La Agencia Española de Protección de Datos (AEPD) acaba de sancionar con 70.000 euros a la compañía de seguros Pelayo Mutua de Seguros y Reaseguros a Prima Fija por ceder datos de una clienta a una tercera persona.
Cuando una empresa recibe y trata unos datos de un cliente debe garantizar la confidencialidad de los mismos para que no sean captados o accedidos por terceros, para lo cual la empresa está obligada por ley a adoptar una serie de medidas de seguridad.
La medida que supone casi la “piedra angular” de la protección de datos es que la empresa debe informar a sus clientes de las concretas y exactas finalidades para las cuales va a utilizar los datos personales que se le confían. A partir de ahí, cualquier cesión que se haga a terceras partes debe ser justificada y comunicada por la empresa al cliente, y el mismo ha de poder aceptar tal cesión expresamente, de tal forma que si la empresa no recaba tal consentimiento o el cliente no lo acepta, la cesión de datos queda absolutamente vedada, y si se produce, ello supone una infracción de la normativa en vigor.
La reclamación de la que trata esta entrada -presentada el 22 de septiembre de 2021- surge a raíz del destemple de una clienta de Pelayo al considerar que la aseguradora había cedido un sinfín de datos personales suyos, sin su consentimiento, a una tercera persona con la que había llevado a cabo un contrato de arras para venderle su coche. Tales datos incluían nombre, apellido, DNI, domicilio, número de teléfono, información relativa a su póliza de seguro de la que era tomadora, los siniestros declarados y datos de la prima del seguro. Entre los siniestros aparecían diversos golpes que había tenido el vehículo.
Esa tercera persona era el comprador con el que la afectada había suscrito un contrato de arras para la venta del vehículo asegurado en Pelayo.
Por otro lado, la clienta envió un correo electrónico a Pelayo comunicándole que no iba a renovar el contrato con la compañía dado que iba a vender el vehículo.
Lo cierto es que el tercero remitió un whatsapp a la vendedora afectada con una fotografía del documento de Pelayo que contenía todos los datos personales a los que hemos hecho referencia. La voluntad del nuevo propietario iba a ser contratar el seguro con Pelayo.
La afectada adjuntó a su denuncia ante la AEPD copia del citado documento. Sin embargo, Pelayo solicitó el archivo de la reclamación alegando en su defensa que el tercero ya conocía tales datos de la reclamante por el contrato de arras, lo cual era verdad sólo muy parcialmente.
La AEPD le achacó a la aseguradora una infracción del artículo 5.1f) del Reglamento General de Protección de Datos (RGPD) relativa al principio de confidencialidad al quedar acreditado que Pelayo facilitó al tercero comprador un documento en el que se recogían todos los datos personales de la vendedora.
Asimismo se le imputó una infracción del artículo 32 del RGPD, que hace referencia a la seguridad del tratamiento y que obliga al responsable (en este caso a Pelayo) a aplicar las medidas técnicas y organizativas que resulten adecuadas para garantizar un nivel de seguridad ajustado al riesgo que conlleva el tratamiento, las que claramente no han existido en este caso, como pone de manifiesto la cesión de datos a tercero producida y nunca consentida por la cliente afectada.
Luis del Riego Alonso, abogado fake taschen kaufen y socio en Queipo y Riego Abogados.
Somos abogados y consultores expertos en protección de datos personales y privacidad desde el año 2006. Si tienes cualquier duda o problema en esta materia, o simplemente quieres adecuar tu empresa a esta normativa, no tienes más que ponerte en contacto con nosotros, Queipo & Riego Abogados, Oviedo y Madrid, tel.- 985 965 463. Estaremos encantados de atenderte