Caso Waylet: un contrato no es lo mismo que dar nuestro consentimiento

Son muchas las conclusiones que extraemos de una organización leyendo sus políticas de privacidad. Es por eso que leerlas es un ejercicio fatigoso pero recomendable, pues dependiendo de cuál sea la estructura de estas políticas de privacidad, de cómo estén redactadas y cuál sea su contenido, podemos saber si estamos ante una organización basada en principios éticos y transparentes, preocupada por la privacidad y seguridad de sus clientes y usuarios. O, por el contrario, saber si estamos ante una organización opaca con fines poco éticos. Este artículo trata de las políticas de privacidad de Waylet, la aplicación de pago de Repsol, cuyo valor reside en la obtención de descuentos y de incluso, bonificaciones económicas por usarla en los establecimientos adheridos a la misma.

Las conclusiones principales que podemos extraer son que las políticas de privacidad de Waylet son, en realidad, un contrato camuflado que contiene cláusulas que someten al usuario de esta aplicación a un tratamiento abusivo de sus datos personales por parte de tres empresas, incluso después de darse de baja de la aplicación, la imposibilidad de cambiar ninguna de las condiciones del mencionado contrato, la opacidad en la comunicación respecto a qué datos son tratados, y mal uso de las bases legítimas.

La propietaria de las bases de datos es Repsol, S. A., que utilizará la información de los usuarios para el control de acceso a los servicios online que ofrece el Grupo Repsol e identificar a los usuarios dentro de los mismos, conociendo a cuál de ellos estás adscrito (Registro Único Repsol). De esta manera, todos los datos que los usuarios proporcionen en los servicios pasarán a formar parte de la cuenta de usuario y serán accesibles para Repsol, S. A. Esto supone que las empresas del Grupo Repsol hacen una gestión integrada de la información del usuario comunicando todos los datos personales a Repsol, S. A., tanto aquellos datos personales que el usuario proporcione voluntariamente al acceder a un servicio bajo ‘Tu Cuenta’ (datos que se dan al rellenar el formulario de dada de alta), como aquellos datos personales que se derivan del uso de la aplicación (datos observados).

Vamos con el formato de las políticas de privacidad

El principio de transparencia, recogido en el Reglamento General de Protección de Datos, establece, entre otras cosas, que las políticas de privacidad deben estar escritas en un lenguaje plano, que los contenidos tengan fácil acceso, usando links o un menú desplegable, con un modelo de preguntas frecuentes (FAQ), y que tengan un formato fácil de manejar y leer. Lo primero que hice fue acceder a las políticas de privacidad en Google Play, para saber a qué atenerme antes de bajarme la aplicación. Acto seguido, bajé la aplicación y me encontré con unas políticas de privacidad distintas. Este fue el primer signo de opacidad que encontré. Siguiendo con el principio de transparencia, este recomienda que las políticas de privacidad sean lo más escuetas posibles. En el caso de Waylet, he copiado y pegado sus políticas de privacidad en un documento Word. Tienen un total de 6345 palabras en un texto plano que ocupan doce páginas, con fuente Calibrí, tamaño 12. Este es el segundo signo de opacidad: tiene por objetivo que sus políticas de privacidad causen fatiga al lector y no sean leídas. No está descrito en el RGPD cómo debe ser el formato de las políticas de privacidad, pero sí pide de forma clara, y es responsabilidad del responsable del tratamiento de los datos, tomar las medidas apropiadas para mejorar en todo lo posible la experiencia de usuario. El principio de responsabilidad proactiva obliga a documentar el formato elegido por la organización, y demostrar que es el más adecuado para transmitir la información. También exige que, si el lenguaje usado es complejo de entender, los responsables del tratamiento de los datos deben explicar por qué están usando este lenguaje y no se explican de manera más sencilla. Nada de esto se ha cumplido.

Ahora, empecemos a comentar el contenido de las políticas de privacidad

En el caso de Waylet, lo que llaman políticas de privacidad es, en realidad, un contrato camuflado, pues el término contrato no aparece en ningún momento, con sus condiciones divididas en tres partes: 1. Requisitos del usuario, 2. Servicios de Waylet, y 3. Privacidad.

Estas condiciones rigen la relación del usuario con Klikin, empresa titular del software, y que fue adquirida por Repsol en el 2017. Esta es una de las partes que difieren de las políticas de privacidad que tienen en Google Play, que manifiestan que es Repsol, S .A. la empresa titular del software.

¿Qué consecuencias tiene esto para el usuario de la aplicación?

