Las aseguradoras son responsables del tratamiento de datos personales cuando actúan para fines propios.
La Superintendencia de Protección de Datos Personales (SPDP) emitió un análisis técnico en respuesta a una consulta formal sobre la naturaleza jurídica del tratamiento de datos personales —específicamente datos médicos— por parte de las compañías de seguros y las empresas asesoras y productoras de seguros. Este pronunciamiento, aunque no vinculante, representa una guía especializada sobre la aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) en el ámbito asegurador y de la salud.
Contenido y escenarios
La consulta planteó si las compañías de seguros deben considerarse “encargadas del tratamiento” cuando acceden a información médica de pacientes enviada por establecimientos de salud, a solicitud de los propios asegurados. La SPDP respondió afirmativamente en cuanto a que estas compañías no actúan como encargadas, sino como responsables del tratamiento
1. El análisis técnico distingue tres escenarios relevantes:
- Prestación de servicios médicos: El establecimiento de salud actúa como responsable del tratamiento de los datos personales del paciente, en el marco de la atención médica.
- Transmisión a la aseguradora: Cuando los datos son transferidos a la aseguradora por petición del paciente, esta transferencia convierte a la aseguradora en destinataria de la información, pero no modifica su calidad de responsable.
- Uso para fines propios: La aseguradora o asesora/productora de seguros, al utilizar los datos para sus propios fines (como validación de coberturas, análisis de riesgos o cumplimiento contractual), actúa como responsable del tratamiento.
2. Implicaciones jurídicas y obligaciones:
Este pronunciamiento reafirma que las compañías de seguros deben cumplir con todas las obligaciones establecidas en la LOPDP, incluyendo:
- Implementar medidas de seguridad técnicas y organizativas adecuadas.
- Garantizar la confidencialidad y limitación de la finalidad.
- Transparentar el tratamiento de los datos personales ante los titulares.
- Respetar el principio de proporcionalidad, especialmente al tratar datos sensibles como los de salud.
El tratamiento de datos médicos requiere especial cuidado, dado que estos se encuentran dentro de las categorías especiales de datos personales y gozan de mayor protección legal.
3. Conclusión:
Las compañías de seguros, así como las asesoras y productoras de seguros, no actúan como encargadas del tratamiento, sino como responsables, cuando acceden y utilizan información médica de los asegurados para fines propios, como cumplimiento contractual o evaluación de cobertura. En consecuencia, deben sujetarse a todas las obligaciones establecidas en la LOPDP y sus reglamentos.
