Zabía-Abogados

La Agencia Española de Protección de Datos impone una sanción de 2.000.000 euros a CAIXABANK por recabar indebidamente el consentimiento de sus clientes para verificar su actividad profesional declarada mediante el acceso a los datos de la TGSS

La autoridad de control ha impuesto una sanción de 2.000.000 euros a la entidad bancaria por la infracción del artículo 6.1 del RGPD (licitud del tratamiento), reducida a 1.200.000 euros por cuanto CAIXABANK ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.

La reclamación se interpuso debido a que la entidad bancaria facilitó al afectado el modelo de declaración de datos para la relación de negocios en el que se indicaba, en una de sus cláusulas, que, debido a que la legislación de prevención de blanqueo de capitales obligaba a obtener la información relativa a su actividad económica y a comprobar la misma, este consentía expresamente que CAIXABANK solicitase sus datos a la Tesorería General de la Seguridad Social, sin que se habilitase alternativa alguna al afectado para que pudiera expresar su negativa, estando el consentimiento ya preestablecido. A la vista de ello, el reclamante se puso en contacto con la entidad, que le informó de que era un procedimiento rutinario aplicable a todos los clientes y que, si no lo firmaba, “se procedería a bloquear su cuenta”.

Una vez notificada la reclamación a la entidad, se presentó escrito de alegaciones en el que se hacía constar, entre otras cuestiones, que en virtud de lo dispuesto en la Ley 10/2010 de prevención de blanqueo de capitales y financiación del terrorismo, así como en el Reglamento que la desarrolla, está obligada a obtener información de sus clientes relativa al propósito e índole de la relación y a adoptar aquellos medios que permitan verificar que la información facilitada por estos es verídica. En este sentido, se puso de manifiesto que existe un convenio con la TGSS, al que se adhirió CAIXABANK en abril de 2021, cuya finalidad es permitir la consulta de determinada información de sus clientes por parte de las entidades financieras para comprobar la misma.

Adicionalmente, en relación con el bloqueo de la cuenta, se indicó que ello se debe a que la citada normativa recoge que no se podrán establecer relaciones de negocio cuando no se puedan aplicar las medidas de diligencia debida previstas, sin que de ello se pueda derivar responsabilidad alguna para la entidad. 

La autoridad de control, al analizar el procedimiento de obtención del consentimiento de los clientes para la consulta a la TGSS, ha declarado que, si bien la normativa de prevención de blanqueo de capitales exige a los sujetos obligados que recaben de estos la información de su actividad profesional o empresarial y adopten medidas que permitan verificar la misma (por ejemplo, a través de fuentes fiables independientes), no prevé que dicha comprobación deba efectuarse de un modo determinado, debiendo analizarse si el procedimiento elegido cumple con la normativa de protección de datos. En este sentido se afirma que el convenio suscrito “podría resultar un mecanismo adecuado para el cumplimiento de sus obligaciones, pero no necesariamente único”. Habida cuenta de ello, debido a que la ley no impone una obligación de comprobar esta información mediante el sistema elegido por CAIXABANK (no pudiendo fundamentarse, por tanto, en el cumplimiento de dicha obligación), “sería necesario recabar el consentimiento del interesado”.

Es por ello por lo que en el citado convenio se recoge expresamente que el afectado tiene que consentir este tratamiento para que la entidad pueda comprobar los datos ante la TGSS, incluyéndose una cláusula modelo para recabarlo.

Tal y como indica la AEPD en su resolución, para que este consentimiento sea considerado válido, tiene que suponer un “acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento”. 

No obstante, la Agencia ha declarado que el consentimiento obtenido por CAIXABANK a través de la cláusula indicada:

  • No puede considerarse libre, por cuanto se impone a los clientes que la verificación de la información se realice a través de la consulta a la TGSS, lo que limita su capacidad de elección de decidir si el interesado desea que la comprobación se efectúe de esta manera (puesto que no es obligatorio); 
  • No puede considerarse específico e inequívoco, por cuanto el mecanismo de prestación de este ya estaba preestablecido (como una casilla premarcada); 
  • Tampoco puede considerarse informado, ya que la información facilitada podía generar confusión debido a que, al hacer referencia a las obligaciones legales impuestas por la normativa de prevención de blanqueo, el afectado podía entender que el tratamiento estaba fundamentado en dichas obligaciones y no en su consentimiento (sobre todo si la cláusula no permitía consentir el citado tratamiento expresamente).  

La AEPD ha tenido en consideración, como agravantes, el hecho de que este procedimiento afecta a todos los clientes o la negligencia en la actuación de la entidad, puesto que, si bien el propio convenio suscrito imponía a la entidad disponer de un consentimiento expreso para este método de comprobación (facilitando incluso un modelo), CAIXABANK, a pesar de ello, incluyó una cláusula de adhesión que no permitía una opción real de consentir.

Puede a la resolución sancionadora de la autoridad de control aquí.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido