CUIDADO CON LOS CONSENTIMIENTOS PREESTABLECIDOS, SANCIÓN DE LA AEPD.
En la actualidad, es muy común que en las páginas web de distintas entidades se solicite el consentimiento para el tratamiento de datos de carácter personal, envío de publicidad o incluso cesión de datos a terceras entidades.
Hemos de partir de la base de que para la página web son de aplicación las siguientes normativas:
A este respecto es muy importante que se cumpla con las premisas indicadas en las distintas normativas de aplicación, para poder delimitarlas vamos a analizar una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD) al respecto, PS-00032-2024:
La parte reclamante manifiesta que una entidad bancaria (la reclamada) le ha solicitado una serie de datos, de conformidad con lo establecido en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Además, que la información recogida se refleja en un documento, pero antes de firmar el formulario (en el que constan sus datos personales y económicos), comprueba que, en la redacción de una de las cláusulas del mismo se indica que consiente expresamente a que la reclamada solicite sus datos a la Tesorería General de la Seguridad Social, sin que se dé la opción de expresar su negativa a este respecto, por lo que el consentimiento viene ya preestablecido. Así las cosas, indica que, tras mostrar su disconformidad al respecto, la reclamada le informa que el proceso seguido por la misma era un proceso rutinario que se aplicaba a todos los clientes por igual y que, si no firmaba con esas condiciones, se procedería a bloquear su cuenta bancaria.
Adjunta la parte reclamante copia del documento que tiene pendiente de firma y en el que se recoge el siguiente punto:
“6. El declarante manifiesta que ha sido informado por la reclamada de que la legislación vigente sobre prevención de blanqueo de capitales obliga a las entidades bancarias a obtener de sus clientes la información de su actividad económica y a realizar una comprobación de la misma. Con este exclusivo fin de verificación de la información facilitada, presta su consentimiento expreso a CaixaBank para que en su nombre pueda solicitar a la Tesorería General de la Seguridad Social dicha información. Los datos obtenidos de la Tesorería General de la Seguridad social serán utilizados exclusivamente para la gestión señalada anteriormente. En el caso de incumplimiento de esta obligación por parte de la reclamada y/o del personal que en ella presta servicios, se ejecutarán todas las actuaciones previstas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”.
Se da traslado a la parte reclamada para que realice las alegaciones oportunas al respecto, indicando esta lo siguiente:
Que la reclamada está obligada a obtener información sobre el propósito e índole de la relación de negocio y a realizar un seguimiento continuo de dicha relación según la Ley 10/2010, de 28 de abril, de Prevención del blanqueo de capitales y de la financiación de terrorismo (en adelante «LPBCFT»), y su Reglamento (Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, en adelante, «RLPBCFT»). Y hace referencia al siguiente articulado:
«Artículo 11 RLPBCFT. Seguimiento continuo de la relación de negocios. 1. Los sujetos obligados realizarán un escrutinio de las operaciones efectuadas a lo largo de la relación de negocio a fin de garantizar que coincidan con la actividad profesional o empresarial del cliente, y con sus antecedentes operativos […]”
Que para poder realizar dicho «escrutinio», la LPBCFT obliga y habilita expresamente a recabar de sus clientes información a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptar medidas que permitan comprobar razonablemente la veracidad de la información:
«Artículo 5 LPBCFT. Propósito e índole de la relación de negocios. Los sujetos obligados obtendrán información sobre el propósito e índole prevista de la relación de negocios. En particular, los sujetos obligados recabarán de sus clientes información a fin de conocer la naturaliza de su actividad profesional o empresarial y adoptarán medidas dirigidas a comprobar razonablemente la veracidad de dicha información. Tales medidas consistirán en el establecimiento y aplicación de procedimientos de verificación de las actividades declaradas por los clientes. („,)»
Alegando la parte reclamada que la solicitud de datos a sus clientes y en este caso al reclamado se realiza como obligación legal en base a los artículos referenciados. Finalmente indica la parte reclamada que en sus sistemas no consta reclamación ninguna por parte del reclamante. Que entiende que el reclamante está ejerciendo el derecho de revocación por lo que proceden a registrar en sus sistemas dicha revocación siendo su efectividad inmediata, aportando copia de carta fechada a 08/03/2023 y dirigida al reclamante donde se le informa de que han procedido a la revocación de su consentimiento para la consulta de datos a la TGSS.
A lo expuesto anteriormente la AEPD procede a realizar las investigaciones oportunas dilucidando las siguientes cuestiones:
- La entidad reclamada cuenta con un proceso de “Know Your Customer” (KYC) mediante el cual cumple con las obligaciones legales en materia de LPBCFT.
- La información se solicita cuando un cliente se da de alta en la entidad y puede repetirse cada año o cada cinco años dependiendo del riesgo.
