Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00602-2017 de 25 de septiembre de 2018
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 37 min
Órgano: Agencia Española de Protección de Datos
Fecha: 25/09/2018
Num. Resolución: PS-00602-2017
Cuestión
Sector:1 / 13
Procedimiento Nº PS/00602/2017
RESOLUCIÓN: R/00545/2018
En el procedimiento sancionador PS/602/2017, instruido por la Agencia
Española de Protección de Datos, a la entidad LA FE PREVISORA, COMPAÑÍA DE
SEGUROS SA. (LA FE PREVISORA) , vista la...
Contestacion
1/13
Procedimiento Nº PS/00602/2017
RESOLUCIÓN: R/00545/2018
En el procedimiento sancionador PS/602/2017, instruido por la Agencia
Española de Protección de Datos, a la entidad LA FE PREVISORA, COMPAÑÍA DE
SEGUROS SA. (LA FE PREVISORA), vista la denuncia presentada por D. A.A.A., y en
base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 20/01/17, tiene entrada en esta Agencia, escrito de D. A.A.A.,
donde denuncia que: ?En marzo de 2016 tuvo conocimiento de que constaba a su
nombre y de su familia una póliza de seguros con la entidad denunciada que no
habían contratado. Que la entidad denunciada le comunicó que el alta de la póliza se
había producido en noviembre de 2015, siendo ejecutada por un agente de la entidad
de nombre B.B.B.. Que tras esto, con fecha 30/03/16 solicitó copia de la póliza y baja
en la misma de forma inmediata, reiterada con fecha 22/09/16 y aún no ha obtenido
respuesta?. Aporta, entre otra, la siguiente documentación:
a).- Correo electrónico dirigido por el denunciante a la dirección ***EMAIL.1 con
fecha 30/03/16 en el que expone los hechos sucedidos y solicita la baja de la póliza
que figura a su nombre.
b).- Reclamación interpuesta por el denunciante frente a la entidad denunciada
(enviada a través de carta certificada) con fecha 13/04/16 en la que expone los hechos
sucedidos y solicita la baja de la póliza que figura a su nombre. Consta acuse de
recibo de fecha 28/04/16.
c).- Burofax dirigido por el denunciante a la entidad denunciada con fecha 22/09/16
en el que expone los hechos sucedidos y reitera la solicitud de copia de la póliza
suscrita y la confirmación de su baja.
SEGUNDO: A la vista de los hechos denunciados, en fase actuaciones previas, la
empresa LA FE PREVISORA, remite, entre otras, la siguiente información:
a).- Los productos que constan a nombre del denunciante son "una póliza de
decesos como seguro principal, con número ***Nº.1 y efecto el 01/11/15, causando
baja el 30/04/16 y, una póliza de asistencia en viaje, con número ***Nº.2, con las
mismas fechas de efecto y baja. Expone que: ?la póliza de seguros fue contratada bajo
la modalidad de cobro físico, que implica que el cobro de la misma se efectuase en el
domicilio identificado a tal efecto en la póliza (domicilio de cobro: (C/...1), siendo el
encargado de dicho cobro un agente mediador.
b).- Adjunta copia de la solicitud de la póliza número ***Nº.1 de fecha 13/10/15 en
la que figura como tomador el denunciante. Consta firmada en los apartados
correspondientes al tomador, al mediador y visto bueno. En su escrito señala que
aparece la firma del Director de la oficina de la Compañía, responsable de la emisión
de dicha póliza, que con su visto bueno, autoriza a la emisión de las citadas pólizas, al
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/13
cumplir dicha solicitud con todos los requisitos que establece la Compañía para la
contratación de la póliza.
c).- Respecto a las facturas emitidas en relación a los productos contratados a
nombre del denunciante, manifiesta que los recibos físicos mensuales de ambas
pólizas resultaron todos cobrados durante el periodo de vigencia de las pólizas (nov.
2015 a abril 2016) excepto el correspondiente al mes de abril de 2016, que fue
anulado junto con las pólizas contratadas a solicitud del tomador.
d).- Respecto de los contactos mantenidos con el Sr. A.A.A. manifiesta que, el
denunciante y el Director de la Oficina de la Compañía que gestionaba al mediador y
las pólizas mantuvieron una comunicación verbal que desembocó en la baja de las
pólizas contratadas con fecha 30/04/16 y el 22/09/16 la entidad recibió un escrito de
reclamación del denunciante. Señala al respecto que con fecha de 23/09/16 el Director
de la Oficina que gestionaba al mediador de la póliza modificó la situación del
mediador de la póliza de referencia al estado de ?inactivo?.
e).- Copia del correo electrónico de fecha 30/03/16 dirigido por el denunciante a la
entidad y copia del correo electrónico de fecha 06/06/17 de contestación al anterior en
el Servicio de Atención al Cliente de la entidad expone que no existiendo posturas
encontradas sobre las que mediar y entendiendo que la petición del señor A.A.A. de
que se procediera a la anulación de su póliza ya se ha llevado a cabo, se archiva el
escrito de reclamación frente a la entidad La Fe Compañía de Seguros, S.A. sin
posibilidad de tramitarlo.
