En 2018 muchas cosas cambiaron en el mundo de los datos personales en internet. Seguramente aún te acuerdes del caos que generó la llegada del nuevo reglamento de protección de datos de la Unión Europea (el ya famoso RGPD), y los mil emails que te mandaron todas las empresas para que siguieras cediéndoles tu información personal (algunos, como Día, incluso quisieron que lo hicieras a través de los cupones de descuento). Pues bueno, casi un año después de aquella locura, aún hay compañías que siguen teniendo ciertos problemas con lo de adecuar sus servicios a este entorno.

Este es el caso de Bankia, uno de los bancos más importantes de España, con más de 6 millones de clientes, y que está participado en un 61% por el Estado. Y es que en una de sus cuentas más populares, si no la más conocida, la Cuenta ON (que venden como su cuenta digital sin comisiones) la compañía puede saltarse varios puntos tanto de la nueva Ley de Protección de Datos española, la LOPD, como del RGPD europeo a la hora de exigir que le cedas tus información personal.

El GDPR ya está aquí: qué cambia hoy con la ley más importante de internet en décadas María Tejero Martín Entra en vigor la Regulación General de Protección de Datos (RGPD o GDPR). Es la ley de privacidad más importante en décadas. Pero, en la práctica, ¿qué es lo que cambia?

¿Cómo hacen esto? Pues hay muchos puntos polémicos, pero el más llamativo se muestra de una forma muy simple. La compañía deja claro a la hora de hacerse la cuenta que para disfrutar de un producto sin comisiones el usuario debe “aceptar comunicaciones comerciales”. Esto ya chirría, pero aunque parezca extraño, lo peor viene dentro.

Si una vez contratado el servicio decides restringir la cesión de tus datos en alguno de los apartados que te ofrece la empresa a través del perfil que tienes en su web o en su 'app' y que te mostramos aquí debajo (si, por ejemplo, decides que no quieres compartir tu información con empresas colaboradoras de Bankia o participar en estudios de mercado, por ejemplo) te cobran 5 euros de comisión mensuales hasta que optes por cerrar tu cuenta o des tu brazo a torcer y les ofrezcas toda tu información sin miramientos.

Consentimientos que debes aceptar obligatoriamente para no tener comisiones en la Cuenta ON

Los permisos que en principio puedes gestionar, según la 'app', pero que si deniegas acarrean comisión

Consultados por Teknautas, los abogados especializados en protección de datos Samuel Parra y David Maeztu coinciden en que una medida así es una locura que va contra la legislación. “No veo cómo justificar el que te cobren por no aceptar un tratamiento de datos como este”, reflexiona Maeztu. Por su lado, Parra habla de artículos concretos que se salta esta práctica. “Es una barbaridad, se saltan varios artículos tanto de la nueva LOPD española como del RGPD”.

El abogado murciano menciona varios puntos, pero hay dos que llaman especialmente la atención. El 6.3 de la LOPD deja claro que “no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual". Mientras que el 42 del RGPD explica que "el consentimiento tiene ser libre y que no debe considerarse libremente prestado cuando el interesado no goza de verdadera libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno".

¿Esto es legal @AEPD_es? En @Bankia si no aceptas ceder tus datos a empresas terceras no te deja continuar con el consentimiento de protección de datos (un mes más tarde de la entrada en vigor de la RGPD por cierto). pic.twitter.com/yuVyIMUyhE — David Moner (@davidmoner) 28 de junio de 2018

Pues pensaba que la RGPD venía para evitar situaciones como esta. En #Bankia si no aceptas que te llamen todos los días para venderte publicidad te cobran 5 euros/mes por tener tus ahorros en ella. @consumidores pic.twitter.com/myOqf2BFBD — Fátima Martel (@SufjanFay) 22 de septiembre de 2018

Los argumentos son bastante sólidos, pero desde el banco defienden un postura diamentralmente contraria. Preguntados por Teknautas, desde esta entidad confirman el cobro de 5 euros de mantenimiento si el usuario opta por no ceder todos sus datos como le exigen, pero lo justifican asegurando que se hace porque el cliente “incumple alguna de las condiciones de perfil digital”.

