XI. Protección de Datos
Anuncio
XI. PROTECCIÓN DE DATOS Gonzalo F. Gállego Higueras. Abogado - Socio - Departamento de Derecho de las Nuevas Tecnologías Hogan Lovells International XI.1. RELEVANCIA DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL EN EL SECTOR ASEGURADOR Finalmente y en tercer lugar, la actividad aseguradora se estructura habitualmente sobre una malla de entidades que participan en diversas cadenas de la actividad de producción y gestión del seguro (Ej. distribución, aseguramiento, reaseguro, retrocesión, etc.). Ello, por un lado, multiplica el número de sujetos que tratan datos y se ven afectados por la normativa sobre protección de datos y, por otro, da lugar a continuos y múltiples flujos de datos personales que, en sí mismos, también se encuentran regulados por dicha normativa. Siendo esta la situación, no es extraño que el sector asegurador sea uno de los pocos que cuenta con regulación específica que trata de acomodar o interpretar la normativa general sobre protección de datos, para aplicarla al sector concreto, en este caso el del seguro. Así, por ejemplo, encontramos disposiciones como el artículo 62 de la Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados («LMSRP») que clarifican si un mediador debe ser considerado encargado del tratamiento o responsable del fichero u otras como el artículo 58.bis.9 del Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados (Real Decreto Legislativo 6/2004, de 29 octubre) («LOSSP») que permiten específicamente la cesión de datos personales entre aseguradores y reaseguradores. Aun con todo, lo cierto es que la aplicación de la normativa de protección de datos a la actividad aseguradora depara todavía algunas dudas El sector asegurador es uno de los más relevantes desde la perspectiva de la normativa protección de datos. Concurren en el varios elementos que hacen que ello sea así. En primer lugar, gran parte de la actividad aseguradora comporta el tratamiento intensivo de datos de carácter personal1. Para verificar esto, basta pensar en todos aquellos seguros cuyo asegurado, siniestrado o beneficiario es una persona física. En cada una de las pólizas de estos seguros, se realizan tratamientos de datos de carácter personal. En segundo lugar, un número relevante de productos de seguro requieren del tratamiento de datos dotados de una particularmente intensa protección. Son datos que la propia normativa sobre protección de datos denomina «datos especialmente protegidos» (artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal («LOPD»)). Dentro de éstos, destacan los datos de salud, como los que son manejados en la selección de riesgos de seguros de vida, seguros de enfermedad o de asistencia sanitaria, etc. 1 Es decir, datos concernientes a personas físicas identificadas o identificables. 237 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... de calado que deben ser solventadas, no ya sólo por versar sobre disposiciones cuyo incumplimiento lleva aparejado sanciones muy elevadas –incluso de más de 600.000 por infracción–, sino por que se trata de requisitos que afectan a la actividad cotidiana de las entidades aseguradora, no a tratamientos meramente excepcionales o puntuales, por lo que la oscuridad con que se presenta la regulación de protección de datos, puede favorecer incumplimientos a gran escala y totalmente involuntarios. En las siguientes líneas realizaremos una evaluación acerca de la aplicación de la normativa sobre protección de datos al sector asegurador, incidiendo en algunos de los aspectos que son peculiares o dificultosos. conocido) nace al amparo del artículo 18.42 de la Constitución Española SIn embargo, debe su contenido actual a la jurisprudencia de nuestro Tribunal Constitucional3 que lo ha dibujado y caracterizado como derecho autónomo e independiente. Conforme a dicha jurisprudencia, el derecho a la protección de datos se configura como una superación al contenido del tradicional derecho a la intimidad (artículo 18.1 de la Constitución Española) y sirve al propósito de garantizar el poder de disposición del individuo sobre sus datos de carácter personal ante el posible tratamiento de los mismos. A diferencia