Pues que las políticas de privacidad de esta aplicación, en la que desglosan las diferentes bases legales por las que recopilan y tratan los datos personales de sus usuarios, forman parte de un todo, que es un contrato, y que este debe ser aceptado en bloque. Lo primero que hay que tener claro es que un contrato no es lo mismo que dar nuestro consentimiento. Lo segundo es que, para que un contrato entre en vigor, debe ser entre el responsable del tratamiento y el titular de los datos personales que se pretende tratar (cada uno de los usuarios de la aplicación). Como titular de este contrato solo aparece Klikin, la empresa titular del software. Pero, ¿es el único responsable del tratamiento? En el punto 3.1. de este contrato se describen los responsables del tratamiento, que son Klikin Deals Spain, S. L., Repsol, S. A. y Repsol Comercial de Productos Petrolíferos, S. A. La matriz, Repsol, S. A., es «propietaria» de las otras dos, pero el tratamiento de los datos es realizado por Klikin y por Repsol Comercial de Productos Petrolíferos, S. A. Y, tercero, este contrato está vinculando a todos los usuarios de Waylet al Programa Repsol Más.

Es decir, que Waylet está vinculando a sus usuarios a un tercero, y esto no se puede hacer bajo la base legal de contrato, porque es Repsol Más quien tiene un contrato con Waylet, y no con los usuarios de Waylet. Es más, la baja de Waylet no supone la baja del programa Repsol Más, y los datos personales de los usuarios de Waylet seguirán cruzándose con las bases de datos del Grupo Repsol. Y, por lo tanto, se seguirán tratando y perfilando. El resultado es que una vez que aceptan el contrato los usuarios han cedido todos sus datos tanto a Waylet como al programa Repsol Mas y a Repsol, S. A. Y esto sucede porque para poder acceder a Waylet el usuario debe contar con una cuenta de usuario en Repsol, que en realidad es un Registro Único Repsol. Por último, afirman que la aceptación y consentimiento de estas condiciones equivalen «a todos los efectos a tu firma manuscrita». Y si no se está de acuerdo con el contenido íntegro de las condiciones, mejor no registrarse, ni hacer uso de Waylet. Por lo tanto, las políticas de privacidad de Waylet somete a sus usuarios a unas condiciones abusivas.

Entonces, ¿cuándo se puede aplicar la base legítima para los contratos?

Solo y exclusivamente cuando se tiene una relación contractual entre Waylet y cada uno de sus usuarios, y para el tratamiento de los datos estrictamente necesarios. Si no es así, esta base legal no es la correcta. Pero, por desgracia, es una base legítima usada por un gran número de organizaciones, y una vez que aceptas las condiciones no hay marcha atrás. En estos casos, el principio de responsabilidad proactiva establece que, si esta opción es la elegida, el responsable del tratamiento debe justificar que no había alternativas menos invasivas. En el caso de Waylet, no hay rastro de esa explicación. Otro signo más de la opacidad de la empresa. Añaden que, «estas condiciones, así como los contenidos y servicios, las modalidades de acceso, y en general, cualquier elemento que integra Waylet podrá ser modificado en cualquier momento y sin previo aviso». Lo mismo ocurre con el Programa de Fidelización, descrito en el apartado 2.B. Dice expresamente que «Klikin Deals Spain se reserva siempre el derecho a modificar su programa de fidelización y gamificación sin previo aviso». Este es uno de los abusos más frecuentes que se dan en la fase de recopilación de datos, el desequilibrio de poder al alterar unilateralmente los términos de servicio (ToS), los acuerdos y las políticas de privacidad, sin posibilidad de oponerse.

La segunda parte es la relativa a los servicios de Waylet. Dependiendo del uso de Waylet, sus usuarios obtendrán una categorización que se divide en bronce, plata, oro o platino. Esto se traduce en beneficios adicionales, promociones exclusivas, obtención de mayor saldo en todos aquellos comercios que ofrezcan esta posibilidad. Esta parte de las condiciones es especialmente polémica porque es una compra de datos muy camuflada. Es decir, estos saldos son, en realidad, reembolsos económicos, tal y como indica el enunciado del apartado 2.C: «Reembolso y saldos»».  El saldo se recibe al pagar en todos los establecimientos (estaciones de servicio y comercios) identificados con el símbolo (€) en la aplicación. El saldo se acumula en la cuenta del usuario y se utilizará en pagos posteriores a través de Waylet en toda la red de establecimientos adheridos. Hay diferentes normas a la hora de obtener este saldo/reembolso: 1) Los comercios de la red Waylet. Aquí el porcentaje de saldo será establecido siempre por el propio comercio; 2) Estaciones de servicio de Repsol, Campa y Petronor. Solo se generará saldo con los pagos en función de promociones vigentes. ¿Cómo podría justificarse esta compra de datos? De varias maneras, pero la opción que parece más factible es que cobra el reembolso económico en datos. Es decir, a cambio de resarcir su pérdida económica, comercializan los datos personales de los usuarios. Pero, ¿es esta opción la más adecuada para sus usuarios? Desde el punto de vista ético y transparente, no. Pero tampoco desde el punto de vista de su privacidad, puesto que esos datos serán introducidos en unas bases de datos que serán cruzadas con todas las bases de datos del Grupo Repsol para fines comerciales y para la realización de perfiles.

