixaBank promueve y concluye, a través de sus canales, las Tarjetas de CPC,
así como, en su caso, préstamos de refinanciación de la deuda derivada de estas
Tarjetas.
Consta, igualmente, que las actividades de tratamiento de datos personales que en el
desarrollo de su operativa comercial implican la elaboración de perfiles, según la
definición consignada en el artículo 4.4 del RGPD, en particular en lo relativo a la
situación económica de los interesados, son las siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/82
I. ?Análisis de la capacidad de devolución o riesgo de impago de un
interesado ante su Solicitud de un Producto: Consiste en la evaluación por
parte de CPC de la Solicitud de un Producto (Tarjeta, Cuenta de Crédito o
Préstamo, en adelante la ?Solicitud?) recibida de un interesado (en
adelante, ?Solicitante? o ?Solicitantes?). Esta evaluación implica un
tratamiento de datos personales que se concreta en la necesaria valoración
de la capacidad de devolución o solvencia del Solicitante (probabilidad de
riesgo de impago). Dicha valoración se realiza, en el marco de la Solicitud
recibida, con la finalidad de cumplir cuanto establece la normativa que, en
calidad de establecimiento financiero de crédito y entidad de pago, le
resulta de aplicación a CPC (Normativas Prudencial y de Solvencia y de
Préstamo Responsable).?
I. ?Análisis de la capacidad de devolución o riesgo de impago en la gestión
del riesgo de crédito concedido a clientes: Consiste en el seguimiento
continuo de la capacidad de devolución o riesgo de impago de los clientes
a quienes CAIXABANK PAYMENTS & CONSUMER ha concedido
financiación y, por tanto, con los que mantiene un riesgo de crédito con dos
finalidades:
- la gestión del riesgo de crédito concedido a los mismos en
cumplimiento de determinadas obligaciones legales (en concreto, la
Normativa Prudencial y de Solvencia y de Préstamo Responsable,);
- la gestión comercial de acuerdo con los consentimientos recabados de
los titulares de los datos (clientes) con la posterior finalidad de
ofrecerles productos y servicios ajustados a sus necesidades, lo que
puede incluir la asignación de límites de crédito ?preconcedidos?
(preconcesión de un crédito en base a la información de que dispone la
Entidad).?
I. ?Análisis y selección de público objetivo: Consiste en el análisis y selección,
de forma previa a un determinado impacto comercial, de un público objetivo
(compuesto por aquellos clientes de CAIXABANK PAYMENTS &
CONSUMER que reúnan, en su caso, los requisitos diseñados para ser
impactados por una potencial campaña con la finalidad de ofrecerle
Productos). Dicho tratamiento se lleva a cabo de acuerdo con los
consentimientos recabados a los titulares de los datos (clientes).?
Afirma respecto de las categorías de titulares de datos que se tratan en la ejecución
de los tratamientos detallados, que? trata únicamente datos de interesados que son
clientes de la Entidad o solicitantes de sus Productos. No realiza tratamientos de datos
sobre interesados que podrían denominarse ?clientes potenciales?, entendiendo por
éstos, titulares de datos que no tienen relación vigente con CPC o que previamente no
han solicitado un Producto por alguno de los canales establecidos.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/82
TERCERO: Consta lo siguiente respecto de la actividad denominada ?análisis de la
capacidad de devolución o riesgo de impago para la gestión del riesgo de crédito
concedido a clientes durante la relación contractual?:
1.Respecto de las finalidades y bases de legitimación del tratamiento. Se afirma que
tiene dos finalidades:
I. ?La gestión del riesgo de crédito concedido, en cumplimiento de
determinadas obligaciones legales de la Normativa Prudencial y de
Solvencia y de Préstamo Responsable, aplicable cuando el Producto es
una cuenta de crédito ya que, al permitir la disponibilidad del crédito
concedido de manera constante, este (Producto) debe adaptarse
constantemente a la capacidad actualizada de solvencia del interesado.
Según manifiesta, el título habilitante para llevar a cabo esta finalidad, dar
cumplimiento a requerimientos regulatorios, es la obligación legal, de
conformidad con el artículo 6.1 c) del RGPD.
I. La gestión comercial para el caso de que disponga del consentimiento del
titular del dato. Dicho tratamiento prevé, entre otras, poder etiquetar al
cliente con la finalidad de concederle un ?preconcedido? (concesión de un
crédito en base únicamente a la información de que dispone la Entidad).
En este caso se tratan únicamente los datos de aquellos clientes que
hayan dado su consentimiento para el perfilado.?
2. Respecto de la lógica aplicada en el perfilado y las consecuencias previstas de
dicho tratamiento para el interesado, afirma que utiliza una lógica que se ha definido
en el proceso de financiabilidad de la Entidad. (?).
3. En cuanto a los datos personales objeto de tratamiento se afirma que son los
siguientes:
- Identificativos: DNI/NIE/Pasaporte y fecha de nacimiento.
- Financieros: Datos internos de CPC obtenidos o derivados de la relación contractual
existente entre esta y su cliente y consulta a ficheros de solvencia y a la Central de
Información de Riesgos (CIR) del Banco del Banco de España.
- Sociodemográficos: código postal, país de nacimiento y nacionalidad, tipo de
vivienda y antigüedad y estado civil.
- Socioeconómicos: ingresos y pagas, situación laboral y profesión, antigüedad
bancaria y entidad domiciliada.
- Otros: risk score.
4. Detalla los siguientes orígenes respecto de los datos personales objeto de
tratamiento indicados en el apartado anterior:
- Datos aportados por el Solicitante en la propia Solicitud del Producto.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/82
- Datos de CPC en relación con el Solicitante para el caso de que este ya sea cliente y
siempre que CPC disponga de datos de su comportamiento de pago.
- Datos de fuentes externas: de acuerdo con la normativa que le resulta de aplicación
a CPC como establecimiento financiero de crédito y entidad de pago, se incorpora
asimismo la siguiente información:
? Información del Grupo consolidado de entidades del Grupo
CaixaBank
? Resultado de la consulta a sistemas de información crediticia.
? Resultado de la consulta a la Central de Información de Riesgos
(CIR) de Banco de España.
- (?).
5. Respecto de los medios utilizados para la recogida del consentimiento en caso de
que la actividad de tratamiento se ampare en el artículo 6.1.a del RGPD, afirma que
los canales por los que recaba los consentimientos con fines comerciales de sus
clientes son los que se indican a continuación:
a) A través de los Prescriptores.
b) A través de su Agente CaixaBank.
a) ?A través de los Prescriptores.
En esta canal se diferencian tres (3) formas de captación distintas:
? La primera es a través de los empleados de los propios Prescriptores, los cuales,
en el momento de la formalización de los contratos de financiación con los clientes
que quieren contratar los Productos ofrecidos por CAIXABANK PAYMENTS &
CONSUMER, les preguntan sobre cada uno de los consentimientos, para después
plasmar la respuesta dada por su parte para cada uno de ellos en las Condiciones
Particulares del contrato de financiación suscrito al efecto.
Las tres (3) herramientas facilitadas por CAIXABANK PAYMENTS & CONSUMER a
los vendedores de los Prescriptores para que puedan realizar la captación de la
información necesaria para tramitar las operaciones de financiación y, por tanto,
también para recabar los mencionados consentimientos, son la Web ?***WEB.1, la
App de captación (su utilización se realiza a través de una tablet que llevan los
vendedores de los Prescriptores que están en constante movimiento por la tienda) y la
?Web Auto? (?), que son los software facilitados por parte de CAIXABANK
PAYMENTS & CONSUMER a los Prescriptores, conectados con los sistemas de
aquella (CAIXABANK PAYMENTS & CONSUMER), para que sus vendedores tramiten
las operaciones de financiación mediante la introducción de los datos personales y
económicos de los clientes y los datos contractuales de las operaciones (TIN, TAE,
meses de amortización, etc.), así como recabar los consentimientos, que
posteriormente se plasmarán en las Condiciones Particulares de los contratos de
financiación que se formalicen y entreguen a los clientes.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/82
Constan en el expediente tres impresiones de pantalla que se corresponden con estas
tres herramientas. En ellas se observa que se solicita el consentimiento para las
siguientes finalidades, pudiendo elegir sí o no en cada modalidad:
- ?Autorizo al Grupo CaixaBank a utilizar mis datos para finalidades de estudio y
perfilado?
- ?Autorizo a que se me remita publicidad y ofertas comerciales del Grupo CaixaBank
por los siguientes medios?, que a su vez permite consentir o no por cada uno de los
epígrafes siguientes):
- Telemarketing
- Medios electrónicos como SMS, email y otros
- Correo postal
- Contactos comerciales por cualquier canal de mi gestor
- ?Autorizo a ceder mis datos a terceros con los que el Grupo CaixaBank tenga
acuerdos?
- ?Autorizo al Grupo CaixaBank a usar mis datos biométricos (imagen, huella dactilar,
etc.) con la finalidad de verificar mi identidad y firma. Esta autorización se
complementará con el registro de los datos biométricos a utilizar en cada momento?
Consta en el expediente, asimismo, una captura de pantalla de la herramienta web
AUTO en la que se permite consultar más detalles. Según la impresión obrante en el
expediente el detalle consiste en lo siguiente:
?Consentimientos y protección de datos personales
Las autorizaciones que prestas ahora o hayas prestado anteriormente pueden
revocarse en cualquier momento a través de www.caixabankpc.com/ejerciciode
derechos.
Si otorgas la autorización (1) las ofertas que se te remitan estarán adaptadas a tu
perfil
Las autorizaciones (2) (3) (4) y (5) se refieren a los canales a través de los que
aceptas que te contacte el grupo CaixaBank ya sea por teléfono, por medios
electrónicos, por correo postal y/o presencialmente.
Si no autorizas algún canal, el grupo CaixaBank no podrá contactarte para ofrecerte
productos de tu interés.
Si facilitas la autorización (6) en el momento en que se cedan los datos, se te
informará de qué tercero es el receptor de tus datos y si no estás de acuerdo podrás
revocar esa autorización.
La autorización (7) es para poder verificar tu identidad/firma ya que en el grupo
CaixaBank utilizamos métodos de reconocimiento biométrico como sistemas de
reconocimiento facial, lectura de huella dactilar y similares.?
? La segunda forma de captación dentro de este grupo es a través del portal web de
CAIXABANK PAYMENTS & CONSUMER habilitado para tramitar la operación de
financiación por el propio cliente, el cual habrá sido redirigido mediante clicar en un
enlace incorporado en la web del Prescriptor de que se trate. Así, por ejemplo, el
interesado que decida solicitar la tarjeta (?) iniciará la solicitud en el portal propio
del Prescriptor (***ESTABLECIMIENTO.1) e inmediatamente será redirigido al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/82
portal web habilitado al efecto por y de CAIXABANK PAYMENTS & CONSUMER
donde se llevará a cabo todo el procedimiento de contratación.
En este caso, es el propio cliente, a través de su ordenador/tablet el que marca la
respuesta para cada uno de los tratamientos previstos, los cuales después se
transcribirán en las Condiciones Particulares del contrato de financiación formalizado.
Consta en el documento remitido a esta Agencia como ANEXO Nº 13, la pantalla que
visualiza el cliente y en la que se le recaban los consentimientos que coinciden con los
descritos anteriormente en el punto relativo al canal prescriptores.
En el documento remitido como ANEXO 14 muestra un ejemplo de cómo se reflejan
los consentimientos otorgados por el cliente en las Condiciones Particulares del
contrato de financiación. Dicho documento se denomina SOLICITUD-CONTRATO DE
CREDITO y se estructura en diversos apartados relativos a datos personales del titular
y cotitular, a la compra, al plan de financiación, etc.
El apartado RESUMEN DE TRATAMIENTOS de dicho documento contiene la
siguiente información:
?los tratamientos de sus datos respecto de los que puede facilitar su autorización en
los términos establecidos en el presente contrato son los siguientes:
?FINALIDADES COMERCIALES:
A. Tratamiento de los datos por parte de Caixabank Payments & Consumer y
de las empresas del Grupo CaixaBank con finalidades de estudio y
perfilado para informarle de los productos que se ajusten a sus
intereses/necesidades, así como para el seguimiento de los servicios y
productos contratados, realización de encuestas y diseño de nuevos
servicios y productos.
A. Tratamiento de los datos por parte de Caixabank Payments & Consumer y
de las empresas del Grupo CaixaBank con la finalidad de comunicarle
ofertas de productos, servicios y promociones comercializados por ellas,
propios o de terceros cuyas actividades estén comprendidas entre las
bancarias, de servicios de inversión y aseguradoras, tenencia de acciones,
capital riesgo, inmobiliarias, viarias, de venta y distribución de bienes o
servicios, de servicios de consultoría, ocio y benéfico-sociales.
B. Cesión de los datos por parte de Caixabank Payments & Consumer y de
las empresas del Grupo CaixaBank a terceros con la finalidad de que éstos
puedan enviarle comunicaciones comerciales. Dichos terceros estarán
dedicados a las actividades bancarias, de servicios de inversión y
asegurador, tenencia de acciones, capital riesgo, inmobiliarias, viarias, de
venta y distribución de bienes y servicios, de servicios de consultoría, ocio
y benéfico-sociales.
OTRAS FINALIDADES
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/82
Tratamiento de los datos biométricos que facilite por parte de Caixabank Payments &
Consumer y las empresas del GrupoCaixabank, tales como la imagen facial, voz,
huellas dactilares, grafos, etc., con la finalidad de verificar su identidad y firma con la
ayuda de métodos de reconocimiento biométrico.?
En el apartado AUTORIZACIONES PARA EL TRATAMIENTO DE DATOS figuran una
serie de apartados en cada uno de los cuales, tanto para el titular como para el
cotitular aparecen dos casillas, una para marcar si y otra para marcar no, las diversas
autorizaciones para efectuar tratamientos de datos. Estas autorizaciones, son las
siguientes:
A. ?Autorizo el tratamiento de mis datos con la finalidad de estudio y análisis
por parte de Caixabank Payments & Consumer y de las empresas del
grupo Caixabank.?
A. ?Consiento el tratamiento de mis datos por parte de Caixabank Payments &
Consumer y de las empresas del grupo Caixabank con la finalidad de que
estas me comuniquen ofertas de productos, servicios y promociones por
los canales que autorice.? En este caso, las casillas si/no se desglosan
para cada uno de los siguientes canales: Telemarketing, Medios
electrónicos como SMS, email y otros, Correo postal. Contactos
comerciales por cualquier canal de mi gestor
B. ?Autorizo a que Caixabank Payments & Consumer y de las empresas del
grupo Caixabank cedan mis datos a terceros.?
? La tercera vía es a través de la captación telefónica en la que interactúan los
vendedores de los Prescriptores y los gestores de CAIXABANK PAYMENTS &
CONSUMER. En este caso, el vendedor del Prescriptor facilita telefónicamente al
gestor de CAIXABANK PAYMENTS & CONSUMER todos los datos del cliente
necesarios para formalizar la operación de financiación y este la tramita. Una vez
aprobada la contratación, el cliente, mediante las Condiciones Particulares del
contrato que debe suscribir, define el otorgamiento de sus consentimientos
marcando de manera manuscrita su opción sobre las casillas habilitadas al efecto.
Tales condiciones particulares se contienen en el documento remitido como anexo
14 descrito en el punto anterior.
a) A través de su Agente CaixaBank.
Afirma que, adicionalmente, CPC es beneficiario de los consentimientos otorgados,
en su caso, por los clientes ante CaixaBank. Afirma que la recogida de
consentimientos en las oficinas de CaixaBank se lleva a cabo interactuando el propio
cliente con el dispositivo que le entrega el empleado (Tablet), señalando sus
preferencias en relación con el tratamiento de datos.
En la impresión de la pantalla que incorpora en su escrito, se aprecia que se solicitan
diversas autorizaciones para cada una de las cuales existe la opción de marcar sí o no
en su respectiva casilla. Las autorizaciones se refieren, como en los casos anteriores:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/82
? A la utilización de los datos para finalidades de estudio y perfilado,
aclarando que si se autoriza las ofertas que se le remitan estarán
adaptadas al perfil del interesado.
? A recibir publicidad y ofertas comerciales. En este punto se permite también
elegir los canales para recibir publicidad marcando en la respectiva casilla.
? A ceder los datos a terceros con los que el grupo Caixabank tenga
acuerdos.
? Al uso de los datos biométricos con la finalidad de verificar mi identidad y
firma.
6. En lo que se refiere al procedimiento seguido para cumplir con el deber de
información al interesado (artículos 13 y 14 del RGPD) se afirma que ?Se adjunta,
como DOCUMENTO ANEXO Nº 12, copia del condicionado general que se facilita al
interesado en el marco de la contratación de un producto y en el que se informa de lo
previsto en el artículo 13; no resultando de aplicación, por tanto, lo previsto en el
artículo 14 del RGPD.?
El documento contenido en el anexo 12 denominado ?CONDICIONES GENERALES
DE LA SOLICITUD-CONTRATO DE CRÉDITO? contiene diversos apartados,
refiriéndose el apartado número 26 a los ?Tratamiento de datos de carácter personal
basados en la ejecución de los contratos, obligaciones legales e interés legítimo y
política de privacidad?. Este punto se estructura a su vez en 10 apartados. Consta la
siguiente información en los puntos 26.1 y 26.4
?26.1 Tratamientos de datos de carácter personal con la finalidad de gestionar las
Relaciones Comerciales.
Los datos de carácter personal del Titular, tanto los que él mismo aporte, como los
que se deriven de las relaciones comerciales, negociales y contractuales que se
establezcan entre el Titular y CaixaBank Payments & Consumer bien en la
comercialización de productos y servicios propios, bien en su condición de mediador
en la comercialización de productos y servicios de terceros(en adelante todas ellas
referidas como las Relaciones Comerciales), o de las Relaciones Comerciales de
CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank con terceros
y los confeccionados a partir de ellos, se incorporarán en ficheros titularidad de
CaixaBank Payments & Consumer y de las empresas del Grupo CaixaBank titulares
de las Relaciones Comerciales, para ser tratados con la finalidad de dar cumplimiento
y mantener las mismas, verificar la corrección de la operativa y las finalidades
comerciales que el Titular acepte en el presente contrato.
Estos tratamientos incluyen la digitalización y registro de los documentos
identificativos y la firma del Titular, y su puesta a disposición de la red interna de
CaixaBank Payments & Consumer, para la verificación de la identidad del Titular en la
gestión de sus Relaciones Comerciales.
Los tratamientos indicados, salvo los que tienen finalidad comercial cuya aceptación
es voluntaria para el Titular, resultan necesarios para el establecimiento y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/82
mantenimiento de las Relaciones Comerciales, y necesariamente se entenderán
vigentes mientas dichas Relaciones Comerciales continúen vigentes. En
consecuencia, en el momento de cancelación por el Titular de todas las Relaciones
Comerciales con CaixaBank Payments & Consumer y/o con las empresas del Grupo
CaixaBank, los mencionados tratamientos de datos cesarán, siendo sus datos
cancelados conforme a lo establecido en la normativa aplicable, conservándolos
CaixaBank debidamente limitado su uso hasta que hayan prescrito las acciones
derivadas de los mismo.?
?26.4. Tratamiento y cesión de datos con finalidades comerciales por CaixaBank y las
empresas del Grupo CaixaBank basados en el consentimiento.
En las Condiciones Particulares de este contrato se recogerá, bajo el epígrafe de
autorizaciones para el tratamiento de datos, las autorizaciones que Usted nos otorgue
o nos revoque en relación a:
(i) Los tratamientos de análisis y estudio de datos con finalidad comercial por
CaixaBank Payments & Consumer y empresas del Grupo CaixaBank.
(ii) Los tratamientos para la oferta comercial de productos y servicios por CaixaBank
Payments & Consumer y las empresas del Grupo CaixaBank.
(iii) La cesión de datos a terceros.
Con la finalidad de poner a su disposición una oferta global de productos y servicios,
su autorización a (i) los tratamientos de análisis y estudio de datos, y (ii) para la oferta
comercial de productos y servicios, en caso de otorgarse, comprenderá a CaixaBank
Payments & Consumer y a las empresas del Grupo CaixaBank detalladas en
www.caixabank.es/empresasgrupo (las ?empresas del Grupo CaixaBank?) quienes
podrán compartirlos y utilizarlos con las finalidades indicadas.
El detalle de los usos de los datos que se realizará conforme a sus autorizaciones es
el siguiente:
(i) Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y
diseño de productos y servicios ajustados al perfil de cliente. Otorgando su
consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos
técnicas estadísticas y de segmentación de clientes, con una triple finalidad:
1) Estudiar productos o servicios que puedan ser ajustados a su perfil y
situación comercial o crediticia concreta, todo ello para efectuarle ofertas
comerciales ajustadas a sus necesidades y preferencias,
2) Realizar el seguimiento de los productos y servicios contratados,
3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los
productos y servicios contratados.
a) Asociar sus datos con los de otros clientes o sociedades con las que tenga
algún tipo de vínculo, tanto familiar o social, como por su relación de propiedad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/82
como de administración, al efecto de analizar posibles interdependencias
económicas en el estudio de ofertas de servicios, solicitudes de riesgo y
contratación de productos.
b) Realizar estudios y controles automáticos de fraude, impagos e incidencias
derivadas de los productos y servicios contratados.
c) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica
con el objetivo de valorar los servicios recibidos.
d) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los
existentes, así como definir o mejorar las experiencias de los usuarios en su
relación con CaixaBank Payments& Consumer y las empresas del Grupo
CaixaBank.
Los tratamientos indicados en este punto (i) podrán ser realizados de manera
automatizada y conllevar la elaboración de perfiles, con las finalidades ya señaladas.
A este efecto, le informamos de su derecho a obtener la intervención humana en los
tratamientos, a expresar su punto de vista, a obtener una explicación acerca de la
decisión tomada en base al tratamiento automatizado, y a impugnar dicha decisión.
(ii) Detalle de los tratamientos para la oferta comercial de productos y servicios de
CaixaBank Payments & Consumer y las empresas del Grupo CaixaBank. Otorgando
su consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
Enviar comunicaciones comerciales tanto en papel como por medios electrónicos o
telemáticos, relativas a los productos y servicios que, en cada momento: a)
comercialice CaixaBank Payments & Consumer o cualquiera de las empresas del
Grupo CaixaBank b) comercialicen otras empresas participadas por CaixaBank
Payments & Consumer y terceros cuyas actividades estén comprendidas entre las
bancarias, de servicios de inversión y asegurador, tenencia de acciones, capital
riesgo, inmobiliarias, viarias, de venta y distribución de bienes y servicios, de servicios
de consultoría, ocio y benéfico-sociales.
El Titular podrá elegir en cada momento los diferentes canales o medios por los que
desea o no recibir las indicadas comunicaciones comerciales a través de su banca por
internet, mediante el ejercicio de sus derechos, o mediante su gestión en la red de
oficinas de CaixaBank.
Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii)
para la oferta comercial de productos y servicios serán:
a) Todos los facilitados en el establecimiento o mantenimiento de
relaciones comerciales o de negocio.
a) Todos los que se generen en la contratación y operativas de
productos y servicios con CaixaBank Payments & Consumer, con
las empresas del Grupo CaixaBank o con terceros, tales como,
movimientos de cuentas o tarjetas, detalles de recibos domiciliados,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/82
domiciliaciones de nóminas, siniestros derivados de pólizas de
seguro, reclamaciones, etc.
b) Todos los que CaixaBank Payments & Consumer o las empresas
del Grupo CaixaBank obtengan de la prestación de servicios a
terceros, cuando el servicio tenga como destinatario al Titular, tales
como la gestión de trasferencias o recibos.
c) Su condición o no de accionista de CaixaBank según conste en los
registros de esta, o de las entidades que de acuerdo con la
normativa reguladora del mercado de valores hayan de llevar los
registros de los valores representados por medio de anotaciones en
cuenta.
d) Los obtenidos de las redes sociales que el Titular autorice a
consultar.
e) Los obtenidos de terceras entidades como resultado de solicitudes
de agregación de datos solicitadas por el Titular.
f) Los obtenidos de las navegaciones del Titular por el servicio de la
web de CaixaBank Payments & Consumer y otras webs esta y/o de
las empresas del Grupo CaixaBank o aplicación de telefonía móvil
de CaixaBank Payments& Consumer y/o de las empresas del Grupo
CaixaBank, en las que opere debidamente identificado. Estos datos
pueden incluir información relativa a geolocalización.
g) Los obtenidos de chats, muros, videoconferencias o cualquier otro
medio de comunicación establecida entre las partes.
Los datos del Titular podrán ser complementados y enriquecidos por datos obtenidos
de empresas proveedoras de información comercial, por datos obtenidos de fuentes
públicas, así como por datos estadísticos, socioeconómicos (en adelante, ?Información
Adicional?) siempre verificando que estos cumplen con los requisitos establecidos en
las normas vigentes sobre protección de datos.?
7. En la información aportada por CaixaBank Payments & Consumer, E.F.C., E.P.,
S.A. se afirma que ?el número de interesados (clientes) cuyos datos fueron tratados en
el desarrollo de la actividad de perfilado asociada a la actividad de Scoring Proactivo
con finalidades comerciales, asciende a (?).?
CUARTO: Consta en la información aportada lo siguiente respecto de la tercera
actividad que lleva a cabo denominada ?Análisis y selección de público objetivo?:
?1. Respecto de la definición de la lógica aplicada en el perfilado y de las
consecuencias previstas de dicho tratamiento para el interesado, señala que ?La
actividad de tratamiento denominado como Perfilado Comercial responde a la
necesidad de CPC de analizar, seleccionar y extraer, de forma previa a su impacto
comercial, el público objetivo al que se dirigirán las comunicaciones comerciales
asociadas a una potencial campaña.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/82
A tal efecto, CPC selecciona y extrae la información de los clientes a los que
potencialmente se les remitirá las comunicaciones comerciales de la campaña en
cuestión.
Para ello, se tratan los datos personales procedentes de fuentes internas de CPC
(Host, DataPool y DataWareHouse) de aquellos de sus clientes que han autorizado
expresamente el tratamiento de perfilado comercial y, posteriormente, no lo han
revocado. Sobre los mencionados repositorios (Host, DataPool y DataWareHouse), se
toma un listado de clientes en base al resultado obtenido una vez llevado a cabo el
tratamiento en base al consentimiento del cliente, detallado en el apartado anterior (?II.
