No te quedes con los datos

El procedimiento sancionador PS/00223/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EXPERT EJECUTIVOS, S.A. (CORREDURIA DE SEGUROS), parte de la denuncia presentada por A.A.A. en el que declaró que firmó un contrato de prestación de servicios con EXPERT para la gestión de la cartera de clientes de su firma ESTUDIO INTEGRAL, decidiendo posteriormente EXPERT la rescisión del mismo comunicándolo a ESTUDIO. No obstante, siguió tratando los datos de los clientes de la cartera de esta ultima, vulnerando la normativa vigente en materia de protección de datos. ESTUDIO al tener conocimiento del tratamiento de sus clientes requirió a dicha empresa que procediera a la devolución de su base de datos de clientes y cesara en dicho tratamiento hecho que hasta el momento no se ha producido.

Siguiendo las obligaciones de la reglamentación en protección de datos, ambas entidades habían suscrito un contrato de tratamiento de datos, donde se especificaba que el encargado del tratamiento, es decir, EXPERT, se compormetía entre otras cláusulas a:
  • Destruir o devolver al Responsable de Fichero los datos de carácter personal objeto de tratamiento, una vez cumplida la prestación de servicios, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
  • Mantener el secreto de los datos que trate durante la prestación del servicio, conforme al artículo 10 de la LOPD. Esta obligación subsistirá aún después de finalizar la prestación del servicio.

D. A.A.A. se dirigió a EXPERT por escrito en varias ocasiones, solicitando la devolución de todos los datos, delimitando plazos y designando al nuevo encargado del tratamiento. EXPERT por su parte aseguró ante la inspección que conservaba los datos a efectos de atender obligaciones fiscales y las posibles consultas de los clientes. Sin embargo el propio D. A.A.A. recibió una comunicación de EXPERT en la que le reclamaba el pago de un recibo devuelto, a la que contestó por email:
Asunto: recibo devuelto
Me habéis mandado una carta a mi. No podéis intervenir en la gestión para nada, ni notificar ni cobrar ni NADA de NADA. Todo debe de ser a través de E.E.E. (Grupo Mayo). Lo tenéis prohibido.

En la Fundamentos de Derecho la AEPD explica:
En el presente caso, EXPERT ni destruyó ni devolvió al responsable del fichero los datos de carácter personal objeto de tratamiento, sino que conservó y continuó tratando los datos que le habían sido facilitados como consecuencia de aquella relacióncontractual, constatándose la existencia en sus ficheros de información relativa a 4.571 pólizas en situación de baja, así como información relativa a 56 recibos en situación de gestión.
(...)
En conclusión, ha quedado acreditado que EXPERT decidió por su cuenta y riesgo, separándose de las instrucciones pactadas con el responsable del fichero, no devolviendo ni destruyendo los datos de carácter personal contenido en la base de clientes titularidad de ESTUDIO, una vez cumplida la prestación de servicio, al igual que cualquier soporte o documentos en que constara algún dato de carácter personal objeto de tratamiento y, por tanto, vulnerando el artículo 6.1 de la LOP, que encuentra su tipificación en el articulo 44.3.d) de la misma Ley.

Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EXPERT EJECUTIVOS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 43.3.d) de dicha norma, una multa de 60.101,21 euros (sesenta mil ciento un euros con veintiún céntimos) y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Actualización 24/7/11

Hemos recibido desde la empresa denunciada la comunicación de que su recurso ante la Audiencia Nacional ha prosperado y la sanción ha sido anulada.

En el Fundamento cuarto la Sentencia entiende de aplicación no sólo el art. 6.1 de la LOPD en relación con el 12.3, sino también lo previsto en la ley 26/2006 de 17 de julio de mediación de seguros y reaseguros privados (art, 2 que describe las actividades de mediación, art. 26.3 sobre la obligación de facilitar información al tomador, asegurado y beneficiario del seguro, y el art. 44 que establece la obligación del corredor de seguros a atender y resolver las quejas y reclamaciones de su clientela).

Así, concluye indicando que "resulta verosímil la alegación reiteradamente efectuada por la entidad recurrente" ( algunas aseguradoras no efectuaron el cambio de código de corredor y que Expert necesitaba mantener los datos de los afectados por un periodo de tiempo, limitándose a unas pocas facturas pendientes de gestión para atender posibles consultas). y anula la sanción impuesta por la AEPD.