El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 125/2006 aborda tres cuestiones principales relacionadas con la aplicación de la Ley 20/2005, de 14 de noviembre, sobre la creación del Registro de Contratos de Seguros con Cobertura de Fallecimiento.
En primer lugar, se analiza si las entidades aseguradoras deben cumplir con el deber de información al afectado, conforme a los artículos 5 y 27 de la Ley Orgánica 15/1999 de Protección de Datos. La AEPD concluye que, aunque estos artículos imponen obligaciones de información, dichas obligaciones pueden ser exceptuadas cuando el tratamiento o cesión de datos está previsto en una norma con rango de ley. En este caso, la Ley 20/2005 establece una obligación legal de cesión de datos al Registro General de Actos de Última Voluntad, lo que exime a las entidades aseguradoras del deber de informar a los afectados.
En segundo lugar, se examina si es necesario crear o modificar los ficheros de las entidades aseguradoras para cumplir con la nueva ley. La AEPD indica que, dado que los datos a ceder serán parte de ficheros ya existentes y notificados al Registro General de Protección de Datos, no será necesario crear nuevos ficheros. Sin embargo, sí será necesario notificar la modificación de los ficheros existentes para incluir las nuevas cesiones de datos. Esto se debe hacer siguiendo los procedimientos establecidos por la AEPD, especificando las cesiones de datos previstas.
Por último, se aborda el nivel de seguridad aplicable a la cesión de datos. La AEPD señala que, aunque los ficheros vinculados a la actividad aseguradora deben cumplir con las medidas de seguridad de nivel medio, el artículo 26 del Reglamento de Medidas de Seguridad, que regula las medidas de nivel alto, no será exigible a las comunicaciones al Registro. No obstante, la normativa reglamentaria del Registro podría establecer medidas de seguridad más altas si así se acordara.
En resumen, el informe de la AEPD clarifica las obligaciones de las entidades aseguradoras en relación con la Ley 20/2005, eximiéndolas del deber de información a los afectados debido a la habilitación legal de la cesión de datos, y especificando los procedimientos para la notificación de modificaciones en los ficheros y el nivel de seguridad aplicable.