Análisis de la capacidad de devolución o riesgo de impago para la gestión del riesgo
de crédito concedido a clientes?) y sobre dicho listado de clientes, se aplican filtros de
selección basados en datos identificativos tales como rangos de edad, idioma de
comunicación, sexo, localidad o domicilio, con el objetivo de proceder a la extracción
del público objetivo al que irá dirigida la campaña. En última instancia, el sistema
genera un fichero con la selección del público objetivo que reúne las condiciones
fijadas una vez aplicados los filtros.
Se debe advertir, no obstante, que los criterios de selección que, en esencia,
constituyen la lógica aplicada al perfilado, no devienen parámetros estandarizados
sino que son segmentos que varían y se ajustan a las necesidades propias del
Producto o de las características asociadas a la iniciativa comercial o promocional de
la que se pretende su lanzamiento, así como a la tipología o el volumen de los datos
de que CAIXABANK PAYMENTS & CONSUMER dispone con respecto a cada uno de
los interesados.
Por su parte, la consecuencia que la actividad de perfilado llevada a cabo por
CAIXABANK PAYMENTS & CONSUMER genera sobre el cliente, queda circunscrita
al hecho de que pasará, o no, a formar parte de un listado que podrá ser
potencialmente empleado en el marco de una campaña comercial.?
2. Respecto de la descripción de la finalidad del tratamiento y detalle de la base de
legitimación del artículo 6.1 del RGPD en que se sustenta, manifiesta que
?CAIXABANK PAYMENTS & CONSUMER trata los datos de carácter personal de los
interesados asociados a la actividad de Perfilado Comercial con el fin de conocer si los
mismos cumplen las condiciones necesarias para su inclusión en una potencial
campaña comercial y mejorar el impacto de sus campañas comerciales. En definitiva,
aunque expresado en distintos términos, el proceso de perfilado vinculado a esta
actividad de tratamiento se efectúa con el ánimo de generar el listado con el público
objetivo que, en momentos ulteriores, podrá ser explotado para impactar a los clientes
mediante comunicaciones con contenido comercial. Por su parte, en cuanto al título
habilitante, es el previsto en el art. 6.1.a) del RGPD (consentimiento).
3. En cuanto al procedimiento seguido para cumplir con el deber de información al
interesado (artículos 13 y 14 del RGPD) y a los medios utilizados para la recogida del
consentimiento cuando la actividad de tratamiento se ampare en el artículo 6.1.a del
RGPD, remite a lo expuesto en la actividad de tratamiento ?Análisis de la capacidad de
devolución o riesgo de impago para la gestión del riesgo de crédito concedido a
clientes? en la que se hacía referencia al documento anexo nº12.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/82
4. Respecto de las categorías de interesados y de datos personales objeto de
tratamiento afirma lo siguiente:
?La categoría de interesados objeto del tratamiento denominado Perfilado Comercial
es la de clientes con contrato vigente con CPC. La categoría de potenciales clientes
en ningún caso es objeto de esta actividad de tratamiento?
?Los datos personales objeto de tratamiento son los siguientes:
- Identificativos: identificador de cliente, NIF/NIE/Pasaporte, nombre y apellidos, fecha
de nacimiento, sexo, dirección postal, correo electrónico, teléfono (fijo o móvil) e
idioma de comunicación.
Financieros: productos y servicios contratados y condición de
titular/beneficiario/apoderado y la etiqueta resultante del tratamiento descrito en el
apartado anterior II).?
5. En cuanto al origen de los datos personales objeto de tratamiento (con indicación
de la base de legitimación que sustenta, manifiesta que ?El origen de los datos de
carácter personal objeto de tratamiento es el propio interesado y las fuentes internas
propias de CAIXABANK PAYMENTS & CONSUMER, ya descritas en el punto 1 de
este apartado (III. Tratamiento: ?Perfilado Comercial?), así como las etiquetas
detalladas en el apartado anterior (Análisis de la capacidad de devolución o riesgo de
impago para la gestión del riesgo de crédito concedido a clientes). En este caso, la
base de legitimación es el consentimiento del interesado (art. 6.1.a RGPD).?
6. En cuanto al número de interesados cuyos datos personales han sido tratados en el
desarrollo de la actividad de perfilado por categoría (cliente, potencial cliente) y año
(2018 y 2019), señala que ?En primer lugar, hay que indicar que los números que se
reflejan a continuación hacen referencia únicamente a la categoría de clientes, puesto
que en esta actividad de perfilado no se tratan datos de potenciales clientes, de
acuerdo con lo expuesto en el punto b) de las Consideraciones Preliminares. (?).?
QUINTO: Consta en la información obtenida sobre el volumen de ventas de la entidad
que el resultado de la cifra de negocio durante el año 2019 es de 872.976.000 ?. El
capital social asciende a 135.155.574 ?
SEXTO: Consta en el expediente que CAIXABANK PAYMENTS & CONSUMER EFC,
EP, S.A.U. ha modificado la política de privacidad en su página web.
Consta que el punto 6 de dicha política de privacidad bajo el título ?Qué tratamientos
realizamos con sus datos?, indica lo siguiente:
?Los tratamientos que realizaremos con sus datos son diversos, y responden a
diferentes finalidades y bases jurídicas:
> Tratamientos basados en el consentimiento
> Tratamientos necesarios para la ejecución de las Relaciones Contractuales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/82
> Tratamientos necesarios para cumplir con obligaciones normativas
> Tratamientos basados en el interés legítimo de CaixaBank Payments & Consumer?
El apartado 6.1 de dicha política de privacidad contempla los siguientes tratamientos
basados en el consentimiento:
A. Análisis de sus datos para la elaboración de perfiles que nos ayuden a
ofrecerle productos que creemos que pueden interesarle.
A. Oferta comercial de productos y servicios por los canales seleccionados.
B. Cesión de datos a empresas que no forman parte del Grupo CaixaBank.
C. Identificación de clientes y firma de documentación mediante uso de biometría.
En el punto 6.1 de la aludida política de privacidad consta lo siguiente:
?TRATAMIENTOS BASADOS EN EL CONSENTIMIENTO.
Estos tratamientos tienen como base jurídica su consentimiento, según se establece
en el art. 6.1.a) del RGPD.
Podemos haberle solicitado ese consentimiento por diferentes canales, por ejemplo, a
través de nuestros canales electrónicos o en alguna de las empresas del Grupo
CaixaBank. Si por alguna circunstancia, nunca le hemos solicitado su consentimiento,
estos tratamientos no le aplicarán.
Puede consultar las autorizaciones que usted nos ha consentido o denegado, y
modificar su decisión en cualquier momento y de manera gratuita en la web de
CaixaBank Payments & Consumer (www.caixabankpc.com) y en la de cada una de las
empresas del Grupo CaixaBank, o en su área privada de la web o aplicaciones
móviles de CaixaBank Payments & Consumer y en las oficinas de CaixaBank.
Los tratamientos basados en su consentimiento se indican a continuación ordenados
de la (A) a la (D). Señalaremos para cada uno de ellos: la descripción de la finalidad
(Finalidad), si son o no tratamientos realizados en régimen de corresponsabilidad con
otras empresas del Grupo CaixaBank (Corresponsables/Responsable del tratamiento),
y las categorías de datos utilizados (Categorías de datos tratados).?
A continuación figura la siguiente información respecto al contenido en la letra A.
?Análisis de sus datos para la elaboración de perfiles que nos ayuden a ofrecerle
productos que creemos que pueden interesarle ?
Finalidad: La finalidad de este tratamiento de datos es utilizar las categorías de datos
que le indicamos a continuación, para elaborar perfiles que nos permitan identificarle
con segmentos de clientes con similares características a las suyas y sugerirle
productos y servicios que creamos que pueden interesarle, así como establecer la
periodicidad con la que nos relacionamos con usted.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/82
Mediante este tratamiento analizaremos sus datos para tratar de deducir sus
preferencias o necesidades y así poder hacerle ofertas comerciales que creamos que
puedan tener más interés que ofertas genéricas.
Cuando las ofertas que queramos trasmitirle consistan en productos que impliquen el
pago de cuotas o la financiación, realizaremos una preevaluación de solvencia para
calcular el límite de crédito adecuado a ofrecerle, de acuerdo con los principios de
responsabilidad en la oferta de productos de financiación exigidos por el Banco de
España.
Es importante que sepa que este tratamiento, incluida la preevaluación de solvencia
en los productos con riesgo, se limita a la finalidad indicada de sugerirle productos y
servicios que creamos que pueden interesarle, y no se utiliza, en ningún caso, para
denegación de ningún producto o servicio o límite de crédito.
Usted tiene siempre a su disposición nuestro catálogo completo de productos y
servicios, y este tratamiento no prejuzga, limita o condiciona su acceso a los mismos,
que, en caso de que los solicite, serán evaluados con usted conforme a los
procedimientos ordinarios de CaixaBank Payments & Consumer.
Solo realizaremos este tratamiento de sus datos si usted nos ha dado su
consentimiento para ello. Su consentimiento permanecerá vigente mientras usted no
lo retire.
Si cancela todos sus productos o servicios con las empresas del Grupo CaixaBank,
pero olvida retirar su consentimiento, nosotros lo haremos automáticamente.
Categorías de datos tratados: Las categorías de datos que trataremos para esta
finalidad, cuyo contenido esta detallado en el epígrafe 5, son:
> datos que usted nos habrá facilitado
> datos observados en el mantenimiento de los productos y servicios, con excepción
de datos sensibles
> datos inferidos o deducidos por CaixaBank Payments & Consumer.
> datos que usted no nos ha facilitado directamente.
Corresponsables del tratamiento: El tratamiento de sus datos de las categorías
indicadas, con la finalidad de análisis para la elaboración de perfiles que nos ayuden a
ofrecerle productos que creemos que pueden interesarle, lo realizan en régimen de
corresponsabilidad las siguientes empresas del Grupo CaixaBank:
> CaixaBank, S.A.
> CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.
> CaixaBank Electronic Money, EDE, S.L.
> VidaCaixa, S.A.U., de seguros y reaseguros
> Nuevo Micro Bank, S.A.U.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/82
> CaixaBank Equipment Finance, S.A.U.
> Promo Caixa, S.A.U,
> Comercia Global Payments, E.P. S.L.
> Buildingcenter, S.A.U.
> Imagintech S.A.
Encontrará la lista de las empresas que tratan sus datos, así como los aspectos
esenciales de los acuerdos del tratamiento en corresponsabilidad en:
www.caixabank.es/empresasgrupo.?
Consta que la información que se facilita respecto de la corresponsabilidad
accediendo a dicho enlace es la siguiente:
?Para llevar a cabo los tratamientos que le indicamos a continuación, CaixaBank y
las empresas del Grupo CaixaBank tratarán conjuntamente sus datos, decidiendo de
manera conjunta los objetivos (?para qué se usan los datos?) y los medios utilizados
(?cómo se usan los datos?) siendo, por tanto, corresponsables de esos
tratamientos (Entidades Corresponsables).
Los tratamientos para los cuales CaixaBank y las empresas del Grupo CaixaBank
tratarán conjuntamente sus datos, son los siguientes (puede ver el detalle de las
empresas del Grupo Caixabank que conforman el perímetro de cada uno de los
tratamientos que se realizan en corresponsabilidad clicando en cada uno de los
siguientes enlaces):
? Realizar las actividades comerciales de: (i) análisis de sus datos personales
para la elaboración de perfiles que nos ayuden a ofrecerle productos que
creemos que pueden interesarle; (ii) oferta comercial de productos y servicios
por los canales seleccionados, y (iii) cesión de datos a empresas que no
forman parte del Grupo CaixaBank;
? Cumplir con las siguientes normativas aplicables a las empresas del Grupo
CaixaBank: (i) la normativa de prevención de blanqueo de capitales y
financiación del terrorismo; (ii) la normativa en materia tributaria; (iii) las
obligaciones derivadas de las políticas de sanciones y contramedidas
financieras internacionales, así como (iv) las obligaciones de concesión y
gestión de operaciones de crédito y la consulta y comunicación de riesgos a la
Central de Información de Riesgos del Banco de España (CIRBE).
? Realizar el análisis de la solvencia y la capacidad de devolución de los
solicitantes de productos que impliquen financiación.
De conformidad con lo dispuesto en la normativa aplicable, las Entidades
Corresponsables han suscrito un acuerdo de corresponsabilidad para determinados
tratamientos, cuyos elementos esenciales son los siguientes:
(i) Que, para determinados tratamientos identificados en la Política de Privacidad, las
Entidades Corresponsables actuarán de forma coordinada o conjunta.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/82
(ii) Que han procedido a determinar las medidas de seguridad, técnicas y
organizativas, apropiadas para garantizar un nivel de seguridad adecuado al riesgo
inherente a los tratamientos de datos personales objeto de corresponsabilidad.
(iii) Que disponen de un mecanismo de ventanilla única para el ejercicio de los
derechos de los interesados, asumiendo el compromiso del deber de colaboración y
asistencia en aquellos casos en que resultase procedente.
(iv) Que cumplen la obligación de respetar el deber de secreto y guardar la debida
confidencialidad de los datos personales que sean tratados en el marco de las
actividades de tratamiento de datos informadas.
(v) Independientemente de los términos del acuerdo de corresponsabilidad, los
interesados podrán ejercer sus derechos en materia de protección de datos frente a
cada uno de los responsables.?
Consta que el punto 5 de la política de privacidad, titulado categorías de datos,
informa de lo siguiente:
?5. Categorías de datos
En CaixaBank Payments & Consumer trataremos diferentes datos personales para
poder gestionar las Relaciones Contractuales que establezca con nosotros, para
realizar el resto de los tratamientos de datos que se derivan de su condición de cliente
y, si nos ha dado su consentimiento, para realizar también el tratamiento de sus datos
para las actividades que se detallan en el epígrafe 6.1.
Para facilitar su comprensión, hemos ordenado los datos que tratamos en las
categorías que le detallamos a continuación.
No todas las categorías de datos que le detallamos se utilizan para todos los
tratamientos de datos. En el epígrafe 6, donde le detallamos los tratamientos de datos
que realizamos, usted podrá consultar específicamente por cada tratamiento concreto
las categorías de datos que se utilizan, contando así con la información necesaria que
le permita ejercer, si así lo desea, sus derechos reconocidos por el RGPD, en especial
los de oposición y de revocación del consentimiento.
Las categorías de datos que utilizan los distintos tratamientos expuestos en el epígrafe
6 son las siguientes:
> Datos que usted nos ha facilitado en el alta de sus contratos o durante su relación
con nosotros. Estos datos son:
? datos identificativos y de contacto: su documento identificativo, nombre y
apellidos, sexo, información de contacto postal, telefónica y electrónica,
domicilio de residencia, nacionalidad y fecha de nacimiento, e idioma de
comunicación.
? datos socioeconómicos: detalle de la actividad profesional o laboral, ingresos o
retribuciones, unidad o círculo familiar, nivel de estudios, patrimonio, datos
fiscales y datos tributarios.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/82
? datos financieros: productos y servicios contratados, relación con el producto
(condición de titular, autorizado o representante), categoría MiFID.
? datos biométricos: patrón facial, biometría de voz o patrón de huella dactilar.
> Datos observados en el mantenimiento de los productos y servicios. Estos datos
son:
? datos financieros: la información de los apuntes y movimientos que se realicen
en cuentas corrientes, incluyendo el tipo de operación, el emisor, el importe, y
el concepto, información sobre inversiones realizadas y su evolución,
información sobre financiaciones, extractos de operaciones con tarjetas de
débito y crédito, productos contratados e historial de pago.
Es importante que sepa que no trataremos datos observados en el mantenimiento de
los productos y servicios que puedan contener información que revele su origen étnico
o racial, sus opiniones políticas, sus convicciones religiosas o filosóficas, su afiliación
sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificarle
de manera unívoca, datos relativos a la salud o datos relativos a su vida u orientación
sexual (?Datos Sensibles?).
? su condición de accionista, o no, de CaixaBank.
? datos digitales: los datos obtenidos de las comunicaciones que hayamos
establecido entre usted y nosotros en chats, muros, videoconferencias,
llamadas telefónicas o medios equivalentes y los datos obtenidos de sus
navegaciones por nuestras páginas web o aplicaciones móviles y la
navegación que realice en las mismas (ID dispositivo, ID publicidad, dirección
IP e historial de navegación), en el caso de que haya aceptado el uso de
cookies y tecnologías similares en sus dispositivos de navegación.
? datos geográficos: los datos de geolocalización de su dispositivo móvil
proporcionados por la instalación y/o el uso de nuestras aplicaciones móviles,
cuando así lo haya autorizado en la configuración de la propia aplicación.
> Datos inferidos o deducidos por CaixaBank Payments & Consumer del análisis y
tratamiento del resto de las categorías de datos. Estos datos son:
? agrupaciones de clientes en categorías y segmentos en función de su edad,
patrimonio y renta estimada, operativas, hábitos de consumo, preferencias o
propensiones a la contratación de productos, demografía y relación con otros
clientes o categorización según la normativa sobre Mercados de Instrumentos
Financieros (?MiFID?).
? puntuaciones de scoring que asignan probabilidades de pago o impago o
límites de riesgo.
> Datos que usted no nos ha facilitado directamente, obtenidos de fuentes accesibles
al público, registros públicos o fuentes externas. Estos datos son:
? datos de solvencia patrimonial y crédito obtenidos de los ficheros Asnef y
Badexcug.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/82
? datos sobre riesgos mantenidos en el sistema financiero obtenidos de la base
de datos de la Central de Información de Riesgos del Banco de España
(CIRBE).
? datos de personas o entidades que estén incluidas en leyes, regulaciones,
directrices, resoluciones, programas o medidas restrictivas en materia de
sanciones económico-financieras internacionales impuestas por las Naciones
Unidas, la Unión Europea, el Reino de España, Reino Unido y/o el U. S.
Department of the Treasury?s Office of Foreign Assets Control (OFAC).
? datos catastrales o estadísticos obtenidos de compañías que facilitan estudios
estadísticos socioeconómicos y demográficos asociados a zonas geográficas o
códigos postales, no a personas determinadas.
? datos digitales obtenidos de sus navegaciones por páginas web de terceros (ID
dispositivo, ID publicidad, dirección IP, historial de navegación), en el caso de
que haya aceptado el uso de cookies y tecnologías similares en sus
dispositivos de navegación.
? datos de redes sociales o internet, que usted haya hecho públicos o que nos
autorice a consultar.?
CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U. afirma que la fecha de
publicación de la nueva política de privacidad es de 18 de enero de 2021 y que dicha
política de privacidad sustituye a la anterior, que había estado vigente desde el 21 de
julio de 2019 hasta el 17 de enero de 2021.
SÉPTIMO; Afirma igualmente en su escrito de respuesta al requerimiento de
información efectuada durante el período de prueba que se aporta la información
proporcionada para la realización de tratamientos con fines comerciales, previamente
aportada en la respuesta al Requerimiento de información recibido con fecha 6 de
febrero de 2020. Afirma, asimismo, que ?Si bien se han previsto, aun no se han
realizado modificaciones sobre la mencionada información desde su aportación en la
respuesta al Requerimiento de información, a la espera de la resolución de la solicitud
de aplicación de medidas cautelares relacionadas con el Procedimiento Sancionador a
CAIXABANK, que podrían afectar a las modificaciones de la mencionada
documentación, planificadas en este momento.?
Consta que dicha información se facilita en el documento denominado CONDICIONES
GENERALES DE LA SOLICITUD-CONTRATO DE CREDITO, en cuyo encabezado
aparece la entidad CaixaBank Payments & Consumer y la fecha 10 de abril de 2020.
El contenido de dicho documento coincide con el remitido tras el requerimiento de la
Inspección de Datos efectuado el 6 de febrero de 2020 como anexo 12.
Dicho documento se estructura en diversas secciones, de las cuales, la número 26
contempla en diferentes apartados diversos aspectos del tratamiento de datos tales
como los distintos tratamientos según su base de legitimación, el ejercicio de derechos
por parte de los interesados o el plazo de conservación de los datos entre otras
cuestiones. Así, el apartado 26.1 se refiere a los Tratamientos de datos de carácter
personal con la finalidad de gestionar las Relaciones Comerciales; el apartado 26.3 a
los tratamientos de datos de carácter personal con finalidades regulatorias, este
apartado a su vez se divide en diversos subapartados como los relativos a
Tratamientos para la adopción de medidas de diligencia debida en la prevención del
blanqueo de capitales y de la financiación del terrorismo (26.3.1), tratamiento para el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/82
cumplimiento de la política de gestión de sanciones y contramedidas financieras
Internacionales (26.3.2), comunicación con sistemas de información crediticia
(26.3.3.), comunicación de datos a la Central de Información de Riesgos del Banco de
España (26.3.4), etc. El apartado 26.4 se refiere al Tratamiento y cesión de datos con
finalidades comerciales por CaixaBank y las empresas del Grupo CaixaBank basados
en el consentimiento. Los apartados 26.1 y 26.4 se encuentran transcritos en el punto
6 del hecho probado tercero.
OCTAVO: Consta que se adjunta al escrito de respuesta al requerimiento de
información efectuado durante el período de prueba un documento denominado
Contrato Marco en cuyo encabezado figura ?CaixaBank?, y en cuyo apartado 4.1 se
indica que ?el responsable del tratamiento de sus datos personales en sus relaciones
contractuales y de negocios es CaixaBank, S.A. con NIF A08663619 y domicilio en la
calle Pintor Sorolla, 2-4 Valencia. Añadiendo lo siguiente:
?Corresponsables de tratamiento: Además, para determinados tratamientos que se
informan en detalle en la citada política, CaixaBank y las empresas del Grupo
CaixaBank tratarán conjuntamente sus datos, decidiendo de manera conjunta los
objetivos (?para qué se usan los datos?) y los medios utilizados (?cómo se usan los
datos?) siendo, por tanto, corresponsables de esos tratamientos. Los tratamientos para
los cuales CaixaBank y las empresas del Grupo CaixaBank tratarán conjuntamente
sus datos son los siguientes: > realizar las actividades comerciales de: (i) análisis de
sus datos personales para la elaboración de perfiles que nos ayuden a ofrecerle
productos que creemos que pueden interesarle; (ii) oferta comercial de productos y
servicios por los canales seleccionados, y (iii) cesión de datos a empresas que no
forman parte del Grupo CaixaBank; (?)
Encontrará la lista de las empresas que tratan sus datos, así como los aspectos
esenciales de los acuerdos del tratamiento en corresponsabilidad en:
www.caixabank.es/empresasgrupo.?
En el punto. 4.5 de dicho documento bajo el título? Qué tratamientos realizamos con
sus datos, señala respecto de los tratamientos basados en el consentimiento las
siguientes finalidades:
?? Análisis de sus datos para la elaboración de perfiles que nos ayuden a ofrecerle
productos que creemos que pueden interesarle.
? Poner a su disposición nuestra oferta comercial de productos y servicios por los
canales seleccionados.
? Cesión de datos a empresas que no forman parte del Grupo CaixaBank para que le
hagan ofertas comerciales de productos que comercializan.
? Identificación de clientes y firma de documentación mediante uso de biometría.
? Aplicación de condiciones personales en contratos en cotitularidad.?
Dicho documento no se encuentra fechado. Se afirma en el escrito de respuesta al
requerimiento de información efectuada durante el período de prueba que se ha
incluido entre la documentación remitida ?la información proporcionada a los
interesados para la obtención de su consentimiento para la realización de tratamientos
con fines comerciales, cuando el consentimiento se recoge desde el canal bancario
(CAIXABANK). Esta documentación, aportada previamente en el transcurso del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/82
Procedimiento Sancionador a CAIXABANK, fue modificada en marzo de 2021, en el
marco de las mencionadas actuaciones dirigidas a la implantación de la nueva política
de privacidad.?
NOVENO: Consta que durante el período de prueba se han aportado los siguientes
documentos:
? Capturas de pantalla en las que se recaba el consentimiento de los clientes:
? Una captura de pantallas en el canal prescriptor, que coincide exactamente
con la descrita para dicho canal en el punto 5 del hecho probado tercero de la
presente propuesta de resolución.
? Captura de pantallas alta nuevo cliente oficina (onboarding presencial, en la
que se señala lo siguiente: ?entrega la tableta al cliente para que cumplimente
él mismo los consentimientos? y captura de pantallas alta nuevo cliente Portal
Web (onboarding digital). En ambas modalidades se aporta una información
básica para el cliente sobre el tratamiento de datos personales indicando que
el responsable del tratamiento es: ?Caixabank, con NIF A08663619 y domicilio
en la calle Pintor Sorolla, 2-4 Valencia. Corresponsables del tratamiento ?Para
determinadas actividades Caixabank, S.A. y las empresas del Grupo
Caixabank tratarán conjuntamente tus datos. Encontrarás la lista de las
empresas que tratan tus datos, así como los aspectos esenciales de los
acuerdos del tratamiento en corresponsabilidad en
www.caixabank.es/empresasgrupo.?
Respecto de los consentimientos se señala en ambas modalidades que ?Autorizas a
las empresas del grupo CaixaBank a:
Analizar tus datos para la elaboración de perfiles que nos ayuden a ofrecerte
productos que creemos que pueden interesarte. Si tenemos tu consentimiento, te
configuraremos o diseñaremos una oferta de productos y servicios ajustados a tus
características como cliente, mediante el análisis de tus datos y la elaboración de
perfiles con tu información.?
A continuación, figuran dos casillas en las que se puede marcar si o no. En otros
apartados se solicita el consentimiento para comunicar la oferta comercial de
productos y servicios por los canales que se seleccionen y a ceder los datos a
empresas que no formen parte del Grupo Caixabank con las que tengan acuerdos.
