Índice de contenidos
La AEPD ha impuesto una multa a una aseguradora tras infringir el RGPD por enviar información sobre un cliente a otro
Todos podemos cometer un error, pero es importante contemplar que algunos errores nos pueden salir más caros que otros. Por ejemplo, enviar información sobre un cliente a otro al confundirse de destinatario en un email puede parece un fallo menor, pero si el correo o la documentación adjunta incluyen datos personales no se trata de un error pequeño o sin repercusiones.
Enviar información sobre un cliente a otro es una acción que, aunque sea accidental, infringe el Reglamento General de Protección de Datos, la gran norma que regula, en el ámbito europeo, la salvaguardia de los datos de ciudadanos y empresas.
Así lo ha establecido la Agencia Española de Protección de Datos (AEPD), el organismo encargado de velar por el cumplimiento del RGPD en nuestro país y que ya ha impuesto millonarias multas de protección de datos en España en 2025.
El caso analizado por la AEPD
La AEPD ha multado recientemente a una aseguradora con 8.000€ por equivocarse al enviar información sobre un cliente a otro. O, para ser más exactos, mezclar datos relacionados con diferentes clientes.
Este caso llegó a manos de la AEPD tras la reclamación presentada por un cliente de la aseguradora. ¿Qué sucedió?
El reclamante informó a la compañía de seguros sobre un siniestro que debería ser cubierto por su seguro de hogar. Después, la aseguradora cometió una cadena de errores. Por un lado, envió información relacionada con este siniestro a otro asegurado. Por otro, remitió al reclamante comunicaciones establecidas con un tercer asegurado en las que se incluían datos personales.
Es decir, en total, se vieron afectados tres personas diferentes, como consecuencia de que la organización no pudiese evitar mezclar datos de clientes.
Qué dice el RGPD sobre enviar información sobre un cliente a otro
Uno de los artículos más importantes del RGPD es el número 5, que establece los principios relativos al tratamiento de datos.
Uno de estos principios es el de exactitud de los datos.
Así, el RGPD fija que los datos tienen que ser «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan».
¿Qué conclusiones podemos sacar a partir de este artículo?
- Enviar información sobre un cliente a otro, aunque sea por error, infringe el principio de exactitud.
- Las empresas deben implementar medidas razonables para que esta clase de error no se produzca.
CRM, una herramienta que erradica la posibilidad de enviar información sobre un cliente a otro por error
La medida más efectiva para evitar enviar información sobre un cliente a otro es contar con un programa CRM (Customer Relationship Management).
Las soluciones CRM permiten a las empresas y a los profesionales gestionar de forma integral a sus clientes, proteger sus datos y prevenir errores como enviar información sobre un cliente a otro. ¿Por qué? Desde el CRM se puede:
- Crear fichas integrales con los datos y la documentación de cada cliente.
- Acceder a las fichas cuando sea necesario para prestarle un servicio a un cliente.
- Enviar emails y WhatsApps desde las fichas para informar a los clientes sobre cualquier cuestión o hacerle llegar documentación.
- Sistematizar los datos y centralizar la información para evitar que se produzcan cruces de datos de clientes.
- Almacenar de forma segura la información en un programa que cuenta con mecanismos de seguridad sólidos y realizar la creación automática de copias de seguridad periódicas.
Al fin y al cabo, si desde la ficha de un cliente se le puede enviar directamente un email, las probabilidades de que esta comunicación acabe en la bandeja de entrada de otro cliente son nulas.
Cuantía de las sanciones por enviar información sobre un cliente a otro
¿A qué se exponen los negocios que no tienen un CRM u otra tecnología que les permita evitar enviar información sobre un cliente a otro por error?
El RGPD dicta que las empresas que infrinjan los principios básicos del tratamiento de datos pueden recibir multas administrativas de hasta 20 millones de euros o el 4% del volumen de negocio anual de la compañía.
Estas cifras dan miedo, pero es importante tener en cuenta que la AEPD fija la cuantía de las sanciones teniendo en cuenta las consecuencias de la acción, los esfuerzos por mitigar los daños, la intencionalidad, el nivel de negligencia, el número de personas afectadas o el tamaño del negocio que ha vulnerado la normativa de protección de datos.
Por ejemplo, en el caso de la aseguradora la multa fue de 8.000€. Este importe no es tan rimbombante, pero para un autónomo o una pyme puede suponer un desafío financiero que haga temblar su salud económica.
Legal, sanitario, educativo… Sectores donde enviar información sobre un cliente a otro puede ser extraordinariamente grave
Si enviar información sobre un cliente a otro es un error sensible en todos los ámbitos, aún es más crítico en algunos sectores como el legal, el sanitario o el educativo.
Por ejemplo, si un abogado se confunde de cliente y le envía información sobre un procedimiento penal a la persona equivocada está vulnerando sus obligaciones de confidencialidad.
Igualmente, enviarle a un paciente los resultados de las pruebas médicas a las que se sometió otra persona también es una acción extraordinariamente grave que vulnera la especial protección a la que están sujetas los datos sanitarios.
No está de más recordar que tanto abogados como médicos deben respetar el secreto profesional.
En el ámbito educativo, desvelar información sobre menores de edad también es una acción que, aunque sea accidental, va en detrimento de la protección de los menores.
Por eso, despachos, clínicas o escuelas deben asegurarse de que las herramientas que usan para gestionar la información de clientes, pacientes y alumnos son lo suficientemente eficaces para prevenir problemas a la hora de enviar documentos o datos por email o WhatsApp o facilitarlos de forma presencial o a través de una llamada telefónica.
En estos ámbitos, disponer de un CRM integral puede ser la mejor forma de evitar enviar información sobre un cliente a otro y prevenir no solo multas en materia de protección de datos, sino también el abono de indemnizaciones por revelar información confidencial y/o sensible.
Más allá de multas e indemnizaciones: Los daños en la relación entre un negocio y sus clientes
Además de las responsabilidades legales que deben asumir las empresas y los profesionales por enviar información sobre un cliente a otro, no podemos perder de vista los daños reputacionales que este error puede provocar.
A nadie se le escapa en pleno 2025 que la protección de datos personales es uno de los grandes melones de esta era. Las personas somos cada vez más reticentes sobre la forma en que se tratan nuestros datos privados. Los negocios que no sean sensibles a esta cuestión, se exponen no solo a recibir multas, sino también a perder clientes.
Si un autónomo descubre que su asesoría le envió su declaración trimestral del IVA a otro cliente… ¿Va a estar satisfecho? ¿Seguirá confiando en la asesoría y en la forma en que gestiona sus facturas, libros contables o modelos tributarios? La respuesta a ambas preguntas seguramente sea un «no».
Enviar información sobre un cliente a otro menoscaba la confianza que los clientes depositan en un negocio y puede provocar la pérdida de consumidores y, por lo tanto, de ingresos.
En definitiva, las empresas y los autónomos deben trabajar con herramientas que les permitan:
- Evitar errores como enviar información sobre un cliente a otro.
- Trabajar con la información de sus clientes de una forma segura.
- Agilizar el envío de comunicaciones, a la vez que se garantiza la confidencialidad de la información.
- Proteger los datos de sus clientes frente a ataques (externos o internos) y errores cometidos sin mala intención.
Una opción perfecta para realizar todas estas acciones es trabajar con un software CRM integral.