- La entidad reclamada esta adherida a un Convenio con la Tesorería General de la Seguridad Social (TGSS), en el cual se facilita el anexo en el que solicitan información al cliente, dentro del contrato marco, en el que se indica lo siguiente:
“Usted manifiesta que ha sido informado por la entidad de que la legislación vigente sobre prevención de blanqueo de capitales obliga a las entidades bancarias a obtener de sus clientes la información de su actividad económica y a realizar una comprobación de la misma. Con este exclusivo fin de verificación de la información facilitada, presta su consentimiento expreso a la entidad para que en su nombre podamos solicitar a la Tesorería General de la Seguridad Social dicha información. Los datos obtenidos de la Tesorería General de la Seguridad Social serán utilizados exclusivamente para la gestión señala anteriormente (…).”
En este contrato había algún consentimiento y la revocación de estos se realizaba de forma presencial, a traves de un formulario en la oficina de la entidad.
En el año 2023 la entidad reclamada procedió a editar este proceso de alta de nuevos clientes y su documentación, incluyéndose que en los procedimientos KYC de alta de nuevos clientes, consta que se puede conceder o no conceder el consentimiento para la verificación de datos con la TGSS tanto en oficina, como en la página web de la entidad reclamada, como en la aplicación móvil de la entidad. También consta que se puede revocar el consentimiento por los tres canales anteriormente citados.
Para el caso de clientes que ya estaban en la base de datos, al realizar cambios en la documentación, se procedió por la entidad reclamada a enviar un apartado denominado «Declaración/Modificación de datos para la relación de negocios” en el cual se incluía el punto 6 (referenciado al inicio de este articulo) relativo a protección de datos y por el que no se solicitaba un consentimiento explicito, actualizándose dicho documento a posteriori.
En base a todo lo indicado la AEPD estima conveniente sancionar a la entidad reclamada por incumplimiento del artículo 6.1. RGPD en relación con el procedimiento que tenía establecido CAIXABANK para recabar el consentimiento de sus clientes para verificar determinados datos personales relacionados con la LPBCFT ante TGSS.
Se entiende incumplido el citado precepto, puesto que a pesar de ser cierto que la normativa sectorial determina la obligación de verificación de las actividades profesionales y empresariales de los sujetos con los que vaya a hacer negocios, no previendo, sin embargo, que esto deba hacerse de una manera determinada, debiendo ser el responsable del tratamiento de datos personales (en el presente caso, la entidad reclamada) quien deba decidir tal procedimiento de verificación, el cual ha de cumplir con la normativa en materia de protección de datos de carácter personal. Además, en lo relativo al Convenio firmado por parte de la entidad reclamada con la TGSS se pone de manifiesto que el interesado tiene que consentir para que la entidad bancaria pueda verificar los datos personales ante la TGSS y se recoge efectivamente, la cláusula por la que se puede dar el consentimiento expreso para verificar la información.
A mayor abundamiento, el artículo 4.11 del RGPD establece que el “consentimiento del interesado” es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Sin estas condiciones, el consentimiento prestado por el interesado no determinaría un control sobre sus datos personales y el destino de los mismos.
La AEPD entiende para sancionar a la entidad reclamada que se incumplen las siguientes cuestiones:
- El consentimiento no puede considerarse libre porque con la firma del contrato marco o del modelo 5433 se impone a todos los clientes que la verificación de sus datos personales se realice a través de consulta a la TGSS. Ello limita absolutamente la capacidad de elección de tales personas para decidir si quieren que la entidad bancaria lleve a cabo tal verificación de datos personales a través de consulta ante la TGSS, ya que no es obligatorio, como se ha expuesto.
- El consentimiento no puede considerarse especifico e inequívoco, en el sentido de que debe darse para todos los fines del tratamiento, pero que el presente caso no puede considerarse como tal, toda vez que los mecanismos de prestación del consentimiento de los clientes de la entidad reclamada para que ésta pueda consultar los datos personales de sus clientes ante la TGSS, a través del modelo de contrato marco y del modelo ya están prestablecidos, al igual que si fuera una casilla premarcada.
- El consentimiento no puede considerarse informado puesto que la información que se facilitaba al interesado podría llegar a causar confusión al reflejarse dicho consentimiento en una cláusula tipo de los modelos documentales a los que el interesado era obligado a adherirse.
Por lo tanto, se impone sanción con agravantes (especialmente por ser numerosos los procedimientos sancionadores tramitados por la AEPD en los que la reclamada ha sido sancionada por la infracción del artículo 6.1 del RGPD), con una cuantía de DOS MILLONES DE EUROS (2.000.000,00 €), al acogerse al reconocimiento de responsabilidad y pago voluntario, la entidad reclamada asume un pago final de UN MILLÓN DOSCIENTOS MIL EUROS (1.200.000,00 €).
En resumen, como vemos, en este caso concreto hablamos de una sanción cuantiosa a nivel económico, debido al tipo de entidad y a sus numerosas sanciones al respecto, pero el hecho de no solicitar el consentimiento de manera correcta a los interesados puede derivar en una sanción de la AEPD, por lo que si quieres evitarlo en tu entidad te recomendamos seguir los pasos marcados a lo largo del presente artículo.