La AEPD ha impuesto una sanción de 300.000 euros a una sociedad de valores por la infracción del artículo 6 del RGPD (licitud del tratamiento), que ha sido reducida a 180.000 euros por cuanto la compañía ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
En este caso, el reclamante suscribió, junto con su esposa, un contrato de gestión patrimonial con la compañía por el que se regulaba la gestión de sus fondos depositados, así como la posibilidad de realizar operaciones de inversión por parte de la entidad, previa autorización expresa de ambos titulares, pudiendo ser otorgada esta autorización a través de su firma manuscrita o electrónica. Posteriormente, la compañía ejecutó varias órdenes de traspaso y adquirió “seis fondos de inversión”, sin que dichas operaciones hubieran sido autorizadas previamente, llegando a afirmar el reclamante que desconocía “el método que se empleó para suplantar su firma y consentimiento”.
Habida cuenta de ello, el afectado, que tuvo constancia de este hecho de manera fortuita, se dirigió a la compañía para buscar una explicación, siendo reconocido por la entidad su actuación irregular, llegando a manifestar que “había existido una mala praxis por parte del representante de la parte reclamada” ofreciéndose a compensar el posible perjuicio.
Una vez se dio traslado de la reclamación interpuesta, la entidad presentó escrito de respuesta en el que exponía que el agente recibió varias órdenes de operaciones por parte del afectado, de modo que, utilizando el sistema de firma en papel (lo que se decidió sin consultar con el reclamante), “introdujo en el aplicativo […] su teléfono móvil profesional en el que recibió el código PIN, que le permitió firmar a través de LOGALTY las órdenes dadas […] para que fueran ratificadas por el cliente a través de su firma manuscrita en papel”. De este modo, se indica por la compañía que no se utilizaron las claves o firmas del recurrente para efectuar las operaciones, sino que se usaron las cuentas y claves del agente. No obstante, dichas órdenes no fueron nunca ratificadas por el afectado.
Si bien la autoridad de control acordó el archivo de las actuaciones, el reclamante interpuso recurso potestativo de reposición, siendo admitido a trámite debido a que, al no haber probado la compañía la ratificación de las operaciones, era posible que existiera una falta de legitimación para tratar los datos personales para realizar las mismas.
Declara la AEPD, en primer lugar, que resulta lógico afirmar que, al realizar las citadas operaciones, se ha producido un tratamiento de datos personales del reclamante por parte de la entidad (en las órdenes de traspaso se incluía el nombre, los apellidos, el DNI o los números de cuenta), debiendo disponer esta de una de las bases de licitud recogidas en el RGPD (lo que no ha sucedido).
Así, indica la AEPD que se debe analizar si, conforme al contrato de gestión que suscribieron las partes, el agente tenía la obligación de obtener la autorización previa o si, utilizando sus claves, podía realizarlas electrónicamente y recabar, posteriormente, la firma manuscrita a efectos de ratificación.
En este sentido, declara la autoridad de control que la compañía incurre en reiteradas contradicciones durante sus alegaciones, ya que indica que, si bien el agente siguió el procedimiento establecido, no ha negado que fuera necesario recabar el consentimiento de sus clientes e incluso se disculpó por la mala praxis de su empleado, adoptando medidas para rectificar su procedimiento (lo que, según la AEPD, “implica un reconocimiento implícito de que éste estaba generando irregularidades”).
Adicionalmente, se expone que el contrato sí exigía la obtención del consentimiento previo del cliente para poder utilizar el canal presencial o para realizar estas operaciones, sin que se haya aportado documento alguno que permitiera probar que, tal y como se afirma, las órdenes de inversión fueron dadas por el afectado o que este eligió el procedimiento utilizado por el agente (procedimiento electrónico con posterior ratificación). Adicionalmente, se pone de manifiesto que el afectado, con anterioridad, había optado por operar siempre a través del canal electrónico, teniendo que autorizar expresamente cada operación, por lo que el agente debía haber consultado con él este cambio de operativa.
Habida cuenta de ello, se concluye por la AEPD que se debía haber recabado el consentimiento del cliente para operar por el canal utilizado por el agente, así como para ordenar las distintas operaciones de inversión, por lo que se ha producido un tratamiento de datos sin base legitimadora. En este sentido, se ha tenido en consideración, como agravante, que esta compañía se dedica a la gestión de inversiones, por lo que este tipo de operaciones son efectuadas habitualmente, debiendo formar parte de su diligencia mínima el aplicar medidas que impidan a los agentes realizar estas operaciones sin contar con la autorización de sus clientes.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.