(Sala de lo Contencioso-Administrativo, Sección 1ª). Sentencia de 8 de julio, 2008

Transcripción

1 (Sala de lo Contencioso-Administrativo, Sección 1ª). Sentencia de 8 de julio, 2008 Sumario Marsh, S.A., Mediadores de Seguros, y Direct Seguros y Reaseguros, S.A. interponen recurso contencioso-administrativo contra la Resolución de la Agencia Española de Protección de Datos de 12 de septiembre de 2006 por la que se impone a la primera una multa de ,21 euros por una infracción muy grave del art de la LOPD, y a la segunda, por una infracción grave del art. 6.1 de la LOPD, también una multa de ,21 euros. En 1998, el ciudadano cuyos datos son objeto de protección, contrata con el corredor de Seguros Marsh, S.A., una póliza de seguro de su automóvil con la aseguradora Allianz. En abril de 2004, como consecuencia de un Acuerdo entre Marsh y Direct Seguros, la primera le remite publicidad sobre la póliza de seguro acordada con Direct Seguros. Previamente cede sus datos personales a la compañía de seguros, que en mayo de ese año emite un documento de "Confirmación de solicitud y condiciones particulares de Seguro de Automóvil", en la que figura como entidad mediadora la Correduría de Seguros Marsh, que no es firmado por el sujeto afectado. La Resolución impugnada, tras realizar determinadas consideraciones sobre la figura del corredor de seguros como mediador de seguros privados, sostiene que Marsh contaba con el consentimiento del denunciante para la remisión del escrito de propaganda sobre la póliza de seguro de automóvil acordada con Direct Seguros, de acuerdo con el artículo 6.2 de la LOPD, por cuanto mantenía una relación negocial derivada del arrendamiento de servicios que le vinculaba con el denunciante. Sin embargo, para la cesión de sus datos personales a dicha compañía de seguros, la citada Correduría no contaba con el consentimiento del denunciante, ya que se trataba de una nueva póliza totalmente independiente de la que tenía suscrita con Allianz.

2 En relación con la actuación de Direct Seguros, sostiene la Agencia que ha quedado acreditado que no contaba con el consentimiento del denunciante para tratar sus datos, y ello porque la cesión de los datos fue inconsentida al carecer Marsh de la representación del denunciante, vulnerándose así el art. 6.1 de la LOPD. Las alegaciones efectuadas por el corredor de seguros Marsh se sustentan en que, para poder recabar información útil para su cliente, necesita dar a conocer sus circunstancias personales (salud, edad, historial como asegurado, etc...) pues sólo de esa manera podrá concretar ofertas que sean de su interés. En definitiva, según su tesis, para poder cumplir con su función le resulta indispensable comunicar a las compañías aseguradoras algunos datos personales de los propios clientes, entorpeciéndose extraordinariamente su función si tuviera que recabar su consentimiento expreso y escrito cada vez que busca un nuevo producto que satisfaga mejor sus necesidades. En el caso enjuiciado envió al denunciante una oferta de seguro más favorable que la que tenía suscrita con la compañía Allianz. Al no contestar entendió que le apoderaba tácitamente para realizar la gestión, por lo que habría existido consentimiento. Por su parte, Direct Seguros sostiene que actuó en todo momento de buena fe, ya que se limitó a adoptar una posición pasiva de receptora de una solicitud de seguro, en beneficio del denunciante, que mejorara las condiciones del seguro que tenía vigente para su automóvil, actuando en la creencia de que dicha solicitud realizada por la Correduría del denunciante contaba con su conocimiento y consentimiento. Por tanto, cuando trató los datos de carácter personal del denunciante lo hizo en la creencia de que disponía del consentimiento del afectado para realizarlo. El Tribunal, partiendo de la Ley 9/1992, de 30 de abril, que regulaba la

3 actividad de Mediación en los Seguros Privados en el momento de los hechos, y tomando en consideración jurisprudencia del Tribunal Supremo, afirma que la esencia del contrato de mediación o corretaje radica en que el corredor o mediador se obliga a poner en contacto a una persona (la que contrató sus servicios) con otra para que entre ellas puedan celebrar el contrato objeto de la mediación, sin que el referido contrato de corretaje entrañe, por sí solo y a falta de estipulación expresa en tal sentido, conferimiento de mandato alguno en favor del mediador o corredor para que éste pueda actuar, como representante o mandatario del que contrató sus servicios, en el perfeccionamiento o celebración del contrato objeto del corretaje. De lo anterior se deduce que el corredor de seguros Marsh no tenía otorgado un mandato representativo por parte de éste para contratar seguros de ningún tipo, como tampoco autorización para ceder sus datos de carácter personal con la finalidad de que le ofertaran otros contratos de seguros de automóviles que mejoraran las condiciones del que ya tenía suscrito con la compañía Allianz. Para poder cederlos legítimamente debería haber contado con su consentimiento. CESIÓN DE DATOS En lo que se refiere a la cesión de datos, identificable con la comunicación de los mismos, el Tribunal acude a la doctrina constitucional que razona que el derecho fundamental a la intimidad no aporta por sí solo una protección suficiente frente a las amplias posibilidades que la informática ofrece, dado que una persona puede ignorar no sólo que datos suyos se hallan recogidos en un fichero, sino también si se han trasladado a otro y con qué finalidad. Y ello, según el mismo Tribunal Constitucional porque ".. el derecho a consentir la recogida y el tratamiento de los datos personales (Art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad especifica que también forma parte del contenido del derecho a la protección de tales datos. Y por tanto la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (Art. 4.2 LOPD), supone una nueva posesión y un