Respecto de los tratamientos de análisis para elaboración de perfiles se aporta
también en ambas modalidades la información siguiente: Estos tratamientos tienen
como base jurídica su consentimiento, según se establece en el artículo 6.1.a del
Reglamento General de Protección de Datos. Se reitera a continuación la información
ofrecida en la política de privacidad relativa a este tipo de tratamientos respecto de la
finalidad, categorías de datos tratados y corresponsables del tratamiento. No
obstante, en lo que respecta a los datos tratados indica: ?las categorías de datos que
trataremos para esta finalidad cuyo contenido está detallado en el epígrafe 5 de
nuestra Política de Privacidad (www.Caixabank.es/políticade privacidad) son: datos
que usted nos habrá facilitado, datos observados en el mantenimiento de los
productos y servicios con excepción de datos sensibles, datos inferidos o deducidos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/82
por Caixabank, datos que usted no nos ha facilitado directamente.? No figura en
ninguna de las pantallas la descripción de estos datos.
? Acuerdo de corresponsabilidad.
Dicho Acuerdo no tiene fecha ni firma alguna. El número 4 de dicho acuerdo, relativo
a la duración, señala que ?El presente Acuerdo entrará en vigor en la fecha de su firma
y permanecerá vigente de forma indefinida, sin perjuicio de la revisión y
modificaciones necesarias de sus términos y contenido para su adaptación en su
caso, a la normativa vigente que resulte de aplicación en cada momento...?
En dicho acuerdo figura la siguiente definición: ?Corresponsables del Tratamiento o
Corresponsables: Significa los responsables que determinan conjuntamente los
objetivos, finalidades y medios del Tratamiento detallados en el Anexo 1.? En el citado
anexo menciona los siguientes tratamientos objeto de corresponsabilidad referente a
?actividades comerciales?:
a) análisis de los datos personales para la elaboración de perfiles que nos ayuden
a ofrecer productos que creemos que pueden interesar al cliente F
Finalidad: La finalidad de este tratamiento de datos es utilizar las categorías de datos
indicadas en la Política de Privacidad de CaixaBank
(www.caixabank.com/politicaprivacidad) para elaborar perfiles que permitan a los
Corresponsables identificar al cliente con segmentos de clientes de similares
características para poder ofrecerle productos y servicios que puedan interesarle, así
como, para establecer la periodicidad con la que los Corresponsables se relacionan
con él.
Base legitimadora: La base legitimadora de este tratamiento es el consentimiento
otorgado por los interesados.
a) Oferta comercial de productos y servicios por los canales seleccionados.
Finalidad: La finalidad de este tratamiento de datos es poner a disposición del cliente
comunicaciones de ofertas comerciales relativas a productos y servicios propios o de
terceros comercializados por CaixaBank y/o las entidades del Grupo CaixaBank. Estas
comunicaciones únicamente se remitirán al cliente por los canales que previamente
éste nos haya autorizado al dar su consentimiento.
Base legitimadora: La base legitimadora de este tratamiento es el consentimiento
otorgado por los interesados.
b) cesión de datos a entidades que no forman parte del Grupo CaixaBank
Finalidad: La finalidad de este tratamiento es ceder los datos de los
interesados a entidades que no forman parte del Grupo CaixaBank con las que
los Corresponsables tengan acuerdos, con el propósito de que éstas les
realicen ofertas comerciales de los productos que comercializan.
Base legitimadora: La base legitimadora de este tratamiento es el consentimiento
otorgado por los interesados.?
Enumera después los corresponsables que serían los siguientes:
CAIXABANK, S.A
CAIXABANK PAYMENTS & CONSUMER, E.F.C., E.P., S.A.U.
CAIXABANK ELECTRONIC MONEY, EDE, S.L
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/82
VIDACAIXA, S.A.U., DE SEGUROS Y REASEGUROS
NUEVO MICRO BANK, S.A.U
CAIXABANK EQUIPMENT FINANCE, S.A.U
PROMO CAIXA, S.A.U.
COMERCIA GLOBAL PAYMENTS, E.P. S.L.
BUILDINGCENTER, S.A.U.
IMAGINTECH, S.A.
En sucesivos anexos se contemplan otros tratamientos objeto de corresponsabilidad,
cuya base legitimadora se encuentra en el cumplimiento de obligaciones legales o la
ejecución de las relaciones contractuales.
? Contrato suscrito con la entidad (?) para la actividad de risk score.
Según lo indicado en dicho contrato, de fecha 2 de junio de 2020, se ha novado el
contrato suscrito con fecha 2 de mayo de 2017, ampliado a su vez en fecha 2 de mayo
de 2019 para incorporar los servicios que se reseñan en el anexo I (que no se
adjunta). Son partes en dicho contrato CAIXABANK y CAIXABANK PAYMENTS &
CONSUMER y las entidades (?), designándose a estas dos últimas conjuntamente
como PROVEEDOR.
Dicho documento contiene dos cláusulas:
La cláusula primera de dicho contrato relativa a la novación modificativa no extintiva
de la cláusula 15 del contrato, sustituye la citada cláusula con efectos retroactivos a 25
de mayo de 2018, con nuevos elementos relativos al encargado de tratamiento, a fin
de adaptar los servicios de risk score a las obligaciones regulatorias contenidas en la
En la segunda de las cláusulas se acuerda incorporar al anexo I (anexo de servicios)
una cláusula relativa a aspectos específicos del tratamiento de datos de carácter
personal del servicio risk score. Dicha cláusula viene referida a la descripción del
tratamiento, indicando que a los únicos efectos de la prestación del servicio de ?risk
score? CAIXABANK Y CAIXABANK PAYMENTS & CONSUMER ponen a disposición
del proveedor la siguiente información (?). Se señalan a continuación los siguientes
tratamientos por parte del proveedor: explotación, consulta y destrucción; la tipología
de los datos (DNI(NIE/Pasaporte) y categorías de interesados afectados (clientes,
intervinientes no clientes). En cuanto a la finalidad del tratamiento se señala que el
proveedor utilizará los datos de carácter personal objeto de tratamiento única y
exclusivamente para el cumplimiento del ANEXO I, no pudiéndolos utilizar, en ningún
caso, para fines propios. Dicho anexo no se adjunta.
DÉCIMO: En el escrito de respuesta al requerimiento de información formulado
durante el período de prueba se afirma que al volumen de negocios del Grupo
o CAIXABANK a 31 de diciembre de 2020 se cifra en doce mil ciento setenta y
dos millones de euros."
TERCERO: Con fecha 25 de octubre de 2021, se ha interpuesto recurso de
reposición por la entidad CAIXABANK PAYMENTS & CONSUMER EFC, EP,
S.A.U. (en lo sucesivo CPC) contra la resolución reseñada en el antecedente primero,
en el que después de dar por reproducidas la información y documentación aportadas
durante la tramitación del procedimiento que dio lugar a dicha resolución y actuaciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/82
previas de investigación y, sin perjuicio de las nuevas alegaciones o documentos que
aporta, solicita que se declare la nulidad de la resolución recurrida y, en su caso, de
todos los actos administrativos del Procedimiento Sancionador que pudieran verse
afectados y, subsidiariamente, que se estime el recurso presentado archivando las
actuaciones por inexistencia de la presunta infracción del artículo 6 del RGPD, ya que
el consentimiento prestado para las finalidades de perfilado cumple con la exigencia
de la separación de los fines y prestación del consentimiento para cada uno de ellos,
además de estar debidamente informado según lo previsto en la normativa que regula
el derecho a la protección de los datos personales; por lo que a juicio de CPC este
sería válido. Estas solicitudes se fundamentan en las consideraciones siguientes:
I. Nulidad y anulabilidad de las actuaciones
1. Considera CPC que el Acuerdo de Inicio, de 23 de diciembre de 2020, y la
Resolución, de 22 de septiembre de 2021, dictados por la ?Directora de la Agencia
Española de Protección de Datos?, son actos nulos de pleno derecho por resultar
incompetente materialmente la persona que dictó ambos actos administrativos.
Señala que mediante el Real Decreto 715/2015, de 24 de julio, a propuesta del
Ministro de Justicia se nombró ?Directora de la Agencia Española de Protección de
Datos a doña María del Mar España Martí?; el nombramiento se hizo de conformidad
con lo dispuesto en el artículo 14.1 del Estatuto de la Agencia Española de Protección
de Datos, aprobado por el Real Decreto 428/1993, de 26 de marzo (en adelante, el
?Estatuto de 1993?).
La LOPDGDD, en su Disposición Transitoria Primera, sobre el Estatuto de 1993,
dispone que este continuaría vigente en todo aquello que no se opusiera a lo
establecido en el Título VIII de la Ley 15/1999 Orgánica de Protección de Datos de
Carácter Personal (en adelante, la ?LOPD?) (de los ?Procedimientos en caso de posible
vulneración de la normativa de protección de datos?); se añade en la mencionada
Disposición Transitoria que ciertos preceptos relacionados con la Presidencia de la
Agencia y con el Consejo Consultivo de la Agencia (concretamente los apartados 2, 3
y 5 del artículo 48 y artículo 49), no serían de aplicación hasta la expiración del
mandato de quien pudiera ostentar la condición de Director de la AEPD en el momento
de entrada en vigor de la LOPDGDD (7 de diciembre de 2018); en esa fecha la
Directora de la AEPD era la Ilma. doña María del Mar España Martí, cuyo mandato
expiró el 24 de julio de 2019, de modo que, a partir de esa fecha expiración del
mandato, los mencionados preceptos ya fueron de aplicación.
De conformidad con el artículo 14.3 del Estatuto de 1993 ?el mandato del Director de la
Agencia de Protección de Datos tendrá una duración de cuatro años contados desde
su nombramiento y sólo cesará por las causas previstas en el artículo 15 del presente
Estatuto?.
De conformidad con el artículo 15.1 del Estatuto de 1993 el ?Director de la Agencia de
Protección de Datos cesará en el desempeño de su cargo por la expiración de su
mandato?, cabe mencionar que ni el mencionado Estatuto de 1993, ni la LOPDGDD
prevén que transitoriamente se pueda ejercer en funciones la Dirección o la
Presidencia de la AEPD; sí que lo prevé, exclusivamente en relación a la Presidencia,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/82
el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos (en adelante, el ?Estatuto de 2021?),
concretamente en su artículo 12.3, en tanto dispone que: ?La persona titular de la
Presidencia cesante continuará en funciones hasta la toma de posesión de la nueva
persona titular de la Presidencia?; es decir, solo a partir del 3 de junio de 2021 existe la
posibilidad de que, una vez expirado el mandato de la Presidencia de la AEPD, la
persona titular pueda de manera automática seguir actuando en funciones, hasta la
toma de posesión de la nueva persona titular de la Presidencia de la AEPD.
El nombramiento de doña María del Mar España Martí como Directora de la Agencia
es de fecha 24 de julio de 2015, publicado en el BOE de 25 de julio de 2015, por tanto,
conforme al artículo 14.3 del Estatuto de 1993, como ya mencionado, el 24 de julio de
2019 expiró el mencionado nombramiento, de modo que conforme al artículo 15.1 del
Estatuto de 1993 la expiración del mandado conllevó su cese directo en el desempeño
del cargo de Directora de la AEPD a partir del 24 de julio de 2019; es decir, había
cesado en sus funciones y, en consecuencia, a partir de esa carecía de competencia
para dictar actos administrativos de la AEPD.
Sobre el supuesto de expiración del nombramiento del titular de un órgano
administrativo se ha pronunciado expresamente la Sala de lo Contencioso-
Administrativo del Tribunal Supremo, en particular en el Recurso de Casación
1585/2016, mediante la sentencia 2393/2017 de 16 de junio de 2017 (en adelante,
?STS 2393/2017?). 8. Según la STS 2393/2017, referenciando la sentencia 905/2008
de la Sala Tercera, de lo Contencioso Administrativo del Tribunal Supremo de 18 de
febrero de 2008, cuando expira el nombramiento del titular de un órgano administrativo
?nos encontramos ante un supuesto de incompetencia material?, en el que la persona
cuyo nombramiento ya ha expirado ?actúa careciendo total y absolutamente de
competencia? para dictar actos administrativos del órgano administrativo en cuestión,
de modo que en el caso de cese por expiración del nombramiento la persona afectada
por el mismo «ha actuado en materias sobre las que no puede hacerlo y en este caso
la incompetencia material es manifiesta pues es ostensible, clara, patente, notoria y
palpable, o según sus términos es "apreciable sin esfuerzo" y sin que tal actuación,
nula de pleno derecho pueda ser convalidada, ni se trate como se pretende de un
supuesto en que concurra un vicio formal no invalidante».
En la STS 2393/2017 se pone de manifiesto que los actos administrativos de las
Administraciones Públicas se producen a través de sus órganos, y que tales órganos
?se configuran mediante unos determinados elementos, entre los que ahora cabe
destacar un elemento subjetivo, conformado por personas físicas o naturales a través
de las cuales se expresa la voluntad del órgano, a las cuales se le asignan una serie
de funciones, de suerte que la validez del acto en cuanto actividad propia del ente
administrativo se hace depender, entre otros requisitos, de que la actuación de la
persona física, del funcionario actuante, se mantenga dentro de las atribuciones y
competencias determinadas normativamente a favor del órgano. Obviamente la
validez de la actuación del titular del órgano, del funcionario actuante, depende de que
se encuentre en el correcto ejercicio de su cargo o destino, lo que precisa
necesariamente que venga precedido de un nombramiento legal?, concluyendo que ?el
acto administrativo válido debe proceder de una Administración Pública -en general-, a
través de órgano competente y dictado por persona física con nombramiento legítimo?,
afirmando que: ?No cabe, por tanto, disociar el órgano de los elementos que lo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/82
componen, y en concreto del funcionario titular llamado a ejercer o llevar a la práctica
el conjunto de atribuciones y competencias que tiene conferida legalmente el órgano
del que forma parte el funcionario?.
Sigue la STS 2393/2017 afirmando que al órgano administrativo se le asignan un
conjunto de atribuciones y competencias, formando parte de ese órgano de manera
indisoluble (como parte esencial del mismo), ?una persona física que es llamada a
desempeñar dichas atribuciones y competencias?.
Señala CPC que, a partir de tales fundamentos el Tribunal Supremo analiza ?los actos
emanados de los funcionarios cuyo encargo de funciones ha expirado por el
transcurso del tiempo?, considerando CPC que este es el caso de la Directora de la
Agencia que no se encuentra en funciones, puesto que el Ministerio de Justicia no ha
procedido a dictar acto alguno en tal sentido ni en los actos administrativos dictados a
partir del 24 de julio de 2019 por la Directora de la Agencia aparece la indicación de
que esté actuando en funciones, sino que al contrario, según la normativa aplicable a
su situación, el cese se produjo de manera automática por el transcurso de los 4 años
desde su nombramiento, es decir, había expirado su nombramiento, y, en
consecuencia, tal como lo expresa la STS 2393/2017, ?no podía en modo alguno
desempeñar las competencias atribuidas legalmente al órgano del que formaba parte;
en consecuencia tal vicio de legalidad implicaba la propia inexistencia jurídica de los
actos administrativos dictados por el citado, pues resultaba una actividad al margen
del ente administrativo al que se le pretende otorgar su procedencia; estando en
presencia del supuesto más grave de nulidad de pleno derecho, pues la actuación del
funcionario sin nombramiento carecía de validez alguna, por manifiesta y grave
incompetencia material del funcionario en tanto que lleva a cabo unas atribuciones y
competencias que le resultaban ajenas y extrañas?.
Otros pronunciamientos jurisprudenciales en el mismo sentido serían las resoluciones
del Tribunal Supremo con las referencias 1067/2017 y 1093/2017; cabe añadir que el
Tribunal Supremo excluye expresamente de los supuestos de expiración del
nombramiento la aplicación de la figura doctrinal del funcionario de hecho.
Afirma que el Procedimiento Sancionador, además, se ve afectado por otra
irregularidad, que también afecta a la legalidad de los actos administrativos dictados
por doña María del Mar España Martí como Directora de la Agencia; concretamente
se da la circunstancia de que, a partir de la entrada en vigor del ya mencionado Real
Decreto 389/2021 (que aprueba el Estatuto de 2021), de conformidad con su
Disposición adicional única (Supresión de órganos directivos), queda suprimido, entre
otros órganos directivos: ?El Director de la Agencia Española de Protección de Datos?.
En relación a tal supresión, en la Disposición Transitoria Única del Real Decreto
389/2021, no hay previsión alguna respecto de que transitoriamente no sea efectiva tal
supresión, por ejemplo, manteniendo como órgano directivo de la AEPD el de
?Director?, hasta el nombramiento del titular de la ?Presidencia de la Agencia Española
de Protección de Datos?, ni hay mención alguna a una potencial aplicación del artículo
12.3 del Estatuto del 2021, que se refiere únicamente a ?la persona titular de la
Presidencia?, ni tampoco se prevé que el titular del órgano suprimido pase a ser el
titular de la Presidencia de la AEPD, de modo que, a partir del 3 de junio de 2021,
todos los actos administrativos dictados por el órgano ?Directora de la Agencia
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/82
Española de Protección de Datos? también son actos administrativos en los que
concurre un vicio de legalidad que implica la inexistencia jurídica de los mismos, por lo
que estaríamos en un supuesto de nulidad de pleno derecho, en tanto estarían
dictados por un órgano de la AEPD inexistente, y todo ello sin perjuicio de lo alegado
en relación a la expiración del nombramiento de doña María del Mar España Martí
como Directora de la Agencia.
2. Afirma que en la Resolución no se ha hecho valoración alguna respecto de su
alegación sobre la concurrencia de una potencial desviación de poder; tal alegación
se fundamentaba en que, en el marco de la aplicación del régimen sancionador para
infracciones de la normativa de protección de los datos personales, no tienen cabida
fines de tipo recaudatorio, ni de búsqueda de notoriedad del órgano administrativo o
de su titular mediante la imposición de sanciones con fines de ejemplaridad o
llamativas, fines que supondrían claramente el ejercicio de potestades administrativas
para fines distintos de los fijados por el ordenamiento jurídico; tal conducta constituiría
una desviación de poder, según lo dispuesto en el artículo 70 de la Ley 29/1998, de 13
de julio, Reguladora de la Jurisdicción Contencioso-Administrativa, lo que implica la
anulabilidad de los actos administrativos viciados de ese modo. Del mismo modo se
regula en el artículo 48.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas (en adelante, la ?LPACAC?):
?Son anulables los actos de la Administración que incurran en cualquier infracción del
ordenamiento jurídico, incluso la desviación de poder?.
Alega que la desviación de poder es un vicio del acto administrativo, formalmente
ajustado a las reglas de competencia y de procedimiento aplicables pero que
materialmente supone ?una contravención del sentido teleológico de la actividad
administrativa desarrollada? (STS de 7 de abril de 1986), ?una distorsión de la normal
finalidad del acto? (STS de 11 de abril de 1989), una ?no utilización de la potestad
administrativa de forma objetiva, acorde con la finalidad perseguida? (STS de 12 de
mayo de 1986). Dicha desviación procesal puede acaecer ?no sólo cuando se acredita
que la Administración persigue una finalidad privada o un propósito inconfesable,
extraño a cualquier defensa de los intereses generales, sino también puede concurrir
esta desviación teleológica cuando se persigue un interés público ajeno y, por tanto,
distinto al que prevé el ordenamiento jurídico para el caso? (Sentencias del Tribunal
Supremo de 18 de marzo de 2011 y 11 de mayo de 2012
Afirma que se describieron en las alegaciones situaciones objetivas que ponían de
manifiesto la desviación de poder alegada, consideramos que racionalmente se han
presentado indicios de arbitrariedad e indefensión en cuanto a que, en su conjunto, el
Procedimiento Sancionador buscaba notoriedad e impacto mediático, no dicho por
nosotros, sino por la propia Directora de la AEPD en medios de comunicación, que de
no ser ciertas tales declaraciones, tal vez la Agencia debería haber ejercido acciones
contra tales medios; la regulación prevé unas causas tasadas de abstención, que
permiten plantear formalmente una recusación pero el hecho de que tales supuestos
no concurran no impide la existencia de la mencionada desviación de poder, buscando
claramente notoriedad, máxime cuando su mandato como Directora de la Agencia
expiró en julio de 2019. 18. Ante la alegación sobre la desviación de poder en los
términos expresados, que afectan directamente a la legalidad del Procedimiento
Sancionador, la AEPD, en su resolución, ha optado por guardar silencio y no hacer
valoración alguna; podríamos interpretar ese silencio como una declaración en sí
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/82
mismo pero nos parece más adecuado y ajustado a derecho, en base al principio de
contradicción de los procedimientos administrativos que, con todo el respeto,
solicitemos que se pronuncie el órgano administrativo respecto del cual se alega una
actuación que supondría una desviación de poder.
3. Se reitera en la relevancia que otorga a la omisión por parte de la AEPD de no
haber comunicado a CPC, en el Acuerdo de Inicio, que se estimó el recurso de
reposición a la no admisión de la reclamación, aunque tal acuerdo esté en sí mismo
viciado de nulidad de pleno derecho; entendemos que CPC, como parte afectada por
la decisión de estimar el recurso de reposición presentado por el reclamante a la
inadmisión inicial de su reclamación, es un hecho ?relevante? para la defensa de CPC
ante el inicio de un procedimiento sancionador.
La valoración de la AEPD al respecto, en el sentido de no atribuirle relevancia alguna a
tal omisión, no está justificada por el hecho de que la AEPD tenga la opción de llevar a
cabo acciones posteriores. Lo cierto es que se estimó el mencionado recurso de
reposición, de modo que la reclamación paso a ser admitida, cuando CPC solo tuvo
constancia de la previa inadmisibilidad de la reclamación, lo que es una evidente
irregularidad. Consideramos que lo ajustado a derecho hubiera sido que, al menos, tal
información hubiera formado parte de los antecedentes del Acuerdo de Inicio, dado
que CPC sería parte interesada según lo previsto en el artículo 4.1.b de la LPACAC.
En su momento, sí le fue comunicada la inadmisión de la reclamación, sin embargo,
de manera injustificada, no le fue comunicada la interposición del mencionado recurso
de reposición, ni tampoco la posterior decisión de estimar el mismo, actos con
relevancia jurídica que deberían haber sido comunicados a CPC. En todo caso, la
AEPD no ha justificado tal omisión procedimental y, en consecuencia, no dio
cumplimiento a su responsabilidad en la tramitación, prevista en el artículo 20 de la
LPACAC, que le obliga a adoptar ?las medidas oportunas para remover los obstáculos
que impidan, dificulten o retrasen el ejercicio pleno de los derechos de los interesados
o el respeto a sus intereses legítimos, disponiendo lo necesario para evitar y eliminar
toda anormalidad en la tramitación de procedimientos?, en conexión con el
incumplimiento del artículo 40.1 de la LPACAC, que dispone que el ?órgano que dicte
las resoluciones y actos administrativos los notificará a los interesados cuyos derechos
e intereses sean afectados por aquéllos?. No cabe duda que CPC se ha visto afectada
por la estimación del mencionado recurso de reposición, sin que se haya justificado
por parte de la AEPD su actuación opaca respecto de ese trámite.
Reitera las alegaciones relativas a que la tramitación administrativa adolece de un
cúmulo de irregularidades que han derivado en la vulneración al derecho a la defensa
jurídica, en particular con una clara indefensión en base a conculcar la presunción de
inocencia puesto que ha sido evidente que la decisión ya estaba tomada antes de que
el propio procedimiento hubiera pasado por todas sus fases (recordemos las
declaraciones de la Directora de la AEPD) y, por tanto, sin las debidas garantías que
necesariamente deben acompañar al procedimiento sancionador. Afirma que
concurre, además, el incumplimiento del artículo 55.1 de la LPACAP, en conexión con
el artículo 53 de la LOPDGDD, por cuanto el alcance de las actuaciones previas de
investigación no se definió por el titular del órgano administrativo, habiéndose
extralimitado la inspección de datos al ampliarlo (aunque se haya justificado en un
mero error material cuyo reconocimiento solo beneficia a la Agencia), sin ser esta su
función, y a todo ello debe añadirse la falta de motivación respecto de actos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/82
administrativos que se separan del criterio seguido en actuaciones precedentes, en
tanto la cuantía de las sanciones en otras conductas y contexto equivalentes fue
mucho menor, sin que la AEPD haya dado en su Resolución explicación alguna al
respecto. En opinión de CPC no se ha seguido una tramitación administrativa del
Procedimiento Sancionador conforme a derecho, dando lugar a una actuación
arbitraria de la AEPD, proscrita por el artículo 9.3 de la Constitución Española, en
conjunción con la falta de objetividad en el servicio a los intereses generales; lo que ha
conllevado a un evidente trato desigual para CPC respecto de otros administrados,
todo ello sustentado en unos actos administrativos viciados de nulidad de pleno
derecho.
II. EN RELACION AL OBJETO DE LA RESOLUCIÓN,
1. Insiste en la existencia de corresponsabilidad en los tratamientos de datos
personales objeto del Procedimiento Sancionador, que se sustenta inicialmente en
elementos fácticos, con una posterior formalización, que no han sido tenidos en cuenta
por la AEPD, planteando unas exigencias formales a CPC no conformes a la legalidad
vigente, como el hecho de que haber presentado un acuerdo de corresponsabilidad no
firmado tiene como efecto directo impedir que exista corresponsabilidad. Esgrime la
Agencia que no se han presentado evidencias de que exista la corresponsabilidad
acordada en el contexto del Grupo CaixaBank, descargando la carga de la prueba en
CPC sobre la existencia de tal corresponsabilidad, cuando debería ser la Agencia
quien debería fundamentar su negativa valoración al respecto.
Afirma que la AEPD se limita a afirmar que no existe tal corresponsabilidad, por lo que
solicita, que la Agencia argumente jurídicamente, de manera racional y con claridad,
los motivos que le llevan a considerar que no existe corresponsabilidad en los
tratamientos objeto del Procedimiento Sancionador. De otro modo, la valoración de la
AEPD seria de una discrecionalidad que rebasa, en mucho, los límites previstos en la
normativa que regula los procedimientos administrativos y, en particular, los
procedimientos sancionadores, que deben ser especialmente garantistas por sus
consecuencias de carácter punitivo.
