La Agencia Española de Protección de Datos (en adelante, AEPD) ha emitido una resolución significativa dentro del expediente EXP202305408, mediante la cual impone una sanción de 120.000 euros a una entidad bancaria por el tratamiento ilícito de datos personales. Este caso no solo revela la aplicación rigurosa de la normativa de protección de datos personales sino, también, el papel activo de la AEPD en la tutela de los derechos fundamentales de los ciudadanos frente a entidades poderosas del sector financiero.
La resolución se basa en la reclamación de un ciudadano, quien denunció la firma fraudulenta de documentos vinculados al consentimiento para el tratamiento de sus datos personales y los de su cónyuge. Estos documentos, generados presuntamente sin su autorización, contenían rúbricas falsas y casillas ya marcadas, infringiendo gravemente los principios fundamentales de la normativa vigente.
En concreto, la parte reclamante manifiesta que, junto con su mujer, solicitó a la parte reclamada información en relación con un préstamo hipotecario y que la entidad bancaria, sin su consentimiento, firmó (haciéndose pasar por la parte reclamante) un documento denominado “Política de Protección de Datos Personales y Declaración de Actividad Económica”. Ninguno de los usuarios reconoce las firmas manuscritas que obran en el citado documento. Asimismo, expone que acudió a la sucursal exponiendo lo sucedido, indicando que deberían haber contactado con ellos para que se personaran en la oficina y firmasen la documentación correspondiente pero que el empleado les indicó que es algo que se suele hacer con normalidad para “agilizar los trámites”. Además, el empleado, según el usuario, habría marcado por defecto las casillas relativas al tratamiento comercial de sus datos personales. Para justificar su reclamación, se aporta copia de la documentación controvertida, en la que constan los datos personales de la parte reclamante, así como también figuran tres casillas marcadas relativas a la otorgación del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de la entidad reclamada y empresas colaboradoras, así como para la elaboración de perfiles. En dicho documento consta una firma manuscrita. Asimismo, aporta otro documento relativo a su mujer, en idénticas condiciones.
Por su parte, la parte reclamada proporcionó el Registro de Actividades de Tratamiento en el que se mencionan, como medidas organizativas de seguridad, los documentos de “Política General de Privacidad y Protección de Datos de la Entidad” y “Norma Corporativa sobre bloqueo y borrado de datos”. Asimismo, en el segundo requerimiento que le realiza la AEPD, se solicita a la entidad bancaria información sobre la conservación de documentos con datos personales. En este caso, la parte reclamada no aportó documentación alguna pero manifiesta lo siguiente:
“[…] en la Política de protección de datos personales de clientes se informa que
los datos personales se conservarán durante la vigencia de la relación contractual
o mientras resulten necesarios para la finalidad concreta de cada tratamiento.
Adicionalmente a ello y, una vez que la relación contractual se ha extinguido, los
datos serán conservados (i) para dar cumplimiento a las obligaciones legales que
incumben a la Entidad, como son el cumplimiento de los plazos de conservación
establecidos por el legislador que deberán observarse en relación con supuestos
o materias concretas (ej. prevención del blanqueo de capitales) y (ii) durante los
plazos de prescripción legal a los efectos exclusivos de formulación y defensa de
reclamaciones o acciones legales, permitiendo ejercer el derecho a la tutela
judicial efectiva.
Por último, destacar que, para el buen fin de las medidas técnicas y organizativas
definidas, se han implantado los siguientes controles:
Una vez al año, Cumplimiento Normativo revisará las autorizaciones otorgadas
para el acceso a datos bloqueados y asegurará que han cumplido el proceso de
verificación previa previsto.
Revisión anual de las normas y procedimientos a fin de comprobar si siguen
siendo aplicables en todos sus términos o si necesitan de alguna modificación o
adaptación. Las normas y procedimientos se encuentran publicados y a
disposición de todos los empleados en la intranet.
Controles periódicos para asegurar el cumplimiento del procedimiento de bloqueo.
El control de bloqueo de los datos de clientes está implantado en los sistemas y
se ejecuta automáticamente. Adicionalmente, con carácter anual, se verifica el
adecuado funcionamiento.”
