Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00307-2018 de 28 de marzo de 2019
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 59 min
Órgano: Agencia Española de Protección de Datos
Fecha: 28/03/2019
Num. Resolución: PS-00307-2018
Cuestión
Sector:Subdirección General
Inspección de Datos
1 / 20
Procedimiento nº.: PS/00307/2018
Mediante Acuerdo de fecha 14/09/2018 se inició procedimiento sancionador nº
PS/00307/2018 instruido por la Agencia Española de Protección de Datos a SEGURCAIXA
ADESLAS, S.A. de SEGUROS Y...
Contestacion
Subdirección General
Inspección de Datos
1/20
Procedimiento nº.: PS/00307/2018
Mediante Acuerdo de fecha 14/09/2018 se inició procedimiento sancionador nº
PS/00307/2018 instruido por la Agencia Española de Protección de Datos a SEGURCAIXA
ADESLAS, S.A. de SEGUROS Y REASEGUROS por presuntas infracciones a la Ley
Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal, y en base a los
siguientes
ANTECEDENTES
PRIMERO: Con fecha 3/04/2018 tiene entrada en la AEPD una denuncia de D. A.A.A. (en lo
sucesivo el denunciante) que manifiesta:
Con fecha 25/01/2018, recibió una llamada telefónica, en la que le ofrecían la
contratación de una póliza de seguro dental, aunque manifestó su rechazo, ante la
insistencia de la interlocutora, indicó que le remitiera la documentación a su domicilio sin
ningún compromiso por su parte.
A finales del mes de enero, recibió en su domicilio el contrato de seguro dental, la
orden de domiciliación bancaria y la tarjeta de asegurado de ADESLAS con sus datos
personales y el 6/03/2018, ADESLAS ha cargado en su cuenta bancaria un recibo por
importe de 10,50 ?, donde constan sus datos y los de su esposa como titulares de la cuenta
bancaria.
En esa misma fecha, contactó con ADESLAS, manifestando que no había suscrito
ningún contrato y unos días después, recibió una llamada de ADESLAS, en la que le
informan de que sus datos bancarios los han obtenido de MUTUA MADRILEÑA ya que
ambas entidades forman parte del mismo grupo empresarial.
El denunciante manifiesta que es cliente de MUTUA MADRILEÑA como titular de una
póliza de seguro de automóvil, y que, al mantenerse el adeudo del seguro dental, tuvo que
acudir a la entidad bancaria a solicitar la devolución del cargo del recibo.
Entre otra, anexa la siguiente documentación:
? Contrato de póliza de seguro dental con ADESLAS a nombre del denunciante sin
firmar.
? Carta de bienvenida de ADESLAS junto con la tarjeta ADESLAS, que identifica como
asegurado Se indica:? Para que tu póliza adquiera plena vigencia, es preciso que nos
remitas firmadas, en el sobre franqueado adjunto, las condiciones de la póliza que te
enviamos junto con esta carta? (ejemplar para devolver firmado a Adeslas}. Te
adjuntamos, además, una copia de las mismas para que puedas consultarlas
siempre que lo necesites. También es necesario que nos remitas firmada, en el
mismo sobre, la orden de domiciliación bancaria.?
? Formulario de orden de domiciliación de la póliza cumplimentado con los datos
bancarios del denunciante, acreedor SEGUR CAIXA ADESLAS, SA DE SEGUROS Y
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
2/20
REASEGUROS, fecha 1/03/2018, sin firmar, figurando número de cuenta bancaria
acabada en YYYY.
? Copia del recibo de fecha 6/03/2018, emitido por EVO, cargado en una cuenta
bancaria del denunciante XXXX XXXX XX XXXXXXXXXX por ADESLAS MADRID en
concepto de seguro dental por importe de 10,50 ?.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los
Servicios de Inspección de esta Agencia se solicita y recibe la siguiente información
A) SEGURCAIXA ADESLAS S.A. (SCA) ha remitido con fecha 7/06/2018 a la Agencia la
siguiente información en relación de los hechos denunciados:
1. Aportan relación de los datos que constan en sus ficheros relativos al denunciante:
nombre y apellidos, DNI, fecha de nacimiento, domicilio, teléfonos, número de cuenta
bancaria acabada en 600 facilitado por teléfono por el asegurado). Según
manifiestan, los datos están bloqueados. Consta en sus sistemas una póliza de
seguro dental, con fecha de alta 1/03/2018 y baja en la misma fecha, ya que la póliza
fue contratada por error (error en constitución).
2. Aportan copia impresa de los datos del denunciante referidos a la póliza de salud
dental, donde figura como mediador del seguro GSS LINE AGENCIA DE SEGUROS
VINCULADA, como tipo distribuidor: VENTA TELEFONICA, y como denominación
Centro Distribución: MUTUA MADRILEÑA, también constan sus datos bancarios y la
fecha de alta y baja 1/03/2018.
El recibo correspondiente a la citada póliza fue emitido y cargado en la cuenta del
denunciante, con fecha 6/03/2018. No obstante, ante su reclamación, se procedió a
la anulación del recibo y al abono de la cantidad.
El proceso de anulación del cargo indebido y la baja de la póliza se comunicó al
denunciante mediante correo electrónico. Aportan copia de un correo electrónico
que, en la dirección, coincide con el que figura del denunciante en su denuncia. En
este correo se le informa el 4/04/2018, que se está gestionando la incidencia, y en
otro correo de 16/04/2018 le informan que ?se ha procedido a anular la misma?.
3. El proceso de contratación de la póliza se realizó mediante llamada telefónica, en la
cual, como cliente de la sociedad matriz: MUTUA MADRILEÑA, se le ofrecía la
contratación de una póliza de seguro de asistencia sanitaria dental.