del derecho a la intimidad personal y familiar, que tiene un contenido esencialmente pasivo que se concreta en la facultad de evitar que terceros conozcan aspectos pertenecientes a una esfera privada, el derecho a la protección de datos posee «una dimensión positiva [...] que se traduce en un derecho de control sobre los datos relativos a la propia persona», el derecho a oponerse a que «determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención» (STC 11/1998, de 13 de enero). Abundando en la idea, la STC 292/2000, de 30 de noviembre afirma que el derecho fundamental a la protección de datos «persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno» [...] «es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos [...] que faculta a la persona para decidir cuáles de esos datos proporcio- XI.1.1. EL DERECHO A LA PROTECCIÓN DE DATOS O AUTODETERMINACIÓN INFORMATIVA Como hemos indicado, el derecho a la protección de datos tiene una singular relevancia en el sector asegurador. Sin embargo, lo cierto es que este derecho no es una materia particular o específica del ámbito asegurador. Tampoco lo es la mayor parte de normativa que lo regula que, salvo por algunas excepciones, se compone de disposiciones aplicables a todo tratamiento de datos, con independencia del ámbito o sector económico en el que se produzca éste. Este carácter tangencial del derecho a la protección de datos respecto del sector asegurador unido a la relativa novedad del mismo, hace aconsejable iniciar el presente estudio con una pequeña introducción acerca del contenido y características del derecho a la protección de datos. Una vez se dibujen los perfiles de este derecho, pasaremos a analizar la aplicación del mismo a algunos de los tratamientos de datos propios de la industria del seguro. El derecho fundamental denominado «derecho a la protección de datos» (o «libertad informática» o «autodeterminación informativa» o «Habeas Data», que de todas estas formas es 2 El precepto citado dice así: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». 3 Colaboró, en todo caso, a perfilar el contenido de este derecho fundamental, la ratificación por España del Convenio (Nº 108) para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal (ratificado por España por instrumento de 27 de enero de 1984). 238 XI. PROTECCIÓN DE DATOS desarrolladas fundamentalmente en dos normas, a saber la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal («LOPD») y el Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 diciembre («RLOPD»). El contenido de dichas normas se está en gran medida harmonizado con respecto al de otros países de la Unión Europea, merced a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que fue transpuesta en España mediante la LOPD citada. Esta harmonización facilita los flujos de datos entre países de la Unión Europea. Junto a la LOPD y RLOPD, encontramos diversas disposiciones que regulan tratamientos de datos de carácter personal en sectores específicos como las comunicaciones electrónicas, las comunicaciones comerciales, sector de la salud y, por supuesto, el sector asegurador, siendo este último sector uno4 de los que cuenta con una regulación más sofisticada en lo que respecta a tratamientos de datos personales5. El respeto al derecho a la protección de datos y el cumplimiento de la normativa arriba indicada en los sectores privados6, es garantizado por nar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso». Las facultades de disposición y control propias del derecho a la protección de datos alcanzan, no ya sólo a información de carácter «íntimo» (propia de artículo 18.1 de la Constitución Española), sino a los «datos de carácter personal», entendidos como cualquier tipo de información concerniente a personas físicas identificadas o identificables. Todo tratamiento de datos que se refieran a la persona (incluso aunque los datos no sean íntimos) puede afectar a los derechos y libertades del individuo y, en consecuencia, debe estar sometido al control de éste. Por ejemplo, con carácter general, el nombre, apellidos y número de teléfono no son datos que puedan calificarse como de «íntimos»; no es información que, en