Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 180 000 euro mot Mapfre Inversión Sociedad de Valores, S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad person och hans fru var kunder hos värdepappersbolaget Mapfre Inversión Sociedad de Valores. Den registrerade ingick ett avtal om kapitalförvaltning med värdepappersbolaget som bemyndigade bolaget att förvalta hans medel och utföra investeringsåtgärder för hans räkning. Enligt avtalet krävdes uttryckligt godkännande av båda parter före alla investeringsåtgärder. Efter den registrerade ingick avtalet med värdepappersbolaget valde han alltid en elektronisk kanal för att godkänna transaktioner med sina lösenord och elektroniska signaturer.
I juni 2021 utförde värdepappersbolaget olika överföringsuppdrag avseende den registrerades medel och inledde sex investeringstransaktioner utan att den registrerade i förväg gett sitt tillstånd eller samtycke. Den registrerade kontaktade värdepappersbolaget angående överföringarna, som medgav misstaget och uppgav att ett ombud gjort sig skyldigt till tjänstefel. Värdepappersbolaget erbjöd sig att ersätta den ekonomiska skadan och återställa den registrerades konto till dess tidigare status.
Den registrerade lämnade därefter in ett klagomål till AEPD. Som svar på klagomålet uppgav värdepappersbolaget att bolaget tagit emot flera ordrar från den registrerade. Värdepappersbolaget hävdade att den registrerade i stället för att använda den elektroniska kanalen begärt ett signatursystem på papper, och ett ombud använt sitt egna PIN-auktoriseringssystem via värdepappersbolagets applikation för att registrera den registrerades begäran. Värdepappersbolaget hävdade vidare att ombudet i detta fall hade rätt att elektroniskt beställa överföringen av medel med sina egna lösenord och elektroniska signatur och därefter inhämta den registrerades bekräftelse. Den registrerade godkände emellertid inte begäran.
Trots avtalsförhållandet mellan parterna ansåg AEPD att artikel 6.1 (b) GDPR inte gav någon rättslig grund för behandlingen eftersom den inte var nödvändig för att fullgöra avtalet. Enligt avtalet kräver fondöverföringar förhandsgodkännande, inte efterföljande godkännande. Eftersom ombudet inte inhämtat den registrerades samtycke före transaktionen i enlighet med avtalet saknade därför värdepappersbolaget en rättslig grund för behandlingen i enlighet med artikel 6.1 (b) GDPR. Eftersom det inte fanns några bevis för att samtycke i något fall inhämtats från den registrerade saknades dessutom rättslig grund enligt artikel 6.1 (a) GDPR.