La Agencia Española de Protección de Datos (AEPD) ha sancionado con 300.000 euros a Mapfre Inversión por llevar a cabo gestiones de unos clientes sin su firma. La empresa realizó 6 operaciones de traspaso de fondos sin consentimiento por un importe de 4.215 euros cada una. La suma total es de 25.290 euros.
La gravedad de la conducta se basa en que la entidad financiera actuó sin legitimación al tratar ilícitamente los datos personales de los dos titulares de la cuenta. Es decir, nombre, apellidos, NIF y números de cuenta que aparecían en las mismas. Ha infringido el artículo 6.1 del Reglamento General de Protección de Datos (RGPD).
Sin embargo, al acogerse a las dos reducciones propuestas por la AEPD, que es reconocer los hechos y pagar de forma voluntaria, la multa ha quedado rebajada a 180.000 euros al suponer una rebaja del 40%. Cuantía que ingresaron el pasado 20 de junio.
Según se desprende en la reclamación, el matrimonio afectado explicó que había suscrito con Mapfre un contrato de gestión patrimonial en 2018 que habilitaba a la entidad a gestionar los fondos que habían depositado y realizar operaciones con ellos.
Pero siempre tenían que hacerlo bajo su autorización con la firma expresa de ambos de forma electrónica o manuscrita.
Desconocían el método que se había utilizado para suplantar la firma
Pero comentaron que la empresa había ejecutado varias órdenes en junio de 2021 de traspaso del capital adquiriendo seis fondos de inversión sin su autorización. Desconocían el método que se había utilizado para suplantar la firma y consentimiento.
Se percataron de lo ocurrido de forma casual al entrar el la aplicación online. Por lo que decidieron poner los hechos en conocimiento de la empresa, la cual reconoció su actuación irregular y les dijo por correo que había existido una mala praxis por parte de su representante.
Les ofrecieron rehacer la situación original a antes de ejecutar las operaciones controvertidas “compensando el posible perjuicio económico de valoración».
Pero no respondieron a la petición de la pareja sobre cómo ocurrieron los hechos. Es decir, si se suplantaron las firmas o hubo un uso fraudulento del certificado de Logalty, el mecanismo utilizado para la firma electrónica.
En un principio, la AEPD archivó la reclamación
La AEPD decidió archivar la reclamación el 31 de mayo de 2023 al considerar que no había suficientes elementos probatorios de la concurrencia de una infracción que pudiera enervar el principio de presunción de inocencia. Pero el matrimonio presentó un recurso potestativo de reposición para solicitar que se continuase con el procedimiento.
Recurso que fue estimado el 10 de mayo de 2024. Ello al considerar que Mapfre no había acreditado la ratificación de las operaciones de inversión de los recurrentes.
Tras analizar el Reglamento General de Protección de Datos (RGPD) y el contrato suscrito entre las partes, la AEPD recordó que la empresa se disculpó por mala praxis del agente que se encargaba de sus gestiones, así como que manifestó haber tomado medidas. Esto implicaba un reconocimiento implícito de que éste estaba generando irregularidades.
Además, el contrato establecía la obligación de obtener el consentimiento o firma previa del cliente para autorizar operaciones de pago o realizar cualquier tipo de operación financiera con cargo a las mismas.
Por lo que, para la AEPD, “el agente omitió el requisito de consultar y recabar el consentimiento previo del cliente, tanto para optar por el canal presencial, como para ordenar las operaciones de pago e inversión”.
La multa no es firme y se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