Aportan:
a. Copia de la grabación de la llamada, en la que se verifica que la interlocutora
es la que se inicia la conversación, dirigiéndose al denunciante por su nombre
y apellidos, en nombre de MUTUA MADRILEÑA y le indica que MUTUA y
ADESLAS son del mismo grupo y se ofrece por ser cliente una serie de
ventajas y beneficios, a lo que el denunciante, antes de continuar la
información, indica que ya sabe lo que le va a ofrecer y no le interesa. La
interlocutora indica que se trata de una póliza dental con bonificación a la
hora de renovar la póliza del coche y con descuento de bienvenida por parte
de ADESLAS. Le informa que le puede enviar la oferta a su casa para que la
examine, teniendo siete días para ello, hasta el 1/03, y el denunciante está de
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
3/20
acuerdo que se la envíen. Se informa que MUTUA ofrece, como mutualista,
un seguro dental de ADESLAS, indica la interlocutora que con los datos que
tiene de MUTUA, para que revise la oferta. Le informa que si quiere le lee la
protección de datos para que ADESLAS le pueda mandar la información
contractual. Quedan en que le envíe la documentación para analizarla y la
interlocutora le lee los datos indicando que los datos que le van a solicitar van
a formar parte de un fichero de Segur Caixa Adeslas para gestionar la
solicitud. Le informa que ?consiente comunicación de datos y número de
asegurado a MUTUA MADRILEÑA con la finalidad de que esta pueda
conocer y tratar los datos para validar el derecho a suscribir la póliza en las
condiciones de la oferta.? También le informa que le va a leer el protocolo
para tramitar la solicitud. ?día 24/01/2018, es GSI, agente vinculado a
ADESLAS SEGURCAIXA mediadora actuando como tal para ADESLAS
SEGUROS? ?Voy a verificar desde MUTUA que todos los datos que tenemos
de usted están correctos para poder enviarle esta solicitud?. Le informa que el
producto es ADESLAS dental familiar, y que tiene que dar los nombres,
apellidos, DNIS y fecha nacimiento, y repasa los suyos confirmándolos con el
denunciante. También verifica la dirección para el envío y el teléfono, el
mismo que en Mutua. Le pregunta si cuando muestre su conformidad con la
oferta consiente que MUTUA MADRILEÑA les comunique el mismo número
de cuenta bancaria para los ingresos y los recibos, si va a ser la misma
cuenta a lo que el denunciante indica que ?no sabe, ya veremos?, a lo que la
interlocutora indica que ?en principio dejaríamos el mismo? indicando el
denunciante ?vale?. La interlocutora le dice que hemos introducido los datos
en los sistemas de ADESLAS SEGUROS Y REASEGUROS para verificar que
esta información es correcta.
En caso de aceptación, a partir de 1-03 usted dispondría de este servicio en
caso de que? se pone en contacto con nosotros, nosotros le hacemos la
variación, la introducción de demás asegurados, cualquier cosa que usted
desee modificar, ?usted tiene la última palabra?.
4. Según manifiestan, es cierto que se produce una confusión en el denunciante, que
considera que está facilitando datos para que por parte de ADESLAS se le haga
llegar la documentación informativa y no tanto para contratar la póliza, como
entiende el operador telefónico que le informa del posterior derecho a desistir del
seguro que está contratando.
5. Los datos bancarios del denunciante, donde se realizó el cargo del recibo fueron
obtenidos de los que constan en los sistemas de la compañía matriz MUTUA
MADRILEÑA, para lo cual, según manifiestan, se obtuvo el consentimiento del
denunciante en la llamada telefónica.
B) MUTUA MADRILEÑA (en adelante MM) ha remitido a esta Agencia, en su escrito de
fecha 5/07/2018, la siguiente información en relación con los hechos denunciados:
1. MM ha firmado un acuerdo de colaboración con SEGUR CAIXA ADESLAS S.A.
para que ésta pueda ofrecer productos de seguros de salud a los clientes de MM.
Aportan copia del acuerdo de fecha 29/03/2012. En el mismo se indica como
aspectos más destacados:
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
4/20
1.1 MM podrá prestar para SCA servicios de difusión publicitaria de sus
seguros de salud, pudiendo actuar como centro de atención telefónica y
telemática, contacto y transmisión de documentación y comunicaciones
entre sus mutualistas y SCA. (expositivo IV)
1.2 SCA respecto de sus seguros de salud encarga a MUTUA que lleve a
cabo entre sus mutualistas servicios de información publicitaria, y caso
de ser de interés de mutualistas habilitar los canales de comunicación
necesarios para que estos puedan contactar directamente con SCA,
entre los que se prevé el telemarketing.
1.3 En la cláusula segunda se prevé que aquellos mutualistas que contacten
con MUTUA telefónicamente y muestren su interés en los seguros de
salud SCA se procederá por MUTUA a informarles sobre los seguros de
salud SCA. Una vez el mutualista muestre su decisión de contratar,
MUTUA deberá validar su condición de mutualista, y le informara en
relación con la obtención del consentimiento leyendo un argumentario en
el que se graba la conversación y se le informa que los datos que se
recaban se incorporaran a un fichero de SCA con la finalidad de que
dicha entidad gestione su solicitud de información. Se prevé que MUTUA
debe leer un texto en el que se indica que se remite a SCA la solicitud de
contratación de seguro. Si fuera aceptada, SCA le remitirá la póliza por
correo a su domicilio para que la devuelva firmada, así como le cargara
el importe del recibo de prima en la cuenta que ha indicado la grabación.
1.4 En la cláusula novena se establece que MUTUA accede a los datos
facilitados por los Mutualistas para tramitar las solicitudes de información
sobre los productos de SCA, ?constituyéndose MUTUA en encargado del
tratamiento?, y que MUTUA tratara los datos a los que acceda durante la
ejecución del acuerdo conforme a las instrucciones de SCA, responsable
del tratamiento.
2. A dicho contrato se añade otro, entre SCA, MM y GSS LINE AGENCIA DE
SEGUROS VINCULADA SL. En el mismo destaca:
2.1 Se reitera que MM está interesada en ofrecer a su colectivo de clientes
información publicitaria sobre los productos de seguro de enfermedad y asistencia
sanitaria que emite SCA (exponen II). GSS presta servicios publicitarios, así como
operaciones en mediación de seguros y reaseguros figurando inscrita como Agencia de
seguros vinculada.
2.2 GSS presta servicios a MM de difusión y promoción publicitaria entre su colectivo
de clientes de los productos de seguro de salud de su entidad filial SCA, para SCA, los
de presentación, propuesta y realización de trabajos previos a la celebración de los
contratos de seguro de salud que esta comercializa (V) MM facilita el acceso a una base
de datos de sus clientes a GSS clausula primera 1.1.). Se adjunta en anexo 1 la
alocución telefónica saliente a realizar por GSS. En la misma, se indica por el operador
que llama en nombre de MM y pregunta por los datos de la persona, informando que la
llamada va a ser grabada y le informa de los productos de ADESLAS. ?Asimismo GSS
en ningún caso podrá comunicar a SCA dato personal alguno de los que MM le hubiera
proporcionado para llevar a cabo los servicios publicitarios encargados?