2.CPC se reafirma en que no se ha producido una infracción del artículo 6 del RGPD
ya que el consentimiento prestado para las finalidades de perfilado cumple con la
exigencia de la separación de los fines y prestación del consentimiento para cada uno
de ellos, además de estar debidamente informado según lo previsto en la normativa
que regula el derecho a la protección de los datos personales; por lo que este es
válido. Afirma que se invierte la carga de la prueba y, además, no se valoran
alegaciones realizadas en los Escritos presentados por CPC durante la tramitación del
Procedimiento Sancionador, en particular se ha hecho caso omiso al hecho de que la
falta de información o claridad aludida por la Agencia se sustenta en sus valoraciones
subjetivas, utilizando exclusivamente argumentos centrados en opiniones de las
autoridades de protección de datos, todas ellas muy respetables y de interés pero que,
en ningún caso, constituyen derecho sustantivo. Por tanto, no se han valorado en la
Resolución las alegaciones de CPC respecto del hecho de que no existe una
obligación de informar sobre los ?datos? o ?tipos de datos? usados para elaborar los
perfiles, ni tampoco sobre ?los tipos de perfiles?, a pesar de que sí que se haya
informado o sea información claramente deducible del contexto del tratamiento,
aunque a juicio de la AEPD de manera deficiente, no argumentando en modo alguno
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/82
su opinión, más allá de aplicar su propio juicio; se ha vuelto a invertir la carga de la
prueba ya que la AEPD, en ningún momento, ha aportado pruebas o evidencias sobre
la falta de claridad o insuficiencia en la información, por omisión de información a la
que obligue la normativa de protección de datos.
En este punto somos conocedores de que la Agencia dispone, en el marco del
PS/00477/2019, de información sobre la opinión de terceros especializados que han
valorado hasta qué punto la información proporcionada por el Grupo CaixaBank
resulta clara y comprensible, y también dispone del resultado del test o encuestas
realizadas a usuarios con la finalidad de conocer el grado de comprensión de la
información proporcionada en diferentes actividades que implican el tratamiento de
datos personales, y de manera específica sobre la solicitud de las ?autorizaciones en
relación con los tratamientos de datos comerciales (perfilado y publicidad)?, dando
como resultado que existe un muy alto nivel de comprensión tal y como acredita el
documento anexado a este escrito (documento anexo 1). Además, se adjunta a este
Escrito otro documento (documento anexo 2) de 20 de septiembre de 2021 del Banco
de España, en el contexto de una actuación de este para conocer ?el modo en que las
entidades comercializan a distancia sus productos a consumidores, y en particular, las
cuentas corrientes y cuentas de ahorro?, en el que, como resultado de la información
facilitada por CaixaBank, S.A. al Banco de España, este último como entidad
especializada en la materia, dice que: ?Finalmente, queremos resaltar y agradecer los
esfuerzos efectuados para mejorar la presentación y redacción de los documentos en
el marco del proyecto que su entidad ha denominado internamente -Contratos
Friendly-. Este proyecto refleja las mejoras prácticas bancarias a las que debe tender
todo el sector?, obviamente, ello sin perjuicio de que, en todo caso, se deba ?facilitar
información sobre todos los extremos legalmente exigidos por la normativa de
transparencia?.
Afirma que en definitiva, más allá de la opinión subjetiva de la AEPD, lo relevante es
que los clientes de CPC saben y entienden que con sus datos personales, en el
contexto de su relación con CPC, se van a elaborar perfiles para enviarles
comunicaciones comerciales ajustadas a su perfil, cumpliendo con las exigencias de la
normativa de protección de datos, sin perjuicio de que puedan aplicarse buenas
prácticas adicionales que mejoren cómo se informa a las personas; la valoración de
CPC sobre la obtención del consentimiento informado se basa en hechos y evidencias,
como las expresadas en los apartados previos, que incluyen la opinión de una
autoridad especializada en el contexto en el que se llevan a cabo los tratamientos,
específicamente en relación a la transparencia de la información que se proporciona
por parte del Grupo CaixaBank en la comercialización de algunos de sus productos.
3. Finalmente considera que, sin perjuicio y de manera complementaria a todo lo
expuesto anteriormente, es evidente la desproporción de la sanción impuesta, en
particular por el hecho de que no se motive cómo se han aplicado los criterios de
graduación de la sanción. La AEPD se limita a enumerar qué criterios ha tenido en
cuenta para graduar la sanción, pero no explica cómo los ha aplicado, ni como llega a
concretar la cuantía de la multa administrativa impuesta mediante la Resolución; por
ello, se considera que la discrecionalidad administrativa que ha aplicado la AEPD
sobrepasa los límites de la legalidad sancionadora. El Tribunal Constitucional se ha
pronunciado reiteradamente sobre el alcance del principio de legalidad sancionadora
que consagra el artículo 25.1 de la Constitución, y, en su Sentencia 150/2020, de 22
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/82
de octubre de 2020, dictada en la cuestión de inconstitucionalidad núm. 7194-2019,
que recoge su doctrina anterior, el Alto Tribunal afirma: ?El derecho a la legalidad
sancionadora, conforme a la doctrina consolidada de este tribunal ?comprende una
doble garantía. La primera, de orden material y alcance absoluto, tanto por lo que se
refiere al ámbito estrictamente penal como al de las sanciones administrativas, refleja
la especial trascendencia del principio de seguridad en dichos ámbitos limitativos de la
libertad individual y se traduce en la imperiosa exigencia de predeterminación
normativa de las conductas ilícitas y de las sanciones correspondientes. La segunda,
de carácter formal, se refiere al rango necesario de las normas tipificadoras de
aquellas conductas y reguladoras de estas sanciones, por cuanto, como este tribunal
ha señalado reiteradamente, el término ?legislación vigente? contenido en dicho art.
25.1 es expresivo de una reserva de ley en materia sancionadora? (entre otras
muchas, STC 42/1987, de 7 de abril, FJ 2). En relación con la vertiente material de
este derecho, hemos puesto de relieve que ?la necesidad de que la ley predetermine
suficientemente las infracciones y las sanciones, así como la correspondencia entre
unas y otras, no implica un automatismo tal que suponga la exclusión de todo poder de
apreciación por parte de los órganos administrativos a la hora de imponer una sanción
concreta?, pero en modo alguno cabe encomendar por entero tal correspondencia a la
discrecionalidad judicial o administrativa, ?ya que ello equivaldría a una simple
habilitación en blanco a la administración por norma legal vacía de contenido material
propio? (STC 113/2002, de 9 de mayo, FJ 6)?.
Aporta un escrito del Banco de España, en el que éste requiere a Caixabank, en el
marco de sus competencias supervisoras en materia de conducta de mercado y
protección a la clientela y en orden a asegurar el cumplimiento adecuado de las
obligaciones contenidas en la normativa bancaria a la que hace referencia, que adopte
las medidas oportunas respecto de determinadas actuaciones que señala en dicho
escrito, finalizando dicho en los siguientes términos:
?Finalmente, queremos resaltar y agradecer los esfuerzos efectuados para mejorar la
presentación y redacción de los documentos en el marco del proyecto que su entidad
ha denominado internamente -Contratos Friendly-. Este proyecto refleja las mejoras
prácticas bancarias a las que debe tender todo el sector
No obstante, no debe perderse nunca de vista que esta forma de presentación no
debe ser en ningún caso ser obstáculo para facilitar información sobre todos los
extremos legalmente exigidos por la normativa de transparencia, pues las mejoras
prácticas bancarias exigen conjugar la trasparencia en el lenguaje y la forma de
presentación con el cumplimiento de los requisitos legales y la actualización a medida
que se introducen modificaciones legales.?
Aporta asimismo un documento, con el título de encuesta telefónica, en el que se
indica como fecha el 17 de diciembre de 2020, realizado por la empresa SGS Tecnos
con la finalidad de valorar el grado de comprensión de la cláusula 8 del contrato marco
en base a la cual Caixabank solicita a sus clientes las autorizaciones en relación con
los tratamientos de datos comerciales (perfilado y publicidad). En dicho documento se
señala que la metodología utilizada ha sido a través de una encuesta telefónica que se
ha realizado a clientes de CaixaBank. La base de datos facilitada por CaixaBank es de
personas que durante el último año han firmado el contrato marco. Para valorar el
grado de comprensión de dicha cláusula se facilitó a la empresa que iba a llevar a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/82
cabo la encuesta dos extractos de la mencionada clausula para ser leídos a los
clientes y que los mismos valoren en base a lo que acaben de escuchar.
Los extractos son los siguientes:
PERFILADO ?Con la finalidad de poner a su disposición una oferta global de productos
y servicios, su autorización a (i) los tratamientos de análisis y estudio de datos, y (ii)
para la oferta comercial de productos y servicios, en caso de otorgarse, comprenderá
a CaixaBank, y a las empresas del grupo CaixaBank quienes podrán compartirlos y
utilizarlos con las finalidades indicadas. Otorgando su consentimiento a las finalidades
aquí detalladas, Usted nos autoriza a: a) Realizar de manera proactiva análisis de
riesgos y aplicar sobre sus datos técnicas estadísticas y de segmentación de clientes,
con la finalidad de Estudiar productos o servicios que puedan ser ajustados a su perfil
y situación comercial o crediticia concreta, todo ello para efectuarle ofertas
comerciales ajustadas a sus necesidades y preferencias.?
PUBLICIDAD ?(ii) Detalle de los tratamientos para la oferta comercial de productos y
servicios de CaixaBank y las Empresas del Grupo CaixaBank. Otorgando su
consentimiento a las finalidades aquí detalladas, Usted nos autoriza a: Enviar
comunicaciones comerciales tanto en papel como por medios electrónicos o
telemáticos, relativas a los productos y servicios que, en cada momento: a)
comercialice CaixaBank o cualquiera de las Empresas del Grupo CaixaBank. El
firmante podrá elegir en cada momento los diferentes canales o medios por los que
desea o no recibir las indicadas comunicaciones comerciales a través de su banca
digital, mediante el ejercicio de sus derechos, o mediante su gestión en la red de
oficinas de CaixaBank.?
Según se indica en el documento aportado, al inicio de la encuesta se informa al
cliente que en su día Caixabank le solicitó autorización para el tratamiento de sus
datos de carácter personal, en concreto, sobre su consentimiento para perfilarle
(estudiar y analizar sus datos) y remitirle publicidad adaptada que pudiese ser de
interés del cliente. Se le informa de que se van a leer a través de una grabación de 30
segundos un extracto de la cláusula que figura en su contrato y seguidamente se le
van a plantear unas preguntas de valoración de 0 a 10 donde 0 es no lo entendí y 10
lo entendí perfectamente. A continuación, se le lee el primer extracto de los arriba
transcritos y se le formulan las siguientes preguntas:
a) ¿Ha entendido que Caixabank analizará sus datos personales, su historial de
productos contratados y sus visitas a nuestras Apps y sitios web para sugerirle
otros productos y/o servicios adaptados a usted que pueden ser de su interés?
b) ¿Ha comprendido que las empresas del Grupo Caixabank también analizarán sus
datos, su historial de productos contratados y sus visitas a App y sitios web para
sugerirle otros productos y/o servicios adaptados a Usted que puedan ser de su
interés?
Se lee el segundo extracto y se le formula a continuación la siguiente pregunta: ?en
base al texto de acaba de escuchar, ?esperaría que Caixabank y las empresas del
grupo le enviaran publicidad por los canales que haya indicado?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/82
La encuesta, según consta se realizó a 171 personas, con los siguientes resultados:
A la pregunta A) se entiende que Caixabank analiza sus datos personales, su historial
de productos contratados y sus visitas a nuestras Apps y sitios web para sugerir otros
productos y servicios un 97.66% responden SI y un 2.34% responden No. El grado de
comprensión según la encuesta es el siguiente el 88.30% responden se ha entendido
perfectamente, un 9.36% responden se ha entendido y un 2.34% no se ha entendido.
A continuación, desglosa el detalle de la valoración de 0 a 10 relacionada con la
pregunta A.
Respecto de la pregunta B): ?Se entiende que las empresas del grupo Caixabank
también analizarán sus datos, su historial de productos contratados y sus visitas a
apps y sitios web para sugerirle otros productos y servicios adaptados a usted que
puedan ser de su interés?, responde Si un 95.32% y No un 4.68%. El grado de
comprensión según la encuesta es el siguiente: el 85.38% responden se ha entendido
perfectamente, un 9.94% responden se ha entendido y un 4.68% responden que no se
ha entendido. A continuación, se desglosa el detalle de la valoración de 0 a 10
relacionada con la pregunta B.
Respecto a la tercera pregunta: ¿Esperaría que CaixaBank y las empresas del grupo
le enviaran publicidad por los canales que haya indicado?, responden SI un 90.06% de
los encuestados y NO un 9.94%. El grado de comprensión según la encuesta es el
siguiente el 80.70% responden que se ha entendido perfectamente, un 9.36%
responden que se ha entendido y un 9.94% responden que no se ha entendido. A
continuación, se desglosa el detalle de la valoración de 0 a 10 relacionada con la
pregunta C.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española
de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1 de la
LOPDPGDD.
II
Debido a razones de funcionamiento del órgano administrativo, por ende no atribuibles
al recurrente, hasta el día de la fecha no se ha emitido el preceptivo pronunciamiento
de esta Agencia respecto a la pretensión del interesado.
De acuerdo con lo establecido en el art. 24 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP) el
sentido del silencio administrativo en los procedimientos de impugnación de actos y
disposiciones es desestimatorio.
Con todo, y a pesar del tiempo transcurrido, la Administración está obligada a dictar
resolución expresa y a notificarla en todos los procedimientos cualquiera que sea su
forma de iniciación, según dispone el art. 21.1 de la citada LPACAP. Por tanto,
procede emitir la resolución que finalice el procedimiento del recurso de reposición
interpuesto.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/82
III
Conviene, en primer lugar, examinar la primera de las alegaciones planteadas por
CPC, por tratarse de una alegación no formulada con anterioridad. Afirma CPC la falta
de competencia de la Directora de la AEPD basándose en que su mandato ha
expirado.
Esta Agencia no puede compartir tales alegaciones, ni la Ley Orgánica 15/1999, ni la
actual Ley Orgánica 3/2018 contemplan un término automático, del mandato del
director de la AEPD.
El artículo 36 de la LOPD configura un sistema para garantizar la independencia de la
AEPD, conforme al cual su Director solamente puede ser cesado con anterioridad a la
expiración de su mandato en los supuestos previstos en su número 3, de modo que,
únicamente, una vez expirado el mismo puede ser cesado por el órgano que lo
nombró. Ello comporta que, de la misma manera en que su nombramiento se lleva a
cabo mediante Real Decreto, el órgano competente para su nombramiento, esto es, el
Consejo de Ministros, una vez expirado el mandato debe declara su cese mediante
Real Decreto, sin que quepa que el Director de la AEPD deje de ejercer las funciones
que tiene atribuidas sin que se produzca dicho acto formal, que en el momento actual
no se ha producido. En otro caso, nos encontraríamos ante un abandono del cargo
por parte del Director de la Agencia, que constituiría una falta disciplinaria muy grave,
conforme al art. 95.2.c) del texto refundido de la Ley del Estatuto Básico del Empleado
Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, o art. 6.c)
del Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del
Estado, aprobado por Real Decreto 33/1986, de 10 de enero.
No resultan de aplicación al presente caso las sentencias del TS invocadas por el
recurrente. El supuesto de hecho, idéntico en las 3 sentencias citadas, constituye un
caso específico no asimilable a la situación de la dirección de la AEPD. Tal y como
figura en tales sentencias el supuesto viene constituido por una situación de encargo
de servicios, cuya regulación resulta conveniente incluir aquí a efectos de examinar su
diferencia con la del presente supuesto y las consecuencias que derivan de la misma
que determinan que no puedan ser aplicadas a la situación de expiración del mandato
del director de la AEPD.
La regulación contenida en el Real Decreto 123/1997, de la Comunidad Autónoma
Catalana era la siguiente:
Conforme al conforme al artículo 6.b ?Los puestos de trabajo reservados a
funcionarios, no obstante lo que disponen las relaciones de puestos de trabajo,
también se podrán proveer de forma extraordinaria por algunos de los sistemas
siguientes: b) Encargo de funciones.?
Según el artículo 105.1 ?El titular del departamento al que esté adscrito un cargo de
mando vacante, cuando se produzcan necesidades urgentes, podrá cubrirlo con
carácter provisional mediante el encargo de las funciones de este puesto a un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/82
funcionario que se adecue al perfil o a las características del mencionado puesto de
mando y cumpla los requisitos exigidos para ejercerlo.?
El l artículo 106 señala: ?1 El nombramiento de un encargo de funciones de puestos
de mando o asimilados lo hará directamente el órgano a que se refiere el artículo
anterior. Transcurrido el plazo máximo de seis meses a contar desde la fecha de la
resolución por la que se efectúa el mencionado encargo, se realizará la
correspondiente convocatoria de concurso, salvo que el puesto de trabajo esté
reservado a un funcionario por algunos de los motivos establecidos en la normativa
vigente.
(?)
106.3. El nombramiento en funciones quedará automáticamente sin efecto si, agotado
el plazo mencionado en el apartado anterior, no se ha procedido a la publicación del
mencionado concurso. En consecuencia, el funcionario deberá volver al puesto de
origen que tiene reservado, y no podrá continuar desarrollando las funciones del
puesto de trabajo que se le habían encargado ni percibir las retribuciones de este
puesto de trabajo.
106.4 No obstante lo que se establece en el apartado anterior, mientras se resuelve la
convocatoria de concurso se entenderá prorrogado el plazo máximo de seis meses y
vigente el encargo de funciones del puesto de trabajo convocado.?
Así pues, en la norma transcrita, nos encontramos ante una provisión de un puesto de
trabajo mediante la figura del ?encargo de funciones?, nombramiento que
necesariamente es provisional y en el que las consecuencias del transcurso del
tiempo se encuentran estrictamente fijadas en la propia norma reguladora,
consistiendo en que el nombramiento queda automáticamente sin efecto si no se ha
producido el concurso a que alude dicha norma y el funcionario debe volver a su
puesto de origen sin poder desarrollar las funciones del puesto de trabajo que se le
habían encargado. Dicha norma solamente prevé una prórroga del encargo de
funciones del puesto hasta tanto se resuelva la convocatoria del concurso, de modo
que si el concurso no se convoca, como sucedió en el supuesto de hecho
contemplado en la sentencia, no resultaba posible entenderse vigente el encargo de
funciones.
Así lo expresan las propias sentencias «Poniendo en relación esta normativa con los
hechos expuestos se desprende que el nombramiento se produjo el 2 de enero de
2008 por lo que el plazo de ejercicio de las funciones expiraba el 2 de julio de 2008 y,
por otro lado, no habiéndose convocado el concurso en dicha fecha no era posible la
prórroga de dichas funciones como permite el apartado 4 transcrito. No afecta a lo
anterior el que no se hubiera aprobado el marco reglamentario para la provisión de
puestos de trabajo en la Agencia Tributaria de Catalunya al ser aplicable a dicho
organismo el entonces vigente Reglamento de 1997. La consecuencia anterior es que
el nombramiento en funciones había quedado sin efecto produciéndose el cese
automático de funcionario encargado en dichas funciones por lo que debe anularse el
acuerdo de liquidación por incompetencia funcional de titular del órgano autos del
acto», lo que le lleva a estimar la reclamación y anular el acuerdo impugnado?
En consecuencia, la doctrina fijada en tales sentencias no resulta aplicable a la
extinción del mandato del director de la AEPD, ya que no se trata de un encargo de
funciones por necesidades urgentes con los límites y consecuencias que fija la norma
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/82
a que la sentencia se refiere. En el caso presente, nada en el estatuto de la AEPD, ni
en la ley orgánica 3/2018, ni en la ley 40/2015 indica que se produce un cese
automático en el momento en que finaliza el período de tiempo por el que fue
nombrado el director de la AEPD, por el contrario, en el nuevo estatuto se recoge
expresamente que se continuará en funciones. En segundo lugar, cabe recordar que
el nombramiento se hace por el Gobierno mediante Real Decreto a propuesta del
Ministro de Justicia, conforme a lo señalado en el artículo 14 del Estatuto de la
Agencia de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de
marzo, que establece en su artículo 15 que cesará en el desempeño de su cargo por
la expiración del mandato, sin que nada en dicha norma impida la continuación de
dicho desempeño en funciones hasta tanto se produzca el nombramiento de un nuevo
titular de dicho cargo. A este respecto debe, además, señalarse que ninguna norma
requiere que la situación de ejercicio de funciones sea declarada expresamente
mediante un acto formal, ni tampoco existe una norma que exija que en la firma del
titular de un órgano que se encuentra en funciones se declare tal circunstancia.
En segundo lugar se alega que el órgano director se ha suprimido en el nuevo estatuto
y que en la Disposición Transitoria Única del Real Decreto 389/2021, no hay previsión
alguna respecto de que transitoriamente no sea efectiva tal supresión, por ejemplo,
manteniendo como órgano directivo de la AEPD el de ?Director?, hasta el
nombramiento del titular de la ?Presidencia de la Agencia Española de Protección de
Datos?, ni hay mención alguna a una potencial aplicación del artículo 12.3 del Estatuto
del 2021, que se refiere únicamente a ?la persona titular de la Presidencia?, ni tampoco
se prevé que el titular del órgano suprimido pase a ser el titular de la Presidencia de la
AEPD, de modo que, a partir del 3 de junio de 2021, todos los actos administrativos
dictados por el órgano ?Directora de la Agencia Española de Protección de Datos?
también son actos administrativos en los que concurre un vicio de legalidad que
implica la inexistencia jurídica de los mismos, por lo que estaríamos en un supuesto de
nulidad de pleno derecho, en tanto estarían dictados por un órgano de la AEPD
inexistente.,
Tampoco puede compartirse esta alegación, El estatuto de la Agencia completa la
regulación de la Ley Orgánica 3/2018 concretando el procedimiento de designación del
presidente de la entidad, órgano cuya previsión se encuentra en la Ley Orgánica
3/2018, por lo que hasta la publicación del estatuto no se podía proceder a la
provisión de dicho cargo, ello no obstante, las funciones de la Agencia deben
continuar siendo ejercidas, por lo que, en tanto, no se produzca el nombramiento del
presidente en los términos previstos en dicho estatuto al titular del órgano que las
ejercía con anterioridad corresponde, sin solución de continuidad, ejercer las funciones
del nuevo órgano, la presidencia de la entidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/82
IV
En relación con restantes manifestaciones efectuadas en el escrito del recurso, que
reproducen las alegaciones ya presentadas a lo largo del procedimiento sancionador,
debe indicarse que ya fueron analizadas y desestimadas en los Fundamentos de
Derecho de la resolución recurrida. En dichos Fundamentos de derecho se indicaba lo
siguiente:
II
?Con carácter previo, se considera conveniente analizar las alegaciones efectuadas
por CAIXABANK PAYMENTS & CONSUMER, E.F.C., E.P., S.A.U. (en adelante CPC)
en base a las cuales solicita la declaración de nulidad de las actuaciones.
1. En la primera de ellas se alega una insuficiente motivación del acuerdo de inicio.
Se alega por CPC que no existe conexión directa entre el contenido de la reclamación
inadmitida y el inicio de actuaciones previas.
Esta Agencia no puede compartir tal alegación, resulta evidente la conexión entre una
reclamación en la que se alega un tratamiento de consulta a un sistema de
información crediticia y una oferta comercial de un producto, para lo cual se ha
llevado a cabo un perfilado, todo ello sin consentimiento del reclamante, y el inicio de
actuaciones de investigación de la AEPD sobre los procedimientos de obtención del
consentimiento en los procedimientos de perfilado llevados a cabo por CPC cuando
aquel constituya la base jurídica que legitime dichos tratamientos.
Respecto a que se ha obviado información relevante para la defensa, ya que en el
acuerdo de inicio no se hizo referencia al hecho de que el interesado presentó recurso
de reposición a la inadmisión de su reclamación y a que éste fue estimado por la
AEPD, cabe señalar que en el acuerdo de inicio no se hizo referencia a tal hecho, al
que no se atribuye la relevancia que le otorga CPC, toda vez que la propia resolución
de inadmisión de la reclamación, de la que se da comunicación al reclamado, advierte
que sin perjuicio de ese resultado ?la Agencia, aplicando los poderes de investigación
y correctivos que ostenta, pueda llevar a cabo posteriores actuaciones relativas al
tratamiento de datos referido en la reclamación?.
No obstante lo anterior, dicha información fue incluida en la propuesta de resolución
para una mayor claridad de los antecedentes que dieron lugar al inicio de actuaciones
de investigación, de modo que CPC ha tenido conocimiento de la mismo en el marco
del procedimiento pudiendo alegar cuanto ha tenido por conveniente.
2. La segunda hace referencia el supuesto incumplimiento del artículo 55.1 de la
LPACAP, en conexión con el artículo 53 de la LOPDGDD, considerando que la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/82
inspección de datos se ha extralimitado, sin ser ésta su función, al ampliar el alcance
de las actuaciones previas de investigación definido por el titular del órgano
administrativo. Dicha alegación se fundamenta en que el ámbito de investigación
determinado por la Directora de la AEPD se refiere a clientes, mientras que el escrito
por el que se requiere información a CPC hace referencia a ?posibles clientes?. Afirma
CPC que, aunque la Agencia reconoce que ha habido un error de transcripción y que
no existen tales tratamientos, el hecho de no existir tales tratamientos no disminuye la
extralimitación inicialmente planteada ya que, aunque no sabe qué hubiera pasado si
tales tratamientos hubieran existido, ?es razonable pensar que la investigación se
hubiera llevado a cabo fuera del alcance concretado por la Directora de la AEPD?
Nuevamente esta Agencia no puede compartir tales razonamientos. Esta Agencia ha
reconocido en la propuesta de resolución que se ha producido un error de
transcripción en el requerimiento de la Subdirección de Inspección por el que se
solicitaba información a CPC, al hacerse referencia no solamente a clientes, sino
también a ?posibles clientes?. Ahora bien, no se ha realizado actuación alguna sobre
tratamientos de datos no incluidos en el ámbito de investigación fijado por la Directora
de la AEPD, la propia CPC ha manifestado, en la información facilitada con motivo de
tal requerimiento, que no se llevan a cabo tales tratamientos con ?`posibles clientes? y
en consecuencia no ha facilitado información alguna en tal sentido. Por otra parte, la
afirmación de CPC de que aunque no sabe qué hubiera pasado si tales tratamientos
hubieran existido, pero ?es razonable pensar que la investigación se hubiera llevado a
cabo fuera del alcance concretado por la Directora?, carece del más absoluto
fundamento. A juicio de esta Agencia, de ninguna manera pueda admitirse que una
suposición infundada constituya una causa de anulabilidad del procedimiento.
