La Agencia Nacional de Protección de Datos ha sancionado como «infracción muy grave» de la LOPD los hechos recogidos en dos denuncias de clientes de la aseguradora Mapfre que tenían contratada una póliza de Mapfre CajaSalud y recibieron un envío postal con una oferta de Mapfre Automóviles.
Por ello la AEPD ha multado con 300.506€ a Caja Salud y con otros 60.101€ a Mapfre Automóviles.
Es interesante remarcar que aunque ambas empresas forman parte del mismo grupo, tienen entidades jurídicas independientes por lo que no pueden compartir datos de sus clientes sin recabar el consentimiento de los mismos.
La Ley Orgánica de Protección de Datos o LOPD Española es una de las leyes más estrictas del mundo en cuanto al uso de los datos de carácter personal de los clientes por parte de las empresas.
Se definen los datos de carácter personal como «cualquier información concerniente a personas físicas identificadas o identificables».
Para hacernos una idea de la sanción, en la LOPD se regulan 3 niveles de infracción y su correspondiente multa:
- Leves (600€ a 60000€):
- No atender a los derechos del interesado.
- No proporcionar información a la APD.
- No inscribir ficheros.
- No informar al recoger datos.
- Incumplir el secreto.
- Graves (60.000€ a 300.000€):
- Finalidad distinta al objeto de la empresa.
- No recabar el consentimiento del interesado.
- Conculcación de los principios de la Ley.
- Impedir u obstaculizar el ejercicio de los derechos del interesado.
- Mantener datos inexactos.
- Vulneración del secreto sobre infracciones, solvencia o personalidad.
- No inscribir en la APD ficheros.
- Obstaculizar al ejercicio de la APD.
- Mantener ficheros, locales o equipos sin el nivel de seguridad.
- No informar en datos recabados de persona distinta al interesado.
- Muy graves (300.000€ a 600.000€):
- Recogida de forma engañosa o fraudulenta.
- Comunicación o cesión fuera de los casos permitidos.
- Recabar o tratar datos sin consentimiento.
- No cesar en el uso una vez requerido.
- Transferencia a otros países.
- Tratar de forma ilegítima o con menosprecio los datos.
- Vulneración del secreto de datos especialmente protegidos (policiales).
- Obstaculizar sistemáticamente el ejercicio de los derechos del interesado.
- No atender sistemáticamente al deber de notificación.
En la noticia se recoge que la AEPD advierte:
«Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá inmovilizar el fichero»
La inmovilización del fichero de clientes entiendo podría parar completamente la actividad de la aseguradora, ya que implicaría no poder consultar,actualizar o borrar los datos de los mismos impidiendo por ejemplo la emisión de facturas o recibos.
Más información:
- Protección de Datos amenaza a Mapfre con inmovilizar su fichero de clientes
- Apuntes Normativa Seguridad de Datos – Auditoría Informática. Serafín Caridad (PDF 256KB)
- Serafín Caridad, Auditoría Informática (Facultade Informática A Coruña)
- Wikipedia: Ley Orgánica de Protección de Datos de Carácter Personal de España