Multan con más de 2 millones de euros a Caixabank por cobrar una tasa para no recopilar datos personales

La Agencia Española de Protección de Datos ha señalado que vincular la recopilación de datos al pago o no de una determinada cantidad vulnera el principio del consentimiento otorgado libremente.

Multan con más de 2 millones de euros a Caixabank por cobrar una tasa para no recopilar datos personales

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de más de 2 millones de euros a CaixaBank, como sucesora de Bankia, por una actuación llevada a cabo por la entidad ahora absorbida que vinculó la exención del cobro de comisiones de determinados productos a que los clientes diesen su consentimiento para recibir publicidad por cualquier canal habilitado y que sus datos personales pudiesen ser cedidos a otras empresas del grupo.

Según recoge la AEPD en su resolución de expediente sancionador, esto supone una vulneración de la normativa de protección de datos respecto de la recopilación del consentimiento de los clientes de Bankia.

La investigación se inició a raíz de una primera reclamación que tuvo entrada en la Agencia en febrero de 2019. Un cliente de la cuenta ON de Bankia comunicó a la AEPD que la entidad le exigía que aceptase todos los consentimientos de tratamientos de datos personales que aparecían ya premarcados o aceptados y que, si elegía que no se cediesen sus datos a terceras empresas, el banco le cobraba una tasa de 5 euros al mes para mantener su cuenta.

La Subdirección General de Inspección de Datos reclamó información a Bankia sobre la política de privacidad y publicidad de las cuentas y tarjetas ON, ON Nómina y Un & Dos, de la que se desprendía que Bankia eximía del pago de comisiones de administración y mantenimiento de la cuenta y tarjetas asociadas si los clientes mantenían un "perfil digital".

Para ostentar este "perfil digital", los clientes debían, entre otras condiciones, haber facilitado a Bankia su número de teléfono móvil y correo electrónico y haber autorizado al banco al tratamiento de sus datos personales para el envío de comunicaciones comerciales por cualquier canal habilitado y a la cesión de sus datos personales a empresas de su grupo para el análisis de su perfil a efectos comerciales.

Esto motivó que los clientes de Bankia que no habían aceptado el envío de comunicaciones comerciales por cualquier canal o hubiesen rechazado ceder sus datos personales a empresas del grupo tuviesen que pagar comisiones por ello, al considerar la entidad que no cumplían con el "perfil digital" precisamente por esta negativa.

Además del primer reclamante, hasta seis usuarios más se dirigieron a la Agencia Española de Protección de Datos para denunciar este cobro de comisiones.

Bankia argumentó ante la AEPD que los clientes no estaban obligados a aceptar ningún consentimiento sobre el tratamiento de datos personales en el proceso de contratación de la cuenta ON, pero en el caso de que lo hicieran y cumpliesen con el resto de condiciones del "perfil digital" se les podía eximir del pago de comisiones de ciertos productos. "El proceso de gestión de consentimientos por parte de los clientes, que permite no solo prestarlos libremente y a través de cualquiera de los canales de la entidad, sino también modificarlos en cualquier momento y tantas veces como el cliente quiera de manera ágil y sencilla, garantiza que dicho consentimiento se preste libremente", defendió Bankia.

El banco eliminó las condiciones de aceptar la recepción de publicidad y la cesión de sus datos a terceros el 15 de diciembre de 2019 y añadió una relativa a tener aceptado y activado el servicio de mensajería push a través de la app Bankia. Las nuevas condiciones se empezaron a aplicar a los clientes preexistentes dos meses después.

Consentimiento no otorgado libremente

La Agencia de Protección de datos recuerda que el artículo 4.11 del Reglamento General de Protección de Datos (RGPD) define el consentimiento del interesado para el tratamiento de sus datos personales como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".

A su juicio, al vincular la exención de comisiones bancarias a la prestación del consentimiento para el envío de comunicaciones comerciales y la cesión de datos personales a las entidades del grupo Bankia, "no puede considerarse que el consentimiento se otorga libremente, en tanto que, si no se aceptan tales tratamientos o se revoca posteriormente el consentimiento así obtenido, se producen consecuencias negativas para el interesado que está sujeto, en tal caso, al abono de las comisiones fijadas por la entidad bancaria".

CaixaBank, sucesora de Bankia, alegó que las comisiones no constituyen un gravamen, sino la contraprestación de los servicios prestados por el banco, configurándose como un elemento que debe incorporarse al contrato de cuenta corriente cuya finalidad es la remuneración de los servicios prestados, un razonamiento que la AEPD no comparte.

"Esta Agencia considera que, efectivamente, las comisiones pueden formar parte del contrato de cuenta corriente remunerando los servicios que se presten por la entidad bancaria, pero entiende que la vinculación de la exención de su cobro a la prestación del consentimiento para otros tratamientos de datos personales diferentes a los propios del contrato determina que el consentimiento no se preste en condiciones de libertad", ha dictaminado.

Por todo ello, la directora de la Agencia Española de Protección de Datos, Mar España Martí, ha resuelto imponer a CaixaBank una multa de 2 millones de euros por una infracción del RGPD, en relación con la obtención del consentimiento para fines distintos a los propios del contrato condicionando su obtención a la exención de comisiones bancarias y una sanción de 100.000 euros en relación con la obtención del consentimiento a través de casillas premarcadas.

Contra la resolución, CaixaBank puede interponer recurso de reposición ante la directora de la Agencia Española de Protección de Datos en el plazo de un mes o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Ya somos 246.992