TERCERO: Con fecha 22/12/17, la Directora de la Agencia Española de Protección de
Datos acordó iniciar, procedimiento sancionador a la entidad LA FE PREVISORA, por
presunta infracción del artículo 6.1) de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal, (en lo sucesivo LOPD), tipificada como
grave en el artículo 44.3.b) de dicha norma, pudiendo ser sancionada con multa de
40.001 a 300.000 euros, de acuerdo con el artículo 45.2 de dicha Ley Orgánica.
CUARTO: Notificado el acuerdo de inicio, la representación de la entidad denuncia,
mediante escrito de fecha 23/01/18, formuló, en síntesis las siguientes alegaciones:
?acordando iniciar el Procedimiento N°: PS/602/2017 frente a ?LA FE?, dicho Organismo
imputa a esta parte la supuesta infracción del artículo 6.1 de la LOPD que reza lo
siguiente: ?El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.?
Sin embargo, a pesar de ser ésta la supuesta norma infringida por ?LA FE?, en
el párrafo 1° del Fundamento Jurídico II de la citada Resolución, la Administración
establece lo siguiente: ?Se concluye que la entidad denunciada muestra una ausencia
de la diligencia que se debe poner a la hora de la recogida, verificación y validación de
los datos personales de las personas que acceden a sus servicios, demostrando que
el protocolo implantado por la entidad para dicha verificación no cumple las mínimas
garantías que eviten posibles fraudes en la usurpación de la identidad, como podría
ser, el caso que nos ocupa ?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/13
De este modo, la AEPD imputa a ?LA FE? la infracción del artículo 6.1 LOPD
(consentimiento inequívoco) pero, sin embargo, los hechos sancionados consisten en
la ?ausencia de diligencia a la hora de la recogida, verificación y validación de los
datos personales?, no existiendo por tanto identidad entre los hechos sancionados y el
precepto que se dice infringido, lo que supone una vulneración del artículo 27 de la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público así como del
artículo 25.1 de la Constitución Española, en donde se regula el principio de tipicidad.
Por tanto, la AEPD, si nos atenemos a lo dispuesto en el artículo 127.b) del
Real Decreto núm. 1720/2007, de 21 de diciembre, que aprueba el Reglamento de
desarrollo de la LO 15/1999, ha incoado el presente procedimiento sancionador no por
los hechos concretos objeto de denuncia, sino por considerar inadecuados los
protocolos o procedimientos utilizados por ?LA FE? a la hora de recabar los datos de
sus asegurados cuando, a mayor abundamiento, dichos protocolos cumplen en su
totalidad con la normativa reguladora de los contratos de seguro.
Así, esta parte entiende que la conducta que se le imputa carece de tipificación
en la normativa reguladora de los datos de carácter personal, motivo por el cual el
presente procedimiento sancionador carece de fundamento.
Subsidiariamente, y en cuanto a la posible infracción del art 6.1 de la LOPD
cometida por ?LA FE?, entendemos que, de los documentos aportados por esta parte
tras el requerimiento efectuado por la Agencia de Protección de Datos, ha quedado
acreditado que el consentimiento prestado por el denunciante, fue inequívoco, tal y
como exige el propio artículo 6.1 de la citada Ley, por los siguientes motivos:
a) De la rúbrica llevada a cabo por el tomador:
La Agencia de Protección de Datos indica en su Resolución de fecha 22 de
diciembre de 2017 que la mercantil ?LA FE? no hace mención en su protocolo acerca
de la necesidad de recabar algún tipo de documentación que acredite la identidad del
tomador de la póliza. Sin embargo, tal y como consta tanto en las ?Condiciones
Particulares y Generales? de las pólizas de seguros (Decesos como garantía principal
y Asistencia en Viaje, en su modalidad de Multiasistencia Familiar, como garantía
complementaria) como en la ?Solicitud de Póliza? (documentos todos ellos aportados
por esta parte tras el requerimiento efectuado por la AEPD como documentos anexos
2.1 y siguientes), en las mismas no sólo constan los datos del tomador del seguro,
sino también su rúbrica y la del mediador de ?LA FE? que intervino en la contratación,
siendo las mismas imprescindibles.
La jurisprudencia se ha pronunciado en numerosas ocasiones acerca de lo que
ha de entenderse por ?consentimiento inequívoco?, entre ellas la Sentencia núm.