3. La tercera de las alegaciones hace referencia a una presunta vulneración del
principio non bis in ídem, considerando que la misma recogida de consentimientos
para la elaboración de perfiles fue objeto de investigación y sanción en el
procedimiento sancionador contra CAIXABANK, S.A, número PS/00477/2019.
Entiende que existe identidad de sujeto, hecho y fundamento, toda vez que CPC
forma parte del grupo CaixaBank, lo que conlleva que muchos tratamientos se realicen
en régimen de corresponsabilidad, en particular el tratamiento basado en el
consentimiento, descrito como ?Análisis de sus datos para la elaboración de perfiles
que nos ayuden a ofrecerle productos que creemos que pueden interesarle?, que
figura en la letra 6.1.A de la política de privacidad de Caixabank, S.A.
Esta Agencia tampoco puede aceptar tal alegación. La resolución del PS/00477/2019,
limita su actuación a determinadas actuaciones de la entidad CAIXABANK, S.A.,
excluyendo expresamente ?la actuación que puedan desarrollar las empresas que
integran el denominado ?Grupo CaixaBank? para el cumplimiento del principio de
transparencia o los procedimientos específicos que hayan habilitado para recabar el
consentimiento de sus clientes para los tratamientos de datos personales que lleven o
pretendan llevar a cabo, o en relación con los otros aspectos reseñados.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/82
A ello debe añadirse que el régimen de corresponsabilidad a que se hace referencia
no solo no resulta acreditado, sino que a juicio de esta Agencia, ni siquiera resulte
admisible su existencia en el presente supuesto, como se verá más adelante. En este
sentido, no cabe admitir que la Agencia haya invertido la carga de la prueba como
alega CPC, es CPC quien afirma la existencia de corresponsabilidad para exonerarse
de su responsabilidad, siendo por tanto a ella a quien corresponde acreditar su
existencia.
Por otra parte, incluso en el supuesto de que existiera una corresponsabilidad en el
tratamiento, lo que a juicio de esta Agencia no sucede en el presente supuesto tal y
como se indica en el párrafo anterior, la sanción a cada uno de los responsables del
mismo no implicaría una infracción del principio non bis in ídem. El régimen de
corresponsabilidad no determina que toda la responsabilidad se aplique a un único
sujeto, sino que cada corresponsable responderá por la parte del tratamiento que lleve
a cabo. En este sentido, debe tenerse en cuenta lo señalado por el TJUE en la
Sentencia del 5 de junio de 2018, en el asunto C-210/16. (Wirtschaftsakademie)
?? la existencia de una responsabilidad conjunta no se traduce necesariamente en
una responsabilidad equivalente de los diversos agentes a los que atañe un
tratamiento de datos personales. Por el contrario, esos agentes pueden presentar una
implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que
el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta
todas las circunstancias pertinentes del caso concreto.?
4. En cuarto lugar se alega una actuación arbitraria de la AEPD, proscrita por el
artículo 9.3 de la Constitución Española. Afirma CPC que se trata de una actuación
arbitraria que no persigue con objetividad el interés general evidenciando además un
trato discriminatorio con otros administrados.
Afirma que CAIXABANK, S.A. compartió con la AEPD aspectos por los que ahora se
pretende sancionar a CPC, solicitando una reunión o contactos a fin de obtener y
adoptar criterios y recomendaciones que la AEPD hubiera querido trasladar al
respecto, gestiones que no dieron resultado a pesar de la insistencia de
CAIXABANK,S.A., por lo que entiende que este grupo adoptó una actitud diligente y
preventiva siendo el efecto que la AEPD ha adoptado una actitud exclusivamente
punitiva con el grupo CAIXABANK.
Tales alegaciones no son admisibles. El RGPD introduce el principio de
responsabilidad proactiva como elemento fundamental de cumplimiento de sus
previsiones, incumbiendo dicha obligación al responsable. Tal y como establece el
artículo 24 de dicha norma, corresponde al responsable del tratamiento aplicar las
medidas técnicas y organizativas apropiadas a fin de garantizar que el tratamiento es
conforme con el RGPD, o, en los términos del considerando 74 de la misma norma:
?En particular, el responsable debe estar obligado a aplicar medidas oportunas y
eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con
el presente Reglamento, incluida la eficacia de las medidas?. No está obligada esta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/82
Agencia a emitir opinión o valoración alguna sobre la conformidad con la normativa de
protección de datos de los tratamientos que lleva a cabo un responsable a petición de
éste, salvo en el supuesto de consulta previa previsto en el artículo 36, supuesto ante
el que no nos encontramos en el presente procedimiento. Por otra parte, si bien esta
Agencia dispone de diversos canales para que los responsables puedan plantear sus
dudas, los informes que a través de tales canales pudieran emitirse, carecen de
carácter vinculante, por lo que no cabe justificar en la ausencia de una opinión de la
AEPD sobre los tratamientos del responsable, el incumplimiento de las obligaciones
de éste.
También deben rechazarse las alegaciones relativas al supuesto trato desigual entre
entidades de un sector y otro que centra en el plan de oficio sobre contratación a
distancia en operadores de telecomunicaciones y comercializadores de energía. Como
el propio nombre del plan indica, su objetivo es la contratación a distancia y no
solamente en el sector de telecomunicaciones, sino también en el de la energía en el
que también se utiliza esta modalidad de contratación. La realización de dicho plan de
actuaciones no deriva del porcentaje de reclamaciones recibido durante un año
concreto en un sector o en otro, sino que su realización se encontraba incluida en el
plan estratégico 2015-2019 de la AEPD, a la vista de los problemas que este tipo de
contratación plantea, en particular en aspectos como la suplantación de identidad o la
contratación fraudulenta, tal y como el propio plan expone. Se trata de una
problemática general, que justifica una actuación de oficio de esta Agencia y no de un
concreto incumplimiento de la normativa de protección de datos por parte de una
entidad, como ocurre en el presente caso. Por otra parte, el hecho de que se lleve a
cabo un plan de oficio por parte de la AEPD no implica que las entidades del sector
objeto del mismo no sean sancionadas en el caso de que se reciba una reclamación
que determine la procedencia de actuaciones de investigación y, en su caso
sancionadoras. En este sentido debe recordarse que esta Agencia tiene la obligación
de publicar sus resoluciones, bastando con ver las que aparecen en su página web,
para comprobar que no limita su actuación punitiva a unos sectores de actividad.
CPC basa también la supuesta discriminación de trato respecto de otros interesados
en la afirmación de que son reiteradas las resoluciones de procedimientos
sancionadores de la AEPD en los que se sanciona al responsable del tratamiento por
infracción del artículo 6 RGPD (vid. PPSS 00235/2019, 00182/2019, 00415/2019) y
que, teniendo en cuenta la condición de gran empresa y volumen de negocio, entre
otros, ni de lejos las sanciones alcanzan el nivel económico de la propuesta de
sanción contenida en el Acuerdo de Inicio, puesto que son sanciones que han oscilado
entre los 60.000? y los 120.000?. Afirma también que no se entiende en qué se basa
la Agencia para modular las sanciones económicas puesto que el Acuerdo de Inicio ni
motiva ni explica mínimamente la aplicación de los criterios de graduación de la
sanción, ni el hecho de desviarse de los mismos en la sanción propuesta, tratándose
de hechos muy semejantes. Alega que la propuesta de resolución no ha entrado a
valorar estos concretos ejemplos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/82
Tampoco cabe admitir estas afirmaciones. Para determinar la sanción a imponer en
cada caso, esta Agencia, tiene en cuenta los elementos establecidos en el artículo 83
del RGPD, así como los establecidos en el artículo 76.2 de la LOPDGDD, dichos
elementos, como es sabido, no solamente se refieren al tipo infractor, la condición de
gran empresa o el volumen de negocio, por lo que la afirmación de CPC de que otros
procedimientos en los que coinciden esos tres elementos y la sanción es menor,
realizada sin mayor precisión que justifique la supuesta discriminación de trato
respecto de otros interesados, no puede ser tenida en cuenta como una causa que
determine la anulabilidad de un procedimiento. No obstante, cabe añadir que tales
elementos son lo único que tienen estos procedimientos en común con el que ahora
se tramita, puesto que los demás elementos de graduación de la sanción que se han
considerado para determinar la sanción en el presente procedimiento y los contenidos
en las resoluciones a que CPC hace referencia no son equiparables, ni por la
naturaleza y gravedad de la infracción, ni por el número de afectados (solamente el
reclamante en los casos mencionados), por mencionar solamente alguno de los
agravantes tenidos en cuenta en el presente procedimiento y que no concurrían en
los supuestos a que CPC se refiere.
En lo que respecta a lo afirmado por CPC respecto al acuerdo de inicio del presente
procedimiento, cabe recordar que se enumeran en el propio acuerdo de inicio las
circunstancias que pudieran influir en la determinación de la sanción. En este sentido,
el acuerdo de inicio del procedimiento es conforme a lo establecido en el artículo
64.2.b de la LPACAP, según el cual el acuerdo de iniciación deberá contener al
menos: b) ?los hechos que motivan la incoación del procedimiento, su posible
calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte
de la instrucción.? En este sentido se expresa también el artículo 68 de la LOPDGDD,
según el cual bastará con que el acuerdo de inicio del procedimiento concrete los
hechos que motivan la apertura, identifique la persona o entidad contra la que se
dirige el procedimiento, la infracción que hubiera podido cometer y su posible sanción.
En el presente supuesto el acuerdo de inicio va incluso más allá mencionando las
posibles circunstancias que pudieran influir en la determinación de la sanción, siempre
sin perjuicio de lo que resulte de la instrucción, razón por la que las mismas no se
desarrollan en el citado acuerdo, si bien se indican en aras de una mejor posibilidad
de defensa por parte de la entidad contra la que se dirige el procedimiento y, en su
caso, a que pueda hacer uso de lo previsto en el artículo 85 de la LPACAP, pagando
voluntariamente y obteniendo las reducciones de la sanción que fija dicho precepto.
5.En quinto lugar, se alega la indefensión producida a CPC al conculcar su presunción
de inocencia, que fundamenta de la siguiente manera ?nos hallamos ante el inicio de
un procedimiento sancionador, precedido de un requerimiento de información previa
de 6 de febrero de 2020. Pues bien, antes de que expirara el plazo administrativo
preceptivo para dar respuesta a dicho requerimiento, en concreto, el día 3 de marzo,
en un acto de ISMS Fórum celebrado en Madrid, tal y como ya se ha descrito en
detalle anteriormente, la Directora de la AEPD, máxima autoridad de la institución, y
persona competente para resolver el presente expediente , señaló públicamente sobre
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/82
la existencia de dos o tres procedimientos sancionadores de alto impacto que iban a
tener mucha repercusión mediática en relación con el sector financiero.?. Reitera en
otro párrafo, previa consideración de que de conformidad con los artículos 24.2, 103. 1
y 3 CE ?y art. 6.1 del Convenio Europeo de Derechos Humanos-, cualquier actuación
de la Administración Pública debe obedecer a los principios de objetividad e
imparcialidad; ?no obstante, en este caso, sin haber valorado todavía la respuesta al
requerimiento de información, puesto que esta fue presentada el 2 de junio de 2020
(casi tres meses después de las mencionadas declaraciones de la Directora ), la
persona que ha de resolver, y de quien, además, como autoridad máxima, dependen
jerárquicamente inspectores e instructores de la AEPD, lejos de guardar alguna
apariencia de justicia decidió (públicamente) que habría sanción, y ello sin tan solo
haber acordado la iniciación de procedimiento sancionador.?
A este respecto, debe señalarse en primer lugar que la afirmación de CPC de que
existía una decisión ya tomada antes de propia tramitación del procedimiento
sancionador carece del más mínimo apoyo fáctico. No cabe admitir tal interpretación,
las afirmaciones de la Directora realizadas en el marco de unas declaraciones sobre la
transcendencia de los procedimientos sancionadores en curso debido a la cuantía de
las multas, ni predeterminaba la decisión a tomar de dichos procedimientos ni mucho
menos podía referirse a una entidad como CPC, respecto de la cual no solo no se
había incoado un procedimiento sancionador, sino que ni siquiera había presentado
todavía la documentación que posteriormente justificó la apertura del presente
procedimiento.
Debe aquí recordarse que, en el ámbito administrativo sancionador, la imparcialidad
del órgano resolutorio está vinculada al derecho del interesado a un proceso con todas
las garantías. Se garantiza con los motivos de abstención o recusación y con la debida
separación entre las fases de instrucción y de resolución del procedimiento
sancionador, separación entre fases que se respeta escrupulosamente en todos los
procedimientos de esta naturaleza seguidos en la AEPD.
En aras de la seguridad jurídica, los motivos de abstención o recusación se han
regulado mediante una lista taxativa de circunstancias que responden a razones
objetivas, evitándose con ello que los interesados puedan apreciar causas de
abstención o recusación basadas en criterios propios o particulares. En nuestro
ordenamiento administrativo, la apariencia de parcialidad se estima por la
concurrencia, objetivamente justificada, de los motivos regulados en los artículos 23 y
24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
(LRJSP):
?Artículo 23. Abstención.
1. Las autoridades y el personal al servicio de las Administraciones en quienes se den
algunas de las circunstancias señaladas en el apartado siguiente se abstendrán de
intervenir en el procedimiento y lo comunicarán a su superior inmediato, quien
resolverá lo procedente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/82
2. Son motivos de abstención los siguientes:
a) Tener interés personal en el asunto de que se trate o en otro en cuya resolución
pudiera influir la de aquél; ser administrador de sociedad o entidad interesada, o tener
cuestión litigiosa pendiente con algún interesado.
b) Tener un vínculo matrimonial o situación de hecho asimilable y el parentesco de
consanguinidad dentro del cuarto grado o de afinidad dentro del segundo, con
cualquiera de los interesados, con los administradores de entidades o sociedades
interesadas y también con los asesores, representantes legales o mandatarios que
intervengan en el procedimiento, así como compartir despacho profesional o estar
asociado con éstos para el asesoramiento, la representación o el mandato.
c) Tener amistad íntima o enemistad manifiesta con alguna de las personas
mencionadas en el apartado anterior.
d) Haber intervenido como perito o como testigo en el procedimiento de que se trate.
e) Tener relación de servicio con persona natural o jurídica interesada directamente en
el asunto, o haberle prestado en los dos últimos años servicios profesionales de
cualquier tipo y en cualquier circunstancia o lugar.?
?Artículo 24. Recusación.
1. En los casos previstos en el artículo anterior, podrá promoverse recusación por los
interesados en cualquier momento de la tramitación del procedimiento.
2. La recusación se planteará por escrito en el que se expresará la causa o causas en
que se funda?.
Se trata, en definitiva, de que la persona que adopta la decisión no tenga ningún
interés personal en el asunto y no haya intervenido en el procedimiento como perito o
testigo, de modo que pueda resolver conforme al interés general, sin ningún tipo de
influencia ajena a ese interés que pueda llevarle a decidir en una forma determinada.
Por otra parte, de conformidad con la doctrina de nuestro Tribunal Constitucional, lo
que se reclama a los servidores públicos no es la imparcialidad personal y procesal
que se exige a los órganos judiciales, sino que actúen con objetividad y sometimiento
al derecho.
Así, en la STC 174/2005, de 4 de julio, se declara lo siguiente: ?Al respecto se debe
recordar que si bien este Tribunal ha reiterado que, en principio, las exigencias
derivadas del derecho a un proceso con todas las garantías se aplican al
procedimiento administrativo sancionador, sin embargo, también se ha hecho especial
incidencia en que dicha aplicación debe realizarse con las modulaciones requeridas
en la medida necesaria para preservar los valores esenciales que se encuentran en la
base del art. 24.2 CE y la seguridad jurídica que garantiza el art. 9.3 CE, en tanto sean
compatibles con su propia naturaleza (por todas, STC 197/2004, de 15 de noviembre,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/82
FJ 2). Más en concreto, y por lo que se refiere específicamente a la garantía de
imparcialidad, se ha señalado que es uno de los supuestos en que resulta necesario
modular su proyección en el procedimiento administrativo sancionador, toda vez que
dicha garantía ?no puede predicarse de la Administración sancionadora en el mismo
sentido que respecto de los órganos judiciales? (STC 2/2003, de 16 de enero, FJ 10),
pues, ?sin perjuicio de la interdicción de toda arbitrariedad y de la posterior revisión
judicial de la sanción, la estricta imparcialidad e independencia de los órganos del
poder judicial no es, por esencia, predicable en la misma medida de un órgano
administrativo? (STC 14/1999, de 22 de febrero, FJ 4), concluyéndose de ello que la
independencia e imparcialidad del juzgador, como exigencia del derecho a un proceso
con todas las garantías, es una garantía característica del proceso judicial que no se
extiende sin más al procedimiento administrativo sancionador (STC 74/2004, de 22 de
abril, FJ 5)?.
Y la STC 14/1999, de 22 de febrero, señala lo siguiente: ?Un erróneo entendimiento
del contenido de las exigencias constitucionales de imparcialidad judicial y su
pretendida traslación in totum a quien interviene en el procedimiento administrativo
sancionador en calidad de Instructor, lleva al recurrente a afirmar la lesión de su
derecho a un proceso con todas las garantías. (?) Cabe reiterar aquí de nuevo, como
hicimos en la STC 22/1990 (fundamento jurídico 4º), que "sin perjuicio de la
interdicción de toda arbitrariedad y de la posterior revisión judicial de la sanción, la
estricta imparcialidad e independencia de los órganos del poder judicial no es, por
esencia, predicable en la misma medida de un órgano administrativo". Lo que del
Instructor cabe reclamar, ex arts. 24 y 103 C.E., no es que actúe en la situación de
imparcialidad personal y procesal que constitucionalmente se exige a los órganos
judiciales cuando ejercen la jurisdicción, sino que actúe con objetividad, en el sentido
que a este concepto hemos dado en las SSTC 234/1991, 172/1996 y 73/1997, es
decir, desempeñando sus funciones en el procedimiento con desinterés personal. A
este fin se dirige la posibilidad de recusación establecida por el art. 39 de la Ley
Orgánica 12/1985, del Régimen Disciplinario de las Fuerzas Armadas (en adelante
L.O.R.D.F.A.) que reenvía al art. 53 de la Ley Procesal Militar, cuyo catálogo de
causas guarda, en este ámbito, evidente similitud, con el previsto en la Ley Orgánica
del Poder Judicial, aunque las enumeradas en uno y otro obedezcan, según lo
expuesto, a diverso fundamento. (?) Ninguna de las razones aducidas puede ser
atendida, no ya sólo porque, con carácter general, y según antes se expresó, no
puede trasladarse sin más al ámbito sancionador administrativo la doctrina
constitucional elaborada acerca de la imparcialidad de los órganos judiciales, sino
porque en el caso presente, y en atención a la configuración de las causas legales de
recusación, no cabe apreciar la concurrencia de ningún elemento que demandara el
apartamiento del Instructor por pérdida de la necesaria objetividad. No se observa en
el Instructor cuestionado, ni el interesado ha aportado dato justificado alguno al
respecto, la presencia de interés personal directo o indirecto en la resolución del
expediente sancionador (?)?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/82
A este respecto, debe tenerse en cuenta que, para declarar la nulidad de las
actuaciones por las razones alegadas, es preciso que se demuestre plenamente la
concurrencia de uno de aquellos motivos que hayan podido influir de manera efectiva
en la decisión adoptada mediante la resolución presente.
Se considera oportuno dejar constancia en este acto de la no concurrencia de ninguna
de las causas de abstención o recusación establecidas en los preceptos transcritos, lo
que permite concluir que no existe la falta de imparcialidad alegada. No tiene interés
personal en el objeto del procedimiento; ni vínculo, amistad o enemistad con el
interesado; ni ha intervenido como perito o testigo en el procedimiento.
En el presente supuesto, si bien CPC alega falta de imparcialidad del órgano
resolutorio, no ha planteado formalmente la recusación de la Directora de la AEPD,
reconociendo en sus alegaciones que ?ya valoró en su momento que no concurrían
los supuestos de abstención del artículo 23.2 de la Ley 40/2015, y, en consecuencia,
no se planteó solicitar la recusación sugerida en la Propuesta de Resolución?.
Por otra parte, la presente resolución se adopta conforme a Derecho, según criterios
objetivos, y sin que el órgano resolutorio haya prejuzgado el asunto en cuestión
mediante actuaciones formales previas o mediante su intervención en fases anteriores
del procedimiento. Esta intervención no ha tenido lugar en forma alguna, más allá de
la adopción del acuerdo de apertura del procedimiento según establece la normativa
procesal aplicable.
Tampoco las declaraciones de la Directora de la AEPD a que hace referencia CPC, ni
ninguna otra circunstancia, han quebrado la imparcialidad del órgano instructor, que
ha dispuesto de todas las facultades que le atribuye la normativa en cuestión y plena
libertad para dictar su propuesta de resolución.
Por otra parte, la instrucción del procedimiento ha sido acorde a la normativa
procedimental, sin que pueda apreciarse ninguna irregularidad en la tramitación del
procedimiento, en el que, además, se han respetado todas las garantías del
interesado, incluida la presunción de inocencia.
La intervención de la Directora en el evento celebrado el 03/03/2020 está relacionada,
con la adopción de los acuerdos de apertura de los procedimientos a que se refiere
CPC en sus alegaciones, ambos del sector financiero. La referencia a estos acuerdos
como de amplio impacto para los sectores afectados y con relevancia mediática tiene
que ver con las novedades reguladas en el RGPD y, en particular, las relativas al
nuevo modelo de cumplimiento y de supervisión. En relación con este último, destacan
las importantes cuantías contempladas en el Reglamento con el fin de qué, cómo
pretende dicha norma, puedan tener carácter disuasorio.
6. En sexto lugar se afirma que existe una quiebra del principio de confianza legítima
en la actuación administrativa, que fundamenta en que a raíz de la denuncia a que
hace referencia el antecedente de hecho primero del acuerdo de inicio, la AEPD dio
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/82
traslado de la misma el 29 de noviembre de 2018 al Delegado de Protección de
Datos, y que con fecha 7 de febrero de 2019, acordó la inadmisión a trámite de la
reclamación presentada hecho que generó sobre CPC la legítima confianza de su
actuación conforme a la ley; meses después se inician actuaciones previas de
investigación, supuestamente en base a la Reclamación, dando como resultado el
Acuerdo de Inicio.
A este respecto, tal y como se expone en el antecedente de hecho primero, la
reclamación presentada constituye un hecho que da lugar a la actuación de
investigación de la inspección, no sobre el hecho concreto denunciado, sino sobre la
forma en que dicha entidad lleva a cabo el tratamiento de perfilado en sus
tratamientos basados en el consentimiento. La propia resolución de inadmisión pone
de manifiesto que la AEPD puede llevar a cabo otras actuaciones respecto de los
tratamientos objeto de denuncia. Consta así en dicha resolución que ?Ello sin perjuicio
de que la Agencia, aplicando los poderes de investigación y correctivos que ostenta,
pueda llevar a cabo posteriores actuaciones relativas al tratamiento de datos referido
en la reclamación.? Por otra parte, olvida CPC que la resolución de inadmisión puede
ser recurrida por el reclamante, como sucedió en el presente caso y ser estimado. A
ello cabe añadir que en ningún momento esta Agencia manifestó que los tratamientos
llevados a cabo por CPC fueran conformes a lo establecido en la normativa de
protección de datos, limitándose a aceptar inicialmente la alegación de que se trataba
de un error puntual, sin perjuicio de que la Directora de la AEPD, a la vista de la
reclamación, ordenase una investigación sobre la forma en que CPC llevaba a cabo
los tratamientos de perfilado cuando su base legitimadora es el consentimiento.
7. La última de las alegaciones hace referencia a una supuesta extensión artificial de
las actuaciones previas afirmando que ?Las actuaciones previas de investigación
acordadas por la AEPD suplantaron la actividad instructora, habiendo sido
prolongadas hasta casi su caducidad.? Y que el ?El Acuerdo de Inicio descansa,
prácticamente en su integridad, en elementos de cargo recogidos durante la fase de
actuaciones previas.?
Tal y como señala la propia sentencia del Tribunal Supremo de 6 de mayo de 2015
traída a colación por CPC ?El artículo 69.2 prescribe, al regular los procedimientos
iniciados de oficio, que "con anterioridad al acuerdo de iniciación, podrá el órgano
competente abrir un período de información previa con el fin de conocer las
circunstancias del caso concreto y la conveniencia o no de iniciar el procedimiento". La
exigua regulación de dicho período pone de relieve que la finalidad legal se limita a
enmarcar una actividad administrativa de comprobación sin poner un plazo concreto
de duración y sin reglamentar o limitar las actuaciones que puede adoptar la
Administración en dicho período. En puridad, el único significado de declarar abierto
un período de información previa es enmarcar legalmente una actuación
administrativa que en todo caso podría realizar la Administración al amparo de sus
facultades de control o supervisión en el ámbito de que se trate. Esto es, la
Administración puede iniciar de oficio procedimientos de muy diversa naturaleza, entre
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/82
los que se encuentran los destinados a comprobar el cumplimiento de requisitos -
como en el caso de autos- o los sancionadores, y previamente a la iniciación de uno
de tales expedientes puede efectuar comprobaciones cuyo alcance dependerá de la
regulación material existente en dicho ámbito, esto es, de las obligaciones a las que
queda sometido el particular y de las concretas facultades de control que se atribuyan
a la Administración en dicha materia en orden a comprobar si existen indicios que
puedan llevar a la conveniencia de incoar un expediente formal de incumplimiento,
sancionador, o de otra naturaleza. Pues bien, si dicha actividad de comprobación
inicial es posible al amparo de las facultades de inspección o control que ostenta la
Administración en diversos ámbitos materiales, tanto más podrá hacerlo si
formalmente abre un período de información previa cuyo único significado sería, como
se ha indicado antes, encuadrar dicha actuación comprobadora en un marco legal
explícito.?
