El informe jurídico 0363-2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la transmisión de datos personales a una entidad aseguradora en el contexto de una póliza de seguro de grupo sobre la vida para los trabajadores de una empresa. El informe se centra en determinar si dicha transmisión constituye una cesión de datos personales o un tratamiento de datos por cuenta de terceros, según lo establecido por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza analizando la posibilidad de que la transmisión de datos a la entidad aseguradora se considere un acceso a los datos por cuenta de terceros, conforme al artículo 12.1 de la Ley Orgánica 15/1999. Este artículo establece que no se considera comunicación de datos cuando el acceso es necesario para la prestación de un servicio al responsable del tratamiento, refiriéndose a la figura del encargado del tratamiento. Sin embargo, para determinar si se trata de una cesión de datos o un tratamiento por cuenta de terceros, es necesario evaluar las circunstancias específicas del caso.
El informe concluye que se trata de una cesión de datos cuando la entidad receptora puede aplicar los datos a sus propias finalidades, beneficiándose directamente. En este caso, la aseguradora decide sobre el objeto y tratamiento de los datos, convirtiéndose en responsable del fichero o tratamiento. Por otro lado, si la entidad receptora se limita a realizar operaciones sobre los datos sin decidir sobre su finalidad, contenido y uso, se trataría de un acceso por cuenta de terceros.
En cuanto al consentimiento, el informe señala que la cesión de datos requiere el consentimiento del afectado, salvo que el interesado haya conocido y aceptado expresamente la existencia del seguro. En este caso, el consentimiento puede obtenerse a través de una cláusula en el contrato de trabajo o mediante la solicitud de adhesión al seguro, que debe ser cumplimentada por el trabajador.
Respecto al tratamiento de los datos del beneficiario designado por el asegurado, el informe indica que no es necesario el consentimiento del beneficiario si los datos son necesarios para el mantenimiento o cumplimiento del contrato, conforme al artículo 6.2 de la Ley Orgánica 15/1999. Sin embargo, los datos solo pueden ser utilizados para la finalidad específica de entregar la indemnización pactada al beneficiario, sin poder ser utilizados para otros fines.
En resumen, el informe jurídico 0363-2008 establece que la transmisión de datos a la entidad aseguradora en el contexto de una póliza de seguro de grupo sobre la vida constituye una cesión de datos que requiere el consentimiento del afectado, salvo en los casos en que el interesado haya aceptado expresamente la existencia del seguro. Además, el tratamiento de los datos del beneficiario está amparado por la ley siempre y cuando se limite a la finalidad específica del contrato de seguro.