Sanción de 70.000 euros a Seguros Pelayo por ceder sin consentimiento los datos personales de una clienta
La sanción de 70.000 euros a Seguros Pelayo por ceder sin consentimiento los datos personales de una clienta a un tercero por la Agencia Española de Protección de Datos (AEPD) es un acto considerado infracción en dos artículos del Reglamento.
En efecto, este acto de Pelayo constituye una infracción que se encuentra regulada en dos artículos del Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Más concretamente, se basa en los artículos 5.1.f), el cual recoge que el tratamiento de los datos se realizará de manera que se garantice una seguridad y protección, mediante la integridad y confidencialidad. Por su parte, y en relación con dicho precepto, el artículo 32 señala la seguridad del tratamiento.
Falta de consentimiento en la cesión de datos personales
La reclamación contra la aseguradora nació por la interposición de una queja que presentó la clienta el 22 de septiembre de 2021. En la misma, alegó que la aseguradora había cedido una gran cantidad de sus datos personales, como el nombre, apellido, DNI, dirección, número de teléfono, información sobre la póliza que la clienta tenía contratada, etc., a un tercero sin mediar consentimiento alguno.
Este tercero, receptor de los datos personales, era una persona con quien la clienta había suscrito un contrato de arras para celebrar posteriormente una compraventa de su automóvil.
En este contexto, la afectada descubrió que se habían cedido sus datos personales cuando el comprador del automóvil le envió una copia de un documento que incluía información personal y de la póliza de seguro.
En el momento que la clienta presentó la reclamación, la aseguradora justificó en un primer momento que la cesión se había llevado a cabo de manera lícita puesto que el tercero ya era conocedor de dichos datos por la relación contractual que venía manteniendo con la perjudicada.
Infracción del RGPD y quiebra en las medidas de seguridad
La AEPD ha afirmado que la aseguradora ha cometido una infracción relativa al principio de integridad y confidencialidad regulado en el artículo 5.1.f) del RGPD.
Según este, los datos personales deben de recibir un tratamiento que garantice una seguridad adecuada, incluyendo el tratamiento no autorizado al proporcionar información a un tercero sin la aprobación del interesado. Esto, tal y como señaló la AEPD se debe a una falta de diligencia en el cumplimiento del principio de confidencialidad.
Adicionalmente, se produjo una quiebra en las medidas de seguridad, violando así otro precepto de la normativa vigente.
Se constató que Pelayo, como responsable, no desplegó las medidas que deberían haber sido adoptadas en este tipo de situaciones para garantizar y velar por la seguridad de los datos mediante la inserción de medidas de seguridad técnicas y organizativas que garanticen un nivel de seguridad proporcional al riesgo, y cumplir así con lo establecido en el artículo 32 RGPD.
Consecuencias de ceder datos personales sin consentimiento
Ante esta situación, la AEPD impuso una multa de 50.000 euros por incumplir con el art. 5.1.f) y otra de 20.000 euros por violar lo establecido en el artículo 32.
No obstante, y a pesar de producirse una quiebra en las medidas de seguridad, la entidad pudo acogerse a reducciones basadas en el pago voluntario y reconocimiento de responsabilidad, descontándole así un 20% de las cuantías mencionadas.
Consecuentemente, y con la aplicación de ambas reducciones, se le ha interpuesto una sanción total de 42.000 euros. Sin embargo, la sentencia no es firme, teniendo la aseguradora la posibilidad de recurrir ante la Sala de lo Contencioso de la Audiencia Nacional.
En Letslaw contamos con un equipo de abogados especializado en Derecho Digital y Protección de Datos. No dudes en contactar con nosotros y pondremos nuestra experiencia y servicios a tu disposición.
Ane es doble graduada en Derecho y Comunicación por la Universidad de Deusto en el campus
de San Sebastián, su ciudad natal. Tuvo su primer contacto con el derecho de las nuevas
tecnologías y protección de datos cuando realizó un itinerario formativo en el extranjero, en la
Universidad de Leiden (Países Bajos). Posteriormente, cursó el Máster de Acceso a la Profesión
de Abogado en la Universidad Complutense de Madrid.