19 de mayo de 2010

No te quedes con los datos

El procedimiento sancionador PS/00223/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad EXPERT EJECUTIVOS, S.A. (CORREDURIA DE SEGUROS), parte de la denuncia presentada por A.A.A. en el que declaró que firmó un contrato de prestación de servicios con EXPERT para la gestión de la cartera de clientes de su firma ESTUDIO INTEGRAL, decidiendo posteriormente EXPERT la rescisión del mismo comunicándolo a ESTUDIO. No obstante, siguió tratando los datos de los clientes de la cartera de esta ultima, vulnerando la normativa vigente en materia de protección de datos. ESTUDIO al tener conocimiento del tratamiento de sus clientes requirió a dicha empresa que procediera a la devolución de su base de datos de clientes y cesara en dicho tratamiento hecho que hasta el momento no se ha producido.

Siguiendo las obligaciones de la reglamentación en protección de datos, ambas entidades habían suscrito un contrato de tratamiento de datos, donde se especificaba que el encargado del tratamiento, es decir, EXPERT, se compormetía entre otras cláusulas a:
  • Destruir o devolver al Responsable de Fichero los datos de carácter personal objeto de tratamiento, una vez cumplida la prestación de servicios, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
  • Mantener el secreto de los datos que trate durante la prestación del servicio, conforme al artículo 10 de la LOPD. Esta obligación subsistirá aún después de finalizar la prestación del servicio.

D. A.A.A. se dirigió a EXPERT por escrito en varias ocasiones, solicitando la devolución de todos los datos, delimitando plazos y designando al nuevo encargado del tratamiento. EXPERT por su parte aseguró ante la inspección que conservaba los datos a efectos de atender obligaciones fiscales y las posibles consultas de los clientes. Sin embargo el propio D. A.A.A. recibió una comunicación de EXPERT en la que le reclamaba el pago de un recibo devuelto, a la que contestó por email:
Asunto: recibo devuelto
Me habéis mandado una carta a mi. No podéis intervenir en la gestión para nada, ni notificar ni cobrar ni NADA de NADA. Todo debe de ser a través de E.E.E. (Grupo Mayo). Lo tenéis prohibido.

En la Fundamentos de Derecho la AEPD explica:
En el presente caso, EXPERT ni destruyó ni devolvió al responsable del fichero los datos de carácter personal objeto de tratamiento, sino que conservó y continuó tratando los datos que le habían sido facilitados como consecuencia de aquella relacióncontractual, constatándose la existencia en sus ficheros de información relativa a 4.571 pólizas en situación de baja, así como información relativa a 56 recibos en situación de gestión.
(...)
En conclusión, ha quedado acreditado que EXPERT decidió por su cuenta y riesgo, separándose de las instrucciones pactadas con el responsable del fichero, no devolviendo ni destruyendo los datos de carácter personal contenido en la base de clientes titularidad de ESTUDIO, una vez cumplida la prestación de servicio, al igual que cualquier soporte o documentos en que constara algún dato de carácter personal objeto de tratamiento y, por tanto, vulnerando el artículo 6.1 de la LOP, que encuentra su tipificación en el articulo 44.3.d) de la misma Ley.

Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad EXPERT EJECUTIVOS, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 43.3.d) de dicha norma, una multa de 60.101,21 euros (sesenta mil ciento un euros con veintiún céntimos) y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Actualización 24/7/11

Hemos recibido desde la empresa denunciada la comunicación de que su recurso ante la Audiencia Nacional ha prosperado y la sanción ha sido anulada.

En el Fundamento cuarto la Sentencia entiende de aplicación no sólo el art. 6.1 de la LOPD en relación con el 12.3, sino también lo previsto en la ley 26/2006 de 17 de julio de mediación de seguros y reaseguros privados (art, 2 que describe las actividades de mediación, art. 26.3 sobre la obligación de facilitar información al tomador, asegurado y beneficiario del seguro, y el art. 44 que establece la obligación del corredor de seguros a atender y resolver las quejas y reclamaciones de su clientela).

Así, concluye indicando que "resulta verosímil la alegación reiteradamente efectuada por la entidad recurrente" ( algunas aseguradoras no efectuaron el cambio de código de corredor y que Expert necesitaba mantener los datos de los afectados por un periodo de tiempo, limitándose a unas pocas facturas pendientes de gestión para atender posibles consultas). y anula la sanción impuesta por la AEPD.


6 comentarios:

esalconsultores dijo...

La verdad es que hay poco que comentar. El encargado ha "olvidado" devolver los datos una vez finalizado su tratamiento.
Lo que me parece mas destacable es que parece una empresa "seria" y preocupada por la LOPD (tienen inscritos sus ficheros y establecidos contratos de encargado de tratamiento y todo) y de todos modos les ha caido una sancion de 60.000€. Es imprescindible que las empresas se den cuenta que lo mas importante no es inscribir los ficheros o hacer un copy-paste de las clausulas o buscar un modelo de DMS. Hay que entender la LOPD y tener perfectamente claras las limitaciones que tenemos respecto del tratamiento de los datos personales.
Si conseguimos que las empresas entiendan que las bases de datos que almacenan no son suyas si no que estan compuestas por datos "prestados" por parte de sus clientes, sus alumnos, sus asociados, sus pacientes o sus trabajadores y que por tanto no pueden hacer lo que les de la gana con ellos se evitarian muchas sanciones. No es tan importante, aunque tambien, la adaptacion formal a la LOPD de una empresa si no su adaptacion "mental".

Anónimo dijo...

Cuchilladas en el mundo de los seguros... ya dudo que lo "olvidaran" sencillamente querían aprovecharse como tantos otros que ocurre con cierta frecuencia en este sector, de hecho creo que no es la primera sanción de ete tipo.

Marketing Positivo dijo...

esal: Estoy de acuerdo (como ya sabes) con lo que dices, aunque no deja de ser un poco quijotesco, porque lo cierto es que finalmente son pocos los que lo entienden en el sentido que comentas, pero en fin, seguiremos con nuestra lucha ;-)

Anónimo: es posible que hubiera un cierto grado de intención, y tienes razón en que no es el primer caso porque rebuscando he encontrado que en el PS/00377/2005 hay también un asunto de agente que se apropia de datos, y como en este caso se ve más claramente la intención porque cambió de aseguradora a uno de los clientes sin informarle, le sancionan con 300.000€.

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Marketing Positivo dijo...

Comentario Spam suprimido

Anónimo dijo...

En fin una de tantas tonterias , debe ser que no hay cosas mas importantes en las q fijarse.

los datos personales van de un sitio a otro sin control p q hay regulacion pero no elcontrol suficiente.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.