¿Qué es lo que firmas cuando aceptas políticas de protección de datos? ¿Dónde están los límites en las políticas de protección de datos ?

Es una realidad patente, que estamos en una etapa histórica donde los datos, más que nunca son los protagonistas ocultos de nuestro trabajo, respecto de cualquier profesión. Los datos son objeto de manipulación constante y además imprescindibles para poder realizar cualquier labor, es por ello que la regulación al respecto los califica como “sensibles”.

Desde 2016 con el Reglamento General de protección de Datos del Parlamento Europeo se nos ofreció una primera línea de protección y esta norma ha concretado el concepto de “datos personales”, ha regulado su tratamiento y por último su cesión, todo ello en base a unos sujetos y unas características especiales por ser considerados “de carácter sensible”. La normativa europea culminó en España en 2018 con la Ley Orgánica de Protección de Datos, esta ley viene a redundar la regulación del reglamento con la especialidad de crear en su Título VII capítulo I la Agencia Española de protección de Datos, que es el organismo de control que tenemos en España en esta materia y que tiene facultades para sancionar aquellas sociedades que se extralimitan en el tratamiento de los datos de carácter personal.

Antes de comenzar a analizar la cuestión principal, a título de resumen, cabe realizar una pequeña estructuración genérica de la LOPD y del RGPD en cuanto al modelo básico de regulación que establece sobre los datos:

• En primer lugar, distingue 2 sujetos principales, el responsable de los datos, el encargado de los datos, y también regula la figura del delegado de protección de datos, pero en un plano secundario.

• En segundo lugar se refiere a los datos personales, concretamente aquellos que permitan que una persona física sea identificable, ya sea de manera directa o indirecta, o bien, mediante un identificador.
• Por último y lo más importante es el tratamiento de los datos, el cual, supone “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,
• limitación, supresión o destrucción;” ( art 4.2 RGPD). En base al tratamiento, los destinatarios del mismo tienen una serie de derechos sobre los datos de los que son titulares y son objeto de dicho tratamiento y, asimismo éste, siempre debe ser lícito, leal y transparente en relación al interesado.

Con esta última mención, cabe plantear ¿hasta qué punto son efectivas las multas impuestas por la agencia de protección de datos? La realidad práctica plantea una serie de dudas a la hora de aplicar esta ley de protección de datos. Y es que esta regulación ofrece gran protección hacia el destinatario de los tratamientos, pero sus normas se siguen quebrantando, ¿es quizás, porque no suponen un alto coste para el que no se acoge a la norma?

Cabe hacer alusión a una reciente sanción impuesta por la AEPD a principios de marzo, la cual sancionó con 2,1 millones de euros a CAIXABANK SA precisamente por lo que hemos comentado previamente, por extralimitarse en el uso de los datos a la hora de realizar el tratamiento de los mismos, forzando un determinado consentimiento.

Lo ocurrido fue; que CaixaBank SA, como la gran mayoría de las entidades bancarias practicaba el cobro de comisiones sobre la contratación de productos financieros, concretamente de cuentas bancarias (para su mantenimiento, cuotas de las tarjetas…). Pero, en este caso las comisiones podían llegar a ser evitadas por los futuros titulares de las cuentas si accedían a abrir/mantener un Perfil digital, el cual Caixabank obtenía en base a una política de tratamiento de datos, es decir, el Cliente/titular debía dar su consentimiento para; (a) “el tratamiento de sus datos personales para el envío de comunicaciones comerciales por cualquier canal de comunicación habilitado, incluidos correo electrónico y teléfono móvil” y (b) “la cesión de sus datos personales a empresas de su grupo para el análisis de su perfil a efectos comerciales». Si los Clientes aceptaban dichas condiciones, adquirían el perfil digital y quedaban exentos del pago de las comisiones de las Cuentas Bancarias.

Ante ello, la AEPD ha considerado que el consentimiento de los clientes estaba condicionado, y por tanto no se trataba de una manifestación de voluntad libre, dado que se condicionó la exención de las comisiones al otorgamiento del consentimiento para fines distintos de lo que era el
propio contrato de la cuenta bancaria. Por lo que, en sí mismo el cliente solo ofrecía su consentimiento para la apertura de la Cuenta.

Y se penaliza a CaixaBank por vincular “la exención de su cobro a la prestación del consentimiento para otros tratamientos de datos personales diferentes a los propios del contrato” en este caso concreto, dirigidos al envío de comunicaciones comerciales y a la cesión de datos personales a empresas de su grupo, lo cual. Y en cuanto a la argumentación que CaixaBank realizaba respecto de que es beneficioso para el cliente la exención de las comisiones la AEPD desestima esta argumentación explicando que: «en ningún caso puede considerarse que la exención de las comisiones constituya un beneficio para el interesado, por el contrario dicha exención tiene como contrapartida la limitación de su derecho fundamental a la protección de datos, limitación que solamente puede ser admisible cuando su aceptación no se encuentra condicionada”.

Con todo ello y en respuesta al planteamiento principal los límites de la ley protección de datos está en el consentimiento que damos para que hagan uso de ellos, quizás es momento de comenzar a pararnos a leer qué aceptamos con ese sinfín de letras pequeñas que aparecen antes de efectuar cualquier contrato.