La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 8.000 euros a una compañía aseguradora por haber facilitado de forma indebida datos personales de asegurados distintos. El error consistió en compartir información que correspondía a otro cliente, vulnerando así el principio de integridad y confidencialidadestablecido en el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD).
El caso pone de relieve que la licitud del tratamiento de datos en el sector asegurador —habitualmente amparada en la relación contractual con el cliente (art. 6.1.b RGPD)— no exime de la obligación de adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de la información. En este supuesto, la deficiencia en los protocolos internos de verificación evidenció una falta de diligencia que activó la responsabilidad de la empresa.
Debe recordarse que el RGPD consagra el principio de responsabilidad proactiva (accountability), que obliga a los responsables del tratamiento a demostrar que cumplen con la normativa y que gestionan los riesgos asociados. En sectores como el asegurador, donde la información puede incluir datos de salud, familiares o financieros —en ocasiones incluso catalogados como categorías especiales de datos conforme al artículo 9 RGPD—, los estándares de diligencia exigidos son particularmente elevados.
La resolución de la AEPD evidencia que no solo se sanciona la cesión ilícita de datos sin base de legitimación, sino también los errores derivados de una gestión inadecuada. En consecuencia, resulta imprescindible que las entidades adopten protocolos de doble verificación en la entrega de información, impartan formación periódica a sus empleados, refuercen las medidas de ciberseguridad que garanticen trazabilidad y reduzcan el margen de error humano, y apliquen el principio de minimización de datos limitando la información facilitada a lo estrictamente necesario.
En suma, la multa impuesta constituye una advertencia clara: en materia de protección de datos, la negligencia también tiene consecuencias jurídicas y económicas. Como subraya la doctrina especializada, la privacidad se erige hoy como un derecho fundamental que exige no solo documentos y políticas, sino una gobernanza real y efectiva de los datos en la práctica diaria de las organizaciones.