Cabe aquí señalar que en si bien el artículo 69.2 de la Ley 39/2015 a que se refiere la
sentencia, no fija un plazo concreto para tales actuaciones, el artículo 67.2.de la
LOPDGDD sí lo hace, fijándolo en 12 meses a contar desde la fecha del acuerdo por
el que se decida su iniciación; ninguna consecuencia tiene que la Administración haga
uso de todo el plazo disponible para realizar tales actuaciones siempre y cuando no
supere el mismo, supuesto en que se produciría la caducidad de las actuaciones de
investigación.
En cuanto a que las actuaciones previas de investigación suplantaron la actividad
instructora no explica CPC qué trámite concreto realizado en el marco de las
actuaciones previas de investigación es en realidad un trámite administrativo que
debió celebrarse en el seno del procedimiento sancionador, ni qué trámite o trámites
concretos del procedimiento sancionador han sido suplantados por las actuaciones
previas, ni qué tramites del procedimiento han sido evitados a causa de las
actuaciones previas realizadas.
Al contrario, se llevaron a cabo actuaciones previas de investigación perfectamente
justificadas, con el propósito de lograr una mejor determinación de los hechos y
circunstancias (artículo 67 LOPDGDD), durante las cuales se recabó información
necesaria para la determinación de los hechos, sin realizar durante el transcurso de
las mismas trámite alguno propio del procedimiento sancionador, el cual se inició en
base a las evidencias obtenidas y con el único fin de aplicar las previsiones
normativas establecidas.
Durante la fase de investigación se cursó un requerimiento de información a CPC
solicitando un listado de los tratamientos de datos personales llevados a cabo en
desarrollo de su actividad comercial que impliquen la elaboración de perfiles,
aportando respecto de cada tratamiento la siguiente información: definición de la
lógica aplicada al perfilado y las consecuencias previstas de dicho tratamiento para el
interesado; descripción de la finalidad del tratamiento y base de legitimación en que se
sustenta; procedimiento seguido para cumplir con el deber de información al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/82
interesado; medios utilizados para la recogida del consentimiento en caso de que la
actividad de tratamiento se ampare en el artículo 6.1.a del RGPD; categorías de
interesados y datos personales objeto de tratamiento; origen de los datos personales
objeto de tratamiento; en su caso listado de encargados que participen en la actividad
de tratamiento y copia de los contratos que rijan el encargo; descripción de las
medidas técnicas y organizativas de seguridad aplicadas en virtud del artículo 32 del
RGPD a la actividad de perfilado; en su caso copia de la evaluación de impacto de
protección de datos personales y el número de interesados cuyos datos personales
han sido tratados en el desarrollo de la actividad de perfilado por categoría (cliente,
potencial cliente) y año (2018 y 2019).
No puede decirse, a la vista de lo expuesto, que en este caso las actuaciones previas
no eran necesarias o que no se realizaron para reunir datos e indicios sobre los
hechos cometidos y sus responsables.
III
Las actuaciones reseñadas en los antecedentes de la presente resolución tienen
como objeto analizar el procedimiento de obtención del consentimiento en los
procedimientos de perfilado llevados a cabo por CaixaBank Payments & Consumer,
E.F.C., E.P., S.A (CPC) cuando aquél constituya la base jurídica que legitime dichos
tratamientos.
Por consiguiente, las conclusiones que pudieran derivarse del presente procedimiento
no supondrán ningún pronunciamiento sobre otros aspectos relativos a dicho
tratamiento, como la intervención de encargados del tratamiento, la adecuación de las
evaluaciones de impacto aportadas a lo establecido en el RGPD o las medidas de
seguridad establecidas respecto de dicho tratamiento, ni sobre otros tratamientos de
perfilado cuya base jurídica, según expone CPC, sea dar cumplimiento a
requerimientos regulatorios.
IV
El artículo 4.4 del RGPD define la ?elaboración de perfiles? como ?toda forma de
tratamiento automatizado de datos personales consistente en utilizar datos personales
para evaluar determinados aspectos personales de una persona física, en particular
para analizar o predecir aspectos relativos al rendimiento profesional, situación
económica, salud, preferencias personales, intereses, fiabilidad, comportamiento,
ubicación o movimientos de dicha persona física?
Como todo tratamiento de datos debe ajustarse a los principios establecidos en el
artículo 5 del RGPD. Dispone dicho artículo que ?1. Los datos personales serán: a)
tratados de manera lícita, leal y transparente en relación con el interesado («licitud,
lealtad y transparencia»);
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/82
De conformidad con dispuesto en la letra a) de dicho precepto los datos personales
deben ser tratados de manera lícita. Se tiene en cuenta a este respecto lo señalado
en el considerando 40 del RGPD, según el cual: ?Para que el tratamiento sea lícito, los
datos personales deben ser tratados con el consentimiento del interesado o sobre
alguna otra base legítima establecida conforme a Derecho, ya sea en el presente
Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que
se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal
aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el
que sea parte el interesado o con objeto de tomar medidas a instancia del interesado
con anterioridad a la conclusión de un contrato.?
Se tiene en cuenta lo señalado en las Directrices sobre decisiones individuales
automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679,
adoptadas por el Grupo de Trabajo sobre Protección de Datos del artículo 29 el 3 de
octubre de 2017, revisadas por última vez y adoptadas el 6 de febrero de 2018 y
aprobadas por el Comité Europeo de Protección de Datos en su primera reunión
plenaria, que al referirse al consentimiento como base jurídica del tratamiento
recuerda que ?La elaboración de perfiles puede resultar opaca y, a menudo, se basa
en datos derivados o inferidos de otros datos, más que en información facilitada
directamente por el interesado. Los responsables del tratamiento que pretendan
basarse en el consentimiento como base para la elaboración de perfiles deberán
demostrar que los interesados entienden exactamente qué están consintiendo, y
deberán recordar que el consentimiento no es siempre una base adecuada para el
tratamiento. En todos los casos, los interesados deben contar con suficiente
información sobre el uso y las consecuencias previstos del tratamiento para garantizar
que cualquier consentimiento que den constituya una elección informada.?
El número 11 del artículo 4 del RGPD define el consentimiento como ?Toda
manifestación de voluntad libre, específica, informada e inequívoca por la que el
interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen?
Por su parte, los artículos 6 y 7 del RGPD se refieren, respectivamente, a la ?Licitud
del tratamiento? y las ?Condiciones para el consentimiento?:
Artículo 6 del RGPD.
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/82
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas
a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al
tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más
precisa requisitos específicos de tratamiento y otras medidas que garanticen un
tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de
tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser
establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo
relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener
disposiciones específicas para adaptar la aplicación de normas del presente
Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento
por parte del responsable; los tipos de datos objeto de tratamiento; los interesados
afectados; las entidades a las que se pueden comunicar datos personales y los fines
de tal comunicación; la limitación de la finalidad; los plazos de conservación de los
datos, así como las operaciones y los procedimientos del tratamiento, incluidas las
medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras
situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión
o de los Estados miembros cumplirá un objetivo de interés público y será proporcional
al fin legítimo perseguido.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/82
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los
datos personales no esté basado en el consentimiento del interesado o en el Derecho
de la Unión o de los Estados miembros que constituya una medida necesaria y
proporcional en una sociedad democrática para salvaguardar los objetivos indicados
en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar
si el tratamiento con otro fin es compatible con el fin para el cual se recogieron
inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos
personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que
respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías
especiales de datos personales, de conformidad con el artículo 9, o datos personales
relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la
seudonimización?.
Artículo 7 del RGPD.
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable
deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita
que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de
tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de
fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte
de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La
retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado
será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la
mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato,
incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de
datos personales que no son necesarios para la ejecución de dicho contrato?.
Se tiene en cuenta lo expresado en los considerandos 32, 40 a 44 y 47 del RGPD en
relación con lo establecido en los artículos 6 y 7 antes reseñados. De lo expresado en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/82
estos considerandos, cabe destacar lo siguiente:
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernen, como una
declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros
técnicos para la utilización de servicios de la sociedad de la información, o cualquier
otra declaración o conducta que indique claramente en este contexto que el interesado
acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las
casillas ya marcadas o la inacción no deben constituir consentimiento. El
consentimiento debe darse para todas las actividades de tratamiento realizadas con el
mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a
raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no
perturbar innecesariamente el uso del servicio para el que se presta.
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el
responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su
consentimiento a la operación de tratamiento. En particular en el contexto de una
declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el
interesado es consciente del hecho de que da su consentimiento y de la medida en
que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo, debe proporcionarse
un modelo de declaración de consentimiento elaborado previamente por el
responsable del tratamiento con una formulación inteligible y de fácil acceso que
emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que
el consentimiento sea informado, el interesado debe conocer como mínimo la
identidad del responsable del tratamiento y los fines del tratamiento a los cuales están
destinados los datos personales. El consentimiento no debe considerarse libremente
prestado cuando el interesado no goza de verdadera o libre elección o no puede
denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(43) (?) Se presume que el consentimiento no se ha dado libremente cuando no
permita autorizar por separado las distintas operaciones de tratamiento de datos
personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un
contrato, incluida la prestación de un servicio, sea dependiente del consentimiento,
aun cuando este no sea necesario para dicho cumplimiento.
Procede tener en cuenta, igualmente lo establecido en el artículo 6 de la LOPDGDD:
?Artículo 6. Tratamiento basado en el consentimiento del afectado
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679,
se entiende por consentimiento del afectado toda manifestación de voluntad libre,
específica, informada e inequívoca por la que este acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/82
conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste de manera
específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el
tratamiento de los datos personales para finalidades que no guarden relación con el
mantenimiento, desarrollo o control de la relación contractual?.
Se tiene en cuenta también lo señado por el Comité Europeo de Protección de Datos
en el documento ??Directrices 05/2020 sobre el consentimiento con arreglo al
Reglamento 2016/679? aprobadas el 4 de mayo de 2020, que actualiza las Directrices
sobre el consentimiento en virtud del Reglamento 2016/679, adoptadas por el Grupo
de Trabajo del artículo 29 y que fueron aprobadas por el Comité Europeo de
Protección de Datos en su primera reunión plenaria. De lo indicado en dicho
documento, interesa aquí destacar algunos de los criterios relacionados con la validez
del consentimiento, en concreto sobre los elementos ?específico? e ?informado?:
?3.2. Manifestación de voluntad específica
?El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para
el tratamiento de sus datos debe darse «para uno o varios fines específicos» y que un
interesado puede elegir con respecto a cada uno de dichos fines. El requisito de que el
consentimiento deba ser «específico» tiene por objeto garantizar un nivel de control y
transparencia para el interesado. Este requisito no ha sido modificado por el RGPD y
sigue estando estrechamente vinculado con el requisito de consentimiento
«informado». Al mismo tiempo, debe interpretarse en línea con el requisito de
«disociación» para obtener el consentimiento «libre». En suma, para cumplir con el
carácter de «específico» el responsable del tratamiento debe aplicar:
i. la especificación del fin como garantía contra la desviación del uso,
ii. la disociación en las solicitudes de consentimiento, y
iii. una clara separación entre la información relacionada con la obtención del
consentimiento para las actividades de tratamiento de datos y la información
relativa a otras cuestiones.
Ad. i): De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención
del consentimiento válido va siempre precedida de la determinación de un fin
específico, explícito y legítimo para la actividad de tratamiento prevista. La necesidad
del consentimiento específico en combinación con la noción de limitación de la
finalidad que figura en el artículo 5, apartado 1, letra b), funciona como garantía frente
a la ampliación o difuminación gradual de los fines para los que se realiza el
tratamiento de los datos una vez que un interesado haya dado su autorización a la
recogida inicial de los datos. Este fenómeno, también conocido como desviación del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/82
uso, supone un riesgo para los interesados ya que puede dar lugar a un uso
imprevisto de los datos personales por parte del responsable del tratamiento o de
terceras partes y a la pérdida de control por parte del interesado.
Si el responsable del tratamiento se basa en el artículo 6, apartado 1, letra a), los
interesados deberán siempre dar su consentimiento para un fin específico para el
tratamiento de los datos. En consonancia con el concepto de limitación de la finalidad,
con el artículo 5, apartado 1, letra b), y con el considerando 32, el consentimiento
puede abarcar distintas operaciones, siempre que dichas operaciones tengan un
mismo fin. Huelga decir que el consentimiento específico solo puede obtenerse
cuando se informa expresamente a los interesados sobre los fines previstos para el
uso de los datos que les conciernen.
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el
consentimiento debe ser específico para cada fin. Los interesados darán su
consentimiento entendiendo que tienen control sobre sus datos y que estos solo serán
tratados para dichos fines específicos. Si un responsable trata datos basándose en el
consentimiento y, además, desea tratar dichos datos para otro fin, deberá obtener el
consentimiento para ese otro fin, a menos que exista otra base jurídica que refleje
mejor la situación.
(?)
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin
de cumplir el requisito de consentimiento «libre», sino que también deben cumplir con
el de consentimiento «específico». Esto significa que un responsable del tratamiento
que busque el consentimiento para varios fines distintos debe facilitar la posibilidad de
optar por cada fin, de manera que los usuarios puedan dar consentimiento específico
para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud
de consentimiento separada, información específica sobre los datos que se tratarán
para cada fin, con el objeto de que los interesados conozcan la repercusión de las
diferentes opciones que tienen. De este modo, se permite a los interesados dar un
consentimiento específico. Esta cuestión se solapa con el requisito de que los
responsables faciliten información clara, tal y como se ha expuesto anteriormente en
la sección 3.3?.
3.3 Manifestación de voluntad informada.
?El RGPD refuerza el requisito de que el consentimiento debe ser informado. De
conformidad con el artículo 5 del RGPD, el requisito de transparencia es uno de los
principios fundamentales, estrechamente relacionado con los principios de lealtad y
licitud. Facilitar información a los interesados antes de obtener su consentimiento es
esencial para que puedan tomar decisiones informadas, comprender qué es lo que
están autorizando y, por ejemplo, ejercer su derecho a retirar su consentimiento. Si el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/82
responsable no proporciona información accesible, el control del usuario será ilusorio y
el consentimiento no constituirá una base válida para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el
consentimiento no será válido y el responsable podrá estar incumpliendo el artículo 6
de RGPD.
3.3.1 Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado
ciertos elementos que son cruciales para poder elegir. Por tanto, el CEPD opina que
se requiere, al menos, la información siguiente para obtener el consentimiento válido:
i. la identidad del responsable del tratamiento,
ii. el fin de cada una de las operaciones de tratamiento para las que se
solicita el consentimiento,
iii. qué (tipo de) datos van a recogerse y utilizarse,
iv. la existencia del derecho a retirar el consentimiento,
v. información sobre el uso de los datos para decisiones automatizadas
de conformidad con el artículo 22, apartado 2, letra c), cuando sea pertinente,
e
vi. información sobre los posibles riesgos de transferencia de datos
debido a la ausencia de una decisión de adecuación y de garantías
adecuadas, tal y como se describen en el artículo 46.?
1. En el presente supuesto CPC solicita el consentimiento en los diversos canales de
prescriptores y agentes para finalidades de estudio y perfilado. Así el consentimiento
se solicita en los siguientes términos: ?Autorizo al Grupo CaixaBank a utilizar mis
datos para finalidades de estudio y perfilado?. Respecto a la información sobre las
finalidades de dicho tratamiento, la documentación aportada es la contenida en las
impresiones de pantalla remitidas y el documento aportado como anexo 12
denominado ?CONDICIONES GENERALES DE LA SOLICITUD-CONTRATO DE
CRÉDITO? cuyo contenido en este punto ya se ha transcrito en los hechos probados
de la presente resolución del procedimiento sancionador, y que, según se expone, se
facilita al interesado en el marco de la contratación de un producto.
Según lo expresado en dicho documento, el detalle de los usos de los datos que se
realizará conforme a sus autorizaciones es el siguiente:
(i) ?Detalle de los tratamientos de análisis, estudio y seguimiento para la oferta y
diseño de productos y servicios ajustados al perfil de cliente. Otorgando su
consentimiento a las finalidades aquí detalladas, Usted nos autoriza a:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/82
a) Realizar de manera proactiva análisis de riesgos y aplicar sobre sus datos técnicas
estadísticas y de segmentación de clientes, con una triple finalidad:
1) Estudiar productos o servicios que puedan ser ajustados a su perfil y
situación comercial o crediticia concreta, todo ello para efectuarle ofertas
comerciales ajustadas a sus necesidades y preferencias,
2) Realizar el seguimiento de los productos y servicios contratados,
3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas
de los productos y servicios contratados.
b) Asociar sus datos con los de otros clientes o sociedades con las que tenga algún
tipo de vínculo, tanto familiar o social, como por su relación de propiedad como de
administración, al efecto de analizar posibles interdependencias económicas en el
estudio de ofertas de servicios, solicitudes de riesgo y contratación de productos.
c) Realizar estudios y controles automáticos de fraude, impagos e incidencias
derivadas de los productos y servicios contratados.
d) Realizar encuestas de satisfacción por canal telefónico o por vía electrónica con el
objetivo de valorar los servicios recibidos.
e) Diseñar nuevos productos o servicios, o mejorar el diseño y usabilidad de los
existentes, así como definir o mejorar las experiencias de los usuarios en su relación
con CaixaBank Payments& Consumer y las empresas del Grupo CaixaBank.?
A juicio de esta Agencia la información contenida en el documento CONDICIONES
GENERALES DE LA SOLICITUD-CONTRATO DE CRÉDITO, arriba transcrita no
aporta al interesado suficiente información como para que este pueda conocer el
alcance de los tratamientos de perfilado que se llevan a cabo.
A este respecto debe recordarse que las Directrices sobre decisiones individuales
automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/67, al
analizar las bases jurídicas pertinentes para la elaboración de perfiles señala lo
siguiente respecto de lo previsto en el Artículo 6, apartado 1, letra a) ?
Consentimiento ?Los responsables del tratamiento que pretendan basarse en el
consentimiento como base para la elaboración de perfiles deberán demostrar que los
interesados entienden exactamente qué están consintiendo, y deberán recordar que el
consentimiento no es siempre una base adecuada para el tratamiento . En todos los
casos, los interesados deben contar con suficiente información sobre el uso y las
consecuencias previstos del tratamiento para garantizar que cualquier consentimiento
que den constituya una elección informada.?
También el mismo documento al hacer referencia a los derechos de los interesados,
menciona en primer término:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/82
?1. Artículos 13 y 14 ? Derecho a ser informado
Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los
responsables del tratamiento deben garantizar que explican a las personas de forma
clara y sencilla el funcionamiento de la elaboración de perfiles o las decisiones
automatizadas.?
Sin embargo, en el presente caso, se facilita al interesado solamente una información
genérica sobre los diferentes tratamientos de perfilado. Así el primero de ellos hace
referencia al ?estudio de productos o servicios que puedan ser ajustados a su perfil y
situación comercial concreta, para efectuarle ofertas comerciales ajustadas a sus
necesidades y preferencias?. Con esta información el interesado no puede conocer
exactamente en que consiste el tratamiento que está consintiendo. De tal información
no puede deducirse que los productos a ofertar sean exclusivamente los de CPC,
como dicha entidad alega, por lo que podría incluir ofertas de otras entidades del
grupo o de otro tipo de productos o servicios no relacionados con la actividad de dicha
entidad. Tampoco de tal información se desprende que la oferta de productos y
servicios pueda llegar a incluir la asignación de límites de crédito ?preconcedidos?, tal
y como consta en la información aportada por CPC a la AEPD con motivo del
requerimiento de información efectuado por la Inspección. Tampoco, como se analiza
más adelante, se le informa adecuadamente de los datos que se van a utilizar para
llevar a cabo el tratamiento de perfilado. Con la información aportada, el interesado no
puede saber el alcance del tratamiento que está consintiendo o el nivel de detalle del
perfil a elaborar ni la exhaustividad del mismo. Las mismas carencias en la
información que se proporciona al interesado se observan en otros tratamientos de
perfilado enumerados en la información arriba transcrita que se facilita en dicho
documento.
Alega CPC que el Grupo CaixaBank proactivamente ha verificado esa comprensión
mediante estudios que han involucrado a clientes, sin embargo no lo acredita.
En segundo lugar, tal como aparece configurado el mecanismo para la prestación del
consentimiento, no se ha previsto que el interesado exprese su opción sobre todos los
fines para los que se tratan los datos, Se habla en el apartado (i) de tratamientos para
?la oferta y diseño de productos y servicios ajustados al perfil de cliente?, supuesto que
en sí mismo comprende ya tres diferentes fines:
1. Estudiar productos o servicios que puedan ser ajustados a su perfil y situación
comercial o crediticia concreta, todo ello para efectuarle ofertas comerciales ajustadas
a sus necesidades y preferencias,
2) Realizar el seguimiento de los productos y servicios contratados,
3) Ajustar medidas recuperatorias sobre los impagos e incidencias derivadas de los
productos y servicios contratados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/82
A ello se añaden otras finalidades como ?analizar posibles interdependencias
económicas en solicitudes de riesgo y contratación de productos?, ?valorar los
servicios recibidos? o ?diseñar nuevos productos o servicios, o mejorar el diseño y
usabilidad de los existentes, así como definir o mejorar las experiencias de los
usuarios en su relación con CaixaBank Payments& Consumer y las empresas del
Grupo CaixaBank?. La enumeración de los tratamientos que la citada entidad realiza,
en realidad supone una ampliación de los fines, que en algunos casos ni siquiera se
identifican, por lo que el consentimiento prestado no puede considerarse específico al
no haberse disociado suficientemente las solicitudes de consentimiento.
Se alega por CPC, que esa confusión se debe a un error leve en la cláusula
informativa, de listar operaciones de tratamiento que no se realizan en base al
consentimiento obtenido para el perfilado; señala que esta incidencia, tras ser
detectada, ha sido subsanada por el Grupo CaixaBank y, por tanto, también por CPC,
mediante la elaboración de una nueva Política de Privacidad en la que se detallan
correctamente y de forma precisa los tratamientos realizados para el análisis y estudio
con finalidad comercial.
Sin embargo, dicha política de privacidad, con independencia de que ésta sea
ajustada o no a lo previsto en la normativa de protección de datos, sobre lo que esta
Agencia no se pronuncia en el presente procedimiento, se encuentra vigente desde
el 18 de enero de 2021 sin que se hayan modificado otros documentos de información
al interesado, como informa CPC en su contestación al requerimiento de información
de esta Agencia durante el periodo de prueba, en particular las CONDICIONES
GENERALES DE LA SOLICITUD-CONTRATO DE CRÉDITO, a que antes se ha
hecho referencia y que constituyen el mecanismo para facilitar información a los
interesados.
2. En los diversos documentos en que se solicita el consentimiento, este se solicita
para ?el grupo CaixaBank?, lo que constituye una comunicación de datos a las
empresas del grupo, comunicación que constituye una finalidad específica en sí
misma considerada, que requiere una manifestación de voluntad del interesado por la
que éste consienta que puede llevarse a cabo.
Se alega por CPC que no se produce comunicación de datos alguna puesto que existe
un régimen de corresponsabilidad entre las sociedades del Grupo CaixaBank, por
existir un acuerdo de determinación conjunta de los objetivos y los medios del
tratamiento objeto del presente procedimiento, tal y como dispone el artículo 26 del
RGPD. Se alega asimismo, que tal corresponsabilidad obedece también a
necesidades regulatorias. Cita en este sentido los artículos 29.1 de la Ley 2/2011, de 4
de marzo, de Economía Sostenible. y 14 de la Ley 16/2011, de 24 de junio, de
contratos de crédito al consumo.
A este respecto cabe recordar que las Directrices 7/2020 sobre responsable y
encargado del tratamiento en el RGPD, adoptadas el 7 de julio de 2021, señalan que
el artículo 26 del RGPD, que refleja la definición del párrafo 7 del artículo 4 del RGPD,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/82
dispone que ?Cuando dos o más responsables determinen conjuntamente los
objetivos y los medios de tratamiento, serán corresponsables del tratamiento? .En
términos generales, existe corresponsabilidad con respecto a una actividad de
tratamiento específica cuando diferentes partes determinan conjuntamente el
propósito y los medios de esta actividad de tratamiento. Por lo tanto, evaluar la
existencia de corresponsables requiere examinar si la determinación de los fines y
medios que caracterizan a un responsable es decidida por más de una parte. «Junto»
debe interpretarse en el sentido de «junto con» o «no solo», en diferentes formas y
combinaciones, como se explica a continuación.
La evaluación de la corresponsabilidad debe llevarse a cabo sobre la base de un
análisis fáctico, más que formal, de la influencia real sobre los fines y medios del
tratamiento. Todas las disposiciones existentes o previstas deben verificarse teniendo
en cuenta las circunstancias de hecho relativas a la relación entre las partes. Un
criterio meramente formal no sería suficiente por al menos dos razones: En algunos
casos, el nombramiento formal de un corresponsable, por ejemplo, previsto por la ley
o en un contrato, estaría ausente; En otros casos, puede ser que el nombramiento
formal no refleje la realidad de los arreglos, al confiar formalmente el papel de
responsable a una entidad que realmente no está en condiciones de «determinar» los
propósitos y medios del tratamiento.
No todos los tratamientos en los que participan varias entidades dan lugar a
corresponsabilidad. El criterio general para que exista corresponsabilidad es la
participación conjunta de dos o más entidades en la determinación de los fines y
medios de un tratamiento. Más concretamente, la corresponsabilidad debe incluir la
determinación de los objetivos, por una parte, y la determinación de los medios, por
otra. Si cada uno de estos elementos es determinado por todas las entidades
interesadas, deben considerarse corresponsables del tratamiento en cuestión.?
