El procedimiento sancionador PS/00426/2008, instruido por la Agencia Española de Protección de Datos a la entidad Gestoría-Asesoría Gesto 3, se inició tras la denuncia presentada por D. C.C.C. en la que declaraba que:
GESTO 3 gestionaba toda la documentación relativa al denunciante como trabajador autónomo del sector del transporte, entre ella la relativa a la Mutualidad La Fraternidad Muprespa de la que era mutualista. En enero de 2006, el denunciante recibe escrito de la Tesorería General de la Seguridad Social, Dirección Provincial de (.......), donde le comunican que ha sido estimada su solicitud de cambio de mutua a favor de MUTUA GALLEGA.
El denunciante no había solicitado ningún cambio de mutualidad verificando, además, que su firma había sido falsificada en la solicitud mencionada, motivo por el cual interpuso denuncia ante el Juzgado de Guardia de (.......)Los representantes de Mutua Gallega aportaron copia de la declaración de una empleada de Gesto 3 donde se ponía de manifiesto que:
todos los autónomos que llevaba la citada gestoría fueron pasados a MUTUA GALLEGA y que las propuestas de asociación no fueron firmados por las personas físicas sino que fueron autorizados y firmados por ella misma, indicando que tenía autorización verbal del denunciante y en otros casos autorización por escrito. Asimismo, manifiesta que “imitó la firma no lo hizo por orden”.Gesto 3 manifestó que:
procedió al cambio de mutualidad a diversos clientes con el consentimiento de todos ellos firmando en su nombre las propuestas de Asociación a la MUTUA GALLEGA, siendo esta última la que se encargó de dar de baja en la mutua anterior a cada uno de los clientes.Y tras recibir la comunicación del incio del procedimiento con una posible sanción de 300.506,05 € a 601.012,1 €, alega:
1. Que se ratifica en lo señalado en el acuerdo de inicio del procedimiento sancionador y lamenta su responsabilidad en el asunto, aunque lo hacia en aras a conseguir para los clientes un mejor servicio.
2. Su ignorancia en cuanto a la comisión de la infracción tipificada en el artículo 11.1 de la LOPD, entendiendo que dicha cesión la realizaba para el cumplimiento de fines relacionados con los intereses de su cliente y teniendo su consentimiento verbal.
3. Que su actuar ha venido motivado siempre por la buena fe.Los lamentos, apelaciones a la ignorancia o alegaciones respecto a la buena fe, no parecen argumentos jurídicos de mucho peso, y efectivamente la AEPD lo deja claro en los Fundamentos de Derecho:
En el caso examinado, ha quedado acreditado que GESTO comunicó los datos personales del denunciante a MUTUA GALLEGA. Esta actuación ha de considerarse una cesión de datos, conforme a la definición del artículo 3.i) de la LOPD, y como tal ha de contar con el consentimiento del afectado o en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento.
En este caso, no ha quedado acreditado que GESTO contara con el consentimiento del denunciante para la cesión de sus datos personales.
Tampoco existe norma legal que expresamente permita la cesión de los datos del denunciante por parte de GESTO a MUTUA GALLEGA.
En consecuencia, ha de entenderse que GESTO ha vulnerado el artículo 11 de la LOPD.Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Gestoría-Asesoría Gesto 3 por una infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.