Informe del gabinete jurídico de la AEPD: Cuestiones relevantes
El Gabinete Jurídico de la Agencia Española de Protección de Datos (en adelante, la “AEPD”) ha emitido un informe (0195/2017) sobre una serie de cuestiones relacionadas con la incidencia que sobre los tratamientos llevados a cabo por las entidades asociadas a la consultante (Asociación Española de Banca) tendrá la plena aplicación, el día 25 de mayo de 2018, del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, el “RGPD”).
A continuación, pasamos a resumir los puntos más relevantes analizados por la AEPD en materia de (i) supuestos de legitimación para el tratamiento de datos (interés legítimo del responsable) y (ii) derecho a la portabilidad de los datos:
1. SUPUESTOS DE LEGITIMACIÓN para el tratamiento o cesión de los datos amparados en el interés legítimo (art. 6.1 f) del RGPD):
El artículo 6 del RGPD prevé las diferentes bases legales que legitiman el tratamiento de datos de carácter personal. LA AEPD analiza diferentes supuestos en los que el tratamiento de datos estaría amparado en el interés legítimo del responsable del tratamiento o un tercero, es decir, sobre una base legal distinta del consentimiento del interesado o que el tratamiento fuera necesario para la ejecución de un contrato o la aplicación de medidas precontractuales.
A. PREVENCIÓN DEL FRAUDE:
- Tratamiento de datos con objeto de analizar la solvencia de un cliente para una posterior financiación.
La AEPD analiza dos escenarios:
- Aquél que llevaría a cabo la entidad para valorar la solvencia del cliente que solicitase concretamente un determinado producto de financiación para determinar el riesgo que pudiera generar el mismo y decidir sobre la conclusión o no del contrato: no se requiere el consentimiento dado que el tratamiento se ampara en una base jurídica válida – art. 6.1 letras b) y c) del RGPD-.
- Aquél en que la evaluación del riesgo se lleva a cabo sin que el cliente haya solicitado producto de financiación alguno y que además sería empleado por la entidad para ofrecer al cliente ese producto o servicio no solicitado (por ejemplo, la “preconcesión” de un crédito que no ha sido solicitado por el cliente):
La AEPD considera que NO es posible amparar en el interés legítimo el acceso a ficheros de solvencia patrimonial y crédito con objeto de ofertarle al cliente productos o servicios no solicitados. ¿Por qué? Porque la obligación de las entidades de obtener la información disponible sobre la solvencia y el nivel de riesgo de un cliente o potencial cliente puede fundarse en la solicitud por éste del servicio, pero no en la decisión unilateral de la entidad de llevar a cabo ese perfilado. Por tanto, para llevar a cabo este tratamiento se requeriría o bien la solicitud del producto o servicio por el interesado, o bien que el mismo preste su consentimiento para el tratamiento.
Ahora bien, si la oferta de productos o servicios se realiza con datos que procediesen únicamente de la información de que dispusiera la entidad en relación con los productos o servicios contratados por el cliente, sin que la misma fuera completada con la originada en otras fuentes distintas (es decir, nuevas consultas), se puede entender que la evaluación del riesgo y la solvencia que realice la entidad para estas actividades se ampara en el interés legítimo y NO es necesario recabar el consentimiento.
• La cesión de datos para la prevención del fraude -entre empresas del mismo grupo y/o ajenas al mismo- (la AEPD analiza un supuesto de transferencias llevadas a cabo mediante el acceso fraudulento a la cuenta de un cliente): la prevención del fraude es uno de los supuestos en que puede alegarse el interés legítimo basado en el art. 6.1 f) del RGPD y, en este sentido, la cesión de datos motivada en la necesidad de conocer determinados datos de carácter personal para evaluar la comisión de un fraude, NO requiere el consentimiento ya que se aplica la regla del interés legítimo.
B. TRATAMIENTO CON FINES DE MERCADOTECNIA: publicidad y comunicaciones comerciales en línea con el desarrollo del negocio que realice la entidad de sus propios productos y/o servicios.