principio, deseemos mantener apartada del conocimiento de los demás (de hecho, muchos directorios y guías telefónicas pueden contener esta información). Sin embargo, si un tercero utiliza esta información para llevar a cabo llamadas de telemarketing a horas inadecuadas, es evidente que podemos sentirnos coaccionados o, al menos, podemos percibir que nuestra libertad ha sido mermada no ya por que el tercero haya accedido al conocimiento de información que no queremos que se conozca, sino por que la información «pública» de que dispone es utilizada para fines que no deseamos. Desde esta perspectiva, se entiende bien que el derecho a la protección de datos, haya sido calificado por algún autor como el «derecho a que le dejen a uno en paz» (»the right to be let alone») (Samuel D. Warren y Louis D. Brandeis. «THE RIGHT TO PRIVACY». Harvard Law Review. Vol. IV. 15 de Diciembre de 1890. Núm. 5). 4 De hecho, sólo el sector de las comunicaciones electrónicas cuenta con regulación específica sobre protección de datos tan detallada como la del sector asegurador. 5 Entre las múltiples disposiciones que pueden citarse encontramos los artículos 62 y ss. de la LMSRP; el artículo 58bis.9 de la LOSSP; la Ley 20/2005, de 14 de noviembre, de Registro de Contratos de Seguros de Cobertura de Fallecimiento y el Real Decreto 398/2007, de 23 marzo, por el que se desarrolla la Ley 20/2005, de 14 de noviembre, de Registro de Contratos de Seguros de Cobertura de Fallecimiento o la Instrucción 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal. 6 Junto con la AEPD, conviven determinadas Agencias de Protección de Datos de algunas Comunidades Autónomas, que tiene competencias en lo que respecta a intervenir el cumplimiento de la normativa sobre protección de datos por parte de la Administraciones Públicas de la Comunidad Autónoma. XI.1.2. REGULACIÓN COMÚN Y SECTORIAL EN MATERIA DE PROTECCIÓN DE DATOS En España las facultades de control propias del derecho a la protección de datos se encuentran 239 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... la Agencia Española de Protección de Datos («AEPD»). La infracción de las obligaciones en esta materia puede dar lugar a importantes sanciones, de hasta más de 600.000 . ser entidades aseguradoras, reaseguradoras, corredores, etc. Entre los elementos que configuran la protección del asegurado en tanto que «interesado o afectado» respecto de sus datos personales, podemos señalar las siguientes: (a) El principio de calidad de los datos (artículos 4 LOPD y 8 RLOPD), en virtud del cual sólo pueden ser objeto de tratamiento datos de carácter personal que sean adecuados, pertinentes y no excesivos en relación con las finalidades del tratamiento para el cual los datos fueron recabados, quedando prohibidos igualmente los tratamientos realizados con fines ilícitos. En cumplimiento de este principio, los datos personales deben de ser cancelados cuando ya no son necesarios. (b) El deber de información (artículos 5 LOPD y 18 y ss. RLOPD) que obliga a entidades como las aseguradoras o corredores, a proporcionar información detallada a los asegurados acerca de la recogida y tratamiento de sus datos de carácter personal. Dentro de esta información encontraríamos la identidad de quien ostenta el control sobre los datos (Ej. una entidad aseguradora), los tratamientos a los que serán sometidos los datos personales, los destinatarios a los que los datos serán comunicados, el ejercicio de los derechos ARCO (véase letra (f) siguiente), etc. En la mayor parte de casos, la obligación de información se cumple en el momento de la recogida de los datos, es decir, cuando se recaban los datos del propio asegurado (Ej. en la solicitud del seguro). Sin embargo, la obligación de información también existe –e incluso, puede decirse que con más razón– cuando los datos se recaban de fuentes distintas al propio interesado (Ej. cuando son proporcionados por un tercero, como ocurre cuando un centro médico proporciona el resultado de las pruebas médicas encargadas por una entidad aseguradora). XI.2. PROTECCIÓN Y TRANSPARENCIA FRENTE AL ASEGURADO EN TANTO QUE «INTERESADO O AFECTADO» RESPECTO A SUS DATOS DE CARÁCTER PERSONAL