En el ámbito del marketing digital y la protección de datos, un fallo puede tener consecuencias muy graves. Esa es precisamente la connotación que adquiere la resolución PS/00322/2021 de la Agencia Española de Protección de Datos en adelante (AEPD), por la que una compañía de seguros ha sido sancionada con una multa de 300.000 € por vulnerar derechos de los usuarios.
En este artículo abordaremos los principales puntos de la sanción, su base legal y las implicaciones para cualquier empresa.
El origen del procedimiento se centra en la reclamación de un usuario que solicitó la supresión de sus datos personales. Tras realizar la petición, la compañía de seguros no respondió de manera adecuada ni dentro del plazo establecido por el RGPD en su artículo 12.3, el cual fija un plazo de un mes, prorrogable por otros dos meses cuando la complejidad de la solicitud así lo requiera. Del mismo modo, la empresa tampoco aportó pruebas suficientes de haber atendido la solicitud ni de haber eliminado los datos del usuario de sus sistemas.
A pesar de la solicitud de supresión y de que el usuario tenía su correo electrónico inscrito en la Lista Robinson, este siguió recibiendo comunicaciones comerciales relacionadas con productos de seguros. Este hecho evidenció que los datos continuaban activos y que la empresa los utilizaba sin una base jurídica válida.
Así mismo, durante la tramitación del procedimiento, la empresa aseguradora presentó diversas alegaciones, entre ellas la referida a la prescripción de las infracciones objeto de investigación. La entidad sostuvo que los hechos debían considerarse prescritos conforme a los plazos establecidos en el régimen sancionador de la Ley Orgánica 3/2018 (LOPDGDD) y a los criterios aplicables al cómputo temporal de las infracciones.
La AEPD determinó que las posibles infracciones no estaban prescritas, valorando la naturaleza continuada de los tratamientos analizados y la existencia de actuaciones administrativas dentro de los plazos legalmente establecidos. Este análisis se presentó como una cuestión preliminar antes de abordar los fundamentos jurídicos específicos de cada conducta.
Durante la investigación, la AEPD también revisó la relación de la aseguradora con un agente de seguros que actuaba como encargado del tratamiento. En el contrato suscrito entre ambas partes, la AEPD detectó que no se cumplían los requisitos mínimos establecidos en el artículo 28 del RGPD, ya que carecía de instrucciones precisas, no detalla las medidas de seguridad y no regulaba aspectos esenciales como la confidencialidad del personal, el uso de subencargados o la devolución de los datos al finalizar el servicio.
Esto supuso una tercera infracción. La AEPD determinó que la ausencia de determinadas cláusulas esenciales evidenciaba un control insuficiente sobre los tratamientos delegados a terceros.
Fundamentos jurídicos de la AEPD
La AEPD estructuró su fundamentación jurídica aplicando diferentes artículos del Reglamento General de Protección de Datos (RGPD) y de la ley orgánica 3/2018 (LOPDGDD), y concluyó que existían tres vulneraciones diferenciadas:
1. Vulneración del derecho de supresión
La primera infracción refiere a que el usuario, en el ejercicio de su derecho a solicitar la supresión de sus datos personales (artículo 17 RGPD), no obtuvo una respuesta adecuada, ya que la aseguradora no demostró haber atendido correctamente el requerimiento.
El RGPD establece en su artículo 12.3, que los responsables deben responder de manera clara, documentada y dentro del plazo legal de un mes, este siendo prorrogable por otros dos meses cuando la complejidad de la solicitud así lo requiera. Además, la AEPD considera habitual que la falta de trazabilidad o de registros internos convierta una gestión supuestamente realizada en una infracción efectiva, dado que la carga de la prueba corresponde al responsable.
2. Tratamiento ilícito por comunicaciones comerciales
El envío de correos comerciales tras una solicitud de supresión constituye un tratamiento sin base legítima. El artículo 6 del RGPD exige que todo tratamiento de datos tenga una base jurídica válida, como el consentimiento o la ejecución de un contrato.
Asimismo, el artículo 21 del RGPD establece que, cuando un interesado se opone al tratamiento o solicita la supresión, debe cesar inmediatamente cualquier actividad con fines de marketing.
En este caso, la persistencia de los envíos evidenció un uso no autorizado de la información personal.
3. Contrato de encargado del tratamiento incompleto
La tercera infracción se centró en el contrato entre la aseguradora y el agente externo, el artículo 28 del RGPD exige que todo encargado actúe conforme a instrucciones documentadas del responsable, y que el contrato incluya un conjunto de cláusulas obligatorias. Así de esta manera la AEPD identificó como incompletas o ausentes las siguientes cláusulas:
- Instrucciones documentadas del responsable.
- Medidas técnicas y organizativas exigibles.
- Reglas claras sobre el uso de subencargados.
- Política de devolución o supresión de datos al finalizar el servicio.
- Compromiso de asistencia al responsable en el ejercicio de derechos.
La ausencia de estos elementos supone una infracción directa del artículo 28 del RGPD y se consideró un incumplimiento material que afectaba al control efectivo sobre el encargado y a la seguridad de los tratamientos realizados, lo que exige contratos exhaustivos y detallados con todos los encargados del tratamiento.
Conclusión
Se establece que la empresa aseguradora no acreditó la atención del derecho de supresión ejercido por el usuario, realizó envíos comerciales sin una base legitimadora para ello y mantuvo un contrato de encargo que no reunía los requisitos esenciales y legales establecidos por la normativa.
Los hechos y los fundamentos aplicados permiten identificar los elementos que toda empresa debe conocer en la gestión de datos personales: la necesidad de contar con procedimientos efectivos y verificables para la atención de los derechos de los interesados, la obligación de garantizar la licitud de cualquier envío comercial y la importancia de formalizar contratos de encargo que cumplan todos los requisitos legales. La resolución de la AEPD detalla cada una de estas cuestiones conforme a los criterios establecidos en el RGPD.
Si quieres leer otros artículos al respecto puedes visualizar otras entradas de nuestro blog pinchando aquí y aquí.
Escrito por: Nicolás Rodríguez.