4 uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y por tanto esté justificada, sea proporcionada y, además se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites. De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias, como del destino de éstos, pues solo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil para el responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos". Resultan pues, de la interpretación sistemática de dicha normativa y doctrina constitucional, dos notas esenciales y definitorias de la figura jurídica de la cesión o comunicación de datos en nuestro derecho: La primera de ellas es que se trata de un concepto de gran amplitud y así, cualquier revelación o manifestación de datos a un tercero, distinto del interesado, constituye cesión o comunicación de los mismos a efectos de la LOPD. La segunda es la trascendencia que el consentimiento del interesado, válidamente otorgado, posee en todo el marco regulador de esta figura. Esto último enlaza, directamente, no solo con la previsión que del "consentimiento inequívoco del afectado" contiene el artículo 6 LOPD, sino con el propio concepto que de la "autodeterminación informativa" han desarrollado tanto la doctrina como la Jurisprudencia constitucional, concepto básico y esencial en materia de protección de datos.

5 A continuación se insiste en cuáles son los requisitos necesarios para que la cesión de datos personales pueda considerarse válidamente producida: el consentimiento previo del afectado; que la cesión se relacione con el cumplimiento de los fines del cedente, y que la cesión se relacione también con los fines del cesionario. En el caso de autos, y tras el estudio profundo del concepto y los requisitos de la cesión legítima de datos, los Magistrados estiman que no existió consentimiento previo, por lo que tal comunicación de datos no fue válida. EXCEPCIÓN AL PRINCIPIO DE CONSENTIMIENTO Para el caso de que no se admita a existencia de un mandato tácito que conlleva la existencia de un consentimiento previo, sostiene el corredor de seguros Marsh que la cesión está comprendida en las excepciones al principio del consentimiento que se contienen en el art. 11 de la LOPD, concretamente en el apartado 2.c) que trata de aquellos casos en que "el tratamiento responda a una libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima cuando se limite a la finalidad que la justifique". El Tribunal interpreta este precepto en el sentido de que se requiere la existencia de una relación jurídica, ya sea contractual, laboral, administrativa o de otro tipo, en virtud de la cual obren en poder del responsable del fichero determinados datos del afectado. Se trata, por tanto de aquellos casos en que el tratamiento responde a una relación libre y legítimamente aceptada por tal interesado, y los datos salen del círculo de dicha relación jurídica a fin de desarrollar, cumplimentar, y controlar la misma.

6 Tras confirmar que el contrato de corretaje no conlleva mandato representativo alguno, y en apoyo de su interpretación, la Sala acude al apartado 3 del artículo 63 de la nueva Ley 26/2006, de 17 de julio, de Mediación de seguros y reaseguros privados, que hace expresa referencia a las obligaciones de los corredores de seguros en materia de protección de datos. De acuerdo con tal disposición, sólo se exime del consentimiento antes de celebrar el contrato de seguro, en cuyo caso puede el corredor no sólo realizar tratamientos sino también ceder los datos a la entidad aseguradora o reaseguradora con la que se va a celebrar el contrato. Pero una vez celebrado el contrato, el tratamiento sin consentimiento sólo es legítimo para continuar ofreciendo asesoramiento independiente pero no para ceder los datos a un tercero, ya que la norma no lo autoriza ni de forma expresa ni implícita, debiendo obtenerse el consentimiento previo del afectado. Por último, el Tribunal estima, respecto de Marsh, la concurrencia de culpabilidad basada en su falta diligencia, lo que configura el elemento culpabilístico de la infracción administrativa. Sin embargo, en cuanto a Direct Seguros, estima que actuó con el convencimiento legítimo de que el consentimiento había sido prestado al mediador de seguros, por lo que en ausencia de culpabilidad, procede a estimar el recurso y anular la sanción que le fue impuesta.