Antes de acudir a la aplicabilidad del artículo 6.1 f) del RGPD, resulta necesario diferenciar el régimen regulador aplicable en función del medio que se utilice para la remisión de dichas comunicaciones:
- Comunicaciones por medios electrónicos: el art. 21.2 de la LSSI autoriza la remisión comunicaciones comerciales por estos medios siempre y cuando hubiera existido una relación contractual previa y que fueran referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. Todo ello, sin perjuicio del derecho del cliente a oponerse en cualquier momento.
- Comunicaciones remitidas por otros medios distintos de los electrónicos: la AEPD considera de aplicación analógica de lo previsto en el art. 21.2 de la LSSI, pero exige lo siguiente:
- Aplicable solo a los supuestos en los que el interesado mantuviera una relación vigente con la entidad.
- Los productos o servicios ofertados puedan considerarse “similares” a los contratados por el cliente. ¿Qué se entendería por “producto o servicio similar”? Otros productos relacionados con el ahorro o el crédito, pero excluyendo otros “servicios financieros” como podrían ser los seguros, oferta de productos o servicios que no guardan relación con la actividad de la entidad, o la oferta de productos o servicios cuya acción publicitaria deriva de la existencia de un determinado acuerdo con el anunciante al que se refiriese la publicidad o afectase a productos o servicios no financieros pero ofrecidos por empresas del grupo o participadas por la entidad.
- Estableciendo, además, un procedimiento, sencillo para el ejercicio del derecho de oposición por parte del cliente.
C. TRANSMISIÓN DE DATOS PERSONALES DENTRO DEL GRUPO: los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados.
D. SEGURIDAD DE LA RED: el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información (ej. impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas), se encuentra amparado en el interés legítimo del responsable o de un tercero.
2. DERECHO A LA PORTABILIDAD DE LOS DATOS:
La AEPD establece las siguientes consideraciones en lo que respecta al ejercicio del derecho a la portabilidad de los datos regulado en el artículo 20 del RGPD:
• El derecho a la portabilidad de los datos debe considerarse como un derecho complementario al derecho de acceso, no obstante el primero es más limitado que el segundo: el derecho de acceso afecta a la totalidad de los datos que estén siendo objeto de tratamiento; mientras que el derecho a la portabilidad afecta solo a los tratamientos sometidos a la voluntad o autorización del interesado.
• Espacio temporal: debe rechazarse la idea de que el derecho haya de referirse a “datos actuales” si por tales ha de considerarse los relacionados con el momento presente, sin tener en cuenta los que hayan sido facilitados por el interesado u obtenidos por el uso del producto o servicio contratado con anterioridad y que en el momento de ejercicio del derecho estén siendo objeto de tratamiento.
• Espacio material: debería comprender, evidentemente, los datos facilitados directamente por el interesado (tales como sus datos identificativos o los relacionados, por ejemplo, con sus domiciliaciones bancarias o sus aportaciones a instrumentos de ahorro o inversión), pero igualmente los que se deriven directamente del desarrollo del servicio (como los movimientos de una cuenta o el historial de pagos en productos de activo). ¿Qué estaría excluido? Los datos resultantes de la aplicación sobre los mismos de las técnicas propias de la entidad, como por ejemplo, los derivados de la calificación del clientes o la realización de perfilados de los clientes.
• ¿Límite temporal para ejercitar el derecho? Ni el artículo 20 del RGPD ni su considerando 68 establecen ningún criterio especial. La AEPD considera que en productos de activo, el derecho a la portabilidad de los datos podría ejercitarse durante todo el plazo de vigencia del contrato referido al producto o servicio; en productos de pasivo, el límite temporal de estos servicios suele encontrarse en el entorno a los dos años anteriores al momento en que se solicita la información, por lo que se debería aplicar dicho plazo.
• El derecho a la portabilidad sólo podrá ser ejercitado por los titulares de los productos financieros, y no por los sujetos autorizados en dichos productos.
escrito por Belén Berlanga, Socia, Adarve Abogados