A lo que llaman “perfil digital” es un título que dan a todos los usuarios que cumplen una serie de requisitos y por tanto pueden contar con la cuenta ON sin comisiones. Entre estos requisitos aparecen puntos como recibir toda la correspondencia de forma online o facilitar el número de teléfono a la entidad, pero hay uno referido especialmente a los datos personales. En él se explica que solo se ostentará este título cuando “todos los titulares (de una cuenta) hayan autorizado a Bankia, mediante la suscripción del documento de Tratamiento de datos Personales, documento equivalente o contrato correspondiente, la cesión de sus datos personales a empresas de su grupo para el análisis de su perfil a efectos comerciales”.

Requisitos para tener el 'perfil digital'

Esto justificaría, en parte, sus prácticas, pero choca directamente con lo que cualquier usuario puede ver en el ya citado apartado de consentimientos pues no se habla de empresas colaboradoras, cosa que dentro del perfil sí. E incluso entra en conflicto con sus políticas de privacidad en las que establecen que en caso de que se solicite al usuario el consentimiento para la cesión de sus datos a empresas del Grupo Bankia con finalidad comercial, se le ofrecerá la posibilidad de aceptar o no esa cesión, mediante la marcación de la correspondiente casilla. Además, te ponen un enlace al PDF donde se muestran algunas de las compañías del grupo y colaboradores a los que pueden ceder tu información, pero no dan detalles de todos ellos.

No es el único fallo

Lo de los 5 euros es el fallo más llamativo, pero no el único. Y es que la propia condición obligatoria de "aceptar comunicaciones comerciales” ya va contra los reglamentos actuales. Pues no explica con suficiente claridad ni qué datos cedes ni para qué.

Como explica Samuel Parra esto va contra varios puntos de la actual legislación de protección de datos. “Estas prácticas van en un primer momento contra los puntos 42 y 43 que establecen, entre otras cosas, que el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del del tratamiento a los cuales están destinados sus datos personales”. En este caso, no conocemos ni los datos que vamos a ceder, ni el objetivo concreto de esa cesión.

Todo apunta a que con la idea de ser más transparentes en este sentido, una vez abierta la cuenta, Bankia te ofrece el citado apartado de consentimientos dentro de su web y su aplicación. En principio su objetivo es que puedas aceptar o rechazar la cesión de estos datos, pero, en realidad, si quieres mantener la cuenta sin comisiones no puedes cambiar nada.

Este es el mensaje que te ponen si intentas denegar la cesión de datos a colaboradores

“Esto va contra uno de los principios básicos del RGPD, los permisos deben darse en una acción positiva, no deberían venir prefijados. Y dejando ese punto a un lado, la compañía también se salta la ley al no permitirte elegir libremente si quieres dar tus datos o no para unos fines que no tienen nada que ver con el servicio que estás contratando y ni siquiera con la empresa con la que tienes el contrato”, comenta Parra.

¿Qué puedes hacer como usuario?

Vale, queda bastante claro que hay un fallo en las condiciones de Bankia sobre esta cuenta, pero ¿qué pasa si tienes esta cuenta y te cobran alguna comisión por negarte a dar tus datos? Pues según explican desde la Asociación de Usuarios de Bancos, Cajas y Seguros (ADICAE), deberías reclamar estos cobros. "Si no estamos de acuerdo con el tratamiento que se aplica a nuestros datos, o sospechamos que la cesión o uso de éstos ha sido ilegal, entonces hemos de considerar una reclamación a la entidad financiera y, solo posteriormente, recabar información y pruebas de la supuesta infracción cometida para reclamar ante la Agencia Española de Protección de Datos".

En cuanto a las posibles sanciones a Bankia, desde esta misma asociación explican que viendo todo el caso también se dan las condiciones para que la autoridad competente intervenga. "Sus políticas de privacidad “viciadas” podrían ser revisadas y sancionadas de oficio por la autoridad competente, la Agencia Española de Protección de Datos (AEPD), a tenor de la falta de información clara, la incapacidad de rechazo o negativa en determinadas situaciones, la ausencia de finalidades específicas para los servicios, el tratamiento desconocido de los datos de los usuarios o la conservación de información como ya ha ocurrido anteriormente con gigantes de las telecomunicaciones o el propio Google".