4407/2017, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia
Nacional en fecha 15 de noviembre de 2017,
Dicho lo cual, la rúbrica del denunciante, -cuya autoría corresponde al mismo pues
hasta el momento no se ha puesto en duda ni se ha practicado prueba alguna que lo
desmienta- tanto en las ?Condiciones Particulares y Generales? de las pólizas de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/13
seguros como en la ?Solicitud de Póliza? ponen de manifiesto que dicho
consentimiento fue prestado por el mismo por escrito, aun cuando, según la doctrina,
el mismo puede ser inequívoco a pesar de no haberse prestado por escrito.
b) De los pagos realizados durante la vigencia de la póliza:
Junto a la firma por parte del asegurado de los documentos indicados, los
pagos por parte del mismo de los recibos correspondientes a los meses de noviembre
de 2015 a abril de 2016 (periodo de vigencia de las pólizas contratadas hasta que el
mismo se dio de baja), constituyen actos confirmatorios llevados a cabo por el propio
asegurado que revelan que dicho consentimiento se otorgó, pues de otro modo no
habría hecho frente al pago de los citados recibos.
De este modo, con esos dos elementos fundamentales como son la rúbrica
llevada a cabo por el asegurado así como el pago de los recibos durante el periodo
comprendido entre noviembre de 2015 y abril de 2016, la mercantil ?LA FE? en ningún
momento pudo plantearse que existía algún tipo de fraude en la contratación de las
pólizas suscritas por el asegurado tras manifestar éste su consentimiento inequívoco
(contratación presencial, firmada y pagada), o vulneración de la LOPD.
A la vista de lo expuesto, esta parte entiende que no ha cometido infracción
alguna de la normativa reguladora de los datos de carácter personal, al haber obtenido
el consentimiento inequívoco del asegurado tal y como exige el art. 6.1 de la LOPD.
c).- Del cotejo del DNI del denunciante.
Por último, centrándonos en el análisis acerca de la ausencia de cotejo del DNI
del denunciante al que hace alusión la AEPD en su Resolución de fecha 22 de
diciembre de 2017 y en el que basa su propuesta de sanción, esta parte quiere
subrayar los siguientes aspectos: 1.- No existe prueba alguna de que el agente
mediador que intervino en la contratación de las pólizas, D. B.B.B., no solicitase al
denunciante, D. A.A.A. que el mismo le exhibiese su DNI en el momento en que tuvo
lugar la contratación presencial.
La propuesta de sanción no está referida a las pólizas objeto de denuncia, sino
que trae causa en el análisis de los documentos relativos a los protocolos o
procedimiento de actuación que ?LA FE? facilita a sus agentes mediadores para que
éstos tengan unas pautas claras a la hora de llevar a cabo la contratación.
La normativa reguladora de la protección de datos de carácter personal, esto
es, tanto la LO 15/1999 como el Reglamento, no hacen referencia alguna a esta
exigencia documental en la que la AEPD fundamenta su propuesta de sanción.
Se solicita por último, el sobreseimiento del presente expediente sancionador
al no haber cometido esta parte infracción alguna de las tipificadas en la normativa
reguladora de los datos de carácter personal y haber obtenido el consentimiento
inequívoco del afectado>>?.
QUINTO: Con fecha 25/01/17, se inició el período de práctica de pruebas,
acordándose: a).- dar por reproducidos a efectos probatorios la denuncia interpuesta
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/13
por la denunciante y su documentación, los documentos obtenidos y generados por los
Servicios de Inspección que forman parte del expediente E/1638/2017 y b).- dar por
reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/602/2017,
presentadas por la representación de la entidad denunciada.
SEXTO: Con fecha 09/02/18, se notifica la propuesta de resolución sancionadora
consistente en que por parte de la Directora de la Agencia Española de Protección de
Datos se sancione a la compañía LA FE PREVISORA, por infracción del art 6.1) de la
LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, con una multa de
20.000 euros, de conformidad con lo establecido en el art. 45.2 y 4 de la citada Ley
fundamentándolo en que:
?La compañía alega falta de tipicidad en la infracción al no existir identidad
entre los hechos sancionados y el precepto que se dice infringido, lo que supone una
vulneración del artículo 27 de la Ley 40/2015; ya que por un lado, esta Agencia imputa
la supuesta infracción del artículo 6.1 de la LOPD que reza: ?El tratamiento de los
datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo
que la ley disponga otra cosa?, y por otro lado se indica, en el párrafo 1° del
Fundamento Jurídico II de la citada Resolución que: ?Se concluye que la entidad
denunciada muestra una ausencia de la diligencia que se debe poner a la hora de la
recogida, verificación y validación de los datos personales de las personas que
acceden a sus servicios, demostrando que el protocolo implantado por la entidad para
dicha verificación no cumple las mínimas garantías que eviten posibles fraudes en la
usurpación de la identidad, como podría ser, el caso que nos ocupa ?.