GSS presta servicios para SCA ?los de presentación propuesta y realización de trabajos
previos a la celebración de los contratos de seguro de salud que esta comercializa, y
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
5/20
ello entre aquellos clientes de MM que como consecuencia de la prestación de servicios
señaladas en el apartado a (los que presta a MM) hubieran manifestado su interés en la
contratación de un seguro de salud de SCA. Quedan expresamente excluidos de su
actividad la realización de labores de gestión y mantenimiento de la eventual cartera
que se genere con su intervención, así como el asesoramiento y gestión de los
siniestros?. ?En estos casos los servicios se realizarán por cuenta exclusiva de SCA y se
llevarán a cabo por GSS en su condición de agente vinculado de esta entidad?. ?El
operador de GSS que atienda al cliente procederá a informar a este de que el contenido
de la conversación telefónica quedara grabado y solicitara de esta autorización para el
tratamiento por SCA de los datos personales que el propio cliente facilite, así como una
vez obtenido el mismo, realizará el proceso de contratación telefónica conforma al
argumentario del ANEXO 2?. En dicho anexo se indica: ?cuando el mutualista manifiesta
su interés en contratar una póliza de SCA el operador telefónico que hasta ese
momento realizaba acciones de publicidad para MM informa al cliente que comienza a
actuar como agente vinculado de SCA y le informa que los datos que se recaban se
incorporan al fichero de SEGURCAIXA ADESLAS?. A continuación, según dicho anexo,
se inicia el protocolo de contratación telefónica y le informa que actúa como Agente
vinculado de SEGURCAIXA y se le solicitan los datos entre otros el de la cuenta
bancaria para domiciliar las cuentas del seguro
?Los datos personales que serán objeto de tratamiento por GSS en su prestación de
servicios para SCA deberán ser facilitados directamente por el cliente interesado en la
contratación del seguro?. ?En la cláusula 1.3.3 se indica que ?será responsabilidad de
SCA la emisión, suscripción y administración de las pólizas sobre los productos? en la
cláusula quinta se establece que GSS es encargada de tratamiento de los datos siendo
MM y SCA cada una respecto de sus datos responsables del fichero.
3. Respecto a la autorización de que disponen para realizar ofertas comerciales al
denunciante, aportan copia del contrato de seguro de automóvil suscrito por el
denunciante el 15/01/2018, donde se especifica que sus datos podrán ser utilizados para
enviarle información, incluso por medios electrónicos y por teléfono sobre productos y
servicios tanto de MM como de las sociedades de su grupo o de terceras empresas
relacionados con diferentes categorías que se enumeran y entre las que se encuentra:
seguros. Se halla en el contrato en el epígrafe: Protección de datos de carácter personal,
clausula III.3 a ?tratamientos opcionales. Finalidades publicitarias y cesiones de datos?.
En el contrato, la cuenta bancaria facilitada es de EVO BANK acabada en 600
4. Aportan copia de la grabación de la llamada realizada al denunciante que coincide
con la aportada a esta Agencia por SCA y respecto a la misma, manifiestan que a pesar de
lo especificado en el Anexo 2 del contrato suscrito entre las tres entidades, GSS solicitó al
denunciante, en nombre de SCA, autorización para utilizar los datos de la cuenta bancaria
que consta en los ficheros de MM, con objeto de obtener su consentimiento para el
tratamiento de dichos datos.
TERCERO: Con fecha 14/09/2018, la directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a SEGURCAIXA ADESLAS, S.A. de
SEGUROS Y REASEGUROS SA por una infracción del artículo 6.1 de la Ley Orgánica
15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD),
tipificada como grave en el artículo 44.3.b) de dicha norma.
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
6/20
A los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1/10 y art. 127 letra b)
del RLOPD, la sanción que pudiera corresponder sería de 40.001 euros, sin perjuicio de lo
que resulte de la instrucción.
CUARTO: Notificado el acuerdo de inicio, mediante escrito de fecha 10/10/2018 la
denunciada alega:
1) Suscribieron un contrato de fecha 29/03/2012 con GSS, exponiéndose en el mismo
que GSS centra su objeto social en actividad de prestación de servicios publicitarios y en la
realización de operaciones de mediación en seguros y reaseguros privados, encontrándose
inscrita como Agencia de Seguros Vinculada, con clave AJ0062 en el Registro administrativo
especial de mediadores de seguros dependiente de la Dirección General de Seguros, de
conformidad con lo establecido en la Ley 26/2006, de 17/07, de Mediación de Seguros y
Reaseguros Privados.
En el precitado contrato se hace expresa mención a que la entidad GSS tramitará la
solicitud de contratación de productos de SC, a aquellos clientes de MUTUA MADRILEÑA
Automovilista Sociedad de Seguros a Prima Fija que hubieren manifestado su interés en la
contratación de un seguro de SC. Adicionalmente, se cita que ?en todo caso y con carácter
previo, el operador de GSS que atienda al cliente (?) solicitará de éste autorización para el
tratamiento por SCA de los datos personales que el propio cliente facilite, así como una vez
obtenido el mismo, realizará el proceso de contratación telefónica?. Aspecto que viene a
cumplimentarse con las obligaciones recogidas contractualmente por parte de GSS, entre
otras, en el precitado contrato como:
-Prestar sus servicios y la realización de su actividad mediadora bajo los principios de
lealtad, confianza y buena fe, velando por los intereses de SC (vid. Cláusula Primera,
apartado 1.3.1 párrafo A, página 5 del contrato).
-Ofrecer información veraz y suficiente en la ejecución de sus funciones. (vid. Cláusula
Primera, apartado 1.3.1 párrafo D, página 5 del contrato)
-GSS será directamente responsable de los perjuicios que se ocasionen por su intervención
a SC, y a los tomadores, asegurados o beneficiarios de cualquier póliza en la que intervenga
(vid. Cláusula Primera, apartado 1.3.3 párrafo quinto, página 7 del contrato).
GSS en la actividad y servicios prestados, conforme acuerdan las partes, contará con
plena libertad y autonomía para el desempeño de estas, siendo esta entidad quien
seleccionará y destinará al cumplimiento de sus obligaciones a las personas necesarias
para una adecuada prestación de los servicios, pudiendo adoptar cuantas medidas estime
oportunas de organización, dirección y control sobre la actividad de las personas que
destine a los servicios analizados.
En todo caso, tal y como se detalla en los Anexos I y II del contrato analizado, GSS y su
personal deben aplicar un estricto protocolo, tanto para ofrecer la información comercial a
los clientes de MUTUA MADRILEÑA, como para el proceso de contratación de la póliza de
SC y la grabación de la llamada correspondiente, todo ello en aras a garantizar un correcto
cumplimiento de la normativa vigente en materia de protección de datos, como en relación
con la normativa de contratación de productos o servicios a distancia. En dicho protocolo se
informa, tanto del proceso de la obtención del consentimiento como del protocolo de
contratación telefónica, siendo, tras este momento de la solicitud de contratación, cuando los
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
7/20
datos son facilitados a SC, en el marco de dicha solicitud para la gestión de la póliza. Tal y
como consta en el punto 8 del resultado de las actuaciones de investigación que se
contienen en el informe de actuaciones previas de inspección E/02661/2018, es el propio
inspector quien concluye que, ?según manifiesta, es cierto que se produce una confusión en
el denunciante, que considera que está facilitando datos para que por parte de ADESLAS se
le haga llegar documentación informativa?, En todo caso, el denunciante, si está prestando
su consentimiento para el tratamiento de sus datos por parte de SC, más allá de la
confusión que este pueda tener.
2) Se transcribe la conversación telefónica, mantenida entre el denunciante y la
operadora de GSS.
