| Informe | 2022-0048 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad del acceso de las compañías de seguros de automóviles a la información contenida en el Registrador de Datos de Incidencias (EDR) con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). El EDR es un sistema diseñado para registrar y almacenar parámetros críticos relacionados con una colisión, antes, durante y después del evento.
El informe destaca que el acceso a los datos del EDR por parte de las compañías de seguros debe cumplir con los principios de protección de datos establecidos en el artículo 5.1 del RGPD, como la licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad. Sin embargo, la consulta se centra principalmente en la base jurídica del tratamiento propuesto, obviando el análisis de otros principios.
El Reglamento (UE) 2019/2144 establece que la finalidad única del EDR es permitir a las autoridades nacionales analizar la seguridad vial y evaluar la eficacia de las medidas adoptadas. La información obtenida debe estar anonimizada y protegida contra la manipulación y el uso indebido, y no puede identificarse ni el vehículo ni su propietario. El tratamiento de estos datos debe cumplir con el RGPD y garantizar la privacidad de los interesados.
Desde la perspectiva del derecho a la protección de datos, el tratamiento de la información del EDR se realiza al amparo de los apartados c) y e) del artículo 6.1 del RGPD, que permiten el tratamiento necesario para el cumplimiento de una obligación legal o para el cumplimiento de una misión realizada en interés público. La base jurídica debe ser establecida por el Derecho de la Unión o el Derecho de los Estados miembros y debe definir claramente la finalidad, los destinatarios y las garantías del tratamiento.
El informe subraya que cualquier limitación al derecho fundamental a la protección de datos debe estar establecida por una norma con rango de ley, previa ponderación de los intereses en pugna y respetando el principio de proporcionalidad. La norma debe definir claramente los presupuestos materiales de la medida limitadora y establecer las garantías adecuadas.
En conclusión, el tratamiento propuesto por la consultante no cumple con el principio de licitud, ya que el acceso al EDR está limitado a las autoridades nacionales para fines específicos de seguridad vial. La finalidad solicitada por la consultante no es compatible con la finalidad prevista en el Reglamento 2019/2144, y no se considera un tratamiento ulterior con fines de archivo en interés público, investigación científica o estadísticos. Por lo tanto, el tratamiento no puede llevarse a cabo conforme al RGPD.