Contratos Bancarios y Nulidad de la Cláusula de Protección de Datos

 

Nulidad de la cláusula de protección de datos en contratos bancarios

En este artículo, vamos a realizar un breve análisis sobre la nulidad de la cláusula de protección de datos en contratos bancarios. La protección de datos es un tema de capital importancia, y más tras las nuevas exigencias que se han incorporado con la normativa sobre protección de datos personales (Reglamento General de Protección de Datos). Por otra parte, la nulidad de dichas cláusulas pueden ayudarnos como estrategia procesal a la hora de plantear algunos procedimientos.

 

¿Qué es la cláusula de protección de datos personales en contratos bancarios?

La cláusula informativa de protección de datos es una estipulación necesaria para cumplir adecuadamente el deber de información a que obliga la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales de 5 de diciembre de 2018. En esta cláusula se informa a los consumidores sobre la identidad del responsable o encargado del tratamiento de sus datos, así como de la finalidad con la que los mismos serán usados.

 

Ejemplos en Contratos Bancarios

A continuación, traemos algunos ejemplos de estas cláusulas sobre protección de datos personales en contratos bancarios:

El interviniente autoriza que sus datos personales, incluidos los derivados de operaciones realizadas a través del Banco, se incorporen a ficheros de este para las siguientes finalidades:

  1. a) La gestión de la relación contractual y la prestación de servicios bancarios y/o financieros.
  2. b) El control y valoración automatizada o no de riesgos, impagos e incidencias derivadas de relaciones contractuales.
  3. c) La elaboración de perfiles de cliente con fines comerciales, a efectos de ofrecer productos o servicios bancarios, y de análisis de riesgos para futuras operaciones.
  4. d) La remisión, a través de cualquier medio, incluso por correo electrónico u otro medio de comunicación electrónica equivalente, de cualesquiera informaciones sobre productos o servicios bancarios o de terceros.
  5. e) Para cualesquiera otras finalidades no incompatibles con las anteriores

(SAP Madrid nº 242/2013, Sección 28ª, de 26 de julio de 2013, rec. 161/2012).

Los intervinientes quedan notificados y consienten que, en este acto, aquellos datos que son comunicados a las entidades del grupo Ibercaja, cuya razón social, tipo de actividad y domicilio figura en el Tablón de Anuncios existente en cada una de las oficinas de Ibercaja. En el caso de que nuevas entidades se integren en el grupo Ibercaja, la comunicación se producirá transcurrido un mes desde la inclusión de la entidad en el citado Tablón de anuncios, de lo que quedan enterados y consienten los intervinientes.

Igualmente, los intervinientes consienten y quedan notificados de que, en este caso (o, caso de no tener vinculación con aquellas entidades, en el momento en que soliciten o formalicen con aquellos, cualquier operación), con comunicados a Ibercaja sus datos de carácter personal (tanto identificativos como de situación patrimonial) que obren en el fichero de todas aquellas entidades” (SAP Valencia nº 759/2018, Sección 9ª, de 18 de julio de 2018, rec. 457/2018).

 

Regulación legal de las cláusulas de protección de datos personales

La regulación legal de las cláusulas de protección de datos personales está prevista en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). En cuanto a los principios relativos al tratamiento de datos personales, el art. 5.1 del citado reglamento recoge lo siguiente:

Los datos personales serán:

  1. a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
  2. b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
  3. c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
  4. d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
  5. e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
  6. f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.

Por tanto, la normativa permite la utilización de los datos personales obtenidos con ocasión de la contratación bancaria, siempre que su uso y tratamiento resulte conforme con una finalidad legítima. Así, las cláusulas de tratamiento de datos personales, para que superen el control de legalidad, deberán respetar lo dispuesto en la normativa sobre protección de datos personales.

Además, se debe tener en cuenta la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, anteriormente referida.

 

Resoluciones sobre la cláusula de protección de datos personales en contratos bancarios

A continuación, recogemos dos resoluciones que tratan la cuestión de la cláusula de protección de datos personales en contratos bancarios.  La primera resuelve la nulidad y la segunda considera que la cláusula en cuestión es válida.