La tercera parte de estas condiciones está compuesta por las políticas de privacidad, que tampoco dejan indiferente. Lo primero que se indica son los tres responsables del tratamiento de los datos personales:

1. Klikin Deals Spain, S. L., que gestiona.
2. Repsol, S. A., que es el titular de las bases de datos del grupo.
3. Repsol Comercial de Productos Petrolíferos, S. A., que gestiona el programa Repsol Más.

Klikin y Repsol Comercial de Productos Petrolíferos, S. A captan los mismos datos, destinados a las mismas finalidades, pero usados por empresas distintas. Klikin los destina para la gestión de Waylet. Y Repsol Comercial de Productos Petrolíferos, S. A, los destina para la gestión del programa Repsol Más. En ambos casos implica que tratarán los datos para finalidades comerciales y realización de perfiles. En el caso de Repsol Comercial de Productos Petrolíferos, S. A, la dada de alta en el programa Repsol Más, y el tratamiento de los datos personales de los usuarios de Waylet, se justifica con el consentimiento que se concede con el alta en Waylet que, a su vez, implica la aceptación inequívoca del contrato que incluye las tres partes de las que se compone, incluidas las políticas de privacidad de las tres empresas, y todas sus finalidades. O, en otras palabras, el usuario dé, o no, su consentimiento, ya ha aceptado un contrato por el que acepta que sus datos personales sean tratados por tres empresas distintas, de las cuales dos utilizan sus datos personales para realizar perfiles.

Además envían todos sus datos a un tercero, encargado del tratamiento de sus datos, que es una empresa cuyo nombre es Amplitude Inc., ubicada en Estados Unidos, y que analiza toda la información de uso y navegación, es decir, datos observados. He sabido de su ubicación porque lo he buscado, ya que en las políticas de privacidad no aparece. Cuando se transfieren datos personales a un país tercero se deben cumplir con una serie de obligaciones legales. En primer lugar, tanto la transferencia como el mecanismo a través del cual se hace la transferencia deben ser especificados. En virtud del principio de lealtad el tercer país debe ser nombrado. Además deben cumplirse las siguientes obligaciones legales:

1. Decisión de adecuación Artículo 45 del RGPD.
2. Reglas corporativas vinculantes Artículo 47 del RGPD.
3. Cláusulas de protección de datos estándar según el Artículo 46.2 RGPD.
4. Excepciones y salvaguardias Artículo 49 del RGPD.

Y, además de eston, también se debe proporcionar la información sobre dónde y cómo se puede acceder u obtener el documento relevante, y proporcionar un enlace a los mecanismos utilizados.

Estas políticas de privacidad dicen que Klikin usará los datos que se aporten al darse de alta en Waylet, y los que resulten del uso de la aplicación, que no son otros que los datos observados, los grandes ausentes, y que deben ser nombrados con granularidad. Otro signo, y muy grave, de opacidad. Los datos observados se recogen directamente de los usuarios, pero no de forma voluntaria. Estos datos deben estar especificados con la máxima granularidad. Estamos hablando, a modo de ejemplo, de la dirección IP, del historial de búsquedas, de los datos biométricos, los datos de geolocalización, tipo y versión del navegador, sistema operativo, duración de la visita, visitas a la página y rutas de navegación del sitio web, así como información sobre el tiempo, la frecuencia y el patrón de uso de su servicio, etc. Estos son los datos que analizará el encargado del tratamiento ubicado en Estados Unidos, Amplitude Inc., y que serán almacenados en las bases de datos.

A continuación se enumeran las distintas finalidades para las cuales serán usados los datos personales. El formato que se debe utilizar hay que especificar qué datos personales se usarán para cada finalidad, la base legítima que lo permite, y mención del artículo del RGPD.

En este caso, solo hay un listado de finalidades sin más información. Estas finalidades son:

• Facilitar el alta y uso de Waylet.
• Gestionar posibles incidencias que puedas sufrir y canalizar sugerencias, quejas y consultas.
• Analizar tus datos para personalizar tu oferta.
• Remitirte información, invitaciones a eventos informativos, deportivos, recreativos o lúdicos patrocinados, organizados o promocionados por Klikin.
• Realizar encuestas y estudios de mercado y opinión, siempre relacionados con Waylet o productos y/o servicios del grupo Repsol.
• Hacerte partícipe de campañas de publicidad o marketing, programas de fidelización, promociones, concursos y sorteos.
• Remitirte por cualquier vía, principalmente electrónica, ofertas de productos y/o servicios propios o de terceros en los sectores de soluciones energéticas, transporte, movilidad, ayuda a la automoción, seguros, finanzas, ocio, viajes, hogar, programas de fidelización, medios y servicios de pago, o telecomunicaciones.

