¿Qué ocurre cuando hay una falta de consentimiento informado en protección de datos?, ¿a qué sanciones nos podemos enfrentar?, ¿hay ya sentencias por la falta de consentimiento informado en protección de datos?, ¿es posible solicitar una indemnización si la causa de la vulneración de mis datos personales es la falta de información respecto al tratamiento?
En este artículo hablamos de:
- La importancia de cumplir con el deber de informar en protección de datos
- ¿Qué se considera falta de consentimiento informado en protección de datos?
- Sanciones LOPDGDD/RGPD por no cumplir con el deber de informar
- Algunas sentencias por falta de consentimiento informado
- ¿Puedo solicitar una indemnización por falta de consentimiento informado?
La importancia de cumplir con el deber de informar en protección de datos
Como sabéis, entre las características y requisitos con los que debe cumplir el consentimiento en protección de datos, es que este debe ser informado, es decir, que a la hora de recabar el consentimiento de los interesados para el tratamiento de sus datos, es necesario informarles sobre el propio tratamiento.
Esto incluye informar sobre:
- La identidad del responsable del tratamiento (y del encargado y el Delegado de Protección de Datos, cuando así proceda).
- La finalidad del tratamiento (para qué se van a usar los datos).
- La base legitimadora del tratamiento (que en este caso es el consentimiento).
- Si se producirán cesiones a terceros de los datos personales, así como de transferencias internacionales.
- El plazo de conservación de los datos.
- Las vías para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- La posibilidad de reclamar ante la AEPD.
En otros artículos publicados en este blog ya os hemos hablado de cómo se debe cumplir con el deber de informar, por lo que en el artículo que nos ocupa nos vamos a centrar en las consecuencias de la falta de consentimiento informado, que además es una de las causas más habituales en las sanciones en protección de datos impuestas en España en el pasado 2021, tal y como recogió un estudio llevado a cabo por la compañía ESET.
¿Qué se considera falta de consentimiento informado en protección de datos?
Se considera falta de consentimiento informado en protección de datos no cumplir con el artículo 13 del RGPD, es decir, no suministrar la información al interesado que hemos citado en el punto anterior, además de:
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos y ha sido informado de las posibles consecuencias de no hacerlo.
- La existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información significativa sobre la lógica aplicada, así como la importancia de las consecuencias previstas de dicho tratamiento para el interesado.
Además, también se considera falta de consentimiento informado suministrar información vaga, de forma ambigua, incomprensible o poco clara, ya que se entiende que esta falta de transparencia impide que los interesados puedan saber y entender completamente para qué y cómo se van a usar sus datos y para qué están realmente consistiendo la cesión de sus datos personales.
Así mismo, también se considerará falta de consentimiento informado, si esta información se da con carácter posterior a la recogida del consentimiento, puesto que la normativa establece que el deber de informar se debe cumplir siempre con carácter previo, suministrando dicha información antes de recabar el consentimiento.
(Recordamos aquí que el deber de informar siempre debe cumplirse, no solo cuando la base legitimadora es el consentimiento, sino en el resto de las reconocidas por los artículos 6 y 9 del RGPD).
Sanciones LOPDGDD/RGPD por no cumplir con el deber de informar
La falta de consentimiento informado, es decir, no cumplir con lo que exige la normativa respecto al deber de informar, es motivo de sanción por parte de la AEPD. Además, la LOPDGDD contempla no cumplir con el deber de informar en las tres graduaciones de infracciones, es decir, que puede considerarse como infracción leve, grave o muy grave.