En el presente supuesto, el acuerdo de corresponsabilidad aportado carece de fecha y
firma y, en consecuencia, de validez alguna. En este sentido el propio acuerdo, en su
número 6 relativo a su duración señala que ?El presente Acuerdo entrará en vigor en
la fecha de su firma?. En este sentido señalan las aludidas Directrices 7/2020 que ?El
RGPD no especifica la forma jurídica del acuerdo entre controladores conjuntos. En
aras de la seguridad jurídica, y con el fin de garantizar la transparencia y la rendición
de cuentas, el Comité Europeo de Protección de Datos recomienda que dicho acuerdo
se haga en forma de documento vinculante, como un contrato u otro acto jurídico
vinculante de conformidad con la legislación de la UE o de los Estados miembros al
que estén sometidos los controladores.? Debe además añadirse que no cabe excusar
la ausencia de firma del acuerdo en la supuesta espera a que la Agencia hiciese un
pronunciamiento sobre las medidas a adoptar en el marco de otro procedimiento
sancionador contra otra entidad (CaixaBank) por si debía modificarse el mismo, como
señalaba en las alegaciones al acuerdo de inicio o, como señala ahora en las
alegaciones a la propuesta de resolución, que se haga depender dicha firma de que
se resuelva en vía jurisdiccional el mismo procedimiento sancionador contra
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/82
CaixaBank.
Tampoco se aporta ningún elemento fáctico que permita considerar que se determinan
conjuntamente por todas las empresas del grupo los fines y los medios del tratamiento
concreto a que hace referencia el presente procedimiento, esto es, las operaciones de
perfilado para la oferta a los clientes de CPC de determinados productos, los que
forman parte de su actividad comercial, tal y como señala dicha entidad en la
información aportada.
Tampoco resulta admisible que tal corresponsabilidad obedezca a razones
regulatorias. El artículo 29 1, de la Ley 2/2011, de 4 de marzo, de Economía
Sostenible, dispone que ?Las entidades de crédito, antes de que se celebre el contrato
de crédito o préstamo, deberán evaluar la solvencia del potencial prestatario, sobre la
base de una información suficiente. A tal efecto, dicha información podrá incluir la
facilitada por el solicitante, así como la resultante de la consulta de ficheros
automatizados de datos, de acuerdo con la legislación vigente, especialmente en
materia de protección de datos de carácter personal.? El artículo 14 de la Ley 16/2011,
de 24 de junio, de contratos de crédito al consumo Establece que ?1. El prestamista,
antes de que se celebre el contrato de crédito, deberá evaluar la solvencia del
consumidor, sobre la base de una información suficiente obtenida por los medios
adecuados a tal fin, entre ellos, la información facilitada por el consumidor, a solicitud
del prestamista o intermediario en la concesión de crédito. Con igual finalidad, podrá
consultar los ficheros de solvencia patrimonial y crédito, a los que se refiere el artículo
29 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, en los términos y con los requisitos y garantías previstos en dicha
Ley Orgánica y su normativa de desarrollo.
En el caso de las entidades de crédito, para la evaluación de la solvencia del
consumidor se tendrán en cuenta, además, las normas específicas sobre gestión de
riesgos y control interno que les son aplicables según su legislación específica.?
Del tenor literal de ambos preceptos resulta evidente que tales obligaciones se
refieren al momento en que se celebra un contrato de crédito o préstamo, no a la
actividad comercial por la que una entidad ofrece tales créditos o préstamos a sus
clientes, productos que éstos, además, no han solicitado. Ni mucho menos puede
aceptarse que tales obligaciones regulatorias justifiquen una comunicación de datos a
todas las empresas del grupo, desde el momento en que se consiente por el
interesado tal tratamiento de perfilado con independencia de que luego se lleve a cabo
o no.
Por otra parte, como se ha señalado ya anteriormente, esta Agencia no ha invertido la
carga de la prueba como alega CPC, es dicha entidad la que ha alegado la existencia
de corresponsabilidad en el tratamiento correspondiéndole a dicha entidad acreditarla,
no basta la mera alegación de su existencia y la presentación de un documento
carente de validez para probar que existe corresponsabilidad. Esta Agencia ha
aclarado suficientemente las razones por las que considera que no existe
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/82
corresponsabilidad en los párrafos anteriores, por lo que no se trata de una mera
opinión en contrario no fundamentada.
3. Entre los elementos cruciales para que el consentimiento sea válido, las aludidas
Directrices sobre el consentimiento con arreglo al Reglamento 2016/679 hacen
referencia a la información al interesado sobre qué tipos de datos van a recogerse y
utilizarse.
En la información que CPC ha aportado a esta Agencia, en concreto en las
CONDICIONES GENERALES DE LA SOLICITUD-CONTRATO DE CRÉDITO, se
indica que los datos personales objeto de tratamiento son los siguientes:
?Los datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii)
para la oferta comercial de productos y servicios serán:
a) Todos los facilitados en el establecimiento o mantenimiento de relaciones
comerciales o de negocio.
b) Todos los que se generen en la contratación y operativas de productos y servicios
con CaixaBank Payments & Consumer, con las empresas del Grupo CaixaBank o con
terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos
domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro,
reclamaciones, etc.
c) Todos los que CaixaBank Payments & Consumer o las empresas del Grupo
CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio tenga
como destinatario al Titular, tales como la gestión de trasferencias o recibos.
d) Su condición o no de accionista de CaixaBank según conste en los registros de
esta, o de las entidades que de acuerdo con la normativa reguladora del mercado de
valores hayan de llevar los registros de los valores representados por medio de
anotaciones en cuenta.
e) Los obtenidos de las redes sociales que el Titular autorice a consultar.
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de
datos solicitadas por el Titular.
g) Los obtenidos de las navegaciones del Titular por el servicio de la web de
CaixaBank Payments & Consumer y otras webs esta y/o de las empresas del Grupo
CaixaBank o aplicación de telefonía móvil de CaixaBank Payments& Consumer y/o de
las empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos
datos pueden incluir información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de
comunicación establecida entre las partes. Los datos del Titular podrán ser
complementados y enriquecidos por datos obtenidos de empresas proveedoras de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/82
información comercial, por datos obtenidos de fuentes públicas, así como por datos
estadísticos, socioeconómicos (en adelante, ?Información Adicional?) siempre
verificando que estos cumplen con los requisitos establecidos en las normas vigentes
sobre protección de datos.?
De dicha información se desprende que el interesado no puede conocer los datos que
se van a tratar para el perfilado, la información que se le aporta contempla datos que,
de acuerdo con la información facilitada sobre los datos a utilizar para el tratamiento
de perfilado y su origen, no van a ser objeto de dicho tratamiento y, sin embargo, no
se le informa del tratamiento de otros datos que si serán objeto del mismo como la
consulta a ficheros de solvencia y a la Central de Información de Riesgos del Banco
de España o el denominado Risk score.
No pueden compartirse las alegaciones de CPC cuando afirma que se cumple
adecuadamente con el deber de informar a los interesados en relación con los datos
que se tratan para el perfilado, señalando, en primer lugar, que las categorías de
datos objeto de tratamiento no se encuentran entre la información mínima descrita en
el artículo 13 del RGPD para que el consentimiento sea informado.
A este respecto, debe aquí reiterarse lo señalado por el Comité Europeo de Protección
de Datos en el documento ??Directrices 05/2020 sobre el consentimiento con arreglo al
Reglamento 2016/679?, al que anteriormente se ha hecho referencia, en particular no
cabe sino reproducir de nuevo lo señalado en el punto Ad. iii) según el cual
?Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para
cada fin, con el objeto de que los interesados conozcan la repercusión de las
diferentes opciones que tienen. De este modo, se permite a los interesados dar un
consentimiento específico. Esta cuestión se solapa con el requisito de que los
responsables faciliten información clara, tal y como se ha expuesto anteriormente en
la sección 3.3?. El citado punto 3.3, que igualmente se encuentra arriba transcrito
señala que ?el requisito de transparencia es uno de los principios fundamentales,
estrechamente relacionado con los principios de lealtad y licitud. Facilitar información
a los interesados antes de obtener su consentimiento es esencial para que puedan
tomar decisiones informadas, comprender qué es lo que están autorizando y, por
ejemplo, ejercer su derecho a retirar su consentimiento?, en su punto 3.1.1. enumera
los requisitos mínimos de contenido para que el consentimiento sea «informado»,
siendo uno de ellos el relativo a ?qué (tipo de) datos van a recogerse y utilizarse?.
Tampoco puede admitirse la alegación de que la información proporcionada sí permite
a los interesados conocer los datos que se van a tratar para el perfilado, ya que el
fragmento transcrito por la AEPD se corresponde con el punto 26.4. (ii) del
condicionado general, pero no se ha tenido en cuenta el resto del condicionado.
Señala que en el apartado 26.3 del condicionado general (previo al 26.4.ii transcrito en
el Acuerdo de Inicio) se concreta con mayor detalle qué datos se tratarán para el
establecimiento o mantenimiento de relaciones comerciales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/82
Señala CPC que el punto 26.3 informa de que ?CaixaBank Payments & Consumer y,
en su caso las empresas del Grupo CaixaBank, está obligada por diferentes
normativas y acuerdos a realizar determinados tratamientos de datos de las personas
con las que mantiene Relaciones Comerciales, según se indica en los apartados
siguientes de esta cláusula (en adelante, ?Tratamientos con Finalidades
Regulatorias?). Estos tratamientos son necesarios para el establecimiento y
mantenimiento de las Relaciones Comerciales con CaixaBank Payments & Consumer
y/o con las empresas del Grupo CaixaBank, y la oposición del Titular a los mismos
conllevaría necesariamente el cese (o no establecimiento, en su caso) de estas
relaciones. En todo caso, los Tratamientos con Finalidades Regulatorias se limitarán
exclusivamente a la finalidad expresada, sin perjuicio de otras finalidades o usos que
el Titular autorice según lo dispuesto en la cláusula 26.4. del presente documento.?
Añade CPC que el punto 26.3.3 informa acerca de la consulta a ficheros de
información crediticia (entre los que se encuentran los necesarios para obtener el
?Risk Score?, como se expondrá más adelante) y el punto 26.3.4. informa acerca de la
consulta a la Central de Información de Riesgos del Banco de España, transcribiendo
ambos:
?26.3.3 Comunicación con sistemas de información crediticia.
Se informa al Titular que CaixaBank Payments & Consumer, en el estudio del
establecimiento de Relaciones Comerciales, podrá consultar información obrante en
sistemas de información crediticia. Asimismo, en caso de impago de cualquiera de las
obligaciones derivadas de las Relaciones Comerciales, los datos relativos al impago
podrán ser comunicados a estos sistemas.
26.3.4. Comunicación de datos a la Central de Información de Riesgos del Banco de
España
Se informa al Titular del derecho que asiste a CaixaBank Payments & Consumer para
obtener de la Central de Información de Riesgos del Banco de España (CIR) informes
sobre los riesgos que pudiera tener registrados en el estudio del establecimiento de
Relaciones Comerciales. [?]?
A este respecto, debe indicarse que el primero de los fragmentos mencionados por
CPC en sus alegaciones, esto es el punto 26.3 de las condiciones generales se refiere
tal y como el mismo menciona en su título a los tratamientos de datos de carácter
personal con finalidades regulatorias, siendo claro también en su contenido que se
refiere a las mismas y no a las finalidades comerciales, para las cuales la información
se ofrece en el número 26.4. De la misma manera los puntos 26.3.3 y relativo a la
comunicación con sistemas de información crediticia, y 26.3.4, referido a la
comunicación a la central de Información de Riesgos del Banco de España, se
incluyen dentro del apartado general relativo a los tratamientos con finalidades
regulatorias, sin que en ellos se haga referencia alguna a que tales datos pueden ser
objeto de tratamiento en el marco de los tratamientos con finalidades comerciales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/82
basados en el consentimiento.
El punto 26.4 se titula precisamente ?Tratamiento y cesión de datos con finalidades
comerciales por Caixabank y las empresas del Grupo Caixabank basados en el
consentimiento?, y a partir de dicho punto se concreta la información relativa a tales
tratamientos. Así en el punto ii del aludido punto 26.4 se indica expresamente ?Los
datos que se tratarán con las finalidades de (i) análisis y estudio de datos, y (ii) para la
oferta comercial de productos y servicios serán:
a) Todos los facilitados en el establecimiento o mantenimiento de relaciones
comerciales o de negocio.
b) Todos los que se generen en la contratación y operativas de productos y servicios
con CaixaBank Payments & Consumer, con las empresas del Grupo CaixaBank o con
terceros, tales como, movimientos de cuentas o tarjetas, detalles de recibos
domiciliados, domiciliaciones de nóminas, siniestros derivados de pólizas de seguro,
reclamaciones, etc.
c) Todos los que CaixaBank Payments & Consumer o las empresas del Grupo
CaixaBank obtengan de la prestación de servicios a terceros, cuando el servicio tenga
como destinatario al Titular, tales como la gestión de trasferencias o recibos.
d) Su condición o no de accionista de CaixaBank según conste en los registros de
esta, o de las entidades que de acuerdo con la normativa reguladora del mercado de
valores hayan de llevar los registros de los valores representados por medio de
anotaciones en cuenta.
e) Los obtenidos de las redes sociales que el Titular autorice a consultar.
f) Los obtenidos de terceras entidades como resultado de solicitudes de agregación de
datos solicitadas por el Titular.
g) Los obtenidos de las navegaciones del Titular por el servicio de la web de
CaixaBank Payments & Consumer y otras webs esta y/o de las empresas del Grupo
CaixaBank o aplicación de telefonía móvil de CaixaBank Payments& Consumer y/o de
las empresas del Grupo CaixaBank, en las que opere debidamente identificado. Estos
datos pueden incluir información relativa a geolocalización.
h) Los obtenidos de chats, muros, videoconferencias o cualquier otro medio de
comunicación establecida entre las partes. Los datos del Titular podrán ser
complementados y enriquecidos por datos obtenidos de empresas proveedoras de
información comercial, por datos obtenidos de fuentes públicas, así como por datos
estadísticos, socioeconómicos (en adelante, ?Información Adicional?) siempre
verificando que estos cumplen con los requisitos establecidos en las normas vigentes
sobre protección de datos.?
Por consiguiente las alegaciones de CPC en ningún modo pueden aceptarse, no se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/82
informa adecuadamente sobre los datos que pueden ser objeto de tratamiento en el
marco de las actividades comerciales basadas en el consentimiento, la información
aportada por el responsable enumera expresamente los supuestos datos que pueden
ser utilizados para dicho tratamiento con fines comerciales basados en el
consentimiento, sin hacer referencia alguna a datos tan relevantes como la consulta a
ficheros de solvencia y el tratamiento denominado risk score. La información debe
facilitarse tal y como señala el artículo 12 del RGPD en forma concisa, transparente,
inteligible y de fácil acceso. Resulta inadmisible que el interesado deba interpretar la
información que se le facilita, para conocer qué datos se van a tratar para una
operación basada en su consentimiento acudiendo a la información relativa a otros
tipos de tratamientos cuya base no es el consentimiento.
Señalan las alegaciones que la base legitimadora para el tratamiento de estos dos
datos, la consulta a ficheros de solvencia y el risk score, se encuentra en el
consentimiento del interesado. Afirma CPC que el hecho de que ciertos tratamientos
se realicen en base al consentimiento del interesado no excluye que deba cumplir las
obligaciones legales establecidas en la Normativa Prudencial y de Solvencia y de
Préstamo Responsable dado que los productos comercializados son cuentas de
crédito y préstamos. Por lo tanto, aun cuando el tratamiento se realiza en base al
consentimiento del interesado, CPC debe cumplir las obligaciones legales
establecidas en la Normativa Prudencial y de Solvencia y de Préstamo Responsable;
por lo que, al realizar una oferta personalizada a un interesado, CPC deberá valorar su
capacidad de devolución y solvencia, consultando para ello los datos contenidos en
sistemas de información crediticia.
No resulta admisible tal alegación, la oferta de tales productos constituye una actividad
exclusivamente comercial, sin que el artículo 20 de la LOPDGDD, relativo a los
sistemas de información crediticia, habilite la consulta a tales sistemas sin el
consentimiento del interesado más que en el supuesto contenido en la letra e) de su
número primero, según el cual los datos referidos a un deudor determinado solamente
pueden ser consultados cuando ?quien consulte el sistema mantuviese una relación
contractual con el afectado que implique el abono de una cuantía pecuniaria o este le
hubiera solicitado la celebración de un contrato que suponga financiación, pago
aplazado o facturación periódica, como sucede, entre otros supuestos, en los
previstos en la legislación de contratos de crédito al consumo y de contratos de crédito
inmobiliario.? No se trata aquí de una solicitud de tales servicios, sino de una oferta
que CPC hace de los mismos, sin que previamente lo haya solicitado el interesado.
Por consiguiente, la ausencia de consentimiento del interesado para el acceso a los
sistemas de información crediticia determina un tratamiento ilegítimo. Y en este
sentido debe recordarse que el consentimiento debe ser informado, de modo que sin
la debida información, entre la que se encuentra la de conocer los datos que se van a
tratar, el consentimiento deviene invalido.
En lo que respecta al dato denominado ?risk score?, de la información aportada parece
desprenderse que se trata de otra operación de perfilado de datos, efectuado por un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/82
encargado del tratamiento (?). Esta Agencia considera que no se informa al
interesado sobre esta nueva operación de perfilado, ni sobre la base jurídica que
permite su realización, ni sobre los datos utilizados para llevarlo a cabo.
Alega CPC que el dato denominado ?Risk Score? se obtiene a partir del análisis
realizado por el proveedor (?), señalando que al informar a los interesados acerca
del tratamiento de sus datos no se menciona la obtención de este dato concreto
puesto que, aunque sea obtenido con la intervención de un encargado del tratamiento,
no se diferencia del simple análisis y estudio de datos llevado a cabo tanto con
finalidades regulatorias como con finalidades comerciales y que su base jurídica,
cuando se realice con finalidad comercial, será el consentimiento del interesado,
teniendo en cuenta que para llevar a cabo el tratamiento de análisis y estudio de datos
con finalidad comercial será necesario observar igualmente la normativa prudencial y
de solvencia. Se añade que en cuanto a los datos utilizados para obtener el ?Risk
Score?, se trata de los obrantes en sistemas de información crediticia.
Esta Agencia tampoco comparte esta alegación, no puede considerarse que se
informa debidamente a los interesados al integrarse dicha operación de tratamiento
dentro del análisis y estudio de datos llevado a cabo con finalidades comerciales. El
denominado risk score constituye en sí mismo una operación de perfilado, sin que se
informe a los interesados ni de los datos que se utilizan para dicha operación ni de su
resultado, que constituye un dato que se utilizará en otras operaciones de perfilado
que lleve a cabo el responsable con fines comerciales. En lo que respecta a los datos
utilizados para llevar a cabo la operación de perfilado denominada risk score, que
según se señala son aquellos que obran en los sistemas de información crediticia,
tampoco cabe su tratamiento sin el consentimiento del interesado, salvo que
concurran las circunstancias previstas en el artículo 20.1.e de la LOPDGDD, al que
antes se ha hecho referencia, lo que no sucede en el presente supuesto en que se
pretende su uso para realizar un perfilado con fines comerciales. En consecuencia,
dicho tratamiento deviene inválido en tanto carece de base legitimadora al no
solicitarse el consentimiento informado del interesado para que pueda llevarse a cabo.
En este sentido, las Directrices sobre decisiones individuales automatizadas y
elaboración de perfiles a los efectos del Reglamento 2016/679 señalan que ?La
transparencia del tratamiento es un requisito fundamental del RGPD.
El proceso de elaboración de perfiles suele ser invisible para el interesado. Funciona
creando datos derivados o inferidos sobre las personas (datos personales «nuevos»
que no han sido directamente facilitados por los propios interesados). Las personas
tienen distintos niveles de comprensión y les puede resultar difícil entender las
complejas técnicas de los procesos de elaboración de perfiles y decisiones
automatizadas.
Según el artículo 12, apartado 1, el responsable del tratamiento debe facilitar a los
interesados información concisa, transparente, inteligible y de fácil acceso sobre el
tratamiento de sus datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/82
Con respecto a los datos obtenidos directamente del interesado, estos deben
facilitarse en el momento que se obtengan (artículo 13); con respecto a los datos
obtenidos indirectamente, la información debe facilitarse dentro de los plazos previstos
en el artículo 14, apartado 3?
Más específicamente, debe reiterarse que las citadas directrices, en el punto relativo a
las bases jurídicas del tratamiento, en particular la relativa al consentimiento, señalan
que ?Las directrices del GT29 sobre consentimiento abordan de forma general el
consentimiento como base del tratamiento. El consentimiento explícito es una de las
excepciones de la prohibición sobre las decisiones automatizadas o la elaboración de
perfiles definidas en el artículo 22, apartado 1.
La elaboración de perfiles puede resultar opaca y, a menudo, se basa en datos
derivados o inferidos de otros datos, más que en información facilitada directamente
por el interesado.
Los responsables del tratamiento que pretendan basarse en el consentimiento como
base para la elaboración de perfiles deberán demostrar que los interesados entienden
exactamente qué están consintiendo, y deberán recordar que el consentimiento no es
siempre una base adecuada para el tratamiento. En todos los casos, los interesados
deben contar con suficiente información sobre el uso y las consecuencias previstos del
tratamiento para garantizar que cualquier consentimiento que den constituya una
elección informada.?
De todo ello cabe concluir que el consentimiento prestado para las finalidades de
perfilado descritas en los hechos del presente acuerdo no es conforme a lo
establecido en el artículo 4.7 RGPD. No es específico, porque no cumple la exigencia
de separación de los fines y prestación del consentimiento para cada uno de ellos, ni
está debidamente informado. La ausencia de tales requisitos determina que el mismo
no sea válido de modo que los tratamientos basados en él carecen de legitimación
contraviniéndose así lo previsto en el artículo 6 del RGPD.
En consecuencia, de conformidad con las constataciones expuestas, los citados
hechos podrían suponer una posible vulneración del artículo 6 del RGPD, en relación
con el artículo 7 del mismo texto legal y artículo 6 de la LOPDGDD, que da lugar a la
aplicación de los poderes correctivos que el artículo 58 del RGPD otorga a la Agencia
Española de Protección de datos.
V
Para el caso de que concurra una infracción de los preceptos del RGPD, entre
los poderes correctivos de los que dispone la Agencia Española de Protección de
Datos, como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/82
indicados a continuación:
(?)
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de cada
caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra
d) anterior es compatible con la sanción consistente en multa administrativa.
VI
En el presente caso ha quedado acreditado el incumplimiento del artículo 6.1
del RGPD con el alcance expresado en los Fundamentos de Derecho anteriores, lo
que, supone la comisión de una infracción tipificada en el artículo 83.5 de la misma
norma que bajo la rúbrica ?Condiciones generales para la imposición de multas
administrativas? dispone lo siguiente:
5. ?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?
A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:
Artículo 72. Infracciones consideradas muy graves
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679
se consideran muy graves y prescribirán a los tres años las infracciones que supongan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/82
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
a) El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del
Reglamento (UE) 2016/679.
(?)?
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/82
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD
dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
En este caso, considerando la gravedad de la infracción constatada procede la
imposición de multa.
No cabe aceptar la solicitud formulada por CAIXABANK PAYMENTS &
CONSUMER EFC, EP, S.A.U para que se impongan otros poderes correctivos,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/82
concretamente, el apercibimiento, teniendo en cuenta lo previsto en el considerando
148 del RGPD según el cual ?A fin de reforzar la aplicación de las normas del presente
Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas
multas administrativas, con carácter adicional a medidas adecuadas impuestas por la
autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En
caso de infracción leve, o si la multa que probablemente se impusiera constituyese
una carga desproporcionada para una persona física, en lugar de sanción mediante
multa puede imponerse un apercibimiento. Debe no obstante prestarse especial
atención a la naturaleza, gravedad y duración de la infracción, a su carácter
intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado
de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la
autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de
medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de
conducta y a cualquier otra circunstancia agravante o atenuante.?
Por las mismas razones, y considerando los criterios de graduación de las
sanciones que seguidamente se indican, se desestima igualmente la petición de
imposición de una sanción en su grado mínimo.
Tampoco cabe admitir la alegación de que, en el uso de los criterios de
graduación de la sanción, esta Agencia se separa del precedente administrativo
debiendo motivar el cambio de criterio según el artículo 35.1.c) de la LACAP. Según
CPC sirve como ejemplo el PS/0070/2019 afirmando que se aprecia una aplicación
diferente de los criterios que permiten graduar la sanción, ya que siendo, según CPC
los hechos imputados semejantes únicamente se tienen en cuenta dos criterios de
graduación frente a los que se contienen en la propuesta de resolución de este
procedimiento. Esta Agencia, para determinar la sanción a imponer en cada caso,
tiene en cuenta los elementos establecidos en el artículo 83 del RGPD, así como los
establecidos en el artículo 76.2 de la LOPDGDD, justificando la aplicación de cada
uno de ellos en función de las circunstancias de cada caso concreto.
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las
sanciones de multa a imponer en el presente caso al reclamado, como responsable de
infracciones tipificadas en el artículo 83.5.a) y b) del RGPD, procede graduar la multa
que correspondería imponer por la infracción imputada como sigue:
Infracción por incumplimiento de lo establecido en el artículo 6 del RGPD, en relación
con el artículo 7 del mismo texto legal y artículo 6 de la LOPDGDD, tipificada en el
artículo 83.5.a) y calificada como muy grave a efectos de prescripción en el artículo
72.1.b) de la LOPDGDD:
Se estima que concurren en calidad de agravantes los siguientes factores que
revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad
CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/82
naturaleza, alcance o propósito de las operaciones de tratamiento de que se trata;
la infracción resulta del procedimiento diseñado por dicha entidad para la recogida
del consentimiento para efectuar perfiles con fines comerciales a sus clientes, lo
que entraña un riesgo importante para los derechos de los interesados teniendo en
cuenta el carácter especialmente intrusivo de tal tratamiento de datos.
Alega dicha entidad que ?No estamos ante un supuesto en el que CPC haya
prescindido radicalmente de las obligaciones relacionadas con la obtención de
consentimientos, sin perjuicio de que la AEPD considere que habría que subsanar
determinadas cuestiones, que podrían suponer mejoras a la manera en que se
recaban los consentimientos.? Alega también que la Agencia no argumenta en que
consiste ese riesgo importante ni el carácter intrusivo del tratamiento, lo que lleva a
preguntarse si el envío de comunicaciones comerciales a clientes resulta
especialmente intrusivo, qué tratamiento de datos personales no será
especialmente intrusivo
Esta Agencia considera que se trata de una infracción que afecta al procedimiento
mediante el que se recaba el consentimiento y que afecta en particular a dos
elementos esenciales de éste, esto es, que el consentimiento sea específico e
informado. No se trata pues de meras mejoras en el procedimiento, sino que el
incumplimiento de estos dos requisitos determina que el consentimiento devenga
inválido. Tampoco se trata de un mero envío de comunicaciones comerciales, sino
de la realización de tratamientos de perfilado.