MINUTO 2.11:
OPERADORA: ?Si ve la posibilidad de que le interese (?)
INTERESADO: Bueno si quiere mándemelo y lo veo más tranquilamente porque es que
ahora me pilla no muy bien (?)
Se puede constatar a través de la grabación aportada por esta parte, y de la descripción de
los hechos descritos en el Acuerdo de Inicio de Procedimiento Sancionador Hecho segundo
Letra A) .3 a). que la operadora le pregunta si cuando muestre su conformidad con la oferta
consiente que se comunique el mismo número de cuenta bancaria para los ingresos y los
recibos, si va a ser la misma cuenta a los que el denunciante indica que ?no sabe, ya
veremos?, a los que la operadora indica que ?en principio dejaríamos el mismo? a lo que el
denunciante dice ?vale? MINUTO 6.41 de la grabación.
En todo caso, debe esta parte recordar que, en relación con la confusión producida entre la
operadora y el interesado, en el propio descriptivo de Hechos en el Acuerdo de Inicio de
Procedimiento Sancionador (HECHO SEGUNDO LETRA A) 4., se reconoce que ?es cierto
que se produce una confusión en el denunciante, que considera que está facilitando datos
para que por parte de ADESLAS se le haga llegar la documentación informativa y no tanto
para contratar la póliza, como entiende el operador telefónico que le informa del posterior
derecho a desistir del seguro que está contratando?. Así las cosas, esta parte debe hacer
constar que, de conformidad con lo establecido en el artículo 6 de la LOPD, la legitimación
del tratamiento debe provenir del consentimiento, como norma general, estableciéndose en
su apartado 2 determinadas excepciones, entre ellas, el establecimiento de una relación
contractual/precontractual, cuando estos datos sean necesarios para la misma.
3) El tratamiento del dato por SC se origina en el momento que GSS traslada a los
sistemas de SC la solicitud de la contratación, aspecto que, a priori, conforme indica la
operadora en el sistema se realiza por el denunciante.
4) Es, por tanto, obligación de GSS llevar a cabo el proceso de contratación, no sólo
cumpliendo las obligaciones establecidas en el precitado contrato, sino en la propia
normativa en materia de contratación de productos a distancia, basándose como entidad, y
sus empleados, en el principio de buena fe y respeto al estado de derecho.
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
8/20
Debe, por tanto, entenderse como origen del tratamiento del dato la entendida
contratación del seguro por parte del denunciante, quedando acreditado que, en este
aspecto, SC ha cumplido con las obligaciones normativamente establecidas en materia de
protección de datos. Tal y como ha quedado acreditado, adicionalmente, se obtiene un
consentimiento del denunciante para el tratamiento de los datos, tal y como se recoge en las
transcripciones y la propia conversación facilitada.
5) Entiende que lo sucedido y denunciado, debe entenderse no tanto como un
incumplimiento, sino como una mayor adopción de medidas, encaminadas a asegurar el
cumplimiento de la normativa en materia de protección de datos y el respeto a la intimidad y
privacidad de los clientes, tal y como se refleja en los Anexos I y II del contrato aportado,
donde se legitima el tratamiento sobre dos de las causas establecidas en el RGPD y el
precitado artículo 6 de la LOPD, todo ello soportado sobre el deber de información sobre el
tratamiento de los datos.
6) Una vez se produce la supuesta contratación, SC informa al tomador remitiéndole los
documentos establecidos en la normativa vigente en materia de seguros y, es en el mismo
momento en que tiene conocimiento por parte del denunciante de los hechos y de la no
contratación, da puntual respuesta a las comunicaciones recibidas vía electrónica, tal y
como ha quedado acreditado en el documento 2 del escrito presentado en alegaciones
previas con fecha 7/06/2018, revelando que , en el mismo momento en que se tiene
conocimiento efectivo, 23/03/2018, mediante reclamación registrada en sus sistemas se
dio respuesta efectiva tras analizar el caso el 16/04/2018, precediendo a dar por anulada la
póliza, dejándola sin efecto a su fecha de emisión, y el extorno de los recibos
emitidos y, cancelando los datos, mediante su bloqueo.
Además, se aportó en previas el N.º de Registro:177026/2018, Documento aportado N.º 2
comunicaciones remitidas al denunciante mediante correo electrónico y dirigidas al email
que nos facilitó y en las que se informa de la gestión de la incidencia comunicada (alta
errónea de póliza) y otra posterior en la que se le informa que la póliza ha sido anulada y
también el recibo de prima emitido.?
QUINTO: Con fecha 22/10/2018 se inicia el periodo de practica de pruebas incorporando la
procedente de actuaciones previas y alegaciones de la denunciada. Además, se solicita:
-Dado que los números de cuenta en los que se carga el recibo de la póliza de seguro dental
no coinciden el aportado por el denunciante con el que figura en MUTUA MADRILEÑA, se
solicita:
-1) A denunciante:
a) Explique si sabe porque el número de cuenta bancaria que consta a efectos de
MUTUA MADRILEÑA del seguro del vehículo del denunciante firmado el 15/01/2018 es la
cuenta ES73 YYYYYYYYYYYYYYYYYYYY de EVO BANK, y en la que se le carga el recibo
es también de EVO, pero la cuenta XXXX XXXX XX XXXXXXXXXX con un número IBAN
ES25 XXXXXXXXXXXXXXXXXXXX.
Con fecha 5/12/2018 contesta que la cuenta nº YYYY-YYYY-YY-YYYYYYYYYY se
apertura en la entidad EVO Banco el 30/01/2014, siendo su antigüedad como mutualista de
MUTUA MADRILEÑA mucho anterior, y en dicha cuenta se domicilia el pago del seguro del
vehículo matricula ***MATRICULA.1. Dicha cuenta estuvo operativa hasta el 1/02/2016 en
que la entidad bancaria cambia su numeración al tener que adaptar todas las cuentas
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
9/20
corrientes y de ahorro a la vista a la normativa europea con nuevos códigos IBAN que
entraría en vigor en esa fecha en que la nueva numeración de las cuentas pasaría a tener
24. Como consecuencia de dicho cambio, la entidad EVO Banco modifica o sustituye el
número de dicha cuenta, por IBAN ES88-RRRR-RRRR-RR-RRRRRRRRRR. La
modificación de algunos dígitos de control de esta cuenta (sucursal etc.) respecto de la
anterior, ?según me han comunicado en dicha entidad bancaria, se justifican porque la
oficina en la que estaba abierta la cuenta, c/ Arturo Soria nº 36 de Madrid, cierra y
desaparece, creo que, a mediados de 2017, y pasan a la única sede central de Evo Banco
SAU en Madrid, c/ Serrano nº 45. ?
b) Copia de cuenta bancaria en la que la MUTUA le carga los recibos del seguro del
vehículo:
Acompaña como doc. 1, certificado de que la cuenta acabada en 4 en la que figura
como cotitular, es la cuenta bancaria en la que se cargan los recibos del seguro del vehículo
referido. El recibo del seguro del vehículo expedido por MUTUA MADRILEÑA,
correspondiente a 2018, se pagó mediante domiciliación del pago en la referida cuenta
IBAN: ES25-XXXX-XXXX-XX-XXXXXXXXXX.
c) Acreditación de la fecha en que finalmente ordenó la devolución del recibo o se
hizo efectiva la devolución.
