El Informe Jurídico 0439/2008 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la cesión de una cartera de clientes de una empresa mediadora de seguros a otra empresa del mismo sector. La consulta se centra en determinar si dicha cesión se considera una cesión de datos según el artículo 19 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El artículo 19 del Reglamento establece que en operaciones de reestructuración societaria, como fusiones, escisiones o transmisiones de negocio, no se produce una cesión de datos, sino una sustitución del responsable del fichero. En este caso, la operación descrita se considera una transmisión íntegra de la cartera de clientes, lo que implica que la consultante cesará en su actividad mediadora. Por lo tanto, la operación se incluye en las descritas en el artículo 19, y no se considera una cesión de datos, sino una mera sustitución del responsable.
Sin embargo, para que la operación sea conforme a la Ley Orgánica 15/1999, es necesario que los afectados hayan sido debidamente informados de los extremos contenidos en el artículo 5 de la Ley, incluyendo la identificación del nuevo responsable del fichero. La consultante informó a los afectados mediante una carta certificada con acuse de recibo, dándoles la opción de negarse a la transmisión de su póliza. No obstante, no fue posible localizar a algunos clientes, a pesar de intentos a través de correo y llamadas telefónicas.
La AEPD señala que ni la Ley Orgánica 15/1999 ni su Reglamento de desarrollo establecen una solución específica para este problema. Sin embargo, la entidad cesionaria, en su condición de corredor de seguros, está sujeta a la Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados. Esta ley permite a los corredores tratar los datos de los clientes sin su consentimiento para ofrecerles asesoramiento y facilitar dichos datos a las entidades aseguradoras.
El Reglamento de desarrollo de la Ley Orgánica 15/1999 incluye previsiones relevantes. El artículo 8.5 establece que los datos de carácter personal deben ser exactos y puestos al día, y se consideran exactos los facilitados por el afectado. El artículo 40.5 dispone que, si la notificación de inclusión de datos es devuelta, el responsable del fichero debe comprobar la exactitud de la dirección utilizada.
En conclusión, si los datos utilizados por la consultante son los facilitados por los afectados, se presumirán exactos, y se podrá proceder al tratamiento de los mismos incluso en caso de devolución. La AEPD considera que se ha cumplido el deber de información, dado que se realizaron intentos de contacto mediante correo certificado y llamadas telefónicas, utilizando las direcciones y teléfonos especificados por los afectados. Por lo tanto, no es necesario acudir al procedimiento de exención del deber de informar establecido en el Reglamento.