La Agencia Española de Protección de Datos (AEPD) ha acordado el archivo de las actuaciones seguidas contra Funeraria Fernández, S.A. (EXP202413550) por la comunicación de una factura de servicios funerarios a una persona distinta de la contratante, al considerar que no concurre el elemento subjetivo de culpabilidad exigible para la imputación de una infracción administrativa en materia de protección de datos.
Hechos
La reclamante denunció en septiembre de 2024 que la funeraria había remitido, sin su consentimiento, una factura expedida a su nombre —correspondiente al sepelio de su padre— a la dirección de correo electrónico de un tercero, que resultó ser su hermana.
De la investigación practicada por la Subdirección General de Inspección se acreditó la siguiente secuencia de hechos: la hermana de la reclamante fue quien comunicó telefónicamente el fallecimiento a la funeraria, quedando registrado su número de teléfono como contacto en el sistema de gestión (FIORI). Posteriormente, cuando el departamento de administración llamó a dicho número para solicitar una dirección de correo electrónico a la que remitir la factura, la hermana se identificó como la reclamante y facilitó dos direcciones de correo —la suya propia y la de la reclamante— a las que la funeraria envió la factura. La reclamante advirtió el error e informó a la funeraria de que el número de teléfono al que habían llamado no era el suyo. Días después, la propia hermana remitió un correo aclarando el malentendido, que justificó en problemas de cobertura telefónica.
Actuaciones de la funeraria tras el incidente
La entidad reclamada reconoció los hechos y aceptó su responsabilidad en la incorrecta identificación, si bien subrayó que el error fue inducido por la suplantación de identidad cometida por la hermana de la reclamante. Tras tener conocimiento de la incidencia, la funeraria adoptó las siguientes medidas: contactó con la hermana solicitándole la eliminación del correo y la factura recibidos, remitió disculpas formales por escrito a la reclamante y revisó sus protocolos internos de actuación, reforzando los procedimientos de verificación de identidad. La entidad acreditó contar con medidas técnicas y organizativas de protección de datos, así como con el apoyo de una consultora externa que realiza funciones de asistencia continuada y revisión de riesgos.
Fundamentos del archivo
La AEPD enmarca los hechos en el principio de exactitud del artículo 5.1.d) del RGPD y, tras valorar las circunstancias concurrentes, concluye que no procede imputar infracción administrativa. La resolución pondera los siguientes elementos: la comunicación de datos se produjo como consecuencia de una incorrecta identificación del destinatario provocada por la conducta engañosa de un tercero que se hizo pasar por la reclamante; la entidad tenía implantadas medidas de protección de datos y actuó de forma diligente para mitigar los efectos del incidente una vez conocido; no se aprecia intencionalidad, mala fe ni obtención de beneficio por parte de la funeraria; y no consta la producción de un perjuicio material o moral acreditado para la reclamante.
La AEPD concluye que no concurre el elemento subjetivo de culpabilidad exigible para la imputación de la infracción, si bien se reserva la posibilidad de llevar a cabo actuaciones posteriores en ejercicio de sus poderes de investigación y correctivos.
La resolución pone fin a la vía administrativa y es susceptible de recurso potestativo de reposición o de recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.