Según se ha expuesto en líneas precedentes, el derecho a la protección de datos confiere a su titular la facultad de decidir qué tipo de tratamientos pueden ser realizados con sus datos de carácter personal (sean o no íntimos). Tal facultad se concreta en diversas disposiciones que regulan esta materia tanto de forma genérica, (es el caso de la LOPD o el RLOPD), como de forma sectorial, incluyendo, entre otras, las disposiciones propias del sector asegurador. Pues bien en su aplicación al sector asegurador, el derecho a la protección de datos actúa como un claro mecanismo de transparencia y protección de asegurado, que complementa el manto de protección que proporcionan otras normas sectoriales tratadas en apartados precedentes por otros autores de la obra que el lector tiene en sus manos. Como persona física titular de los datos personales que se tratan, el asegurado7 ocupa el rol del «interesado o afectado» al que la normativa sobre protección de datos otorga toda la protección en materia de protección de datos, permitiéndole decidir el tipo de información que sobre su persona tratarán los diversos actores intervinientes en la cadena de producción y gestión del seguro (aseguradores, reaseguradores, mediadores, auxiliares, etc.). En líneas generales, tal protección se configura en torno a obligaciones que ostentan aquellas entidades que deciden acerca del tratamiento de los datos personales –que la normativa denomina como «responsables del fichero o del tratamiento»– que en ámbito asegurador, pueden 7 También, según los casos, el beneficiario, siniestrado, etc. 240 XI. PROTECCIÓN DE DATOS (c) El consentimiento (artículos 6 LOPD y 10 RLOPD) que, junto con el deber de información, constituye el otro pilar fundamental8 en el que se asienta el derecho a la protección de datos y que, con carácter general, impide que puedan tratarse datos de carácter personal, sin el consentimiento del interesado. En algunos supuestos (artículo 7 LOPD) donde se tratan datos calificados como «especialmente protegidos» este consentimiento tiene que ser expreso (Ej. en el caso de datos de salud) y aun por escrito (Ej. datos de ideología). Existen en todo caso excepciones a la obligación del consentimiento que se prevén en el artículo 6.2 de la LOPD con carácter general y en diversos apartados de los artículos 7 y 8 de la LOPD, en el caso de los datos «especialmente protegidos». Se trata de supuestos –previstos en la LOPD de forma taxativa– donde la naturaleza de la recogida o tratamiento de los datos hace que, o bien pueda suponerse que ese consentimiento se habría obtenido de forma «implícita» o bien el tratamiento responda a intereses protegibles que hagan que el tratamiento deba excluirse del ámbito de la voluntad del interesado. Algunos de los supuestos de excepción son relevantes en el sector del seguro. Por ejemplo, no es necesario obtener el consentimiento del asegurado para tratar sus datos personales (no datos «especialmente protegidos» en las actividades de gestión de la póliza (Ej. cobro de primas, etc.), dado que dichos tratamientos se refieren «a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y [son] necesarios para su mantenimiento o cumplimiento». En apartados siguientes de este trabajo, haremos referencia a algunas de estas excepciones. (d) Deber de secreto y aplicación de medidas de seguridad (artículos 9 y 10 de la LOPD y 79 y ss. RLOPD), que obliga a todo aquel que participa en el tratamiento de los datos, a preservar el secreto y seguridad de la información que trata. Las medidas de seguridad se regulan de forma detallada en el RLOPD y se dividen en tres niveles atendiendo a la sensibilidad de los datos personales tratados. (e) Regulación de las cesiones de datos de carácter personal y de accesos a datos por cuenta de terceros (artículos 11 y 12 de la LOPD y 10, 12 y ss. y 20 y ss. RLOPD) que establecen limitaciones a la «entrega» de datos de carácter personal a terceros, todo ello con el objetivo fundamental de garantizar el pleno control del interesado (aquí asegurado) sobre sus datos personales. Con carácter general, las cesiones o comunicaciones de datos precisan del consentimiento del interesado. Al igual