El Informe 0039/2005 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si la cesión de datos de un asegurado desde una entidad aseguradora a una entidad reaseguradora está amparada por los artículos 11.2 c) y 12 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD).
El reaseguro es una modalidad de seguro que cubre el riesgo asumido por los aseguradores al contratar seguros directos con sus clientes. A diferencia del coaseguro, en el reaseguro se cede parte de un riesgo ya asumido por el asegurador a otro, sin intervención del asegurado. El reasegurador no tiene relación directa con el asegurado y su función es indemnizar al asegurador directo en caso de siniestro.
La AEPD establece que el reasegurador no puede ser considerado encargado del tratamiento de datos, ya que su actividad no se realiza «en nombre y por cuenta» del asegurador. Por lo tanto, la transmisión de datos al reasegurador implica una cesión de datos personales, que según el artículo 11.1 de la LOPD, requiere el consentimiento previo del interesado.
Sin embargo, el artículo 11.2 de la LOPD permite la cesión de datos sin consentimiento en ciertos supuestos, como cuando la cesión está habilitada por una norma con rango de Ley o cuando el tratamiento responde a la libre y legítima aceptación de una relación jurídica. La AEPD analiza si la cesión de datos a la reaseguradora se ampara en el artículo 11.2 c), concluyendo que no es aplicable en este caso.
La Ley de Contrato de Seguro (LCS) establece la independencia entre el contrato de seguro y el de reaseguro, negando cualquier relación entre el asegurado y el reasegurador. Por lo tanto, el reaseguro no es necesario para el desarrollo, cumplimiento o control del contrato de seguro, lo que impide la aplicación del artículo 11.2 c) de la LOPD.
En consecuencia, la cesión de datos de un asegurado a una entidad reaseguradora no está amparada por los artículos 11.2 c) y 12 de la LOPD. Por lo tanto, será necesario contar con el consentimiento del interesado para realizar dicha cesión, a menos que exista una norma con rango de Ley que habilite esta cesión. En ausencia de tal norma, será directamente aplicable el artículo 11.1 de la LOPD, que exige el consentimiento previo del afectado.