SAN, 16 de Octubre de 2023
| Ponente | BEGOÑA FERNANDEZ DOZAGARAT |
| Emisor | Audiencia Nacional - Sala de lo Contencioso |
| ECLI | ECLI:ES:AN:2023:4823 |
| Número de Recurso | 1769/2021 |
A U D I E N C I A N A C I O N A L
Sala de lo Contencioso-Administrativo
SECCIÓN PRIMERA
Núm. de Recurso: 0001769 / 2021
Tipo de Recurso: PROCEDIMIENTO ORDINARIO
Núm. Registro General: 13394/2021
Demandante: ALLIANZ COMPAÑÍA DE SEGUROS Y REASEGUROS, S.A.
Procurador: GERMÁN MARINA GRIMAU
Demandado: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Abogado Del Estado
Ponente IIma. Sra.: Dª. BEGOÑA FERNANDEZ DOZAGARAT
S E N T E N C I A Nº :
IImo. Sr. Presidente:
D. EDUARDO MENÉNDEZ REXACH
Ilmos. Sres. Magistrados:
Dª. LOURDES SANZ CALVO
Dª. BEGOÑA FERNANDEZ DOZAGARAT
D. FERNANDO DE MATEO MENÉNDEZ
Madrid, a dieciséis de octubre de dos mil veintitrés.
Visto el recurso contencioso administrativo número 1769/2021, que ante esta Sala de lo Contencioso Administrativo de la Audiencia Nacional, Sección Primera, ha promovido la entidad ALLIANZ COMPAÑÍA DE SEGUROS Y REASEGUROS SA representada por el procurador D. Germán Marina y Grimau, contra la resolución de la Agencia Española de Protección de Datos de fecha 10 mayo 2021 en materia de sanción; se ha personado la Administración General del Estado, representada por el Abogado del Estado. Siendo ponente la señora Dª Begoña Fernández Dozagarat, Magistrada de esta Sección.
Por la entidad ALLIANZ COMPAÑÍA DE SEGUROS Y REASEGUROS SA representada por el procurador
D. Germán Marina y Grimau, se interpone recurso contencioso administrativo contra la resolución de la Agencia
Española de Protección de Datos de fecha 10 mayo 2021.
Por decreto de fecha 12 julio 2021 se admitió el precedente recurso y se reclamó a la Administración demandada que en el plazo de veinte días remitiese el expediente administrativo y realizase los emplazamientos legales.
Una vez recibido el expediente, por diligencia de ordenación se concedió a la parte recurrente el plazo de veinte días para que formalizase la demanda, y por diligencia de ordenación se dio traslado al Sr. Abogado del Estado para que contestase la demanda en el plazo de veinte días.
Por auto de fecha 6 junio 2022 se recibió el presente recurso a prueba y una vez practicadas aquellas que se declararon pertinentes se declaró concluso el presente procedimiento.
Por diligencia de fecha 24 febrero 2022 se fijó la cuantía del presente procedimiento en 30.000 euros.
Se señaló para deliberación y fallo el día 10 octubre 2023.
La parte recurrente, la entidad ALLIANZ COMPAÑÍA DE SEGUROS Y RESASEGUROS, S.A. (en adelante ALLIANZ) interpone recurso contencioso administrativo contra la resolución de 10 mayo 2021, PS/00123/2021 de la Agencia Española de Protección de Datos que impone sanción pecuniaria a la recurrente.
La resolución señala que en virtud de denuncia presentada contra Allianz, la reclamada manifestó que se le había cobrado un seguro de moto del que ni era titular ni tomadora ni había dado autorización para el uso de sus datos. De la reclamación se dio traslado a Allianz dando respuesta y especificando que conforme a los archivos internos, la reclamada figura como tomadora de una póliza de moto emitida en 2016 a través del intermediario de seguros Peris Corredoría d Seguros SA, y anulada en 2017. El intermediario de seguros nos informa que el recibo que se cargó en la cuenta de la reclamante obedeció a un claro error informático. Se informa a la reclamante que los hechos que nos describe el intermediario son los siguientes:
- Se procedió por parte de la reclamante a la venta de la moto, previamente asegurada en ALLIANZ, a otra persona, quién, a su vez, contrató una nueva póliza con esta Compañía en 2019, a través de otro intermediario de seguros, agente exclusivo.