Esta última finalidad nos da una pista muy preocupante sobre con qué tipo de organizaciones cruzan los datos de sus usuarios, pero sin saber de qué organizaciones se trata ni dónde están ubicadas. La base legal es el consentimiento, pero hay finalidades que requieren otra base legal. Para facilitar el alta y uso de Waylet, la finalidad más adecuada es el contrato. Para la finalidad (ii) gestionar posibles incidencias que puedas sufrir y canalizar sugerencias, quejas y consultas, la base legal debería ser contrato con el usuario y su interés legítimo para gestionar sus solicitudes. Artículo 6.1 f) GDPR. Pero volvemos al meollo de la cuestión, y es que estas bases legítimas no tienen ningún tipo de valor porque están dentro de un contrato cuya aceptación hace que, de manera implícita, los usuarios asuman las consecuencias de las condiciones del mismo. No hay manera de oponerse.

A modo de ejemplo, cómo hubiera sido correcto enunciar algunas de estas finalidades:

1. Información de la transacción. Uno de los datos que se deben introducir son las tarjetas de crédito/débito con las que se harán los pagos.

Por lo tanto, Waylet tendrá detalles de la facturación como información de tarjeta de crédito, correo electrónico de facturación, información bancaria, ubicación en el momento de la transacción.

Finalidad: Suministrar los servicios adquiridos y mantener registros adecuados de esas transacciones.

La base legal: Cumplir el contrato que celebran con el usuario, artículo 6.1 b) RGPD. Además, esta información debe conservarse para cumplir con la normativa contable y fiscal, artículo 6.1. c) RGPD.

2. Información de uso. Metadatos como dirección IP, tipo y versión del navegador, sistema operativo, fuente de referencia, duración de la visita, visitas a la página y rutas de navegación del sitio web, así como información sobre el tiempo, la frecuencia y el patrón de uso de su servicio. La fuente de los datos de uso es el propio software y su sistema de seguimiento de análisis.

Finalidad: garantizar la administración de la aplicación y del negocio, analizar el uso de la app y los servicios, monitorizar y mejorar la app y servicios, mejorar la experiencia del usuario, prevenir el abuso y ayudar a los usuarios con consultas de soporte.

Base legal: Sus intereses legítimos, artículo 6.1 f) RGPD

Tanto Klikin, propietaria de Waylet, como Repsol Comercial de Productos Petrolíferos, S. A, propietaria del programa Repsol Má’, combinarán todos los datos recopilados de sus usuarios de forma que les permita disponer de «una visión única de tu perfil en tus relaciones con el grupo Repsol». Si se van a realizar perfiles de los usuarios, la base legítima es el consentimiento explícito, que ni para disimular está nombrado en las políticas de privacidad.

Y el último párrafo de las políticas de privacidad, añaden en mayúsculas la siguiente advertencia: «ANTES DE ACEPTAR DARTE DE ALTA EN WAYLET TE RECORDAMOS QUE WAYLET TIENE COMO FINALIDAD CREAR UNA BASE DE DATOS DE USUARIOS DENTRO DE LOS PROGRAMAS DE FIDELIZACIÓN DE REPSOL. POR LO TANTO, TRATAREMOS TUS DATOS PARA FINALIDADES COMERCIALES. SI NO QUIERES QUE TRATEMOS TUS DATOS, NO CONTINÚES CON EL ALTA Y PODRÁS SEGUIR REALIZANDO LAS COMPRAS EN LOS ESTABLECIMIENTOS ADHERIDOS A TRAVÉS DE OTROS SERVICIOS DE PAGO».

La conclusión que se puede extraer de estas políticas de privacidad, y es una práctica muy extendida, es que usan un contrato para atar de pies y manos a sus usuarios con la intención de someterlos a cláusulas y tratamientos abusivos. Les hacen ser miembros de programas paralelos con la intención de seguir cruzando sus datos con todas las bases de datos de las empresas que forman parte del Grupo Repsol, que están repartidas por todo el mundo, aún después de darse de baja de la aplicación, para la confección de perfiles destinados a fines comerciales. Todo esto descrito en unas políticas de privacidad con una estructura confusa que tiene por objetivo crear cansancio y fatiga a la hora de leerlas, y que encierran opacidad e intenciones de extraer todo el provecho de unos usuarios a los que contentan con unos pocos euros, e incluso céntimos, de premio cada vez que hacen una compra a través de su aplicación.