- La intencionalidad o negligencia apreciada en la comisión de la infracción;
los defectos señalados en el procedimiento mediante el que se recaba el
consentimiento de sus clientes, dada su evidencia debieron ser advertidos y
evitados al diseñar dicho procedimiento por una entidad de las características de
CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.
- La alta vinculación de la actividad del infractor con la realización de
tratamientos de datos personales. Las operaciones que constituyen la actividad
empresarial desarrollada por CAIXABANK PAYMENTS & CONSUMER EFC, EP,
S.A.U. como entidad dedicada a la comercialización de tarjetas de crédito o de
débito, cuentas de crédito y préstamos, implican operaciones de tratamientos de
datos personales.
Afirma dicha entidad que, en ningún caso, su actividad principal es el tratamiento
de datos de carácter personal de sus clientes más allá de lo que resulta necesario
para el desarrollo de esa actividad principal, ni tampoco se beneficia
económicamente del tratamiento de los datos personales de sus clientes. A este
respecto, debe tenerse en cuenta que entre sus actividades comerciales se
encuentra la del envío de comunicaciones comerciales a sus clientes de entidades
terceras con las que mantiene acuerdos comerciales.
Afirma también que la AEPD se separa de la intención del legislador que va
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/82
dirigida a considerar agravante el hecho de que el tratamiento de datos personales
sea la actividad principal de carácter empresarial, no que sea un instrumento; de
ahí que se refiera a "alta vinculación", de otro modo se llegaría a la conclusión de
que el mero hecho de tratar datos personales sería siempre una agravante. Si el
legislador así lo hubiera pretendido no hubiera calificado que tal vinculación debe
ser "alta
Esta Agencia no comparte tal interpretación. El artículo 76.2.b de la LOPDGG
establece como criterio de graduación de la infracción ?la vinculación de la
actividad del infractor con la realización de tratamientos personales?. Dicho
precepto no hace referencia alguna a que ésta sea alta, como afirma CPC, sino al
hecho de que exista tal vinculación, elemento que esta Agencia ha valorado como
alto por las razones expresadas.
- La condición de gran empresa de la entidad responsable y su volumen de
negocio. El volumen de negocio de la entidad según la información obtenida ha
sido de 872.976.000 ? durante el año 2019. A efectos informativos debe además
indicarse que la cifra de negocio del Grupo CaixaBank a 31 de diciembre de 2020
se cifra en doce mil ciento setenta y dos millones de euros.
Esta Agencia no comparte la alegación de que se han utilizado para la determinación
de la multa tanto la cifra de volumen de negocio de CPC como la del Grupo
CaixaBank, en el que aquella ya estaría incluida. La cifra de negocio del Grupo
CaixaBank se menciona a efectos informativos para resaltar que la multa es proporcional
y disuasoria, tal y como exige el artículo 83.1 del RGPD.
- Elevado volumen de datos y tratamientos que constituye el objeto del
expediente. Se trata un gran volumen de datos y de las siguientes tipologías: datos
identificativos, financieros, sociodemográficos y socioeconómicos, que permiten
efectuar un perfil exhaustivo de los interesados.
- Elevado número de interesados. El número de interesados (clientes) cuyos
datos fueron tratados en el desarrollo de la actividad de perfilado asociada a la
actividad de Scoring Proactivo con finalidades comerciales, asciende a 1.578.030
durante el año 2018 y a 2.352.256 en el año 2019.
Solicita que se tengan en cuenta como atenuantes, el esfuerzo realizado durante los
últimos años, especialmente desde la entrada en aplicación del RGPD, para
proporcionar a sus clientes la información pertinente sobre el tratamiento de sus datos
de forma adecuada y la puesta en marcha una serie de medidas dirigidas a esa
mejora en la recogida de los consentimientos. Alega también que CPC ha sido
proactiva y diligente en la respuesta a cualesquiera requerimientos de la Agencia.
A juicio de esta Agencia facilitar información a sus clientes, es una obligación que
deriva del RGPD y que debe hacerse en la forma exigida por éste, por tanto, el hecho
de facilitar información a sus clientes, que en lo que respecta al tratamiento objeto del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/82
presente procedimiento esta Agencia considera precisamente que no es adecuada, no
puede considerarse como una atenuante. En cuanto a las medidas adoptadas, estas
se centran en la modificación de la política de privacidad en su página web, sin
embargo la información que se aporta al cliente al recabar el consentimiento se
encuentra en el documento denominado CONDICIONES GENERALES DE LA
SOLICITUD-CONTRATO DE CRÉDITO, documento que no se ha modificado como el
propio CPC reconoce en su contestación al requerimiento realizado durante el período
de prueba, por lo que no cabe considerar que se hayan adoptado medidas suficientes
para poner remedio a la infracción o mitigar sus posibles efectos adversos. Por el
contrario, se facilitan informaciones distintas en dicho documento y en la política de
privacidad, de modo que la información que se facilita al interesado no es uniforme.
Por otra parte, atender los requerimientos de información de la Administración no
constituye una atenuante contemplada en la normativa de protección de datos.
Considerando los factores expuestos, la valoración que alcanza la multa por la
infracción imputada es de 3.000.000 euros.
VII
De acuerdo con lo establecido en el artículo 58.2.d) del RGPD, cada autoridad
de control podrá ?ordenar al responsable o encargado del tratamiento que las
operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento,
cuando proceda, de una determinada manera y dentro de un plazo especificado??
En este caso, considerando las circunstancias expresadas en relación con los
incumplimientos apreciados, procede requerir a CAIXABANK PAYMENTS &
CONSUMER EFC, EP, S.A.U. para que, en el plazo que se indica en la parte
dispositiva, adecúe a la normativa de protección de datos personales los
procedimientos mediante los que se recaba el consentimiento para elaborar perfiles
con finalidades comerciales con el alcance y en el sentido expresado en los
Fundamentos de Derecho del presente acto.
Se advierte que no atender los requerimientos de este organismo puede ser
considerado como una infracción administrativa grave al ?no cooperar con la Autoridad
de control? ante los requerimientos efectuados, pudiendo ser valorada tal conducta a
la hora de la apertura de un procedimiento administrativo sancionador con multa
pecuniaria. ?
IV
En su escrito de recurso CPC, reitera los argumentos expuestos planteando las
mismas cuestiones a modo de resumen. Las referencias que contiene el recurso a la
fundamentación expuesta en la resolución del procedimiento se presentan como
meras negaciones de los argumentos expuestos en la misma sin añadir de contrario
ningún razonamiento. Por tanto los alegatos contenidos en el recurso quedan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/82
rebatidos con los argumentos transcritos, que se consideran suficientes para rechazar
la anulación de la resolución solicitada.
No obstante, se considera oportuno realizar algunas consideraciones que se exponen
a continuación siguiendo la estructura del recurso.
En cuanto a las alegaciones relativas a la nulidad y anulabilidad del procedimiento
cabe señalar lo siguiente
1. Respecto a la alegación relativa a la supuesta desviación de poder que, según
CPC, no ha sido respondida en la resolución, esta Agencia entiende que tal alegación
resultó suficientemente contestada en la misma. Afirma CPC que en el marco de la
aplicación del régimen sancionador no tienen cabida fines de tipo recaudatorio ni de
búsqueda de notoriedad del órgano administrativo o de su titular mediante la
imposición de sanciones con fines de ejemplaridad o llamativas y que se describieron
en las alegaciones situaciones objetivas que ponían de manifiesto la desviación de
poder alegada.
Tal y como consta en la resolución recurrida tales ?situaciones objetivas? no son otras
que las declaraciones de la Directora de la AEPD sobre la trascendencia de unos
procedimientos sancionadores en curso debido a la cuantía de las multas de las que
se han hecho eco algunos medios de comunicación. Tales declaraciones en ningún
caso se referían al procedimiento objeto de la resolución recurrida.
En efecto, con independencia, de que las declaraciones de la Directora de la AEPD,
en el contexto de una nueva normativa que modifica sustancialmente el importe de las
multas a imponer, formarían parte de su cometido de informar sobre la actuación de la
AEPD, sin que ello, por otra parte, suponga que predetermine el resultado de los
procedimientos a los que se referían, en lo que respecta a CPC, como ya se señalaba
en la resolución ahora recurrida, tal alegación carece del más mínimo apoyo fáctico.
Como se indica en la citada resolución, la intervención de la Directora en el evento
celebrado el 03/03/2020 está relacionada, con la adopción de los acuerdos de
apertura de otros procedimientos sancionadores relacionados con el sector financiero,
pero en ningún caso con el procedimiento seguido contra CPC, respecto del cual no
solamente no se había incoado un procedimiento sancionador, sino que ni siquiera se
había presentado todavía por parte de dicha entidad la documentación que
posteriormente justificó la apertura del mismo. En consecuencia, tales declaraciones
en nada podían referirse a CPC de modo que la alegación de una supuesta
desviación de poder carece absolutamente de fundamento.
2. En lo que respecta a la supuesta relevancia para la defensa de CPC de la omisión
por parte de la AEPD de la inclusión en el acuerdo de inicio del dato relativo a la
estimación del recurso de reposición a la inadmisión de la reclamación, así como la
afirmación de que se ha producido un cúmulo de irregularidades que han derivado en
la vulneración a su derecho a la defensa jurídica, mencionado como tales la
afirmación de dicha entidad de que la decisión ya estaba tomada antes de que el
procedimiento hubiera pasado por todas sus fases, afirmación que basa nuevamente
en las declaraciones de la Directora de la AEPD a las que antes se ha hecho
referencia; en la supuesta extralimitación de la Inspección ampliando el alcance de las
actuaciones previas de investigación y en la supuesta falta de motivación de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
77/82
separación del criterio seguido en actuaciones precedentes, en tanto la cuantía de las
sanciones en otras conductas y contexto equivalentes fue mucho menor, se limita
CPC a enumerar cuestiones ya planteadas y a las que se ha dado respuesta en la
resolución recurrida.
Así, en lo que respecta a que en el acuerdo de inicio no se hizo referencia al hecho de
que el reclamante presentó recurso de reposición a la inadmisión de su reclamación
por la AEPD y dicho recurso fue estimado, ya se señalaba en la resolución de una
parte que tal hecho no tiene la relevancia que pretende atribuirle CPC, en cuanto la
propia resolución de la reclamación, de la que se da comunicación al reclamado,
advierte a éste que sin perjuicio de ese resultado ?la Agencia, aplicando los poderes
de investigación y correctivos que ostenta, pueda llevar a cabo posteriores
actuaciones relativas al tratamiento de datos referido en la reclamación? y, de otra,
que tal hecho se incluyó en propuesta de resolución para una mayor claridad de los
antecedentes que dieron lugar al inicio de actuaciones de investigación, de modo que
CPC ha podido alegar cuanto tuvo por conveniente.
Tampoco cabe compartir las alegaciones relativas a que se ha producido indefensión
porque según CPC la decisión ya estaba tomada antes de que el procedimiento
hubiera pasado por todas sus fases, afirmación que fundamenta en las declaraciones
de la Directora de la AEPD anteriormente mencionadas. A este respecto, tal y como
se ha señalado reiteradamente, ni tales declaraciones podían referirse a CPC, ni las
mismas predeterminan el resultado del procedimiento. Tal y como se señalaba en la
resolución recurrida, la imparcialidad del órgano resolutorio está vinculada al derecho
del interesado a un proceso con todas las garantías. Se garantiza con los motivos de
abstención o recusación y con la debida separación entre las fases de instrucción y de
resolución del procedimiento sancionador, separación entre fases que se respeta
escrupulosamente en todos los procedimientos de esta naturaleza seguidos en la
AEPD. CPC no rebate los argumentos expuestos en la resolución que llevaban a la
conclusión de que ni concurría en el procedimiento ninguna causa de abstención o
recusación ni se había quebrado la imparcialidad del instructor, por lo que no cabe
sino remitirse a lo expresado en la citada resolución.
En cuanto a la supuesta extralimitación de la Inspección ampliando el alcance de las
actuaciones previas, esta Agencia ha reconocido la existencia de un error de
transcripción que ha carecido de consecuencia alguna, por lo que no cabe sustentar
ninguna indefensión en el mismo. Nuevamente debemos referirnos a lo señalado en la
resolución, en la que se señalaba que si bien se había producido un error de
transcripción en el requerimiento de la Subdirección de Inspección por el que se
solicitaba información a CPC, al hacerse referencia no solamente a clientes, sino
también a ?posibles clientes?, no se ha realizado actuación alguna sobre tratamientos
de datos no incluidos en el ámbito de investigación fijado por la Directora de la AEPD
en el que se refería solamente a clientes. La resolución ponía de manifiesto
igualmente que la propia CPC exponía, en la información facilitada con motivo de tal
requerimiento, que no se llevan a cabo tales tratamientos con ?`posibles clientes? y, en
consecuencia, no ha facilitado información alguna en tal sentido
Por último, alega CPC, la supuesta falta de motivación de la separación del criterio
seguido en actuaciones precedentes, obviando que tal motivación se contiene en la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
78/82
resolución recurrida, sin que CPC haya efectuado argumentación alguna para
desvirtuar lo señalado en la AEPD. Debe así reiterarse aquí lo señalado en la misma:
?Para determinar la sanción a imponer en cada caso, esta Agencia, tiene en cuenta
los elementos establecidos en el artículo 83 del RGPD, así como los establecidos en
el artículo 76.2 de la LOPDGDD, dichos elementos, como es sabido, no solamente se
refieren al tipo infractor, la condición de gran empresa o el volumen de negocio, por lo
que la afirmación de CPC de que otros procedimientos en los que coinciden esos tres
elementos y la sanción es menor, realizada sin mayor precisión que justifique la
supuesta discriminación de trato respecto de otros interesados, no puede ser tenida
en cuenta como una causa que determine la anulabilidad de un procedimiento. No
obstante, cabe añadir que tales elementos son lo único que tienen estos
procedimientos en común con el que ahora se tramita, puesto que los demás
elementos de graduación de la sanción que se han considerado para determinar la
sanción en el presente procedimiento y los contenidos en las resoluciones a que CPC
hace referencia no son equiparables, ni por la naturaleza y gravedad de la infracción,
ni por el número de afectados (solamente el reclamante en los casos mencionados),
por mencionar solamente alguno de los agravantes tenidos en cuenta en el presente
procedimiento y que no concurrían en los supuestos a que CPC se refiere.?
De todo ello se desprende que no se ha producido indefensión en el procedimiento
seguido contra CPC. Debe tenerse en cuenta, además, a este respecto que la
Sentencia del Tribunal Supremo de 11 de octubre de 2012 recurso nº. 408/2010
declara lo siguiente: ?(?)No se produce indefensión a estos efectos si el interesado
ha podido alegar y probar en el expediente cuanto ha considerado oportuno en
defensa de sus derechos y postura asumida, como también recurrir en reposición,
doctrina que se basa en el artículo 24.1 CE, si hizo dentro del expediente las
alegaciones que estimó oportunas" (S.T.S. 27 de febrero de 1991), "si ejercitó, en fin,
todos los recursos procedentes, tanto el administrativo como el jurisdiccional" (S.TS.
de 20 de julio de 1992). Por ello, "si el interesado en vía de recurso administrativo o
contencioso-administrativo ha tenido la oportunidad de defenderse y hacer valer sus
puntos de vista, puede entenderse que se ha subsanado la omisión y deviene
intrascendente para los intereses reales del recurrente y para la objetividad del control
de la Administración, compatibilizando la prohibición constitucional de indefensión con
las ventajas del principio de economía procesal que complementa al primero sin
oponerse en absoluto al mismo y que excluye actuaciones procesales inútiles a los
fines del procedimiento" (SS.TS. de 6 de julio de 1988 y 17 de junio de 1991 ).?
En este mismo sentido declara la STC 78/1999, de 26 de abril, en su Fundamento
Jurídico 2: ?Así pues, según reiterada doctrina constitucional que se sintetiza en el
fundamento jurídico 3º de la STC 62/1998, "la estimación de un recurso de amparo
por la existencia de infracciones de las normas procesales 'no resulta simplemente de
la apreciación de la eventual vulneración del derecho por la existencia de un defecto
procesal más o menos grave, sino que es necesario acreditar la efectiva concurrencia
de un estado de indefensión material o real' (STC 126/1991, fundamento jurídico 5º;
STC 290/1993, fundamento jurídico 4º). Para que pueda estimarse una indefensión
con relevancia constitucional, que sitúa al interesado al margen de toda posibilidad de
alegar y defender en el proceso sus derechos, no basta con una vulneración
meramente formal, siendo necesario que de esa infracción formal se derive un efecto
material de indefensión, un efectivo y real menoscabo del derecho de defensa (STC
149/1998, fundamento jurídico 3º), con el consiguiente perjuicio real y efectivo para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
79/82
los interesados afectados (SSTC 155/1988, fundamento jurídico 4º, y 112/1989,
fundamento jurídico 2º)".
Respecto de las alegaciones relativas al objeto de la resolución, sin perjuicio de lo ya
señalado en la misma debe destacarse lo siguiente.
1. En lo que respecta a las alegaciones relativas a la corresponsabilidad alegada por
CPC, para justificar la cesión ilícita de datos entre empresas, nada nuevo señala en
su recurso limitándose a reiterar que esta Agencia no ha presentado evidencias de
que no exista tal corresponsabilidad y que se invierte la carga de la prueba. A juicio de
esta Agencia, siendo CPC la que alega la existencia de corresponsabilidad a ella
corresponde demostrar su existencia, sin que ello, en ningún caso, suponga una
inversión de la carga de la prueba. No cabe aquí sino remitirse a lo expresado en la
resolución en la que resulta suficientemente argumentado que CPC no ha aportado
ningún elemento fáctico que permita considerar que se determinan por todas las
empresas del grupo los fines y medios de las operaciones de perfilado para la oferta a
los clientes de CPC de determinados productos y que no resulta admisible un acuerdo
de corresponsabilidad carente de fecha y firma y, en consecuencia, de validez alguna
conforme al propio documento que fija su entrada en vigor en la fecha de su firma.
2. Señala CPC que se reafirma en que no se ha producido una infracción del artículo
6 del RGPD ya que el consentimiento prestado para las finalidades de perfilado
cumple con la exigencia de la separación de los fines y prestación del consentimiento
para cada uno de ellos, además de estar debidamente informado según lo previsto en
la normativa que regula el derecho a la protección de los datos personales; por lo que
este es válido.
Esta Agencia ha aclarado suficientemente en la resolución recurrida las razones por
las que considera que el consentimiento no es especifico ni se informa debidamente
sobre los datos que van a ser objeto de tratamiento en el marco de las actividades
comerciales basadas en el consentimiento. Frente a los argumentos expuestos en la
resolución se limita CPC a señalar que la falta de información aludida por la Agencia
se sustenta en valoraciones subjetivas utilizando argumentos centrados en las
opiniones de las autoridades de autoridades de protección de datos pero que en
ningún caso constituyen derecho sustantivo.
A este respecto debe señalarse, que las consideraciones realizadas por la AEPD se
basan en criterios consolidados como los expresados por el Grupo de Trabajo del
Artículo 29, aprobados por el Comité Europeo de Protección de Datos. En este
sentido debe traerse a colación aquí lo declarado por el Tribunal Supremo (STS
1.176/2020, de 17 de septiembre de 2020) según la cual:
?El Grupo de Trabajo contemplado en el artículo 29 de la Directiva 95/ 46/CE al que
ha sucedido el denominado Comité Europeo de Protección de Datos (CEDP), que
dicta las Directivas 5/2019, es un órgano consultivo e independiente cuya función con
arreglo a lo dispuesto en el artículo 30.3 de la Directiva 95/46 CE es abordar
cuestiones relacionadas con la privacidad y los datos personales y emitir directrices
sobre como la considerada en la sentencia de la Audiencia Nacional, que consiste en
una guía para la implementación de la Sentencia del caso Costeja C-131/12. Las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
80/82
directrices carecen de valor normativo vinculante, pero sí recogen el análisis de los
expertos desde la perspectiva de la protección de datos personales de los criterios de
ponderación recogidos en la Sentencia del TJUE de 13 de mayo de 2014 caso
Costeja, y con ese valor orientativo pueden ser utilizadas por las autoridades
nacionales competentes para resolver las cuestiones que atañen a la protección de
los datos personales.? (el subrayado es nuestro)
Y es desde esta perspectiva, y teniendo en cuenta que a dicho Comité compete
conforme al RGPD garantizar la aplicación coherente del mismo (art. 70.1 RGPD),
emitiendo, respecto de cualquier cuestión relativa a la aplicación del Reglamento,
directrices, recomendaciones y buenas prácticas a fin de promover la aplicación
coherente del mismo (art.70.1.e), que la interpretación que hace esta Agencia de la
necesidad de conocer los datos que van a ser objeto de tratamiento para emitir un
consentimiento informado sigue los criterios fijados en las Directrices a que se hace
referencia en la resolución, necesidad que deriva como expresan tales Directrices del
principio de transparencia, que constituye uno de los principios fundamentales
consagrados en el RGPD y que se encuentra estrechamente relacionado con los
principios de lealtad y licitud.
Respecto de las alegaciones relativas a que esta Agencia conoce en el marco de otro
procedimiento información sobre la opinión de terceros especializados que han
valorado hasta qué punto la información es clara y comprensible y que dispone de test
o encuestas realizadas a los usuarios con la finalidad de conocer el grado de
comprensión de la información proporcionada, cabe señalar que el documento del
Banco de España aportado efectúa una valoración desde el punto de vista de la
normativa bancaria, como no puede ser de otra forma, pero en ningún caso desde la
perspectiva de la normativa de protección de datos, valoración excluida de su
competencia, por lo que dicha opinión nada aporta sobre la información que conforme
a la normativa de protección de datos debe facilitarse al interesado.
En cuanto a la encuesta aportada, cabe señalar que se trata de una encuesta
realizada por una entidad distinta a CPC y respecto de la información contenida en el
contrato Marco que dicha entidad, CAIXABANK facilitaba a sus clientes. Tal y como
señala CPC, tal encuesta fue aportada en otro expediente seguido contra
CAIXABANK, señalando respecto a la misma esta Agencia numerosos defectos,
entre los que cabe destacar que desde el punto de vista técnico, los trabajos
realizados nada indican sobre la selección de la muestra de clientes a los que se
realizó la entrevista (solo se indicaba que se han seleccionado personas que firmaron
el ?Contrato Marco? en el último año); que no resulta aceptable que la encuesta se
realice sobre un extracto de la información y que los enunciados de las preguntas son
esquemáticos, no precisos y aclaratorios del contenido de la información, y no tienen
como objeto aspectos esenciales, como los relativos a los perfilados, su elaboración y
utilización.
Asimismo, esta Agencia precisaba que la información no es válida por el solo hecho
de que resulte comprensible y que los estudios aportados no se referían a aspectos
importantes cuestionados en tal resolución del procedimiento en que la encuesta fue
aportada y cuya comprensión por los clientes no modificaba las conclusiones de esta
Agencia y las consecuencias que conllevan los incumplimientos respectivos.
Aplicando estas conclusiones al presente caso, cabría señalar que la comprensión de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
81/82
las preguntas realizadas en la encuesta no salvaría el hecho de que se solicite el
consentimiento al interesado para realizar un perfilado con fines comerciales sin que
se le informe de que se van a tratar datos contenidos en sistemas de información
crediticia y el tratamiento denominado risk score. Este último constituye en sí mismo
una operación de perfilado, sin que se informe a los interesados ni de los datos que se
utilizan para dicha operación, que son los obrantes en los sistemas de información
crediticia, ni de su resultado, que constituye un dato que se utilizará en otras
operaciones de perfilado que lleve a cabo el responsable con fines comerciales. El
tratamiento de los datos contenidos en sistemas de información crediticia requiere el
consentimiento del interesado cuando no se encuentra habilitado en lo previsto en el
artículo 20 de la LOPDGDD, como ocurre en el presente caso, de modo que para
obtener dicho consentimiento debe necesariamente informarse al interesado de que
se van a tratar tales datos. Tales carencias en la información determinan la ausencia
de base legitimadora para el tratamiento, como se ha expresado en la resolución
recurrida a cuyos razonamientos nos remitimos.
3. En cuanto a la alegada desproporción de la sanción impuesta, cabe señalar que no
es cierto que no se motive como se han aplicado los criterios de graduación de las
sanción, esta Agencia ha tenido en cuenta los elementos establecidos en el artículo
83 del RGPD, así como los establecidos en el artículo 76.2 de la LOPDGDD,
exponiendo en el punto V de la resolución recurrida, justificadamente, cada uno de los
factores que concurren en condición de agravantes y denegando motivadamente los
elementos atenuantes alegados por CPC, por lo que se trata de una mera opinión en
contrario no fundamentada.
En consecuencia, en el presente recurso de reposición, el recurrente no ha aportado
nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la
resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por CAIXABANK
PAYMENTS & CONSUMER EFC, EP, S.A.U. contra la resolución de esta Agencia
Española de Protección de Datos dictada con fecha 22 de septiembre de 2021, en el
procedimiento sancionador PS/00500/2020.
SEGUNDO: NOTIFICAR la presente resolución a la entidad CAIXABANK
PAYMENTS & CONSUMER EFC, EP, S.A.U.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva
una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
82/82
CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período
ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (LPACAP), los interesados podrán interponer recurso contenciosoadministrativo
ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente
a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado
manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste
el caso, el interesado deberá comunicar formalmente este hecho mediante escrito
dirigido a la Agencia Española de Protección de Datos, presentándolo a través del
Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o
a través de alguno de los restantes registros previstos en el art. 16.4 de la citada
LPACAP. También deberá trasladar a la Agencia la documentación que acredite la
interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese
conocimiento de la interposición del recurso contencioso-administrativo en el plazo de
dos meses desde el día siguiente a la notificación de la presente resolución, daría por
finalizada la suspensión cautelar.
180-100519
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es