- El error tuvo lugar en el momento de formalizarse la contratación. Al introducir el número de matrícula para poder emitir la nueva póliza, el sistema interno, por algún motivo, arrastró el número de cuenta corriente titularidad de la reclamante y, a raíz de ello, se le cargó en su cuenta, de forma totalmente involuntaria, la prima de seguro correspondiente a la póliza contratada por el nuevo titular de la moto.
- Precisamente, que se trató de un error informático se desprende de forma clara del comprobante del cargo que se presentada a la Agencia Española de Protección de Datos, donde consta otra persona y no la reclamante, como titular del recibo.
Al pasarle al cobro el recibo a la reclamante, ésta ordena al Banco la devolución del mismo.
- Asimismo, nos consta que la reclamante formuló una reclamación interna a esta Compañía sobre dicho cargo indebido y, que el Departamento de Defensa del Cliente, le contestó en fecha 9 de diciembre de 2019 admitiendo el error (...)".
La resolución fija como hechos probados que: 1.- Según se manifiesta en la reclamación, la reclamante indicó que, se le había cobrado un seguro de moto sin ser titular ni tomadora del seguro, por lo que no había un tratamiento lícito de los datos personales. 2.- Según las alegaciones de la entidad reclamada, la reclamante era tomadora de una póliza de moto emitida en 2016 y anulada por ella misma en 2017. Tras investigar los hechos que originaron la reclamación, el intermediario de seguros informó a la aseguradora que el recibo que se cargó en la cuenta de la reclamante obedeció a un error informático.
La resolución continúa exponiendo que el art. 5 RGPD de los principios que han de regir el tratamiento de los datos personales y menciona entre ellos el de licitud, lealtad y transparencia, señalado: "1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); a su vez en el apartado 2 se señala que: 2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
El artículo 6 del RGPD, sobre la licitud del tratamiento de datos personales, establece que: "1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; (...)".
En el presente caso, la reclamada realizó una cancelación de la póliza de seguros en 2017, por lo que desde ese momento la actora perdió cualquier derecho a seguir tratando esos datos. Por ello, lo declarado probado y acaecido en 2019 constituye una vulneración del art. 6 RGPD.
La LO 3/2018 en el art. 72 1. b) considera muy grave la infracción cometida y el art. 83.5.b) RGPD señala que
5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía .
El RGPD en el art. 83.2 se dispone: 2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción ;
g) las categorías de los datos de carácter personal afectados por la infracción;
Por su parte, el art. 76.2 LO 3/2018 establece: 1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales .
Y fija la sanción en 30.000€ por la falta de diligencia debía a la entidad, al seguir realizando un tratamiento de los datos personales de la reclamante sin causa legítima después de haber dado de baja la póliza de seguros.
Contra esta resolución se interpone el presente recurso contencioso administrativo.
La parte actora en su demanda señala que durante el año 2016-2017 la reclamante tuvo contratado un seguro de moto sobre su vehículo que, más tarde, transmitió y por tanto dejó de ser titular. El seguro se dio de alta a través de un intermediario Peris Corredoría de Seguros SA, y se anuló por la reclamante en 2017. El comprador de la moto a la reclamante el 30-9-2019 contrata un nuevo seguro de moto con la actora, póliza cuya información fue recabada por el mediador y a quien se deben de atribuir estos hechos y, además, desde el 21 julio 2020 la actora no tiene relación con el mediador ante sus incumplimientos de contrato. Las gestiones de alta y emitir la póliza las realiza el mediador. El 2- 10-2019, la reclamante informa a la actora de un cargo contra su cuenta corriente de 242,03€, cargo que no se volvió a girar. Y el 29 octubre 2019 la reclamante se dirige a la Agencia Española de Protección de Datos haciendo referencia a que se le ha cobrado un seguro de moto del que ya no es tomadora ni ha dado autorización para que se utilicen sus datos. La actora contestó al...
Para continuar leyendo
Solicita tu prueba