La reciente Resolución del Procedimiento Sancionador PS/00477/2019 instruido por la Agencia Española de Protección de Datos contra la entidad CAIXABANK, S.A. contiene, entre otras, la imposición de dos sanciones, una sanción leve por infracción de los artículos 13 y 14 (información que debe facilitarse al interesado) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y otra sanción muy grave por infracción del artículo 6 (licitud del tratamiento) de dicho Reglamento.
Esta Resolución nos ofrece pautas para cumplir adecuadamente con dos de las principales obligaciones para el tratamiento de datos personales: informar al interesado y legitimar el tratamiento de datos personales.
Basándonos en esas pautas, vamos a tratar de formular unas recomendaciones que nos sirvan para cumplir adecuadamente con el principio de responsabilidad proactiva cuando realicemos actividades de tratamiento de datos personales.
1. RECOMENDACIONES PARA LA INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS PERSONALES
1.1 Uniformidad en el contenido de la información sobre el tratamiento.
Informar de manera uniforme en todos los soportes de recogida, sin utilizar terminología diferente y con la misma amplitud.
1.2 Terminología empleada para informar sobre el tratamiento de datos
Informar de modo comprensible, utilizando un lenguaje claro y sencillo, evitando frases inconcretas tales como: “conocerte mejor”, “personalizar su experiencia”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, “mejorar el diseño y usabilidad de los productos”, “productos y servicios ajustados a su perfil”, “información generada de los propios productos”, “análisis y estudio”, “estudiar productos y servicios” o “diseñar productos y servicios”, “para nuestra propia gestión”, “darte un mejor servicio”, “comunicar tus datos a terceros con los que tengamos acuerdo”, “expectativa razonable de recibir”, “necesidades de gestión”, “análisis, estudio y seguimiento para la oferta y diseño de productos y servicio ajustados al perfil”.
Conocer a las personas sobre las que recopilamos información y poder utilizar este conocimiento para determinar que son susceptibles de comprender la información que les suministramos.
1.3 Información que permita valorar todos los tratamientos.
Cuando la base jurídica para el tratamiento sea la ejecución del contrato, evitar las referencias inconcretas indicando todos los datos y todas las finalidades.
1.4 Información sobre los datos si la base jurídica es el consentimiento
Además de la información general que tenemos la obligación de suministrar al interesado también debemos informar sobre las categorías de datos personales que se van a someter a tratamiento en los siguientes casos:
- Cuando el tratamiento tenga como base jurídica el consentimiento del interesado y se utilicen datos personales obtenidos a partir del uso de los productos y servicios contratados, de datos de navegación o de los obtenidos de las comunicaciones que se establezcan entre el cliente y la entidad.
- Cuando la base jurídica sea el interés legítimo y el tratamiento tenga por objeto la elaboración de perfiles que posteriormente se emplean para la realización de tratamientos de datos basados en el consentimiento del interesado.
- Cuando se vayan a realizar tratamientos de datos personales obtenidos de fuentes externas (obtenidos de productos y servicios contratados por los interesados con terceros, así como los datos que deriven de las relaciones comerciales con terceros y los confeccionados a partir de los anteriores).
1.5 Información clara y precisa sobre las finalidades en un contrato
Procurar informar de forma clara y precisa sobre cada una de las bases jurídicas para cada una de las finalidades que puedan tratarse los datos en un contrato.
1.6 Información sobre el interés legítimo del responsable: .
Cuando la base de legitimación sea el interés legítimo se debe informar de forma clara y precisa sobre el juicio de ponderación que permita determinar las razones por las que la utilidad del tratamiento prevalece sobre los intereses y derechos del interesado
1.7 Información clara y precisa sobre la elaboración de perfiles .
Cuando el tratamiento consista en la elaboración de perfiles se debe informar de forma clara y precisa sobre el tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o su funcionamiento y las consecuencias de su elaboración así como del derecho de oposición, cuando el perfilado esté relacionado con actividades de mercadotecnia directa
1.8 Información sobre el ejercicio de derechos
Informar siempre sobre la totalidad de derechos que el interesado puede ejercer y de conformidad con el Reglamento General de Protección de Datos.
1.9 Información uniforme sobre los plazos de conservación de los datos
Informar de modo uniforme sobre los plazos de cancelación de los datos.
2. RECOMENDACIONES PARA LA LICITUD EN EL TRATAMIENTO DE DATOS PERSONALES
2.1 Consentimiento libre para tratar datos personales en el marco de un contrato
No se debe obtener el consentimiento para los tratamientos de datos personales mediante la misma acción por la que el usuario acuerda un contrato o acepta los términos y condiciones generales de un servicio. La aceptación global de los términos y condiciones generales no puede considerarse una clara acción afirmativa destinada a dar el consentimiento al uso de datos personales.
No se deben ofrecer casillas marcadas previamente o mecanismos de exclusión voluntaria que requieran la intervención del interesado para evitar el acuerdo.
Diseñar los mecanismos de consentimiento de manera que sean claros para los interesados evitando la ambigüedad y garantizando que la acción mediante la cual se presta el consentimiento se distinga de otras acciones.
Si el tratamiento tiene varios fines, debe darse el consentimiento para todos ellos, si bien mediante una manifestación de voluntad expresada para cada uno de los fines de forma separada o diferenciada, permitiendo al interesado optar por elegir todos, una parte o ninguno de ellos
2.2 Los tratamientos y comunicaciones deben tener su base jurídica de legitimación
Se debe buscar la base jurídica concreta de legitimación para el tratamiento con fines propios de aquellos datos obtenidos de productos comercializados por terceros que pretendamos usar.
Las cesiones deben tener su propia base jurídica de legitimación que puede ser la misma que la del propio tratamiento o no. Se debe posibilitar la selección de la entidad o entidades concretas a las que se refiere el consentimiento para la cesión que pudiera prestarse.
2.3 Tratamiento de datos personales basados en el interés legítimo del responsable
Siempre se debe realizar una ponderación, una “evaluación meticulosa”, de los derechos e intereses en juego: el interés legítimo del responsable del tratamiento, de una parte, y de otra, tanto los intereses como los derechos y libertades fundamentales de los afectados. El tratamiento ha de ser el necesario para la satisfacción del interés legítimo perseguido por el responsable, de forma que sean preferidos siempre medios menos invasivos para servir a un mismo fin. Necesidad supone aquí que el tratamiento resulte imprescindible para la satisfacción del referido interés.
Esta base jurídica requiere la existencia de intereses reales, no especulativos y que, además, sean legítimos.
Carlos Martínez García