En cuanto a la firma de los documentos, la parte reclamada, en principio, alega que “en la actualidad, no es posible firmar la LOPD (documento presentado en la reclamación) de manera manuscrita en las oficinas comerciales debiéndose firmar en la correspondiente tableta. Por tanto, a la hora de recabar la firma de un cliente se seleccionará en primer lugar la opción de firma DIFERIDA. Cabe destacar que únicamente se permite la opción de diferir la firma para la documentación precontractual, contractual y la documentación personal obligatoria. Del mismo modo la firma a distancia es únicamente para Personas Físicas […] Una vez el documento se haya firmado a través de firma a distancia, se archivará de forma automática en la Biblioteca Digital del cliente (Biblioteca de Contratos) […]. No obstante, hay que tener en cuenta que esto contradice lo que se dispone en la “Política de Protección de Datos Personales y Declaración de Actividad Económica”, en la que aparece la expresión, en la página 5, de “atención presencial oficina”.
La entidad bancaria, para sustentar sus alegaciones, aporta un vídeo, que proporciona indicaciones para sus empleados sobre la necesidad de no marcar previamente las casillas de consentimiento de los documentos, y de supervisar los lugares de firma por parte de los clientes.
Finalmente, al final del expediente la parte reclamada manifestó, tras haber investigado los hechos, que “el gestor de la sucursal bancaria no respetó el procedimiento de firma de documentos por parte de los clientes” y reconoce así los hechos y, por tanto, la presunta ausencia de base de legitimación para el tratamiento de los datos personales del reclamante.
La AEPD sustentó su decisión en varios pilares jurídicos claves que se detallan a continuación:
- Principio de licitud del Tratamiento recogido en el artículo 6.1 del Reglamento General de Protección de Datos (en adelante, RGPD): Este artículo establece que cualquier tratamiento de datos debe estar amparado por una base legítima. En el presente caso, se observó que el tratamiento de los datos personales del reclamante carecía de dicha base, ya que el consentimiento, que debía ser libre, específico, informado e inequívoco, nunca se otorgó de manera válida. La falsificación de firmas y la activación previa de las casillas de consentimiento suponen una transgresión directa de este precepto.
- Consentimiento inválido a tenor del artículo 4.11 y considerando 32 del RGPD: El consentimiento debe demostrarse de forma explícita y no puede obtenerse de forma tácita. El hecho de presentar formularios con casillas preseleccionadas invalida automáticamente cualquier supuesto consentimiento, tal y como lo han señalado tanto el RGPD como múltiples resoluciones previas del Comité Europeo de Protección de Datos. Este artículo analizado en el blog es un ejemplo más de esta mala práctica.
- Responsabilidad del tratamiento en línea con el artículo 4.7 RGPD: La AEPD recuerda que la entidad bancaria, en calidad de responsable del tratamiento, tenía la obligación de establecer controles que garantizasen la validez del consentimiento. La alegación de que se trató de un hecho puntual no exime de responsabilidad, ya que la entidad debe asegurarse de que todos sus empleados cumplan con los protocolos establecidos.
A la hora de fijar la sanción, la AEPD tiene en cuenta varios agravantes. Entre ellos, destaca la reincidencia, ya que la entidad bancaria había sido sancionada en múltiples ocasiones previas por cuestiones similares. También se valora la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, en la medida en que el banco, por el elevado volumen de tratamiento de datos y por su actividad, debe cumplir con un mayo estándar de diligencia.
Como resultado de este proceso la autoridad de control emite una propuesta de sanción de 200.000 euros por infracción del artículo 6.1. del RGPD.
No obstante, el banco se acogió a lo dispuesto en el artículo 85 de la Ley 39/2015 del Procedimiento Administrativo Común, reconociendo su responsabilidad y efectuando el pago voluntario de la sanción, lo que dio lugar a una reducción del 40%.
De esta resolución se infiere que, pese a los esfuerzos del banco por implementar políticas, formaciones, vídeos instructivos y revisiones periódicas para garantizar la protección de los datos personales, estas se consideran insuficientes a la luz de la repercusión ocasionada.
Este expediente refuerza el mensaje de que la suplantación de identidad y la ausencia de un consentimiento válido no pueden ser toleradas. El principio de licitud no es una formalidad: es el pilar que garantiza que el derecho a la protección de los datos personales no sea vulnerado por razones operativas o comerciales. Este caso demuestra que ninguna entidad, por grande que sea, está por encima de la ley.
