Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos TD-00232-2021 de 12 de noviembre de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 17 min
Órgano: Agencia Española de Protección de Datos
Fecha: 12/11/2021
Num. Resolución: TD-00232-2021
Cuestión
Sector:1 / 7
Expediente Nº: TD/00232/2021
RESOLUCIÓN Nº: R/00783/2021
Vista la reclamación formulada el 11 de abril de 2021 ante esta Agencia por A.A.A. Y
B.B.B. , menores de edad y representados por Dª C.C.C. contra SANTA LUCÍA, S.A.
COMPAÑIA DE SEGUROS Y REASEGUROS , por no...
Contestacion
1/7
? Expediente Nº: TD/00232/2021
RESOLUCIÓN Nº: R/00783/2021
Vista la reclamación formulada el 11 de abril de 2021 ante esta Agencia por A.A.A. Y
B.B.B., menores de edad y representados por Dª C.C.C. contra SANTA LUCÍA, S.A.
COMPAÑIA DE SEGUROS Y REASEGUROS, por no haber sido debidamente
atendido su derecho de acceso.
Realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes
HECHOS
PRIMERO: A.A.A. Y B.B.B., menores de edad y representados por Dª C.C.C. (en
adelante, la parte reclamante) ejerció el derecho de acceso frente a SANTA LUCÍA,
S.A. COMPAÑIA DE SEGUROS Y REASEGUROS con NIF A28039790 (en adelante,
el reclamado), sin que su solicitud haya recibido la contestación legalmente
establecida.
Tras recibir sendas transferencias bancarias a nombre de sus hijos en su cuenta por
parte del reclamado, con el que manifiesta no mantener relación contractual alguna,
con fecha 22 de febrero de 2021 la parte reclamante remitió un correo electrónico al
Delegado de protección de datos del reclamado (en lo sucesivo, dpd) solicitando el
derecho de acceso a sus datos personales y los de sus hijos menores de edad.
Ante la falta de respuesta, con fecha 21 de marzo, reitera su petición remitiendo un
nuevo correo electrónico a la dirección que figura en la política de privacidad del
reclamado para ejercitar los derechos. Indica que ?(?) una persona cuya identidad
desconozco, hizo entrega en su agencia (?), en ***LOCALIDAD.1, documentos con
datos personales, míos y de mis dos hijos menores de edad (concretamente, DNI,
libro de familia, copia cartilla bancaria y certificado de defunción del padre de mis
hijos)?.
Con fecha 22 de marzo, el dpd le contesta indicando que ?(?) necesitamos que nos
facilite el documento de identidad del fallecido y cualquier información adicional que
nos pueda servir?, a lo que la parte reclamante, mediante otro correo electrónico,
reitera que la documentación ha sido entregada sin su conocimiento ni su
consentimiento por una persona cuya identidad desconoce.
En la nueva respuesta del dpd le indican que ?(?) los datos obrantes en nuestras
bases de datos (datos identificativos y económicos, DNI y cuenta bancaria) han sido
utilizados únicamente para la tramitación del siniestro relacionado con el fallecimiento
de Dª (?).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/7
La documentación fue entregada a nuestro Agente en la zona por el familiar que
gestionó toda la documentación del siniestro.?
La parte reclamante aporta diversa documentación relativa a la reclamación planteada
ante esta Agencia y sobre el ejercicio del derecho ejercitado.
SEGUNDO: De conformidad con el artículo 65.4 de la LOPDGDD, que ha previsto un
mecanismo previo a la admisión a trámite de las reclamaciones que se formulen ante
la AEPD, consistente en trasladarlas a los Delegados de Protección de Datos
designados por los responsables o encargados del tratamiento, a los efectos previstos
en el artículo 37 de la citada norma, o a éstos cuando no los hubieren designado, con
fecha 10 de mayo de 2021, se dio traslado de la reclamación a la entidad reclamada
para que procediese a su análisis y diera respuesta a la parte reclamante y a esta
Agencia en el plazo de un mes.
El reclamado manifiesta que ha tratado los datos personales de la reclamante y de sus
hijos con la finalidad de cumplir con las obligaciones legales aplicables en virtud de un
contrato de seguro.
?Que para proceder al abono de la diferencia de servicio a los herederos legales, es
necesario aportar documentación. En este caso, toda la documentación fue entregada
en las oficinas de nuestro agente en la zona por un familiar de la señora (?) que
aportó toda la documentación de los herederos legales.?
TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no
permitió entender satisfechas las pretensiones de la parte reclamante. En
consecuencia, con fecha 10 de agosto de 2021, a los efectos previstos en su artículo
64.2 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos
acordó admitir a trámite la reclamación presentada y se informó a las partes que el
plazo máximo para resolver el presente procedimiento, que se entiende iniciado
mediante dicho acuerdo de admisión a trámite, será de seis meses.
El mencionado acuerdo concedió a la entidad reclamada trámite de audiencia, para
que en el plazo de quince días hábiles presentase las alegaciones que estimara
convenientes. Dicha entidad señaló, en síntesis, que, con fecha 08 de abril de 2021 le
envió un correo electrónico en el que indica que ?(?) los datos obrantes en nuestras
bases de datos, (datos identificativos y económicos; DNI y cuenta bancaria), han sido
utilizados únicamente para la tramitación del siniestro relacionado con el fallecimiento
de Dª (?).
