Obligaba a sus clientes a autorizar que consultara sus datos personales a través de la TGSS
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 2 millones de euros a CaixaBank, aunque posteriormente se redujo a 1,2 millones de euros. La entidad bancaria ha sido sancionada por imponer a sus clientes una cláusula que les obligaba a aceptar que el banco consultara sus datos personales a través de la Tesorería General de la Seguridad Social (TGSS).
A pesar de que CaixaBank argumentó que esta acción estaba en línea con las obligaciones de la Ley de Prevención del blanqueo de capitales y de la financiación del terrorismo (LPBCFT), que permite a los bancos recabar información de los clientes para verificar la veracidad de la información, la AEPD discrepó.
La resolución señala que la falta de opción para rechazar la cláusula, lo cual llevó a los clientes a firmarla sin elección, afectó a más de 3,4 millones de usuarios y entró en conflicto directo con el artículo 4.11 del Reglamento General de Protección de Datos (RGPD). Este artículo define el «consentimiento del interesado» como una manifestación de voluntad que debe ser libre, específica, informada e inequívoca, mediante la cual el interesado acepta el tratamiento de sus datos personales, ya sea por declaración o acción afirmativa clara.
El consentimiento no puede considerarse libre si no puede negarse sin consecuencias negativas
La AEPD ha establecido que el consentimiento no puede considerarse libre cuando la persona no tiene una verdadera elección o libertad, o si no puede negarse o retirar su consentimiento sin consecuencias negativas. También menciona que el cumplimiento de un contrato o la prestación de un servicio no deberían depender del consentimiento, incluso si no es esencial para cumplir dicho contrato. Esto ocurre cuando el consentimiento se impone como parte no negociable de las condiciones generales.
La cláusula en disputa, que resultó en este litigio y la consiguiente sanción, estaba incluida en el formulario «Declaración/Modificación de datos para la relación de negocios (Modelo 5433)». Este formulario se requería a los clientes existentes a partir del año 2021 (y hasta las modificaciones realizadas en 2023) para actualizar su información personal.
En su apartado 6, el formulario indicaba que «el declarante manifiesta haber sido informado por CaixaBank de que la legislación vigente sobre prevención de blanqueo de capitales obliga a las entidades bancarias a obtener información sobre la actividad económica de sus clientes y a verificarla. Con este fin exclusivo […], otorga su consentimiento expreso a CaixaBank para solicitar esta información a la Tesorería General de la Seguridad Social en su nombre».
Ante esta solicitud, un cliente de CaixaBank presentó una reclamación ante la Agencia Española de Protección de Datos el 7 de diciembre de 2022, argumentando que la cláusula en cuestión no permitía expresar su objeción, lo que implicaba que el consentimiento ya estaba predefinido. Además, señaló que, después de manifestar su desacuerdo, el banco le informó que el proceso que seguían era estándar y se aplicaba uniformemente a todos los clientes. También le advirtieron que, si no aceptaba esas condiciones, bloquearían su cuenta bancaria.
CaixaBank justificó su actuación en la obligación de prevenir el blanqueo de capitales
Para justificar esta acción, CaixaBank explicó por escrito que estaba obligada a obtener información sobre el propósito y la naturaleza de la relación comercial y a llevar a cabo un seguimiento continuo de dicha relación de acuerdo con la Ley 10/2010, de 28 de abril, de Prevención del blanqueo de capitales y de la financiación del terrorismo, y su Reglamento (Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo).
A pesar de estos argumentos, la AEPD reconoció que la normativa sectorial establece la obligación de verificar las actividades profesionales y empresariales de los sujetos con los que se realizarán negocios. Sin embargo, consideró que esta normativa no especifica un método específico para llevar a cabo dicha verificación. En este sentido, concluyó que es responsabilidad del responsable del tratamiento de datos personales (en este caso, CaixaBank) determinar el procedimiento de verificación, siempre y cuando dicho procedimiento cumpla con las regulaciones de protección de datos personales.
El acuerdo suscrito con la TGSS para la cesión de información, al que se adhirió CaixaBank el 28 de abril de 2021, tiene como objetivo principal facilitar el cumplimiento de las regulaciones de prevención del blanqueo de capitales por parte de las entidades financieras. Este acuerdo se basa en un procedimiento informático automatizado que permite el envío diario de solicitudes de datos por parte de las entidades financieras y la transmisión correspondiente de información por parte de la TGSS. Sin embargo, la AEPD señaló que aunque este mecanismo podría ser adecuado para el cumplimiento de las obligaciones, no necesariamente es el único método válido.
Previamente a esta consideración, se afirmó que «la normativa no establece la obligación de verificar la información de datos personales ante la TGSS, sino que la facilita el cliente, y posteriormente, teniendo en cuenta el diferente nivel de riesgo, existe una obligación general de establecer y aplicar procedimientos de verificación de las actividades declaradas por los clientes. Por lo tanto, para poder consultar datos personales con la TGSS, […] sería necesario obtener el consentimiento del interesado, no imponer el uso de dicho mecanismo».
Basándose en esta evaluación, la Agencia Española de Protección de Datos decidió imponer una multa de 2 millones de euros a CaixaBank, aunque esta cantidad se redujo a 1,2 millones de euros después de que la entidad admitiera su culpabilidad.
