Esta comunicación indebida ha acabado en sanción por vulnerar un pilar básico de la normativa de protección de datos: la confidencialidad
Regala esta noticia 04/05/2026 a las 14:22h.Recibió documentación de un siniestro en la que no solo figuraban sus datos personales. Aparecían los de otro afectado completamente ajeno. Ante tal despropósito, planteó ... una reclamación ante la empresa de transportes que había afectado a sus maletas. La afectada denunció que, tras realizarse la valoración de los daños de sus enseres, se le remitió una hoja de valoración del siniestro en la que, junto a sus datos personales como perjudicada, aparecían datos de una tercera persona, ajena a ella. Esa comunicación indebida, aparentemente puntual, ha acabado en sanción por vulnerar uno de los pilares del sistema de protección de datos: la confidencialidad.
El documento en cuestión incluía información especialmente sensible: nombre y apellidos, número identificador (coincidente con el DNI), cuentas bancarias e importes indemnizatorios. Es decir, no se trataba de un error menor. La propia resolución constata que los datos personales del tercero «fueron revelados a la reclamante», lo que constituye una comunicación no autorizada.
Un mero intermediario
Durante la investigación, la empresa alegó que actuó como mero intermediario entre la aseguradora y la clienta. Según explicó, la compañía de seguros elaboró el peritaje y la compañía de transportes se limitó a reenviarlo «sin manipulación alguna», aunque con advertencia de confidencialidad. Incluso llegó a sostener que no se consideraba técnicamente responsable de los datos de los pasajeros al tratarse de un servicio gratuito sin venta de billetes.
Sin embargo, la AEPD no comparte ese planteamiento. El organismo concluye que la mercantil sí actuaba como responsable del tratamiento, al decidir sobre el envío de la documentación. En ese sentido, subraya que fue la propia empresa la que decidió remitir a la afectada la 'hoja de valoración del siniestro', asumiendo con ello las obligaciones derivadas del Reglamento General de Protección de Datos.
El núcleo de la infracción radica en la vulneración del principio de integridad y confidencialidad. En este sentido, la resolución indica que la conducta evidencia que la entidad «no garantizó de forma adecuada la confidencialidad de los datos personales que trataba» y que carecía de medidas organizativas suficientes para evitar este tipo de situaciones cuando había varios afectados en un mismo expediente.
Además, el impacto se agrava por la naturaleza de los datos expuestos. El texto destaca que el DNI es «un identificador numérico personal (…) con valor suficiente para acreditar tanto la identidad como la nacionalidad», lo que incrementa el riesgo de perjuicios como la suplantación de identidad o daños económicos. A ello se suma la divulgación de números de cuenta bancaria, lo que refuerza la gravedad del incidente.
Aunque la infracción fue calificada como «muy grave» conforme al RGPD, la sanción inicial se fijó en 3.000 euros tras ponderar las circunstancias del caso, entre ellas la ausencia de reiteración y la adopción posterior de medidas correctoras. La empresa implementó protocolos internos y comunicó tanto a su personal como a la aseguradora la necesidad de separar los datos de cada afectado en futuras comunicaciones.
Finalmente, la empresa optó por acogerse a las reducciones previstas en la normativa administrativa. De este modo, abonó 1.800 euros, resultado de aplicar un 20% de descuento por reconocimiento de responsabilidad y otro 20% por pago anticipado. Esto puso fin anticipado al procedimiento, tal como recoge la resolución: el pago voluntario «implicará la terminación del procedimiento».
comentarios Reportar un error