Två kunder hos investeringsföretaget Mapre Inversión Sociedad de Valores, S.A., lämnade in en klagan till den spanska dataskyddsmyndigheten efter att företaget utfört flera investeringstransaktioner utan kundens samtycke den 2 juni 2021. Företaget har enligt kontraktet en skyldighet att få uttryckligt godkännande från båda parter innan någon investeringsåtgärd genomförs. Klaganden hävdade att transaktionerna alltid tidigare hade godkänts elektroniskt med hans lösenord och elektroniska signaturer.
När företaget utförde sex investeringstransaktioner utan kundens godkännande, kontaktade kunden företaget för att få en förklaring. Företaget erkände ogiltigheten och skyllde på felaktigt handlande av en agent. De erbjöd kompensation för ekonomisk skada och lovade att återställa kundens konto till dess tidigare status. Företaget besvarade dock inte kundens frågor om hur problemet uppstod, exempelvis om kundens signaturer hade förfalskats.
Efter att ha mottagit klagan svarade företaget att de hade mottagit flera order för investeringar den 2 juni 2021 från kunden, men istället för att använda den elektroniska kanalen hade kunden begärt en papperssignatur. En anställd använde då sitt eget PIN-nummer för att registrera kundens begäran på papper. Företaget hävdade att agenten hade rätt att elektroniskt beställa överföringen av medel och sedan få en efterföljande ratificering från kunden. Kunden ratificerade dock inte i efterhand. Kunden svarade inte heller på företagets kommunikation om möjligheten att återkalla transaktionerna och bli kompenserad.
Myndigheten konstaterade att företaget saknade rättslig grund för dessa transaktioner enligt GDPR då överföringar av medel krävde förtida samtycke, inte efterföljande ratificering. Eftersom ingen bevisning fanns att kunden hade initierat transaktionerna, saknades rättslig grund enligt GDPR. Den spanska dataskyddsmyndigheten påförde en bot på €180,000 för överträdelserna.
