La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 70.000 euros a Pelayo Mutua de Seguros y Reaseguros a Prima Fija. Desde Pelayo realizaron la cesión de datos personales de una clienta a un tercero sin su consentimiento. Sin embargo, la compañía solo deberá pagar 42.000 euros debido a que reconoció su responsabilidad y realizó el pago de forma voluntaria.
Cesión de datos personales de una clienta
La infracción cometida por Pelayo Mutua de Seguros y Reaseguros a Prima Fija se basa en dos artículos del Reglamento General de Protección de Datos (RGPD). El primero es el artículo 5.1f), que establece la necesidad de tratar los datos personales de forma confidencial y garantizar su integridad. El segundo es el artículo 32, que se refiere a la seguridad del tratamiento de los datos.
La reclamación contra la aseguradora surgió a raíz de la queja de una clienta de Pelayo, quien argumentó que la compañía había proporcionado una gran cantidad de sus datos personales a un tercero sin su consentimiento. Esta tercera persona era alguien con quien la clienta había celebrado un contrato de arras para vender su automóvil.
Los datos personales cedidos incluían el nombre, apellido, DNI, dirección, número de teléfono, información sobre la póliza de seguro de la clienta. Así como, los siniestros declarados y detalles sobre la prima del seguro (importe, fecha de vencimiento y fecha de pago). Entre los siniestros declarados se encontraban diversos daños que el automóvil había sufrido, y la clienta decidió enviarlo a reparar urgentemente en uno de los talleres del seguro para entregarlo en buenas condiciones antes de la venta.
Descubierta la cesión de datos personales
Remisión de un documento que contenía información personal
La clienta descubrió la cesión de datos cuando el nuevo propietario del automóvil le envió a través de WhatsApp una copia de un documento que contenía información personal y detalles de la póliza de seguro. El nuevo propietario tenía la intención de quedarse también en Pelayo como aseguradora. La clienta presentó capturas de pantalla de la conversación y del documento enviado como prueba. Sin embargo, Pelayo argumentó que el tercero ya tenía conocimiento de los datos de la reclamante debido al contrato de arras que habían celebrado.
Infracción del dos artículos del RGPD
La AEPD determinó que Pelayo había infringido el artículo 5.1f) del RGPD al no cumplir con el principio de confidencialidad al facilitar al tercero un documento que contenía todos los datos personales mencionados anteriormente. La agencia señaló la falta de diligencia por parte de Pelayo en el cumplimiento de este principio como elemento de culpabilidad en la imposición de la sanción.
Además, a Pelayo se le atribuyó una infracción del artículo 32 del RGPD, que se refiere a la seguridad del tratamiento de los datos. Este artículo establece la obligación de garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos y de implementar medidas técnicas y organizativas apropiadas. Según la AEPD, Pelayo no cumplió con estas medidas de seguridad, lo que resultó en una violación de la normativa.
Resolución de la Agencia Española de Protección de Datos
La AEPD determinó que Pelayo Mutua de Seguros incumplió las medidas de seguridad necesarias para garantizar un nivel adecuado de protección de los datos. Como resultado, la AEPD impuso una multa de 50.000 euros por violar el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD). Y una multa adicional de 20.000 euros por infringir el artículo 32 del RGPD, que establece los requisitos de seguridad en el tratamiento de datos.