El Informe 224/2006 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad con la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, de un convenio entre mediadores de seguros, compañías aseguradoras y un Ayuntamiento. Este convenio prevé la cesión de información sobre accidentes de tráfico, vehículos y conductores, así como la vigencia de los seguros correspondientes.
La AEPD señala que, debido a la falta de detalles específicos sobre el contenido y la finalidad del convenio, su respuesta debe ser genérica. Sin embargo, se destaca que la transmisión de datos planteada implica una cesión o comunicación de datos de carácter personal, conforme al artículo 3.i) de la Ley Orgánica 15/1999.
El artículo 11.1 de la misma ley establece que los datos de carácter personal solo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado. No obstante, este consentimiento no es necesario en los supuestos previstos en el artículo 11.2, que no se aplican en este caso.
La AEPD subraya que la cesión de datos a las corporaciones locales no está prevista en las normas reguladoras del Fichero Informativo de Vehículos Asegurados (FIVA) ni en el fichero creado por la disposición adicional sexta de la Ley Orgánica 15/1999, que permite la creación de ficheros comunes para prevenir el fraude en el seguro sin necesidad de consentimiento del afectado, pero requiere la comunicación al afectado sobre el responsable del fichero y los derechos de acceso, rectificación y cancelación.
Además, la cesión planteada no se ajusta a lo dispuesto en la Ley 9/1992, de Mediación del Seguro Privado, ni en el Proyecto de nueva Ley en tramitación parlamentaria. Por lo tanto, el convenio no encuentra acomodo en la Ley Orgánica 15/1999, aunque se deja abierta la posibilidad de un análisis específico si el convenio se refiere a supuestos concretos.
En resumen, la AEPD concluye que, en términos generales, el convenio propuesto no se ajusta a la normativa vigente sobre protección de datos, y sugiere que cualquier cesión de datos debe estar debidamente justificada y conforme a las disposiciones legales aplicables.