que ocurre con el requisito general del consentimiento que hemos tratado en la letra (b) anterior, la LOPD y el RLOPD prevén supuestos de excepción a esta regla general. Algunas de estas excepciones son clave para el sector asegurador, como la relativa a las cesiones autorizadas en una ley (artículo 11.2 LOPD), en virtud de la cual es posible realizar las cesiones de datos a reaseguradores merced a la previsión contenida en el artículo 58.bis.9 de la LOSSP. Dentro del ámbito de las «transmisiones» de datos personales a terceros –pero de forma separada a las cesiones de datos– 8 Sobre este particular, nuestro Tribunal Constitucional ha indicado lo siguiente en su STC 292/2000, de 30 de noviembre anteriormente citada: «En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele». 241 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... merecen un tratamiento singular los accesos por terceros a datos con el fin de realizar un tratamiento por cuenta del responsable en el contexto de un servicio que le prestan. Estos terceros (que la normativa denomina «encargados del tratamiento») no son realmente destinatarios finales de los datos personales les son confiados (como ocurre en una cesión) sino que, en realidad, tales datos les son «prestados» al objeto de realizar un servicio para el responsable. En este contexto, la LOPD considera a estos encargados como una suerte de «brazo ejecutor» del responsable, de ahí que no aprecie cesión de datos en el acceso a los datos por el encargado (en realidad, los datos no salen del ámbito de control del responsable) y no se exija consentimiento del interesado para procurar este acceso (de hecho, ni siquiera es preciso informar de ello). No obstante, el acceso a datos por encargados del tratamiento tampoco está exento de requisitos. La LOPD se preocupa de asegurar que el encargado continúe realmente bajo la esfera de control del responsable y, para ello, exige que el tratamiento de datos a realizar por éste se regule en un contrato con el responsable en el que de deje constancia clara de que el encargado del tratamiento únicamente tratará los datos por cuenta del responsable y siguiendo instrucciones de éste (artículo 12 LOPD). Tanto la cesión de datos como los accesos por encargados del tratamiento ocupan un lugar destacado en el ámbito de los seguros. Como hemos señalado en las primeras líneas de este texto, tanto la producción como la gestión de las pólizas y del riesgo asociado a la misma, descansa sobre una malla de flujos de datos personales, todos los cuales constituyen bien cesiones de datos, bien tratamientos por encargados del tratamiento. Así, por citar sólo algunas, encontramos las cesiones de datos de aseguradoras de directo, a reaseguradoras y de éstas a retrocesionarios9. Por su parte, en el ámbito de los encargados del tratamiento, podemos mencionar los flujos de datos entre agentes u operadores de banca-seguros y aseguradoras, así como los de auxiliares y mediadores. (f) Derechos de Acceso, Rectificación, Cancelación y Oposición (»ARCO») (artículos 15 y ss. LOPD y 23 y ss. RLOPD): El último elemento que vamos a destacar en lo que respecta a la protección del asegurado frente al tratamiento de sus datos de carácter personal, se refiere a los derechos denominados ARCO, bajo los cuales se aglutinan cuatro facultades realmente importantes cara a garantizar el poder de disposición del asegurado sobre sus datos personales, a saber: (i) El derecho del asegurado a acceder y conocer los datos de carácter personal que son tratados por el responsable, así como el origen de los mismos y las cesiones realizadas o que se pretenden llevar a cabo. (ii) El derecho a rectificar aquellos datos personales que sean inexactos o incorrectos. (iii) La facultad de solicitar la cancelación (es decir, el previo bloqueo y posterior borrado) de sus datos personales. (iv) El derecho de oponerse o evitar que se realicen determinados tratamientos de datos como, por ejemplo, los de tipo publicitario. Pues bien, a la vista de lo expuesto, parece inconcuso que el haz de facultades que otorga el derecho a la protección de datos a los asegura- 9 Para un análisis acerca de la problemática que plantea el flujo de datos personales entre reaseguradores y retrocesionarios, puede acudirse a: Gonzalo F. Gállego y Joaquín Ruiz Echauri. «RETROCESIÓN....DE DATOS PERSONALES». Actualidad Aseguradora. 