Aporta doc. 2 y 3 de los justificantes de la devolución de dos recibos que le fueron
cargados por ADESLAS en la referida cuenta de EVO Banco el 6/03 y 03/04/2018, y
figurando en el primero f devolución 2/04/2018 y en el segundo f devolución 20/04/2018.
respectivamente, ADESLAS DENTAL como emisor, mismo número de póliza, 10,50 euros en
ambos casos. Los recibos son de los meses 3 y 4/2018.
-2) Se solicita a EVO BANK.
a) Explique las relaciones entre las cuentas XXXX XXXX XX XXXXXXXXXX con un
número IBAN ES25 XXXXXXXXXXXXXXXXXXXX, en la que se le cargó el recibo de la
póliza del seguro dental, con la cuenta ES73 YYYYYYYYYYYYYYYYYYYY, que consta en
el seguro de MUTUA, si es titularidad o cotitular A.A.A., DNI ***DNI.1, desde cuándo y si en
esta última cuenta se cargan recibos por MUTUA MADRILEÑA.
b) Enviando copia del recibo que aporto el denunciante, explique qué significa fecha firma
orden 31/10/2009.
No contestó a lo solicitado.
-3) Se solicita a la denunciada.
-Aporte el escrito de reclamación del denunciante que entró en dicha entidad o del medio
en el que llegó a conocer los hechos según indican el 28/03/2018, y de la respuesta que se
le envía el 16/04/2018 y acreditación del extorno del recibo que manifiesta en sus
alegaciones se realizó (fecha, cantidad).
Responde aportando documento 1 en el que consta la transcripción de la
conversación telefónica realizada por el denunciante el día 23/03/2018 a las 12:32 horas al
Contact Center de SC, medio a través del cual el denunciante presenta la reclamación,
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
10/20
Número de Referencia Ref. 1-SF6CG9. Tal y como se puede observar en el documento
probatorio de referencia, el denunciante se dispuso a realizar la reclamación por vía
telefónica a nuestro servicio 902 correspondiente al Contact Center de SC, servicio que está
destinado a atender las solicitudes de los clientes de nuestra entidad.
De la transcripción de la llamada telefónica se desprende que el denunciante presentó
reclamación por los hechos ocurridos, atendiéndose por parte de SC y posteriormente fue
remitida al departamento correspondiente para dar trámite a la resolución de la reclamación.
En relación a la respuesta facilitada al reclamante por parte de SC, se adjunta evidencia
como documento 2 del correo electrónico enviado el 16/04/2018 confirmando la baja de la
póliza.
Finalmente, en relación al extorno del recibo de la prima, se emitieron dos recibos de
la póliza ***POLIZA.1 correspondientes a los meses de marzo y abril de 2018 los cuales
fueron devueltos por el reclamante y anulados por parte de SC. No fue necesario realizar
extorno alguno. Se adjunta documento 3 con la situación de los recibos de la póliza en los
sistemas de SC. Informa que:
El día 01/03/2018 se emitió un recibo de 10,50 euros que fue devuelto el 04/04/2018.
El día 01/04/2018 se emitió un recibo de 10,50 euros que fue devuelto el 25/04/2018.
La emisión de sendos recibos se produjo con anterioridad a la anulación efectiva de la
póliza, aporta copia de sus sistemas de información constando esa anotación.
- Modo de envío por parte de GSS de los datos de la cuenta corriente en la que se produjo
el cargo del recibo, si es posible acreditación documental de que numero era, fecha en que
se produce la misma y medio por el que se comunica.
aporta Documento 4 en el que figura:
Como punto primero se aporta la identificación del aplicativo donde GSS debe
introducir la información, tratándose del sistema de MUTUA MADRILEÑA en el que GSS
gestiona los datos del reclamante, aplicación Gestión Venta Cruzada SCA. En aquellos
casos que se finaliza con éxito el proceso de solicitud de contratación los datos de esta
aplicación se comunican a SC mediante un servicio web. Los datos del cliente son A.A.A.
con NIF ***DNI.1, con número de solicitud 4001511691 y número de póliza ***POLIZA.1,
grabada en SC el día 24/01/2018 y formalizada en póliza con fecha efecto 01/03/2018 el día
25/01/2018.
Como punto segundo, se adjunta la traza técnica que deja la llamada del aplicativo
perteneciente a Mutua Madrileña en los sistemas de SC en base a la invocación del
webservice que es la vía a través de la cual se comunican los datos figurando que se trata la
cuenta. Tratándose de la cuenta
SEXTO: Con fecha 23/01/2019 se emitió propuesta de resolución del literal:? Que por la
directora de la Agencia Española de Protección de Datos se sancione a SEGURCAIXA
ADESLAS SA, SEGUROS con NIF con multa de 40.001 ? por la infracción del artículo
44.3.b) de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, de
conformidad con el artículo 45.5.2), y 45.4.a) c) y j) de la LOPD.?
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
11/20
Frente a la propuesta, la denunciada efectúa el 6/02/2019 las siguientes alegaciones:
1) Manifiesta que hubo relación contractual, prestación de consentimiento informado e
inequívoco y por tanto el tratamiento de los datos está amparado en dicha relación.
De los hechos probados se deduce que GSS leyó al denunciante que sus datos de
MMA iban a ser cedidos a la denunciada a efectos de poder suscribir la póliza,
figurando en hechos probados que ?GSS le pregunta al denunciante si cuando
muestre su conformidad con la oferta consiente que MMA les comunique el mismo
número de cuenta bancaria para los ingresos y los recibos, si va a ser la misma
cuenta, a lo que el denunciante indica ?no sabe ya veremos?, a lo que la
interlocutora indica que ?en principio dejaríamos el mismo?, indicando el
denunciante: ?vale?. Entienden otorgado el consentimiento inequívoco además,
porque la cláusula de protección de datos referida indicaba la finalidad de suscribir la
póliza, y no para la remisión de la oferta. También la interlocutora solicitó una
confirmación para tratar el número de la cuenta bancaria, con la finalidad de tramitar
los recibos asociados a la contratación, a lo que el denunciante manifiesta ?vale?. La
información de la teleoperadora estaba dirigida a la contratación, no a la oferta de
productos o servicios. El tratamiento de la emisión de la cantidad a la cuenta deriva
del previo consentimiento de la contratación telefónica aceptado e informado.
2) El hecho del envío de la copia de la documentación contractual obedece a la
normativa sobre contratación telefónica, la no devolución de la misma firmada no
tiene efecto sobre la misma.