Se debe aclarar en este punto que, la infracción imputada a la entidad ?LA FE?,
es por no haber requerido de forma inequívoca a la persona afectada su
consentimiento para el tratamiento de sus datos, (artículo 6.1 de la LOPD)
extensamente expuesto en el punto I de los Fundamentos de Derecho del escrito de
incoación de expediente y que esta infracción demuestra en la actuación de la
compañía: ?la ausencia de una diligencia debida que se debe poner a la hora de la
recogida, verificación y validación de los datos personales de las personas que
acceden a sus servicios?, demostrando con su actuación que: ?el protocolo implantado
por la entidad para dicha verificación no cumple las mínimas garantías que eviten
posibles fraudes en la usurpación de la identidad?, que eviten la comisión de la
infracción, por lo que queda claro y perfectamente diferenciado en los Fundamentos
de Derecho I y II el precepto infringido por la compañía (artículo 6.1 de la LOPD) y las
consecuencias que demuestra en su actuación, no existiendo, por tanto, vulneración
del principio de tipicidad.
Indica la compañía, por una parte: ?la rúbrica en la firma de las pólizas y los
pagos de los recibos indican por si solo el consentimiento y que por eso la mercantil
LA FE, en ningún momento pudo plantearse que existía algún tipo de fraude en la
contratación de las pólizas suscritas por el asegurado tras manifestar éste su
consentimiento inequívoco (contratación presencial, firmada y pagada)? y por otra
parte indica, respecto al cotejo del DNI del denunciante: ?NO existe prueba alguna de
que el agente mediador que intervino en la contratación de las pólizas, D. B.B.B., no
solicitase al denunciante, D. A.A.A. que el mismo le exhibiese su DNI en el momento
en que tuvo lugar la contratación presencial?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/13
Hay que dejar constancia, en primer lugar, que el pago de recibos se realizó en
mano, sin que exista prueba documental de quién lo realizó, como en el caso, por
ejemplo, de una domiciliación bancaria. Además, tampoco se aporta ningún tipo de
justificante de haberlo realizado. Si existe, como indica la empresa, de pagos de
recibos pero no justifica que dichos pagos fueron realizados por la persona que
indican que los realizó, esto es, el denunciante, ya que él lo niega en su denuncia,
correspondiendo por tanto, a la compañía la acreditación del consentimiento en el
correspondiente tratamiento de datos, aspecto que no ha realizado.
En lo que respecta al tratamiento de los datos de carácter personal, objeto de
este procedimiento, se debe aclarar que, en su condición de responsable del fichero y
del tratamiento de los datos, la mercantil ?LA FE? tenía la obligación de asegurarse
que contaba con el consentimiento inequívoco del denunciante para tratar sus datos
de carácter personal (art. 6.1LOPD), y a tal fin debió implementar y adoptar las
medidas de control y verificaciones correspondientes, tal y como se planteó en los
puntos I y II de los Fundamentos de Derechos, en la incoación del expediente.
El principio de culpabilidad formulado en el ámbito del Derecho Administrativo
sancionador se reitera en la jurisprudencia del Tribunal Supremo. Así, las SSTS de 12
(rec. 388/1994) y 19/05/98, afirman que en el ámbito sancionador: «está vedado
cualquier intento de construir una responsabilidad objetiva» y que: «en el ámbito de la
responsabilidad administrativa no basta con que la conducta sea antijurídica y típica,
sino que también es necesario que sea culpable, esto es, consecuencia de una acción
u omisión imputable a su autor por malicia o imprudencia, negligencia o ignorancia
inexcusable (...)?.
Sobre cuestiones de carácter similar o idénticas al caso que nos ocupa, se ha
pronunciado la Audiencia nacional. Así, cabe señalar: SAN 10/06/11; SAN 08/07/12 y
SAN 13/05/11
Así, la vulneración del artículo 6.1 de la LOPD por parte de la mercantil ?LA
FE?, se deriva de la falta de consentimiento del denunciante para tratar los datos
personales en los ficheros de asegurados sin haberse acreditado la existencia de tal
relación contractual no aportando ningún documento que permita comprobar que la
persona titular de los datos es efectivamente quien contrato las pólizas y la compañía
no ha realizado ninguna actuación para asegurarse de que quien aporta los datos en
la contratación de una póliza es efectivamente quien dice ser?
