La Agencia Española de Protección de Datos (AEPD) ha sancionado con 70.000 euros a la compañía de seguros Pelayo Mutua de Seguros y Reaseguros a Prima Fija por ceder datos de una clienta a una tercera persona. Finalmente abonará sólo 42.000 porque ha reconocido su responsabilidad y ha llevado a cabo el pago voluntario.
En concreto ha infringido dos artículos del Reglamento General de Protección de Datos (RGPD). El 5.1f), que expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad y el 32, que hace referencia a la seguridad del tratamiento.
Esta reclamación -que se puso el 22 de septiembre de 2021- surge a raíz del malestar de una clienta de Pelayo al considerar que la aseguradora había facilitado un sinfín de datos personales suyos, sin consentimiento, a una tercera persona con la que había llevado a cabo un contrato de arras para venderle su coche.
Los datos personales a los que se refería eran su nombre, apellido, DNI, domicilio, número de teléfono, información relativa a su póliza de seguro de la que era tomadora, los siniestros declarados y datos de la prima del seguro (importe, fecha de vencimiento y fecha de pago). En esos siniestros aparecían diversos golpes que había tenido y, como quería vender el coche, lo mandó a reparar con urgencia a uno de los talleres del seguro para poder entregarlos e buenas condiciones.
Esa tercera persona a la que le cedieron los datos era un ciudadano con el que la afectada había suscrito un contrato de arras para la venta del vehículo asegurado con Pelayo.
Además la clienta envió un correo electrónico a la aseguradora con todos sus datos para comunicarle que no iba a renovar el contrato con ellos porque iba a vender el vehículo.
La clienta se dio cuenta del problema por la tercera persona
Se dio cuenta de la cesión de los datos cuando el nuevo titular del coche le envió a través de WhatsApp una copia de un documento con el nombre del seguro que contenía datos personales y datos de la póliza de la clienta. La intención del nuevo propietario iba a ser quedarse también en Pelayo.
Como prueba, aportó varias capturas de pantalla de la conversación y el documento enviado en el que aparecían todos los datos. Sin embargo, Pelayo solicitó el archivo de la reclamación. Alegó que el tercero ya era conocedor de los datos de la reclamante por el contrato de arras celebrado con ella.
La AEPD le atribuyó a la aseguradora una infracción del artículo 5.1f) del Reglamento General de Protección de Datos (RGPD) relativa al principio de confidencialidad al quedar acreditado que Pelayo, a través de su encargado de tratamiento facilitó al tercero un documento en el que se recogían todos los datos personales descritos anteriormente.
«En este caso, el elemento de la culpabilidad, necesario para que nazca la responsabilidad sancionadora frente a la aseguradora, se conforma por la falta de diligencia demostrada por la parte reclamada en el cumplimiento del principio de confidencialidad», dice la AEPD en la resolución a la que ha tenido acceso Confilegal.
Por otro lado se le ha atribuido también una infracción del artículo 32 del RGPD, que hace referencia a la seguridad del tratamiento.
Precepto que obliga al responsable a avalar la seguridad de los datos y a aplicar las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad ajustado al riesgo que conlleva el tratamiento.
Pelayo produjo una quiebra de medidas de seguridad
Según la AEPD Pelayo produjo una quiebra en las medidas de seguridad que debe desplegar en estas situaciones para garantizar un nivel de seguridad adecuado al riesgo.
Así las cosas, por el artículo 5.1.f le impuso una multa de 50.000 euros y por el artículo 32, otros 20.000. Le dieron la opción de acogerse a dos reducciones, la primera, por acogerse al pago voluntario, que le suponía un descuento de un 20% y por reconocer la responsabilidad se le descontaría otro 20%.
Tras acogerse a las dos reducciones la sanción se ha quedado en 42.000 euros aunque no es firme puesto que todavía se puede recurrir ante la Sala de lo Contencioso de la Audiencia Nacional.
