La autoridad de control ha impuesto a Línea Directa una sanción de 100.000 euros por la infracción del artículo 6.1 (licitud del tratamiento) del RGPD y una sanción de 200.000 euros por infringir el artículo 28 (encargado del tratamiento) del mismo cuerpo normativo.
El afectado presentó reclamación ante la AEPD debido a que, una vez se puso en contacto por medios telefónicos con el agente de seguros de Línea Directa para solicitar información sobre la contratación de un seguro de coche (prima, condiciones, etc.), este accedió a su información relativa al saldo de puntos del carné de conducir que consta en la página web de la Dirección General de Tráfico.
Para ello, el agente, encargado del tratamiento con el que la compañía había suscrito el correspondiente contrato, utilizó el DNI y la fecha de expedición del carné del reclamante (que solicitó a su titular durante la llamada sin informar de la finalidad de su tratamiento) para obtener una clave de acceso al sistema de la DGT, que fue remitida a un correo electrónico ajeno al cliente (a efectos de que no tuviera constancia de ello). Todo ello sin que el afectado tuviera conocimiento de esta operativa, ni hubiera otorgado su consentimiento.
Una vez admitida a trámite la reclamación, la entidad aseguradora alegó, entre otras cuestiones, que el tratamiento de datos estaba justificado por la necesidad de verificar la información proporcionada por el solicitante del seguro, siendo el número de puntos que un interesado tiene en el carnet de conducir un criterio relevante para fijar la prima o las coberturas, no considerándose, en consecuencia, “necesario obtener el consentimiento para el tratamiento de saldo de puntos cuando esta información es claramente necesaria para aplicar un descuento de una campaña”. No obstante lo anterior, se afirmó por la entidad que el consentimiento del interesado se había obtenido de manera tácita durante la conversación telefónica.
En este sentido, la AEPD declara como hecho probado que la entidad aseguradora había diseñado un sistema para acceder a esta información, eludiendo las medidas de seguridad de la DGT, sin que el consentimiento se hubiera obtenido de manera válida, por cuanto no se facilitó la información exigida por la normativa antes de realizar el tratamiento de datos, ni el mismo cumplía con los requisitos exigidos en la normativa vigente, por lo que se vulnera el principio de licitud del tratamiento de datos personales. En este sentido, se indica que la consulta del saldo de puntos no era necesaria para la ejecución del contrato de seguro, ni para la adopción de medidas precontractuales.
En cuanto a la infracción del artículo 28 del RGPD, la AEPD ha declarado que Línea Directa no formalizó un contrato de encargado de tratamiento que incluyera las obligaciones que exige la normativa vigente. Así, el contrato que la entidad remitió a la autoridad de control no incluía referencias al objeto, la duración, la naturaleza o la finalidad del tratamiento. Asimismo, tampoco se regulaba el tipo de datos personales a los que el tercero podía tener acceso o las categorías de interesados. En este sentido, se indica por la AEPD que no hay ninguna alusión “al tratamiento que nos ocupa, ni a la finalidad de esa operación de tratamiento, ni a los datos objeto de tratamiento”. Se pone de manifiesto la gravedad de esta infracción sobre todo si se tiene en consideración que la normativa sectorial de seguros también exige que estos aspectos se incluyan en el contrato de agencia.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
