La AEPD impone 5 millones de euros de sanción al BBVA por vulnerar tres artículos del RGPD

La AEPD impone 5 millones de euros de sanción al BBVA por vulnerar tres artículos del RGPD

El pasado 15 de diciembre de 2020, la Agencia Española de Protección de Datos (AEPD) sancionó con una multa histórica de cinco millones de euros al Banco Bilbao Vizcaya Argentaria (BBVA) por la vulneración de diversos preceptos del Reglamento General de Protección de Datos.

Esta sanción de la AEPD agota la vía administrativa para el BBVA. Por lo que este únicamente podría recurrir en vía judicial ante la sala de lo contencioso administrativo de la Audiencia Nacional.

Teniendo en cuenta lo transcendente de la resolución impuesta por parte de la AEPD, pasamos a analizar a continuación las claves de esta sanción administrativa.

Infracción del derecho de información del interesado

La infracción que se le imputa al BBVA en los 124 folios de resolución dictada por la AEPD centra sus argumentos en la supuesta vulneración de los artículos 6 (base de legitimación para el tratamiento de datos), y 13 y 14 (deber de informar) del Reglamento General de Protección de Datos, al entender que el consentimiento otorgado por los usuarios no habría sido lo suficientemente informado.

Invalidez del consentimiento como base legal para el tratamiento de datos personales

La resolución alcanzada por parte de la AEPD concluye que la Política de Privacidad del BBVA no era lo suficientemente informativa y clara en su redacción.

Pero es que, además, se impone al BBVA una segunda sanción por vulnerar el principio de legitimación del tratamiento. Esta se debe a que las bases de legitimación en las que se basaba el BBVA para proceder al tratamiento del los datos de los usuarios no serían las adecuadas, a criterio de la AEPD.

Invalidez del interés legítimo como base legal para el tratamiento de datos personales

A propósito de la base de legitimación del interés legítimo, la AEPD argumenta en su resolución que la definición ofrecida por la entidad bancaria BBVA en el glosario de términos en el que se informa a los usuarios resultaría insuficiente.

Especifica que el “interés” no se expresa en el caso del BBVA y que la entidad bancaria no informa en su política de privacidad sobre ningún interés específico al referirse a los tratamientos de datos que tiene previsto realizar al amparo de esta base de legitimación.

En definitiva, la AEPD recuerda al BBVA que la utilización de esta base de legitimación debe realizarse siempre y en todo caso “con moderación” y siempre “atendiendo a la posición que ostentan responsable e interesado y a la naturaleza jurídica de la relación o servicio que les vincula”.

No puede convertirse esta base de legitimación en una especie de “comodín legal” que ampare cualquier tipo de tratamiento. Ha existir una proporcionalidad entre la base de legitimación empleada por el responsable, los datos que se obtienen del interesado y la naturaleza específica de dicho tratamiento.

Conclusiones

Teniendo en cuenta lo sucedido con la resolución sancionadora de la AEPD frente al BBVA, deberemos guardar especial precaución en relación con las finalidades de tratamiento que pretenda llevar a cabo un responsable del tratamiento, y la base de legitimación que se incluya en sus políticas de privacidad.

Es fundamental usar como piedra angular de legitimación la base del consentimiento que tengan los afectados siempre que sea posible y sólo acudir a bases de legitimación como el interés legítimo en circunstancias excepcionales que puedan quedar perfectamente amparadas teniendo en cuenta la casuística concreta de nuestro caso.

Por otro lado, resultará imprescindible aportar al usuario los opt ins que resulten necesarios para la captación del consentimiento de las distintas finalidades de tratamiento. Así como informar adecuadamente de cada una de ellas.

Letslaw es un despacho de abogados de protección de datos y privacidad.