La documentación fue entregada a nuestro Agente en la zona por el familiar que
gestionó toda la documentación del siniestro?
No obstante, manifiesta que, con fecha 25 de agosto de 2021, ha remitido una
comunicación a la parte reclamante ampliando la información sobre el tratamiento de
los datos personales.
?En nuestras bases de datos constan los datos personales para la tramitación del
siniestro de la póliza número ***NÚMERO.1 del Seguro Combinado de Decesos y
Accidentes y esta entidad aseguradora ha tratado los datos personales con la finalidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/7
de cumplir con las obligaciones que establece el contrato de seguro. Entre ellos
constan: Nombre, apellidos, domicilio, DNI, fecha de nacimiento, datos bancarios.?
CUARTO: Examinadas las alegaciones presentadas por el reclamado, son objeto de
traslado a la parte reclamante, para que, en el plazo de quince días hábiles formule las
alegaciones que considere oportunas, señalando, en síntesis, que ?(?) Del mismo
modo, lo que la entidad considera información ampliada enviada el 25 de agosto de
2021, sigue sin cumplir la normativa al faltar como mínimo:
Copia de los datos personales que son objeto del tratamiento.
La identidad del responsable del tratamiento
Datos de contacto del responsable
La fuente (procedencia) de los datos (si no se han obtenido directamente del
interesado).
La información detallada del origen de los datos, incluso si proceden de fuentes de
acceso público
Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés
público o interés legítimo.
Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los
datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento
prestado.?
?(?) Sigue la entidad sin informar quién fue la persona que entregó nuestra
documentación (?)?.
QUINTO: Trasladadas nuevamente al reclamado las alegaciones presentadas por la
parte reclamante, aportan copia del correo electrónico que le han remitido con fecha
18 de octubre de 2021, ?(?) confirmarles la tipología de los datos recabados que ya
se les ha proporcionado? y le informan del protocolo seguido para ese tipo de casos, y
que se sujeta en que el representante actuante en nombre de la familia proporciona a
la compañía los datos necesarios para esa finalidad.
FUNDAMENTOS DE DERECHO
PRIMERO: Es competente para resolver la Directora de la Agencia Española de
Protección de Datos, conforme a lo establecido en el apartado 2 del artículo 56 en
relación con el apartado 1 f) del artículo 57, ambos del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (en lo sucesivo, RGPD); y en el artículo 47 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en lo sucesivo LOPDGDD).
SEGUNDO: De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia
Española de Protección de Datos es competente para desempeñar las funciones que
se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y
promover la sensibilización de los responsables y los encargados del tratamiento
acerca de las obligaciones que les incumben, así como tratar las reclamaciones
presentadas por un interesado e investigar el motivo de las mismas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/7
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables
y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en
el desempeño de sus funciones. Para el caso de que éstos hayan designado un
delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de
cooperar con dicha autoridad.
Del mismo modo, el ordenamiento jurídico interno, en el artículo 65.4 la LOPDGDD, ha
previsto un mecanismo previo a la admisión a trámite de las reclamaciones que se
formulen ante la Agencia Española de Protección de Datos, que consiste en dar
traslado de las mismas a los delegados de protección de datos designados por los
responsables o encargados del tratamiento, a los efectos previstos en el artículo 37 de
la citada norma, o a éstos cuando no los hubieren designado, para que procedan al
análisis de dichas reclamaciones y a darles respuesta en el plazo de un mes.
De conformidad con esta normativa, con carácter previo a la admisión a trámite de la
reclamación que da lugar al presente procedimiento, se dio traslado de la misma a la
entidad responsable para que procediese a su análisis, diera respuesta a esta Agencia
en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida,
en el supuesto de ejercicio de los derechos regulados en los artículos 15 a 22 del
RGPD.
El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la
parte reclamante. En consecuencia, con fecha 10 de agosto de 2021, a los efectos
previstos en su artículo 64.2 de la LOPDGDD, la Directora de la Agencia Española de
Protección de Datos acordó admitir a trámite la reclamación presentada. Dicho
acuerdo de admisión a trámite determina la apertura del presente procedimiento de
falta de atención de una solicitud de ejercicio de los derechos establecidos en los
artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el
cual:
?1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una
solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del
Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se
adoptará conforme a lo establecido en el artículo siguiente.
En este caso el plazo para resolver el procedimiento será de seis meses a contar
desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a
trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su
reclamación?.
No se estima oportuna la depuración de responsabilidades administrativas en el marco
de un procedimiento sancionador, cuyo carácter excepcional implica que se opte,
siempre que sea posible, por la prevalencia de mecanismos alternativos que tengan
amparo en la normativa vigente.