En ese sentido, dependiendo de la gravedad, haber recabado el consentimiento sin haber cumplido con el deber de informar puede tener las siguientes sanciones:
| Infracciones | Sanción |
|---|---|
| Leve | Hasta 40.000 € |
| Grave | De 40.001 € hasta 300.000 € |
| Muy grave | De 300.001 € hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que resulte superior) |
Algunas sentencias por falta de consentimiento informado
En muchas ocasiones, las sanciones que impone la AEPD no solo se deben a una única infracción, puesto que en muchos casos, es la combinación de varias sanciones por diferentes infracciones, entre ellas no cumplir con el deber de informar en los términos que establece la normativa. En ese sentido, a continuación señalamos algunas resoluciones por falta de consentimiento informado que han supuesto una multa para el responsable del tratamiento:
- Entre los motivos por los que la CNIL (autoridad francesa de protección de datos) impuso a Google una multa de 50 millones de euros, está el hecho de no haber informado de manera suficiente a los usuarios sobre cómo se recababan y utilizaban sus datos para la creación de publicidad dirigida.
- De los 5 millones de euros de la multa impuesta al BBVA por la AEPD, 3 millones son por incumplir las obligaciones de los artículos 13 y 14 del RGPD; en concreto, la resolución hace referencia al empleo de terminología imprecisa y formulaciones vagas, falta de precisión en la descripción de las categorías de datos tratadas, falta de claridad en la información facilitada sobre finalidades del tratamiento y bases de legitimación, falta de información sobre los intereses legítimos del BBVA y terceros y falta de información en relación con las actividades de perfilado desarrolladas por el banco.
- De la sanción de 6 millones de euros impuesta a CaixaBank por la AEPD, 2 millones son debidos al incumplimiento de los artículos 13 y 14 del RGPD, señalando en la resolución falta de uniformidad en los documentos informativos, terminología imprecisa y formulaciones vagas, información insuficiente respecto a las categorías de datos tratados y los tratamientos a que se destinan, confusión en la información de las bases jurídicas y falta de información respecto al perfilado que lleva a cabo la entidad.
- WhatsApp fue sancionada por la autoridad de control de Irlanda con 225 millones de euros, entre los artículos vulnerados del RGPD está el 13.
Estos son solo ejemplos de resoluciones con las sanciones más elevadas, pero la falta de consentimiento informado es un motivo, como decíamos, bastante recurrente en muchas de las resoluciones sancionadoras de la AEPD, como podemos comprobar en Enforcementtracker.com; de las últimas sanciones impuestas (entre julio y octubre de 2022), 15 tienen que ver con la vulneración del artículo 13 del RGPD.
¿Puedo solicitar una indemnización por falta de consentimiento informado?
El artículo 82 del RGPD reconoce el derecho de los interesados a solicitar una indemnización por vulneración de datos, cuando por ello hayamos sufrido alguna clase de daño o perjuicio material o inmaterial. Esto también es aplicable a la falta de consentimiento informado, puesto que, como hemos visto, se vulnera el artículo 13 del RGPD.
Por lo tanto, sí, puedes solicitar una indemnización por falta de consentimiento informado, pero debemos señalar que puede ser complicado que te la reconozcan, puesto que se deben probar que los daños sufridos son consecuencia de esa falta de información. Además, en España todavía no disponemos de jurisprudencia respecto a este tipo de indemnizaciones por vulneraciones de la ley de protección de datos.
Así que puede que la AEPD sancione a una empresa por falta de consentimiento informado, pero después el juzgado no nos conceda la indemnización que hayamos solicitado por ello.
Para reclamar una indemnización por vulneración de protección de datos, debemos recurrir a la vía Civil, haciendo la denuncia en el juzgado correspondiente, acreditando el perjuicio sufrido, asistidos de abogado y procurador. Lo normal es que estas reclamaciones de indemnización se resuelvan a través del juicio ordinario.
En definitiva, si eres un responsable del tratamiento, recuerda siempre la importancia de cumplir con el deber de información, tanto si la base legitimadora para el tratamiento es el consentimiento como si es otra de las contempladas en los artículos 6 y 9 del RGPD. Así mismo, asegúrate de que ofreces dicha información tal y como establece la normativa, de forma clara, sencilla y comprensible, y siempre con carácter previo al tratamiento de datos que vayas a realizar.