CaixaBank, sancionada con 1,2 millones de euros por obligar a sus clientes a aceptar una cláusula
3,4 millones de personas aceptaron que el banco solicitara sus datos a la Seguridad Social porque no podían negarse
CaixaBank. (Imagen: CaixaBank)
CaixaBank, sancionada con 1,2 millones de euros por obligar a sus clientes a aceptar una cláusula
3,4 millones de personas aceptaron que el banco solicitara sus datos a la Seguridad Social porque no podían negarse
CaixaBank. (Imagen: CaixaBank)
La Agencia Española de Protección de Datos (AEPD) ha sancionado a CaixaBank a pagar 2 millones de euros —reducidos a 1,2 millones de euros— por obligar a sus clientes a aceptar una cláusula que otorgaba a la entidad bancaria la potestad para consultar los datos personales de los firmantes a través de la Tesorería General de la Seguridad Social (TGSS).
En este sentido, aunque CaixaBank consideraba que tal verificación se encontraba dentro del marco de cumplimiento de las obligaciones impuestas por la Ley de Prevención del blanqueo de capitales y de la financiación de terrorismo (LPBCFT), la cual obliga y habilita expresamente a los bancos a recabar información de los clientes «a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptar medidas que permitan comprobar razonablemente la veracidad de la información»; la AEPD se ha mostrado en desacuerdo.
Tal y como se puede leer en la resolución (cuyo texto se puede consultar en ‘descargar resolución’), el hecho de que los clientes no tuvieran opción a rechazar dicha cláusula, viéndose empujados a firmarla, no sólo afectó a más de 3,4 millones de usuarios, sino que chocaba de lleno con lo establecido en el artículo 4.11 del Reglamento General de Protección de Datos (RGPD), el cuál establece que «el “consentimiento del interesado” es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
En este sentido, la AEPD ha declarado que el consentimiento no se considera libre cuando el individuo no tiene una elección verdadera o libre, o no puede negarse o retirar su consentimiento sin sufrir ninguna consecuencia negativa, o cuando el cumplimiento de un contrato o la prestación de un servicio depende del consentimiento, incluso si este no es necesario para dicho cumplimiento. Esto sucede cuando el consentimiento se incorpora como una parte no negociable de las condiciones generales.
Un requerimiento para aceptar sí o sí
La cláusula en cuestión —que ha sido objeto de este pleito y posterior sanción— se encontraba recogida en la ‘Declaración/Modificación de datos para la relación de negocios (Modelo 5433)’. Un documento que se instó a firmar a los clientes ya existentes a partir del año 2021 (y hasta las modificaciones realizadas en 2023) para actualizar sus datos personales.
Así, el mismo recogía, en su apartado 6, que «el declarante manifiesta que ha sido informado por CaixaBank de que la legislación vigente sobre prevención de blanqueo de capitales obliga a las entidades bancarias a obtener de sus clientes la información de su actividad económica y a realizar una comprobación de la misma. Con este exclusivo fin […], presta su consentimiento expreso a CaixaBank para que en su nombre pueda solicitar a la Tesorería General de la Seguridad Social dicha información».
Frente a este requerimiento, un cliente de CaixaBank interpuso en fecha 7 de diciembre de 2022 una reclamación ante la Agencia Española de Protección de Datos, alegando que dicha cláusula no daba la opción de expresar su negativa, «por lo que el consentimiento viene ya preestablecido». A su vez, indicó que después de expresar su desacuerdo al respecto, el banco le comunicó que el proceso seguido por ellos era rutinario y se aplicaba de manera uniforme a todos los clientes. Además, le advirtieron que, si no aceptaba esas condiciones, procederían a bloquear su cuenta bancaria.
Para sustentar este proceder, CaixaBank le explicó mediante escrito que estaba obligada a obtener información sobre el propósito e índole de la relación de negocio y a realizar un seguimiento continuo de dicha relación según la Ley 10/2010, de 28 de abril, de Prevención del blanqueo de capitales y de la financiación de terrorismo (en adelante «LPBCFT»), y su Reglamento (Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, en adelante, «RLPBCFT»).
La AEPD, crítica con la cláusula
Pese a estos argumentos, la AEPD, aunque ha reconocido que la normativa sectorial establece la obligación de verificar las actividades profesionales y empresariales de los sujetos con los que se realizarán negocios, ha considerado que esta normativa no especifica un método particular para llevar a cabo dicha verificación. En este contexto, ha concluido que es responsabilidad del responsable del tratamiento de datos personales (en este caso, CaixaBank) determinar el procedimiento de verificación, siempre y cuando dicho procedimiento cumpla con las regulaciones de protección de datos personales.
El acuerdo firmado con la TGSS para la cesión de información, al cual se unió CaixaBank el 28 de abril de 2021, tiene como objetivo principal facilitar el cumplimiento de las regulaciones de prevención del blanqueo de capitales por parte de las entidades financieras. Este convenio se basa en un procedimiento informático automatizado que posibilita el envío diario de solicitudes de datos por parte de las entidades financieras y la transmisión correspondiente de información por parte de la TGSS, y aunque «podría resultar un mecanismo adecuado para el cumplimiento de sus obligaciones, no es necesariamente es el único», ha señalado la AEPD en este sentido.
Una consideración que ha venido precedida de la declaración de que «la normativa no establece la obligación de verificar la información de datos personales ante la TGSS, sino que la facilita el cliente y posteriormente, teniendo en cuenta el diferente nivel de riesgo, existe una obligación general de establecer y aplicar procedimientos de verificación de las actividades declaradas por los clientes. Por ello, para poder consultar datos personales con la TGSS, […] sería necesario recabar el consentimiento del interesado, no imponer el uso de dicho mecanismo».
Bajo esta valoración, la Agencia Española de Protección de Datos ha estimado pertinente sancionar a CaixaBank con 2 millones de euros, cifra que posteriormente se ha reducido a 1,2 millones de euros tras el reconocimiento de culpa por parte de la entidad.