3) Añade que el contrato se celebra a través de un encargado de tratamiento al que se
encomienda no la oferta comercial, sino la contratación, con un establecimiento y
diseño de argumentario que completaba los procesos necesarios.
4) Buena fe contractual, los datos se tomaron por una empresa solvente, se enviaron
los documentos al afectado, y desde el momento en que se conocen los hechos,
23/03/2018 se comienzan a analizar los hechos anulando la póliza desde el inicio y la
cancelación de los datos. El perjuicio causado fue nulo.
HECHOS PROBADOS
1) El denunciante, cliente de MUTUA MADRILEÑA (MM) desde 15/01/2018, denuncia
que SEGURCAIXA ADESLAS SA de SEGUROS Y REASEGUROS (SC) ha suscrito
un contrato de seguro dental con sus datos y ha emitido un recibo con cargo a la
cuenta bancaria que le figuraba en MUTUA MADRILEÑA, añadiendo que no contrató
dicho seguro y por tanto se ha usado su cuenta bancaria indebidamente. En el
contrato con MM se informa al cliente que sus datos pueden ser usados para
enviarle información incluso por teléfono sobre productos y servicios tanto de MM
como de las sociedades de su grupo relacionadas con distintas categorías, como las
de seguros. SC es una empresa del mismo grupo empresarial que MM. El número de
cuenta del denunciante en MM era de EVO BANK acabada en 600.
2) El denunciante aportó:
a. carta de bienvenida de ADESLAS junto con la tarjeta Adeslas, que identifica
como asegurado en la que se indica:? Para que tu póliza adquiera plena
vigencia, es preciso que nos remitas firmadas, en el sobre franqueado
adjunto, las condiciones de la póliza que te enviamos junto con esta carta?
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
12/20
(ejemplar para devolver firmado a Adeslas}. Te adjuntamos, además, una
copia de estas para que puedas consultarlas siempre que lo necesites.
También es necesario que nos remitas firmada, en el mismo sobre, la orden
de domiciliación bancaria.?
b. Formulario de orden de domiciliación de la póliza cumplimentado con los
datos bancarios del denunciante, acreedor SEGUR CAIXA ADESLAS, SA DE
SEGUROS Y REASEGUROS, fecha 1/03/2018, sin firmar, figurando número
de cuenta bancaria acabada en YYYY.
c. Copia del recibo de fecha 6/03/2018, emitido por EVO, cargado en una
cuenta bancaria del denunciante XXXX XXXX XX XXXXXXXXXX por
ADESLAS MADRID en concepto de seguro dental por importe de 10,50 ?.
3) En los sistemas de información de la denunciada figura los datos del denunciante
asociados a ADESLAS DENTAL FAMILIA con los nombres del Agente GSSLINE
AGENCIA DE SEGUROS VINCULADA y una cuenta bancaria de entidad 2039,
acabada en YYYY con fecha de alta 1/03/2018, en estado BAJA y la emisión de un
recibo de 10,50 euros como anulado.
-según correo electrónico de la denunciada, de 1/06/2018, al denunciante le informa
que la póliza de salud Adeslas ha sido anulada, igual que el recibo.
4) Al denunciante se le cargó en su cuenta bancaria EVO número acabado en 24, dos
recibos de 10,50 euros por la póliza seguro dental emitida por SC, uno el 6/03 y otro
el 3/04/2018, periodo de los meses marzo y abril, figurando según el documento
aportado por el denunciante en pruebas la fecha devolución 2/04 y20/04/2018
respectivamente.
5) En los sistemas de SC figuraban los datos del denunciante en relación a un seguro
dental con alta 1/03/2018, baja de póliza por error en constitución.
6) GSS LINE AGENCIA DE SEGUROS VINCULADA fue la empresa que realizó el
contacto telefónico con el denunciante para la concertación de dicho contrato. Según
la conversación telefónica que mantuvo con el denunciante que consta en archivo
audio se dirigió a él como cliente de MM para ofrecerle como mutualista, una póliza
dental familiar de ADESLAS. Durante la conversación se registra por el reclamante
que ya sabe lo que le va a ofrecer y no le interesa. La comercial indica que se trata
de una póliza dental con bonificación a la hora de renovar la póliza del coche y con
descuento de bienvenida por parte de ADESLAS, y le informa que le puede enviar la
oferta a su casa para que la examine, teniendo siete días para ello, hasta el 1/03, y el
denunciante está de acuerdo que se la envíen. Se informa que con los datos que
tiene de MUTUA, para que revise la oferta, las partes quedan en que le envíe la
documentación para analizar la oferta, GSS le leyó una cláusula de protección de
datos en la que le indicaba que sus datos de MM iban a ser cedidos a ADESLAS
SEGURCAIXA a efectos de poder suscribir la póliza. GSS Le pregunta al
denunciante si cuando muestre su conformidad con la oferta consiente que MUTUA
MADRILEÑA les comunique el mismo número de cuenta bancaria para los ingresos y
los recibos, si va a ser la misma cuenta a lo que el denunciante indica que ?no sabe,
ya veremos?, a lo que la interlocutora indica que ?en principio dejaríamos el mismo?
indicando el denunciante ?vale?. La interlocutora le informó que sus datos forman
parte de ADESLAS SEGUROS Y REASEGUROS, y que en caso de aceptación, a
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
13/20
partir de 1-03 usted dispondría de este servicio en caso de que? se pone en
contacto con nosotros, nosotros le hacemos la variación, la introducción de demás
asegurados, cualquier cosa que usted desee modificar, ?usted tiene la última
palabra?.
7) MUTUA MADRILEÑA tenía suscrito un acuerdo de colaboración de 29/03/2012 con
SEGUR CAIXA ADESLAS SA (SC) para que esta pudiera ofrecer productos de
seguros de salud a los clientes de MUTUA. En el contrato se prevé que en los
contacto telefónicas se informar a los mutualistas y que muestren su interés por el
seguro, que en relación con la obtención del consentimiento (se le informa de la
grabación de la llamada) se le informa que los datos que se recaban se incorporaran
a un fichero de SC con la finalidad de que dicha entidad gestione su solicitud de
información y se informa que se remite a SC la solicitud de contratación de seguro.
En el contrato se indica que ?Si fuera aceptada, SC le remitirá la póliza por correo a
su domicilio para que la devuelva firmada, así como le cargara el importe del recibo
de prima en la cuenta que ha indicado la grabación?. En la cláusula novena se
establece que MUTUA accede a los datos facilitados por los Mutualistas para
tramitar las solicitudes de información sobre los productos de SC, ?constituyéndose
MUTUA en encargado del tratamiento?, y que MUTUA tratara los datos a los que
acceda durante la ejecución del acuerdo conforme a las instrucciones de SC,
responsable del tratamiento.