SÉPTIMO : Notificada la propuesta de resolución, la entidad LA FE PREVISORA,
presenta alegaciones a la propuesta en el periodo concedido al efecto, fundamentando
en esencia, lo siguiente:
?De la vulneración del principio de tipicidad. Afirma la AEPD en la citada
Propuesta de Resolución que ?la infracción imputada a ?LA FE? es por no haber
requerido de forma inequívoca a la persona afectada su consentimiento para el
tratamiento de sus datos?, quedando perfectamente diferenciado en los Fundamentos
de Derecho I y II del escrito de incoación del Expediente por un lado el precepto
infringido y, por otro, ?las consecuencias que demuestra en su actuación, no
existiendo por tanto vulneración del principio de tipicidad?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/13
Pues bien, frente a lo indicado por la AEPD, esta parte insiste en la existencia
de una vulneración del principio de tipicidad pues la conclusión a la que llega dicho
Organismo en el párrafo lº del Fundamento Jurídico II de la Resolución de fecha 22 de
diciembre de 2017 (a la que la misma hace alusión) es la siguiente: ?Se concluye que
la entidad denunciada muestra una ausencia de la diligencia que se debe poner a la
hora de la recogida, verificación v validación de los datos personales de las personas
que acceden a sus servicios, demostrando que el protocolo implantado por la entidad
para dicha verificación no cumple las mínimas garantías que eviten posibles fraudes
en la usurpación de la identidad, como podría ser, el caso que nos ocupa?.
De este modo, mientras por un lado la AEPD afirma que el precepto infringido
por ?LA FE? es el artículo 6.1 de la LOPD consistente en la falta de consentimiento
inequívoco prestado por el asegurado, el verdadero hecho por el que se sanciona a
esta parte es la ?ausencia de diligencia a la hora de la recogida, verificación y
validación de los datos personales ?, lo que nos sitúa ante una ausencia de identidad
entre los hechos sancionados Y el precepto que se dice infringido (artículo 27 de la
Ley 40/2015, del de octubre, de Régimen Jurídico del Sector Público así como del
artículo 25.1 de la Constitución Española, en donde se regula el principio de
tipicidad).
No es cierto que esta parte haya infringido el artículo 6.1 de la LOPD pues el
denunciante, otorgó su consentimiento de manera inequívoca como queda acreditado
tras analizar los siguientes extremos:
1.- De la rúbrica del tomador: Tal y como consta tanto en las ?Condiciones
Particulares y Generales? de las pólizas de seguros (Decesos como garantía principal
y Asistencia en Viaje, en su modalidad de Multiasistencia Familiar, como garantía
complementaria) como en la ?Solicitud de Póliza? (documentos todos ellos aportados
por esta parte tras el requerimiento efectuado por la AEPD como documentos anexos
2.1 y siguientes), en las mismas no sólo constan los datos del tomador del seguro D.
A.A.A., sino también su rúbrica y la D. B.B.B.; mediador de ?LA FE? que intervino en la
contratación, siendo tanto una como otra imprescindibles.
La jurisprudencia se ha pronunciado en diversas ocasiones acerca de lo que ha de
entenderse por ?consentimiento inequívoco?, entre ellas la Sentencia núm. 4407/2017,
dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional en fecha
15 de noviembre de 2017, constituyendo asimismo doctrina consolidada (SAN
23/04/2015, Rec. 97/2014) que la concurrencia del consentimiento inequívoco del
artículo 6.1 LOPD exigido para el tratamiento de datos personales por parte de un
tercero, en el caso de que el titular de los datos niegue haberlo otorgado, corresponde
acreditarlo a quien realiza el referido tratamiento?.
La rúbrica del denunciante, ?cuya autoría hasta el momento no se ha puesto
en duda ni se ha practicado prueba alguna que lo desmienta? tanto en las
?Condiciones Particulares y Generales? de las pólizas de seguros como en la ?Solicitud
de Póliza? pone de manifiesto que dicho consentimiento fue prestado por el mismo por
escrito cuando, según la doctrina, el mismo puede ser inequívoco a pesar de no
haberse prestado por escrito.
2.- De los pagos realizados durante la vigencia de la póliza:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/13
Junto a la firma por parte del asegurado de los documentos indicados, una vez
más debemos hacer referencia a los pagos efectuados por parte del mismo, D. A.A.A.,
de los recibos correspondientes a los meses de noviembre de 2015 a abril de 2016
(periodo de vigencia de las pólizas contratadas), que constituyen actos confirmatorios
llevados a cabo por el propio asegurado que ponen de manifiesto que dicho
consentimiento se otorgó de manera inequívoca, pues de otro modo no habría hecho
frente al pago de los citados recibos.
b) Del pago de los recibos efectuados por el denunciante. El segundo
argumento de la AEPD se centra en la ausencia de prueba de que los recibos fuesen
abonados por el denunciante, ya que dichos pagos se realizaron en mano. Pues bien,
cierto que este método de pago elegido por el propio asegurado a la hora de
formalizar el alta con la compañía, consistente en el cobro físico mensual de los
recibos, no deja constancia de que el mismo haya sido quien efectuó el pago.
