La AEPD recibió una reclamación contra ING BANK N. V., Sucursal en España, por exigir a sus clientes consentimiento expreso para solicitar información sobre la actividad económica a la Tesorería General de la Seguridad Social (TGSS) como requisito para contratar una nueva cuenta bancaria.
El banco justificó su procedimiento citando el convenio entre la TGSS y entidades financieras, que permite el acceso a información laboral a través del Servicio de Verificación de Fuente de Ingresos (SVFI). Explicó que solo solicita la información laboral estrictamente necesaria para cumplir con la normativa de prevención del blanqueo de capitales: nombre, nacionalidad, estado civil, dirección y diversos aspectos laborales y financieros. Durante la contratación digital, se solicita al cliente información laboral clave mediante un desplegable obligatorio, incluyendo:
- Estado laboral
- Actividad profesional
- Sector laboral
- Empresa
- Ingresos mensuales
- Propósito de la relación principal
- Origen de los fondos
El 27 de marzo de 2024, la directora de la AEPD inició un procedimiento sancionador contra la entidad por una presunta infracción del artículo 6.1 del RGPD en relación con la gestión de datos personales.
En sus alegaciones del 24 de abril de 2024, ING defiende que la verificación ante la TGSS es una medida necesaria para garantizar la seguridad en el sistema financiero y que no existen herramientas alternativas.
Pero la normativa de Prevención de Blanqueo de Capitales (LPBCFT) no impone la consulta obligatoria a la TGSS, sino que exige a las entidades bancarias establecer procedimientos de verificación de datos, considerando el nivel de riesgo de cada cliente, lo que verifica que la TGSS no es la única vía posible para cumplir con la normativa, y el cliente no está obligado a aceptar este mecanismo.
El artículo 4.11 del RGPD define el consentimiento del interesado como una manifestación de voluntad libre, específica, informada e inequívoca sobre el tratamiento de sus datos personales. Por lo tanto, cualquier consulta a la TGSS debe contar con la aprobación explícita del cliente y no puede imponerse como requisito obligatorio.
En este caso, el consentimiento exigido por ING BANK N. V., Sucursal en España en el proceso de contratación de cuentas bancarias se configura como una parte no negociable, lo que impide continuar con la contratación sin aceptarlo. Esta circunstancia plantea dudas sobre si el consentimiento se ajusta al principio de libertad, tal como lo define el artículo 4.11 del RGPD. Si se integra como una parte no negociable de las condiciones generales de un contrato, no se considera válido según el RGPD, ya que se impone a todos los clientes, sin opción para rechazarlo; la única alternativa es presionar «continuar».
La AEPD señala que ING debería haber solicitado el consentimiento expreso y firmado del cliente para realizar la consulta ante la TGSS, conforme al convenio y la legislación de protección de datos.
Para determinar la multa administrativa, se han tenido en cuenta:
- Naturaleza, gravedad y duración de la infracción.
- Intencionalidad o negligencia: ING conocía las obligaciones del Convenio de cesión de información con la TGSS, que establece que la verificación de datos debe contar con autorización previa, expresa y firmada del cliente.
- Falta de posibilidad real de consentir: ING impuso el consentimiento mediante una cláusula de adhesión sin alternativa, incumpliendo lo estipulado en el Anexo III del Convenio.
Basándose en estos factores, la Agencia Española de Protección de Datos (AEPD) propone la imposición de una sanción de 2 000 000 € por infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 del RGPD.
Fuente: https://www.aepd.es/documento/ps-00531-2023.pdf
░ Imagen de Kindel Media en Pexels
