El informe jurídico de la Agencia Española de Protección de Datos (AEPD) sobre el Proyecto de Real Decreto que aprueba el Reglamento de Ordenación, Supervisión y Solvencia de las Entidades Aseguradoras y Reaseguradoras aborda varios aspectos clave relacionados con la protección de datos personales. A continuación, se presenta un resumen de aproximadamente 500 palabras.
El Proyecto de Real Decreto tiene como objetivo desarrollar la Ley 20/2015, que regula la ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. La AEPD examina cómo este proyecto se alinea con la normativa de protección de datos, especialmente la Ley Orgánica 15/1999.
Uno de los puntos centrales del informe es el deber de información. El artículo 99.6 de la Ley 20/2015 establece que las entidades aseguradoras deben informar a los tomadores del seguro sobre el tratamiento de sus datos personales. Además, en operaciones como la cesión de cartera o la transformación de entidades, se debe cumplir con el artículo 99.8, que especifica que no se producirá cesión de datos sin el cumplimiento de las obligaciones de información.
El informe también analiza el tratamiento de datos de pólizas o siniestros. Las entidades aseguradoras pueden tratar datos personales sin consentimiento para garantizar el cumplimiento del contrato de seguro y las obligaciones legales. Sin embargo, cualquier tratamiento de datos para otras finalidades requiere el consentimiento específico de los interesados.
La AEPD destaca la necesidad de diferenciar entre las normas que aplican los principios de protección de datos a la actividad aseguradora y aquellas que prevén la cesión o comunicación de datos a la Dirección General de Seguros y Fondos de Pensiones (DGSFP). Estas cesiones deben estar amparadas por una norma con rango de Ley y deben ser proporcionales y necesarias para el cumplimiento de las funciones supervisoras.
El informe subraya la importancia de que las cesiones de datos a la DGSFP se ajusten al artículo 11 de la Ley Orgánica 15/1999, que establece que los datos solo pueden ser comunicados con el consentimiento del interesado o cuando la cesión esté amparada por una norma con rango de Ley. Además, los datos tratados deben ser utilizados únicamente para las finalidades que justificaron su cesión y deben estar sujetos al deber de secreto.
El acceso de las entidades aseguradoras al Índice Nacional de Defunciones para verificar la supervivencia de beneficiarios también es analizado. La AEPD considera que este acceso no es contrario a la normativa de protección de datos, ya que los datos de personas fallecidas no están sujetos a la misma protección que los datos de personas vivas.
El informe aborda la complejidad del régimen de honorabilidad y aptitud de los directivos y consejeros de las entidades aseguradoras. La AEPD señala que el artículo 18 del Proyecto, que reproduce el artículo 33 del Anteproyecto, es desproporcionado y excede los límites establecidos por la Ley Orgánica 15/1999. La AEPD sugiere que se clarifique qué información puede ser recabada y tratada, limitando el alcance de los datos a aquellos que sean adecuados, pertinentes y no excesivos.
Finalmente, el informe concluye que, aunque el Proyecto de Real Decreto contiene disposiciones que pueden afectar al régimen de protección de datos, es posible ajustarlo para que sea conforme a la Ley Orgánica 15/1999. Se recomienda clarificar las finalidades del tratamiento de datos, limitar el acceso a la información y establecer medidas de seguridad reforzadas para proteger los datos personales.