La Agencia Española de Protección de Datos sanciona con una multa de 300.000 euros a la aseguradora porque su agente de seguros consultó a través de la página web de la Dirección General de Tráfico (DGT) el saldo de puntos asociados al carné de conducir de un cliente sin su consentimiento.
Para poder efectuar la consulta, el agente había obtenido previamente de la DGT una clave de acceso, para lo cual tuvo que facilitar datos personales del cliente-el NIF y la fecha de expedición de su carné de conducir- y una dirección de correo electrónico – poniendo una dirección de la que el reclamante no es titular- a la que la DGT ha remitido la clave, y una vez recibida la clave, accedió a la información de los puntos que se encuentra registrada en la DGT.
Con esta fórmula para conocer el saldo de puntos del interesado durante la negociación previa a la contratación de un seguro de automóvil, se aprovechó de un mecanismo de acceso a un registro que custodia un organismo público, la DGT, aprovechando una debilidad de la aplicación informática en la autenticación de la identidad del titular de los datos, y la reclamada diseñó una vía de acceso al dato de los puntos de los interesados que eludía el sistema que la DGT tenía configurado.
Consultar el saldo de puntos del solicitante del seguro a través de la web de la DGT utilizando el dato del NIF para una finalidad diferente de aquella para la que fue facilitada y eludiendo las instrucciones de la DGT sobre quién está legitimado para acceder a su página web a efectuar esa consulta, es innegable que es una infracción grave que además se presume cometida respecto a otros clientes.
El acceso afecta a datos sensibles porque al conocerse el saldo de puntos, también se conoce la pérdida de puntos como consecuencia de una infracción grave o muy grave del código de circulación.
Se sugiere que hubiera sido más conveniente y ajustado a la política de calidad que el operador telefónico indicara expresamente no solo "¿hago la consulta?", sino que hubiera añadido "a la DGT", o que empleara una fórmula como "¿me autoriza la consulta de sus puntos a la DGT?.
En cuanto a que se sancione a la aseguradora y no al agente, se detecta que falta en el contrato de agencia las indicaciones que por imperativo del artículo 203.2 del RDL 3/2020 (LA LEY 1003/2020) deben de incluirse en cuanto al encargo de tratamiento de datos como tampoco constan indicaciones que el artículo 28.3 del RGPD (LA LEY 6637/2016) exige que el responsable facilite a su encargado acerca de la operación de tratamiento que le encomienda.