Sancionada ING con 2 millones de euros por obligar a sus potenciales clientes en la contratación de una cuenta bancaria, a realizar la verificación de la actividad económica mediante la autorización de la consulta de datos a la TGSS.
Explica la Agencia Española de Protección de Datos que una cosa es la obligación de verificación de las actividades profesionales y empresariales de los sujetos con los que se vaya a hacer negocios, y otra que esta obligación deba hacerse de una manera determinada, y añade que debe ser el responsable del tratamiento de datos personales, es decir, la entidad ING, quien deba decidir tal procedimiento de verificación, pero en todo caso, debe cumplir con la normativa en materia de protección de datos de carácter personal.
Aunque es cierto que el Convenio suscrito con la TGSS sobre cesión de información, al que se ha adherido ING, dispone, con el fin de facilitar a las entidades de crédito el cumplimiento de la normativa de prevención del blanqueo de capitales, de un procedimiento informático mecanizado que permite establecer un proceso diario de solicitud de datos por parte de las entidades financieras y de transmisión de información por parte de la TGSS, y aunque este mecanismo podría resultar adecuado para el cumplimiento de sus obligaciones, no necesariamente es el único. Existen otros, y se pueden realizar las acciones de comprobación a través de documentación aportada por el cliente, o mediante la obtención de información de fuentes fiables independientes; de hecho, esta posibilidad de que el cliente aporte documentación al efecto está expresamente prevista en la actual política de privacidad de la entidad, pero no lo estaba en la anterior vigente en el momento de presentarse la reclamación.
Insiste la Agencia, y en ello basa la comisión de la infracción, en que la normativa no establece la obligación de verificar la información de datos personales mediante consulta a la TGSS, sino que la información la facilita el cliente y posteriormente, teniendo en cuenta el diferente nivel de riesgo, existe una obligación general de establecer y aplicar procedimientos de verificación de las actividades declaradas por los clientes.
Por ello, para poder consultar datos personales con la TGSS, dado que la Ley no impone esta vía a las entidades bancarias ni al interesado-cliente esta obligación legal, sería necesario recabar el consentimiento del interesado, no imponiendo el uso de este mecanismo, y siempre condicionado a los supuestos específicos en los que la norma exige dicha verificación.
Además, destaca la Agencia que en el caso, en el procedimiento de contratación ni quiera existe una casilla específica para prestar o no expresamente el consentimiento que la entidad ING exige; al contrario, para continuar con el proceso de contratación del producto bancario no hay más opción que la de pulsar la casilla continuar y al hacerlo se consiente, sí o sí, que ING verifique determinados datos del cliente ante la TGSS, sin dar opción a elegir un mecanismo alternativo para poder verificar la información sin tener que prestar el consentimiento expreso que se exige.
Con esta mecánica, el consentimiento prestado por el interesado no permite un control sobre sus datos personales y el destino de los mismos. La verificación de determinados datos personales de sus clientes por ING ante la TGSS se produce sin un consentimiento válido, sin una base jurídica que legitime el tratamiento.
ING con este actuar, limita absoluta y totalmente la capacidad de elección de sus potenciales clientes para decidir si quieren que lleve a cabo tal verificación de datos personales a través de consulta ante la TGSS, ya que no es obligatorio; la base jurídica que legitima la verificación de determinados datos de sus clientes ante la TGSS no es el cumplimiento de una obligación legal (que no es una obligación legal para el cliente), sino el consentimiento previo, expreso y firmado del interesado.
No obstante la cuantificación de la sanción en 2 millones de euros, por el pago voluntario de la sanción propuesta, la Agencia aplica una reducción de un 20%.