BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

Sanción de 1,6 millones de euros a ING por la AEPD: verificación de datos con la seguridad social

,
,

La Agencia Española de Protección de Datos (AEPD) ha impuesto a ING BANK N.V., Sucursal en España, una multa de 1,6 millones de euros (tras reducción por pago voluntario) por una infracción grave del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), relacionada con la verificación de datos laborales de clientes ante la Tesorería General de la Seguridad Social (TGSS) durante la contratación de cuentas bancarias[1].

¿Qué motivó la sanción?

Un cliente denunció que, para abrir una nueva cuenta, ING exigía prestar consentimiento expreso para que el banco solicitara a la TGSS información sobre su actividad económica. El proceso no ofrecía alternativas: era obligatorio aceptar esta cláusula para continuar con la contratación, sin opción de negarse o aportar documentación alternativa[1].

El banco justificó esta práctica en el cumplimiento de la Ley de Prevención del Blanqueo de Capitales (LPBCFT) y en el convenio firmado entre la TGSS y las entidades financieras. Según ING, la verificación era necesaria para cumplir con la normativa y evitar fraudes, y la base jurídica era el cumplimiento de una obligación legal, no el consentimiento del cliente[1].

¿Qué dice la AEPD?

La AEPD reconoce que la normativa de prevención del blanqueo de capitales obliga a los bancos a recabar información sobre la actividad profesional de sus clientes y a verificarla, pero no impone que dicha verificación deba hacerse exclusivamente a través de la TGSS ni que sea obligatoria para todos los clientes en cualquier circunstancia. Además, el propio convenio con la TGSS exige que la entidad disponga de una autorización expresa y firmada del cliente para consultar sus datos, lo que, a juicio de la AEPD, equivale al consentimiento en los términos del RGPD[1].

La Agencia considera que el consentimiento recabado por ING no era válido, ya que no era libre ni específico: el cliente no podía negarse sin renunciar a la contratación del producto y no se le ofrecían alternativas para la verificación. Así, la verificación de datos ante la TGSS se convirtió en una condición no negociable del contrato, lo que vulnera el principio de consentimiento libre del RGPD[1].

Fundamentos jurídicos de la resolución

  • El consentimiento debe ser libre, informado, específico e inequívoco: No puede ser una condición obligatoria para acceder a un servicio si existen alternativas razonables.
  • La base jurídica del tratamiento de datos para la consulta a la TGSS debe ser el consentimiento del cliente, no solo el cumplimiento de una obligación legal, salvo en los supuestos concretos previstos en la normativa, que no se daban en este caso.
  • El convenio con la TGSS exige autorización expresa y firmada, lo que refuerza la necesidad de un consentimiento válido según el RGPD[1].

Consecuencias para ING

  • Sanción económica: 2 millones de euros, reducida a 1,6 millones por pago voluntario y renuncia a recurso administrativo.
  • Obligación de modificar el procedimiento: ING debe, en un plazo de 6 meses, acreditar ante la AEPD que informa adecuadamente y recaba el consentimiento de sus clientes conforme al RGPD para la verificación de datos ante la TGSS. No hacerlo podría conllevar nuevas sanciones[1].

—[1] Resolución de la Agencia Española de Protección de Datos, expediente PS-00531-2023, publicada en la web oficial de la AEPD.

Post Views: 36
Back to top arrow