Ahora bien, no es menos cierto que el domicilio de cobro que consta en la póliza
y en el que se efectuaron los pagos, (C/...1), pertenece al denunciante, así como el
hecho de que los recibos correspondientes a los meses de noviembre de 2015 a abril
de 2016, esto es, el período durante el cual estuvieron vigentes las pólizas
contratadas, fueron abonados puntualmente.
c) De la falta de identidad de la jurisprudencia indicada por la AEPD y el caso
que nos ocupa. Por último, la Agencia Española de Protección de Datos sustenta la
infracción impuesta a ?LA FE? -por la ausencia de consentimiento inequívoco prestado
por el denunciante, en diversas Sentencias ?de carácter similar o idénticas al caso que
nos ocupa?: SAN 10/06/11, SAN 08/07/12, SAN 13/05/11. Analizadas minuciosamente
dichas Sentencias dictadas por la Audiencia Nacional, lo cierto es que no existe
identidad de razón entre las mismas y el presente caso por las razones que, de
manera muy breve, expondremos a continuación:
- En cuanto a la primera de las Sentencias, la SAN 10/06/11, en su
Fundamento de Derecho Quinto se indica que el denunciante no fue la persona que
firmó el contrato con la entidad recurrente, ENDESA ENERGÍA, S.A. UNIPERSONAL,
siendo éste uno de los motivos en los que la Audiencia fundamenta su
pronunciamiento desestimatorio del recurso. Sin embargo, en nuestro caso, tal y como
ya hemos expuesto con anterioridad, la rúbrica del denunciante, figura tanto en las
?Condiciones Particulares y Generales? de las pólizas de seguros como en la ?Solicitud
de Póliza?, lo que evidencia que el mismo otorgó su consentimiento de manera
inequívoca.
- Por su parte, la Sección Primera de la Sala de lo Contencioso?
administrativo de la Audiencia Nacional en su Sentencia de fecha 13 de mayo de 2011
indica en su Fundamento de Derecho Primero que ?no consta documento alguno en el
que figure el consentimiento de la denunciante ? cuando, en nuestro caso, no sólo las
?Condiciones Particulares y Generales? de las pólizas de seguros y la ?Solicitud de
Póliza? están firmadas por el denunciante, sino que además los recibos fueron
cobrados en la dirección correspondiente al mismo.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/13
De este modo, no existe identidad de razón entre las Sentencias referenciadas
en la Propuesta de Resolución de la AEPD y en las que la misma apoya su sanción, y
el presente caso, pues como ha quedado acreditado a lo largo del presente escrito de
alegaciones existen conductas llevadas a cabo por el denunciante, tales como la
rúbrica de las ?Condiciones Particulares y Generales? de las pólizas de seguros y de
la ?Solicitud de Póliza? así como el pago de los recibos.
CUARTA.- Del sobreseimiento del presente Expediente Sancionador. A la vista
de todo lo expuesto, esta parte entiende que la Agencia Española de Protección de
Datos debe sobreseer el presente Expediente Sancionador por los siguientes motivos:
- Tal y como expusimos en el Hecho Tercero del presente escrito de
alegaciones, existe una vulneración del principio de tipicidad por parte de la AEPD al
existir ausencia de identidad entre los hechos sancionados y el precepto que se dice
infringido.
- Subsidiariamente, y sólo para el caso que se entienda que no estamos ante
una vulneración del principio de tipicidad, la mercantil ?LA FE? no ha infringido el
artículo 6.1 de la LOPD al haber obtenido el consentimiento inequívoco del
denunciante, como pone de manifiesto la existencia de la rúbrica del mismo en
documentos tales como las ?Condiciones Particulares y Generales? de las pólizas de
seguros y la ?Solicitud de Póliza? así como el cobro en su domicilio de los recibos
correspondientes a los meses durante los cuales las pólizas estuvieron vigentes.
- Ausencia de identidad entre las Sentencias de la Audiencia Nacional a las
que la AEPD hace alusión y en las que fundamenta su sanción.
Por todo lo expuesto, SOLICITA que el sobreseimiento del presente expediente
sancionador al no haber cometido esta parte infracción alguna de las tipificadas en la
normativa reguladora de los datos de carácter personal y haber obtenido el
consentimiento inequívoco del afectado.