8) De acuerdo con otro contrato que recoge las relaciones entre MM, SC y GSS se
indica que ?GSS presta servicios a MM de difusión y promoción publicitaria entre su
colectivo de clientes de los productos de seguro de salud de su entidad filial SCA
para SCA, los de presentación, propuesta y realización de trabajos previos a la
celebración de los contratos de seguro de salud que esta comercializa. Y que MM
facilita el acceso a una base de datos de sus clientes a GSS?. También se indica que
?GSS presta servicios para SCA de ?presentación, propuesta y realización de
trabajos previos a la celebración de los contratos de seguro de salud que esta
comercializa y ello entre aquellos clientes de MM que hubieran manifestado su
interés en la contratación de un seguro de salud de SC?. GSS informara al cliente
que solicita autorización para el tratamiento de datos por SCA para el proceso de
contratación, y que cuando el mutualista manifieste su interés en contratar una póliza
de SC el operador telefónico que hasta ese momento realizaba acciones de
publicidad para MM informa que comienza a actuar como agente vinculado de SC y
le informa que sus datos se incorporan al fichero de SC. A continuación, se inicia el
protocolo de contratación telefónica y que actúa como agente vinculado de SC, y se
le solicitan los datos, entre otros, el de la cuenta bancaria para domiciliar los pagos.
?Los datos personales que serán objeto de tratamiento por GSS en su prestación de
servicios para SCA deberán ser facilitados directamente por el cliente interesado en
la contratación del seguro?. ?En la cláusula 1.3.3 se indica que ?será responsabilidad
de SCA la emisión, suscripción y administración de las pólizas sobre los productos?
en la cláusula quinta se establece que GSS es encargada de tratamiento de los
datos siendo MM y SCA cada una respecto de sus datos responsables del fichero.
9) La denunciada manifiesta que tuvo conocimiento por su contact center de la llamada
del denunciante, exponiendo los hechos el 23/03/2018, y aporta una transcripción
telefónica escrita. Con fecha 16/04/2018 la denunciada atiende la reclamación y
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
14/20
confirma la baja. Los recibos, dos, fueron devueltos antes por el denunciante y
anulados por SC.
10) La cuenta bancaria en que figuraba domiciliado el contrato del denunciante con MM
ES73 YYYYYYYYYYYYYYYYYYYY de EVO BANK pasó a ser desde 1/02/2016 la
ES25 XXXXXXXXXXXXXXXXXXXX con la misma entidad, por cuestiones internas
de la entidad, los datos de la primera refieren o conducen a la segunda. El abono de
la póliza del seguro del vehículo del denunciante con MM en 2018 se hizo en la
cuenta acabada en 24, misma cuenta en la que se emitieron las dos facturas por la
denunciada en la póliza dental.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la directora de la Agencia Española
de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con
el artículo 36 de la LOPD.
II
Se imputa a la denunciada una inflación del artículo 6.1 de la LOPD que indica:
El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa?.
El apartado 2 del mismo artículo añade que ?No será preciso el consentimiento
cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias
de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a
las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos
tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7,
apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y
su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que
no se vulneren los derechos y libertades fundamentales del interesado?.
El tratamiento de datos sin consentimiento de los afectados constituye un límite al
derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal
Constitucional en su Sentencia 292/2000, de 30/11, (Fundamento Jurídico 7, primer párrafo)
?... consiste en un poder de disposición y de control sobre los datos personales que faculta a
la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un
particular, o cuáles puede este tercero recabar, y que también permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.
Estos poderes de disposición y control sobre los datos personales, que constituyen parte del
contenido del derecho fundamental a la protección de datos se concretan jurídicamente en
la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su
posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero,
sea el estado o un particular (...)?.
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
15/20
Son pues elementos característicos del derecho fundamental a la protección de
datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos
personales y a saber de los mismos.
Responsable del tratamiento es según el artículo 3.d) de la LOPD ?persona física o
jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.?
Cuando el denunciante acaba la llamada grabada, los datos los ha recogido SC para
enviarle la oferta, siendo responsable de los mismos, si bien han de ser tratados para la
finalidad para la que se recogen, y en este caso no figuraba inequívocamente la de contratar
la póliza dental sobre la que se quedó en analizar la oferta, sin que tampoco sirva como
consentimiento la falta de respuesta ante el envío de la oferta.
El cumplimiento o no de las cláusulas contractuales y sus consecuencias que SC
tuviera suscrito con su Agente, GSS no exime de la condición de responsable del
tratamiento que realiza la denunciada, SC, que lleva a cabo en su nombre la emisión de dos
facturas por el producto supuestamente contratado.
El artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de
24/10/1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos, señala que ?Los Estados
miembros dispondrán que el tratamiento de los datos personales sólo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca?. Este criterio se recoge en
la LOPD, donde define el consentimiento en el 3 h) señalando que es ?toda manifestación de
voluntad, libre, inequívoco, específico e informado.?
El consentimiento no es preciso si existe relación contractual o precontractual en la
medida en que dichos datos sean necesarios para el mismo. En este caso los datos se
recogen de MM y se obtienen para mandar la oferta de la póliza que en principio no es más
que una oferta. En la conversación telefónica queda claro en varias ocasiones que el
denunciante no da el paso de la contratación y que pide que se le mande la oferta al
domicilio.
Al no constarse la existencia de contrato, la emisión de los recibos a la cuenta por un
servicio no contratado, y tampoco acreditándose la firma y devolución de la póliza suscrita
que se le envía al denunciante, habría de contar con consentimiento del afectado para dicha
emisión de los dos recibos por una a suscripción de esta que no consta tuvo lugar.
Del concepto de consentimiento se desprende la necesaria concurrencia para que
el mismo pueda ser considerado conforme a derecho de los cuatro requisitos enumerados
en dicho precepto.
Un adecuado análisis del concepto exigirá poner de manifiesto cuál es a juicio de
esta Agencia la interpretación que ha de darse a estas cuatro notas características del
consentimiento, tal y como la misma ha indicado en numerosas Resoluciones, siguiendo a
tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de
Ministros del Consejo de Europa en relación con la materia que nos ocupa. A la luz de
dichas recomendaciones, el consentimiento habrá de ser:
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
16/20
a) Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio
alguno del consentimiento en los términos regulados por el Código Civil. Solo se puede
concretar que se obtienen los datos para la emisión de la oferta al denunciante.
b) Específico, es decir referido a un determinado tratamiento o serie de tratamientos
concretos y en el ámbito de las finalidades determinadas, explícitas y legítimas del
responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.
c) Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia
del mismo y las finalidades para las que el mismo se produce.
d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los
meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista
expresamente una acción u omisión que implique la existencia del consentimiento. Este
elemento del consentimiento es el que falla en el presente supuesto, pues se acredita que lo
que se iba a analizar era la oferta, sin compromiso alguno, y así se constata en la grabación
de la llamada.
Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su
obtención y otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado
al dar su consentimiento. En otras palabras, la manifestación mediante la cual el interesado
consiente no debe dejar lugar a ningún equívoco sobre su intención. Si existe una duda
razonable sobre la intención de la persona se producirá una situación equívoca. Este
requisito obliga a los responsables del tratamiento a crear procedimientos rigurosos para
que las personas den su consentimiento; se trata de, o bien buscar un claro consentimiento
expreso o bien basarse en determinados tipos de procedimientos para que las personas
manifiesten un claro consentimiento deducible.
El responsable del tratamiento debe además asegurarse suficientemente de que la
persona que da su consentimiento es efectivamente el interesado. Esto tiene especial
importancia cuando el consentimiento se autoriza por teléfono o en línea.
La prueba del consentimiento plantea una cuestión relacionada con lo anterior. Los
responsables del tratamiento que se basen en el consentimiento pueden desear o necesitar
demostrar que el consentimiento se ha obtenido, por ejemplo, en el contexto de un litigio con
el interesado. Efectivamente, en algunos casos se les podrá pedir que aporten estas
pruebas en el marco de medidas ejecutivas. Como consecuencia de ello y como cuestión de
buena práctica los responsables del tratamiento deben crear y conservar pruebas de que el
consentimiento fue efectivamente dado, lo que significa que el consentimiento debería ser
demostrable.
Solamente se acredita que el denunciante quiere recibir la oferta, tras la inicia negativa
e insistencia por la comercial de la bonificación por ser mutualista y en ese sentido consiente
en el uso de sus datos, para en su caso, analizarla, habiendo autorizado la cesión de sus
datos para ello desde MM a SC, pero no así para la emisión de la póliza que supone la
contratación de la misma, y que no consta que consintiera, pues en varios puntos de la
conversación telefónica no se acredita que se contrata el servicio y el denunciante no
retornó tampoco la póliza firmada.
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
17/20
Para que el consentimiento se otorgue de forma inequívoca, el procedimiento de su
obtención y otorgamiento no tiene que dejar ninguna duda sobre la intención del interesado
al dar su consentimiento. En otras palabras, la manifestación mediante la cual el interesado
consiente no debe dejar lugar a ningún equívoco sobre su intención. Si existe una duda
razonable sobre la intención de la persona se producirá una situación equívoca, que es lo
que se desvela de la conversación telefónica aportada.
La disposición en este caso de todos los datos de la denunciante incluida la cuenta
bancaria no supone que se consienta la contratación del servicio que no se acredita haberse
producido. Contrariamente a lo que manifiesta la denunciada, cuando existe relación
contractual se entiende implícito el consentimiento en el tratamiento de datos para el
desenvolvimiento de la relación, pero en este caso no consta concertación de voluntad de
contratación del servicio una vez escuchada la conversación telefónica que concluye con el
envío de documentos, sin consentimiento alguno tras su recepción para la emisión del cobro
de dos recibos a su cuenta. Se puede indicar que hay un consentimiento en el que se
recogen los datos, pero no se consiente en la prestación del servicio que queda en estudiar
el denunciante y por tanto la emisión de las facturas a la cuenta bancaria del denunciante
por un servicio no suscrito, constituyendo un tratamiento de datos sin consentimiento y sin
base jurídica en ese punto en concreto.
Las alegaciones de la denunciada que se perfección el contrato con el
consentimiento del denunciante chocan frontalmente con lo recogido en la conversación
telefónica, que aunque sigue un protocolo en la obtención de los datos, no acredita el
consentimiento inequívoco del afectado, sino lo contrario por las manifestaciones del
afectado e insistencia de la comercial en que le envía los documentos aunque proceda
ordenadamente a la lectura de la policita y explicación de la oferta. Por consiguiente, el
consentimiento otorgado para el tratamiento de los datos de carácter personal en relación
con un concreto envío de documentación o relación pre- contractual no autoriza al
responsable del tratamiento a realizar actos de tratamiento de tales datos ajenos a la
finalidad para la que se prestó aquel consentimiento, actos post contractuales y que en este
caso se concretan en la emisión de dos recibos a la cuenta del denunciante, cuando queda
claro en la conversación que quería analizar la oferta.
III
La infracción del artículo 6.1 de la LOPD se tipifica como grave en el artículo 44.3.b
de la LOPD que indica:? Tratar datos de carácter personal sin recabar el consentimiento de
las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta
Ley y sus disposiciones de desarrollo.?
IV
El artículo 45.2. 4 y 5 de la LOPD señala:
?2. Las infracciones graves serán sancionadas con multa de 40.001 ? a 300.000 ?
?4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
18/20
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de
carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la
entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida
y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una
anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia
exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa
a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se
integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la
antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los
criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión
de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese
anterior a dicho proceso, no siendo imputable a la entidad absorbente.?
Manifiesta la denunciada que hubo buena fe en la recogida de los datos y se hizo a
través de un encargado de tratamiento. Sin embargo, la responsable del tratamiento es la
responsable al incorporar los datos a sus sistemas y proceder a emitir dos recibos, siendo
en este caso evidente que en varias ocasiones de la conversación el denunciante no otorga
consentimiento alguno, y solo la insistencia de la comercial propicia que el denunciante
indique que le envíen los documentos para analizarlos, por lo que lo alegado no tiene
incidencia alguna en la eventual reducción de la sanción. En el presente supuesto,
SEGURCAIXA ADESLAS, S.A. de SEGUROS Y REASEGUROS, emitió dos facturas
(45.4.a), es una entidad que trata habitualmente datos personales (45.4.c), y conociendo la
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
19/20
reclamación del denunciante a 23/03/2018, emitió la segunda, tardando en resolver con más
de tres semanas, hasta tomar la decisión de anular las facturas el 16/04/2018, (45.4.j) por lo
que se impone una sanción de 40.001 euros.
Vistos los preceptos citados y demás de general aplicación,
la directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad SEGURCAIXA ADESLAS, S.A. de SEGUROS Y
REASEGUROS], por una infracción del artículo 6.1 de la LOPD de la LOPD, tipificada como
grave en el artículo 44.3.b) de la LOPD, una multa de 40.001 ?, de conformidad con lo
establecido en el artículo 45.2), 45.4 a). 45. 4.c) y 45.4.j) de la citada LOPD.
SEGUNDO: NOTIFICAR la presente resolución a SEGURCAIXA ADESLAS, SEGUROS Y
REASEGUROS.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez
sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio,
en relación con el art. 62 de la Ley 58/2003, de 17/12, mediante su ingreso en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española
de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a
su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días
16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo
mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas
fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez
haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en
la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos
sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del
reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21
diciembre.
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es
Subdirección General
Inspección de Datos
20/20
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de
conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015, de 1
de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado
manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el
caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la
Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico
de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición
efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan 6 http://www.agpd.es
28001 - Madrid https://sedeagpd.gob.es