En menos de mes y medio, la Agencia Española de Protección de Datos («AEPD») ha dictado dos resoluciones que tienen como nexo común los hechos denunciados por el reclamante, aunque fueron dirigidas sendas reclamaciones a dos figuras jurídicas distintas: por un lado, frente a un agente de una compañía aseguradora y, por otro lado, frente a la propia aseguradora.
Los hechos son los siguientes: i) el reclamante ejercita su derecho de supresión frente al agente y la aseguradora, no obteniendo respuesta alguna por ninguno de ambos destinatarios; y ii) continúa recibiendo notificaciones comerciales a pesar de haber registrado su dirección de correo electrónico en la Lista Robinson.
Pues bien, en fecha 27 de diciembre de 2021, la AEPD dicta Resolución en relación a la reclamación presentada frente al agente (se puede descargar aquí), en la que acuerda archivar el expediente con base en:
«(…) De las recientes actuaciones de investigación realizadas por esta Agencia, se desprende que el responsable del tratamiento no es el reclamado, sino SEGURCAIXA ADESLAS, como consecuencia de la relación contractual existente entre dicha entidad y el reclamado, este último como agente de seguros de SEGURCAIXA ADESLAS.
Esto es así, porque SEGURCAIXA ADESLAS, de conformidad con el artículo 28 del RGPD, debe adoptar las medidas necesarias para garantizar que cada uno de los encargados del tratamiento, es decir, cada uno de sus agentes de seguros entre los que se encuentra el reclamado, cumpla con sus obligaciones en la protección de datos de carácter personal y proceda a la supresión de los datos personales una vez finalice la prestación de servicios. Por todo ello, se considera que procede al archivo del presente procedimiento, al considerar que el responsable de la presunta infracción es SEGURCAIXA ADESLAS y no el reclamado».
Por su parte, en fecha 4 de febrero de 2022 la AEPD dicta Resolución (puede descargarse el texto íntegro aquí), respecto del expediente instruido frente a la aseguradora, en la que se declararon los siguientes hechos probados:
«La entidad reclamada, manifiesta que las comunicaciones que motivan la queja han sido efectuadas por agentes de seguros (mediadores) de nuestra Compañía, lo cuales mantienen con SEGURCAIXA ADESLAS una relación mercantil al amparo de lo previsto en la Ley 12/1992 de contrato de agencia.
Dicha actividad de promoción o captación de clientes se lleva a cabo por el agente de seguros, conforme establece el artículo 2 de la Ley 12/1992 de contrato de agencia, con carácter independiente y autónomo, sin que medie dependencia o subordinación a la aseguradora (en este caso SEGURCAIXA ADESLAS) que lo contrata, motivo por el cual considera que los agentes de seguros deben ser considerados responsables y no meros encargados del tratamiento de datos de carácter personal».
Es decir, la aseguradora alega que los agentes no pueden tener la consideración de encargados del tratamiento de datos, sino de responsables. Pero la AEPD considera todo lo contrario, amparándose en el art. 203 del Decreto Ley 3/2020 de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales, que establece que:
«1. A los efectos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, así como en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:
-
-
- Los agentes de seguros y los operadores de banca-seguros tendrán la condición de encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en el título I.
-
(…) 2. En el supuesto previsto en la letra a) del apartado 1, en el contrato de agencia deberán hacerse constar los extremos previstos en el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
(…) 3. Las entidades aseguradoras no podrán conservar los datos que les faciliten los mediadores de seguros, y que no deriven en la celebración de un contrato de seguro, estando obligadas a eliminarlos salvo que exista otra base jurídica que permita un tratamiento legítimo de los datos conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016».
Finalmente, la AEPD concluye que el contrato de agencia formalizado entre la aseguradora y su agente no cumple todos los requisitos establecidos en el art. 28.3 del RGPD, «como por ejemplo la supresión de datos de carácter personal, de conformidad con lo establecido en el artículo 28.3 en sus apartados f) y g) del RGPD, respecto de ayudar al responsable a garantizar el cumplimiento de sus obligaciones en la protección de datos de carácter personal que sean tratados, y respecto a la supresión de los datos personales una vez finalice la prestación de los servicios», reputando dicha vulneración como una infracción de carácter muy grave e imponiendo una sanción a la aseguradora por importe de 100.000 €, (además de otras dos sanciones, por igual importe de 100.000 €, por vulneración de los arts. 6 y 17 del RGPD, por llevar a cabo un tratamiento de datos personales sin legitimación –envío de notificaciones comerciales-, y no responder al derecho de supresión ejercido por el reclamante, respectivamente).
Desde PALACÍN, HERNÁNDEZ & CRESPO Abogados quedamos a su disposición para resolverle cualquier duda o aclaración.