HECHOS PROBADOS
1º.- La compañía tiene en su base de datos la siguiente información respecto al
denunciante: a).- Póliza de decesos, ***Nº.1; alta: 01/11/15, baja: 30/04/16; b).- Póliza
asistencia viaje, ***Nº.2, alta 01/11/15 baja 30/04/16 (efecto 01/11/15); c).- Domicilio
cobro: A.A.A.; (C/...1). d).- Cobrador: C.C.C.. e).- Presentador 1: D.D.D. y f).-
Asegurados: 1.-A.A.A.., 2.- E.E.E. y 3.- F.F.F..
2º.- Existe copia de la solicitud de la póliza número ***Nº.1 de fecha 13/10/15
en la que figuran como asegurados, los arriba indicados. Consta firmada en los
apartados correspondientes al tomador, al mediador y en ?visto bueno?.
Existe copia de las condiciones particulares de las pólizas de seguros suscritas
donde figuran como asegurados, los arriba indicados. Consta firmada en la parte de
tomador y en la parte de la empresa. También se aporta las cláusulas de condiciones
generales.
No se aporta ni DNI, pasaporte o cualquier otro documento que acredite la
identidad del contratante de la póliza de seguros.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/13
3º.- la póliza de seguros fue contratada bajo la modalidad de cobro físico, que
implica que el cobro de la misma se efectuase en el domicilio identificado a tal efecto
en la póliza (domicilio de cobro: (C/...1), siendo el encargado de dicho cobro un agente
mediador, el Sr. B.B.B..
La compañía indica que, los recibos físicos mensuales de ambas pólizas
resultaron todos cobrados durante el periodo de vigencia de las pólizas (nov. 2015 a
abril 2016) excepto el correspondiente al mes de abril de 2016, que fue anulado junto
con las pólizas contratadas a solicitud del tomador.
Se acompaña relación de los 6 recibos emitidos (pantallazo), desde el 01/11/15
al 01/04/16 (recibo anulado) por importe cada uno de 10,80 euros y la fecha presunta
de cobro pero no se presenta ningún resguardo de los mismos o copia del recibo.
4º.- Existe copia del correo electrónico de fecha 30/03/16 dirigido por el
denunciante a la entidad donde se denuncia la usurpación de identidad para la
contratación de una póliza y copia del correo electrónico de fecha 06/06/17 de
contestación del Servicio de Atención al Cliente de la entidad donde expone que: ?no
existiendo posturas encontradas sobre las que mediar y entendiendo que la petición
del señor A.A.A. de que se procediera a la anulación de su póliza ya se ha llevado a
cabo, se archiva el escrito de reclamación frente a la entidad La Fe Compañía de
Seguros, S.A. sin posibilidad de tramitarlo.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g),
en relación con el artículo 36 de la LOPD.
II
La valoración conjunta de la prueba documental obrante en el procedimiento
trae a conocimiento de la AEPD una visión de la actuación denunciada a LA FE
PREVISORA., que ha quedado reflejada en los hechos declarados probados.
LA FE PREVISORA es la persona jurídica responsable de dichos hechos.
Responsabilidad circunscrita, por razones de competencia relacionados con el artículo
6.1 de la LOPD, donde se establece la necesidad de poseer el consentimiento de la
persona afectada en el tratamiento de sus datos personales siendo los responsables
de los ficheros quienes responden del cumplimiento de esta obligación.
III
La entidad denunciada, ha presentado alegaciones a la propuesta de
resolución (el 28/02/18) reiterando los mismos argumentos expuestos en las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/13
alegaciones presentadas a la incoación del expediente (el 23/01/18). No obstante, es
preciso volver a aclarar determinados aspectos:
En primer lugar, respecto de la falta de tipicidad de la infracción cometida por la
FE PREVISORA, indicar que la actuación llevada a cabo por la compañía a la hora de
utilizar los datos del denunciante y de su familia, para dar de alta una nueva póliza sin
su consentimiento, demuestra una grave ausencia de la diligencia que debe existir a la
hora de la recogida, verificación y validación de los datos personales de las personas
que acceden a sus servicios, demostrando que el protocolo implantado por la entidad
para dicha verificación no cumple las mínimas garantías que eviten posibles fraudes
en la usurpación de la identidad, máxime si se valora que como entidad conocedora de
la normativa de protección de datos le resulta exigible un especial rigor y cuidado en
orden a garantizar el respeto a los derechos y principios establecidos en la LOPD y,
sin embargo, su conducta no se ha ajustado, desde el punto de vista de la protección
de datos, a las exigencias mínimas que derivan de su actividad, de la que se infiere un
continuo tratamiento de datos personales.
Esta actuación se traduce en que la entidad LA FE PREVISORA ha infringido la
LOPD, en este caso, tipificada en su artículo 6.1, donde se proclama la obligación de
poseer el consentimiento inequívoco de la persona afectada a la hora de realizar un
tratamiento de sus datos personales.