Es competencia exclusiva de esta Agencia valorar si existen responsabilidades
administrativas que deban ser depuradas en un procedimiento sancionador y, en
consecuencia, la decisión sobre su apertura, no existiendo obligación de iniciar un
procedimiento ante cualquier petición realizada por un tercero. Tal decisión ha de
basarse en la existencia de elementos que justifiquen dicho inicio de la actividad
sancionadora, circunstancias que no concurren en el presente caso, considerando que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/7
con el presente procedimiento quedan debidamente restauradas las garantías y
derechos del reclamante.
TERCERO: Los derechos de las personas en materia de protección de datos
personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la
LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión,
oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los
artículos 12 del RGPD y 12 de la LOPDGDD.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del
RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento
debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus
derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3
del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un
mes, salvo que pueda demostrar que no está en condiciones de identificar al
interesado, y a expresar sus motivos en caso de que no fuera a atender dicha
solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de
responder a la solicitud de ejercicio de sus derechos formulada por el afectado.
La comunicación que se dirija al interesado con ocasión de su solicitud deberá
expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo.
Tratándose del derecho de acceso a los datos personales, de acuerdo con lo
establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se
refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que
especifique los ?datos o actividades de tratamiento a los que se refiere la solicitud?. El
derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos,
teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información
referida a los extremos previstos en el artículo 15 del RGPD).
El ejercicio de este derecho se podrá considerar repetitivo en más de una ocasión
durante el plazo de seis meses, a menos que exista causa legítima para ello.
Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio
distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser
asumido por el afectado.
CUARTO: Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la
LOPDGDD, ?el interesado tiene derecho a obtener del responsable del tratamiento
confirmación de si se están tratando o no datos personales que le conciernen y, en tal
caso, derecho de acceso a los datos personales?.
Al igual que el resto de los derechos del interesado, el derecho de acceso es un
derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento
que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/7
personales que le conciernan y que estén siendo objeto de tratamiento, así como
información, en particular, sobre los fines del tratamiento, las categorías de datos
personales de que se trate, los destinatarios o categorías de destinatarios a los que se
comunicaron o serán comunicados los datos personales, el plazo previsto o criterios
de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una
reclamación ante la autoridad de control, la información disponible sobre el origen de
los datos (si estos no se han obtenido directamente de titular), la existencia de
decisiones automatizadas, incluida la elaboración de perfiles, e información sobre
transferencias de datos personales a un tercer país o a una organización internacional.
La posibilidad de obtener copia de los datos personales objeto de tratamiento no
afectará negativamente a los derechos y libertades de otros, es decir, el derecho de
acceso se otorgará de modo que no afecte a datos de terceros.
QUINTO: El procedimiento de derechos se instruye como consecuencia de la
denegación de alguno de los derechos regulados en la normativa de protección de
datos. Por ello, en el presente caso, sólo se analizarán y valorarán las circunstancias
relativas a los derechos de acceso solicitados, quedando fuera el resto de cuestiones
planteadas.
En el supuesto aquí analizado, y teniendo en cuenta lo señalado en el párrafo anterior,
del análisis de la documentación aportada por las partes, se comprueba que el
reclamado no ha atendido debidamente el derecho de acceso de la parte reclamante,
al haber indicado la categoría de los datos que, entre otros, constan en sus bases de
datos, pero sin haber especificado y concretado cuáles son esos datos, así como no
haber informado sobre la finalidad, el origen de los mismos, ?.
Asimismo, como ya se ha señalado, el derecho de acceso es el derecho a obtener
datos sobre uno mismo, por lo que la pretensión de la parte reclamante de conocer la
identidad de la persona que proporcionó la documentación al reclamado queda fuera
del contenido del derecho de acceso regulado en la normativa de protección de datos,
ello sin perjuicio de que otra normativa ampare dicha pretensión.
En base a cuanto antecede, considerando que el presente procedimiento tiene como
objeto que las garantías y los derechos de los afectados queden debidamente
restaurados, procede estimar la reclamación que originó el presente procedimiento por
considerar que el derecho de acceso no se llevó a cabo en la forma debida.
Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por A.A.A. Y B.B.B., representados
por Dª C.C.C., e instar a SANTA LUCÍA, S.A. COMPAÑIA DE SEGUROS Y
REASEGUROS con NIF A28039790, para que, en el plazo de los diez días hábiles
siguientes a la notificación de la presente resolución, remita a la parte reclamante
certificación en la que se atienda el derecho de acceso solicitado o se deniegue
motivadamente indicando las causas por las que no procede atender la petición, de
conformidad con lo establecido en el cuerpo de la presente resolución. Las
actuaciones realizadas como consecuencia de la presente Resolución deberán ser
comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/7
podría comportar la comisión de la infracción considerada en el artículo 72.1.m) de la
LOPDGDD, que se sancionará, de acuerdo con el artículo. 58.2 del RGPD.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. Y B.B.B., representados por
Dª C.C.C., y a SANTA LUCÍA, S.A. COMPAÑIA DE SEGUROS Y REASEGUROS.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al artículo 48.6
de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
1037-080921
Mar España Martí
Directora de la AEPD, P.O. la Subdirectora General de Inspección de Datos, Olga
Pérez Sanjuán, Resolución 4/10/2021
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es