  • SAP Madrid nº 242/2013, Sección 28ª, de 26 de julio de 2013, rec. 161/2012

En este caso, la Organización de Consumidores y Usuarios (OCU) interpuso demanda contra las entidades BBVA y Banco Santander. OCU ejercitó una acción de cesación de cláusulas abusivas incluidas en contratos bancarios suscritos por consumidores con las entidades demandadas. Una de aquellas cláusulas era sobre el tratamiento de datos personales. El Juzgado de lo Mercantil nº 9 de Madrid estimó parcialmente la demanda colectiva formulada por OCU, declarando la nulidad de determinadas estipulaciones previstas en diversos contratos bancarios. Frente a esta resolución, tanto OCU como las entidades demandadas interpusieron recurso de apelación.

La Audiencia Provincial de Madrid estimó parcialmente el recurso formulado por la entidad OCU, ampliando la declaración de abusividad y la nulidad de varias de las cláusulas impugnadas, entre ellas la de tratamiento de datos personales. Así lo recoge la citada resolución:

Nos referimos a la inclusión de la fórmula «Para cualesquiera otras finalidades no incompatibles con las anteriores», a la que pueden oponerse dos óbices: 1º) no superaría la exigencia del artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, pues supone soslayar la regla de que los datos de carácter personal sólo se podrán recoger para finalidades determinadas y explícitas; el referido inciso de la cláusula, sin embargo, habla por sí solo, pues se incurre en indeterminación y desde luego no se explicita finalidad concreta alguna; no cabe justificar el empleo de tal fórmula con la invocación del nº 2 del artículo 4 de la LOPDCP, pues lo que en él se establece es la terminante prohibición de que los datos objeto de tratamiento pudieran llegar a usarse para finalidades que resultaran incompatibles con aquellas para las que se hubieran recogido, lo que no puede leerse como una carta blanca que habilite para utilizarlos como se quiera, fuera de la finalidad que guio su obtención, con tal de que no se incurra en incompatibilidad […]; si la cláusula infringe norma imperativa no puede eludir la sanción de nulidad; y 2º) aunque no se hubiese apreciado la infracción legal, el mencionado inciso de la cláusula, dado su carácter tan indeterminado, no superaría el control de concreción del artículo 80.1.a del TRLGDCU”.

  • SAP Valencia nº 759/2018, Sección 9ª, de 18 de julio de 2018, rec. 457/2018

En este supuesto, D. Blas interpuso demanda contra la entidad IBERCAJA, ejercitando una acción de cesación de cláusulas abusivas incluidas en contrato bancario. Una de aquellas cláusulas era sobre el tratamiento de datos personales. El Juzgado de Primera Instancia nº 6 de Torrent estimó parcialmente la demanda, declarando la nulidad de determinadas estipulaciones previstas en el contrato bancario. Frente a esta resolución, D. Blas interpuso recurso de apelación. Por su parte, la entidad demandada formuló impugnación al recurso de apelación.

La Audiencia Provincial de Valencia desestimó el recurso de apelación que se formuló contra la sentencia de instancia y estimó la impugnación. Así, el órgano judicial no consideró abusiva la cláusula sobre el tratamiento de datos personales en base a lo siguiente:

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su art. 4 establece, en sus apartados 1 y 2, que «1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos».

El inciso cuestionado no es sino la plasmación en la cláusula de tratamiento de datos de lo establecido en el apartado 2. La norma, por activa, impide usar los datos «para finalidades incompatibles» con aquellas para las que se recogieron los datos; y la cláusula, por pasiva, autoriza a utilizar los datos «para finalidades no incompatibles» con las mencionadas expresamente que sí se han autorizado. A lo anterior, se añade que el recurrente no menciona siquiera que haya habido un uso incorrecto de sus datos; y, aunque lo hubiera habido, ello supondría una vulneración de la normativa de protección de datos y no que la cláusula fuese abusiva”.

 

Conclusión

En cada caso concreto deberemos analizar la redacción de la citada cláusula.  En algunos casos permitirá, por una parte, una defensa de la privacidad del cliente y en otros, plantear una nulidad que nos permita, en el peor de  los casos, conseguir una estimación parcial de la demanda