| Informe | 2022-0069 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD (Exp. 2022-0069) sobre la política de privacidad de O2**
El informe analiza la conformidad de las cláusulas de protección de datos del servicio telefónico fijo **O2** (prestado por **Telefónica de España, S.A.U.**) con el **RGPD** y la **LOPDGDD**. El principal foco es el **principio de transparencia** y el **derecho a la información** (artículo 13 RGPD), evaluando si los clientes reciben información clara, accesible y completa sobre el tratamiento de sus datos.
#### **1. Contexto normativo**
– El **RGPD** exige que la información sea **concisa, transparente, inteligible y de fácil acceso** (artículo 12), destacando que el interesado debe entender claramente:
– **Quién trata sus datos** (identidad del responsable).
– **Para qué fines** (finalidades del tratamiento).
– **Base jurídica** (consentimiento, ejecución de contrato, interés legítimo, etc.).
– **Plazos de conservación**.
– **Derechos de los afectados** (acceso, rectificación, supresión, etc.).
– **Destinatarios** de los datos y posibles transferencias internacionales.
– **Decisiones automatizadas** (como perfiles).
La **LOPDGDD** complementa el RGPD, permitiendo un **sistema por capas**:
– **Primera capa**: Información básica mínima (identidad del responsable, finalidades, derechos).
– **Segunda capa** (accesible vía web, teléfono o email): Detalles adicionales (como el acuerdo de corresponsabilidad).
—
#### **2. Análisis de la política de privacidad de O2**
La cláusula analizada utiliza este sistema de dos capas, pero la **AEPD identifica varias deficiencias**:
##### **A. Falta de claridad en la corresponsabilidad**
– **Problema**: Telefónica de España y Telefónica Móviles España son **corresponsables** del tratamiento de datos (artículo 26 RGPD), pero el acuerdo entre ellas **no se detalla claramente**.
– La información solo menciona que ambas empresas tratarán datos «en función de los productos contratados», sin especificar:
– **Qué entidad es responsable de cada dato**.
– **Qué datos trata cada una**.
– **Para qué fines concretos**.
– **Sanción**: La AEPD exige que se incluya un **enlace accesible a los aspectos esenciales del acuerdo de corresponsabilidad**, para que los afectados sepan claramente quién trata qué datos y con qué finalidad.
##### **B. Confusión en la base jurídica del tratamiento**
– **Problema**: La cláusula mezcla **diferentes bases jurídicas**:
– **Tratamientos necesarios para la ejecución del contrato** (artículo 6.1.b RGPD): No requieren consentimiento.
– **Tratamientos basados en consentimiento** (artículo 6.1.a RGPD): Requieren acción positiva (no tácita) e información clara de las finalidades.
– **Ejemplo problemático**:
> *»El cliente autoriza el tratamiento de sus datos […] en tanto sean necesarios para la ejecución del contrato.»*
– **Error**: La «autorización» no es necesaria si el tratamiento es indispensable para el contrato. Esto confunde al usuario sobre si debe «aceptar» o no.
– **Sanción**: Debe reescribirse para distinguir claramente qué tratamientos se basan en la ejecución del contrato (sin consentimiento) y cuáles en consentimiento (citando las finalidades específicas).
##### **C. Sobreextensión de finalidades justificadas**
– La política lista **11 finalidades** de tratamiento (apartados a-k), pero **varias no son necesarias para la ejecución del contrato**, sino que responden a:
– **Intereses legítimos** del responsable (ej.: mejora de servicios).
– **Obligaciones legales** (ej.: facturación).
– **Riesgo**: Podría implicar un **tratamiento excesivo** y falta de transparencia.
– **Sanción**: Las finalidades no contractuales deben reformularse y justificarse con su **base jurídica concreta** (ej.: interés legítimo, artículo 6.1.f RGPD).
##### **D. Información incompleta sobre decisiones automatizadas y perfiles**
– La cláusula indica que, si hay **decisiones automatizadas con efecto jurídico**, se solicitará el **consentimiento explícito** del usuario