| Informe | 2024-0014 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Anteproyecto de Ley de modificación del texto refundido de la Ley sobre responsabilidad civil y seguro en la circulación de vehículos a motor
La Agencia Española de Protección de Datos (AEPD) emitió un informe (37/2023) en abril de 2023 sobre el Anteproyecto de Ley (APL) que modificaba la normativa de responsabilidad civil en el seguro de vehículos, señalando la necesidad de actualizar la regulación conforme al RGPD y la LOPDGDD, incluyendo un análisis de riesgos y una Evaluación de Impacto en Protección de Datos (EIPD). Tras la incorporación de un nuevo Título V en el APL, la AEPD emitió un segundo informe (014/2024) analizando su contenido.
Valoración general del Título V
El Título V regula los tratamientos de datos en el ámbito del seguro obligatorio de responsabilidad civil, estructurándose en dos capítulos:
Disposiciones generales: Detalla las bases legitimadoras de los tratamientos de datos para la celebración, ejecución y gestión de seguros, así como para siniestros.
Sistemas comunes de información: Regula los tratamientos relacionados con la prevención del fraude.
La AEPD considera positivo el enfoque general, pero realiza observaciones concretas:
Principales observaciones y sugerencias
Artículo 145.2 (Tratamiento de datos de terceros):
Se permite tratar datos de terceros (ej. conductor habitual) si existe base jurídica, pero la AEPD pide que se especifiquen qué terceros son relevantes para evitar tratamientos excesivos.
Artículo 146.1 (Finalidades de tratamiento):
La expresión «finalidades establecidas en la normativa del seguro privado» es ambigua y podría permitir tratamientos no justificados. Se sugiere eliminarla o aclararla.
Artículo 147 (Tratamiento de datos de salud):
La AEPD critica que el tratamiento de datos de salud se justifique exclusivamente por el artículo 9.2.f) del RGPD (reclamaciones), ya que también podría ampararse en el interés público esencial en salud pública (artículo 9.2.g RGPD y DA 17ª LOPDGDD).
Se recomienda una redacción que incluya ambos fundamentos, así como garantías específicas (ej. minimización de datos) y la eliminación del párrafo que asimila al perjudicado con el tomador del seguro.
Artículo 149.2 (Datos en sistemas de prevención de fraude):
La AEPD advierte que incluir datos identificativos de perjudicados con daños personales puede considerarse un dato de salud (artículo 4.15 RGPD). Se requiere una base jurídica clara del artículo 9.2 RGPD y garantías proporcionales.
Artículo 149.5 (Cesión a autoridades públicas):
La AEPD exige que la cesión de datos a Fuerzas de Seguridad o la DGT sea específica y no masiva, alineándose con la jurisprudencia del Tribunal Constitucional (STC 17/2013). También pide aclarar si esta cesión se rige por el RGPD o la LO 7/2021 (datos penales).
Artículo 150.5 (Responsabilidad proactiva):
El APL sugiere que la aprobación de un código de conducta exima a las aseguradoras del análisis de riesgos y EIPD, algo que el RGPD no recoge. La AEPD recomienda eliminar este párrafo.
Falta de EIPD y análisis de riesgos:
El documento aportado como «EIPD» solo analiza el Fichero Informativo de Vehículos Asegurados (FIVA), no el resto de tratamientos regulados en el APL.
La AEPD insiste en la necesidad de realizar una EIPD completa para el procedimiento legislativo, como ya sugirió en su informe 37/2023.
Conclusión
La AEPD aprueba el Título V en términos generales, pero exige:
Mayor precisión en la definición de finalidades y bases legitimadoras.
Inclusión de garantías específicas para el tratamiento de datos de salud (salud pública).
Ajuste en los sistemas de prevención del fraude para evitar tratamientos desproporcionados.
Realización de una EIPD completa y análisis de riesgos para todos los tratamientos regulados, no solo para el FIVA.
Eliminación del párrafo 150.5 que excluye dichos análisis.
El informe subraya la importancia de que la normativa cumpla con los principios de minimización, proporcionalidad y garantías reforzadas en el tratamiento de datos sensibles.