Más aún, la propia entidad denunciada reconoce que, ?la falta de tipicidad? en
este expediente, no es tal, cuando afirma, en sus alegaciones: ?(?) No es cierto que
esta parte haya infringido el artículo 6.1 de la LOPD pues el denunciante, otorgó su
consentimiento de manera inequívoca como queda acreditado tras analizar los
siguientes extremos (?)?:
En segundo lugar, respecto de la rúbrica del tomador que consta en las pólizas
y que según indica la entidad: ?cuya autoría hasta el momento no se ha puesto en
duda ni se ha practicado prueba alguna que lo desmienta, pone de manifiesto que
dicho consentimiento fue prestado por el mismo por escrito cuando, según la doctrina,
el mismo puede ser inequívoco a pesar de no haberse prestado por escrito. Indicar
que, como bien se expone en las alegaciones, existe doctrina consolidada de la AN
(SAN 23/04/2015, Rec. 97/2014), donde indica que: ?la concurrencia del
consentimiento inequívoco del artículo 6.1 LOPD exigido para el tratamiento de datos
personales por parte de un tercero, en el caso de que el titular de los datos niegue
haberlo otorgado, corresponde acreditarlo a quien realiza el referido tratamiento?.
Pues bien, la entidad denunciada solamente afirma, en sus alegaciones, que la
rúbrica que aparece en las pólizas corresponde al denunciante y que solamente eso,
garantiza que quien firmó las pólizas fue precisamente el Sr. A.A.A., y no otro, sin que
en ningún momento aporte prueba alguna de esta afirmación tal y como demanda la
Audiencia Nacional en su SAN 23/04/15 REC 97/2014.
En tercer lugar, sobre los pagos realizados durante la vigencia de la póliza,
aunque la entidad reconoce que el método de ?pago en mano? no garantiza que la
persona que los realiza sea quien dice ser: ?Pues bien, cierto que este método de
pago elegido por el propio asegurado a la hora de formalizar el alta con la compañía,
consistente en el cobro físico mensual de los recibos, no deja constancia de que el
mismo haya sido quien efectuó el pago?. Aun así, sigue afirmando que, por el mero
hecho de tener en las pólizas, como domicilio de cobro, el del denunciante, se
garantiza que los pagos se realizaron es ese mismo domicilio y por el denunciante
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
12/13
?(?) los pagos efectuados por parte del mismo, D. A.A.A., de los recibos
correspondientes a los meses de noviembre de 2015 a abril de 2016(?), sin aportar
ninguna prueba que así lo demuestre y que ratifique estas afirmaciones, ya que por sí
solas carecen de validez, (SAN 23/04/2015, Rec. 97/2014).
Por último, respecto de la falta de identidad de la jurisprudencia indicada por la
AEPD y el caso que nos ocupa, esta Agencia no entra a valorar las argumentaciones
que realiza la entidad para no aplicar a su caso, la jurisprudencia de la Audiencia
Nacional.
IV
Por otra parte y tras las evidencias obtenidas en la fase de investigaciones
previas y a lo largo de la instrucción del procedimiento, procede en este caso atender
a lo estipulado en el artículo 45.5.b) de la LOPD, donde se desarrolla la aplicación de
la sanción en la escala inmediatamente inferior a la gravedad estipulada, por la
regularización de la situación de forma diligente, ya que cuando la entidad tuvo
conocimiento de la reclamación del denunciante procedió de forma inmediata a dar de
baja la póliza y a regularizar la situación.
Así mismo, se considera que procede graduar la sanción a imponer de acuerdo
con los siguientes criterios agravantes que establece el artículo 45.4 de la LOPD:
a).- La vinculación de la actividad del infractor con la realización de tratamientos de
carácter personal, (apartado 4.c),
b).- Con anterioridad a los hechos constitutivos de infracción la entidad carecía de
procedimiento adecuado de actuación y recogida de datos, (apartado 4.i).
El balance de las circunstancias contempladas en el artículo 45 de la LOPD,
permite fijar una sanción de 20.000 (veinte mil euros)
Vistos los preceptos citados y demás de general aplicación, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad LA FE PREVISORA, COMPAÑÍA DE SEGUROS
SA., una sanción de 20.000 (veinte mil euros), por la infracción del artículo 6.1) de la
LOPD, de conformidad con lo establecido en el artículo 45 de la citada Ley.
SEGUNDO: NOTIFICAR la presente resolución a LA FE PREVISORA, COMPAÑÍA DE
SEGUROS SA.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva
una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000
0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el
Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en
período ejecutivo.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
13/13
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones
Públicas, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución, o,
directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo
de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y
en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07,
reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el
artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es