4 de octubre de 2010. Núm. 26/2010. 242 XI. PROTECCIÓN DE DATOS datos de asegurados como de solicitantes de seguros. Los escenarios donde tal situación puede darse son, básicamente tres: la realización de pruebas médicas en el contexto de procesos de selección de seguros como los de vida; la realización de las prestaciones en los seguros de enfermedad o asistencia sanitaria y, finalmente, el seguimiento y peritaje en caso de siniestros que afecten a personas. En todos estos casos, existe una relación contractual entre la entidad aseguradora y el centro médico, que precede al tratamiento de datos personales y que, en realidad, es causa de éste (Ej. un contrato regulador de la realización de exámenes médicos en procesos de selección de riesgos, un convenio de asistencia sanitaria, etc.). Este tratamiento se desarrolla a través de flujos de datos «de ida y vuelta» entre la entidad aseguradora y el centro médico11. Pues bien, tal y como hemos comentado anteriormente, dentro de los supuestos de transmisión de datos personales, tanto la LOPD como el RLOPD identifican uno particular que es el acceso a datos personales por un encargado del tratamiento, es decir, por una persona física o jurídica que trata datos por cuenta del responsable y dos, constituye un pilar fundamental en lo que respecta a protegerle y a garantizar la transparencia de la actividad aseguradora. XI.3. PECULIARIDADES ALGUNOS FLUJOS DE DATOS PROPIOS DEL SECTOR ASEGURADOR Aunque el derecho a la protección de datos sea un elemento clave en la protección y transparencia frente al asegurado, lo cierto es que la aplicación de la normativa sobre esta materia a los flujos que se dan en el sector asegurador no siempre es sencilla y pacífica. Ello es aplicable no sólo respecto de la normativa que podríamos llamar «común» (es decir, aquella reguladora de cualquier tratamiento, con independencia de sector), sino incluso de la sectorial de la industria aseguradora. Tal situación puede originar inseguridad jurídica tanto en lo que respecta a los asegurados como a las propias entidades que tratan los datos personales (aseguradoras, reaseguradoras, mediadores, etc.). En los siguientes apartados de este trabajo, analizamos algunos de estos supuestos dificultosos y propondremos vías de solución, cuando ello es posible. 11 En algunos casos, la entidad aseguradora «toma la iniciativa» y recaba datos del interesado que pone a disposición del centro médico para que le haga determinadas pruebas y posteriormente, el centro médico facilita a la entidad aseguradora datos relativos a las pruebas realizadas que, lógicamente, también contienen datos personales. Dentro de este supuesto se encuentra, por ejemplo, el flujo de datos que se desarrolla en procesos de selección de riesgos, donde la aseguradora encomienda a un centro médico que le realice unas pruebas médicas a un solicitante de seguro y, para ello, la entidad aseguradora facilita de entrada al centro médico los datos de que dispone. Lo mismo puede decirse de supuestos de verificación o peritación de siniestros, donde nuevamente la entidad aseguradora facilita al centro médico encargado de realizar el examen, la información que posee del siniestrado. En otras ocasiones, es el centro médico quien recaba inicialmente los datos y los entrega a las entidades aseguradoras. Es el caso de seguros de asistencia sanitaria, en los que el asegurado acude directamente al centro médico ante el que se acredita como asegurado (Ej. exhibiendo una tarjeta), momento en el cual el centro médico inicial la recogida de datos que proseguirá durante toda la asistencia al asegurado. Una vez prestada la asistencia, el centro médico transmite datos acerca de la prestación realizada a la entidad aseguradora, al objeto de que esta abone los importes convenidos con el centro médico. XI.3.1. FLUJOS DE DATOS ENTRE ASEGURADORAS Y CENTROS MÉDICOS PRIVADOS En ocasiones, la actividad aseguradora precisa de la utilización de los servicios de centros médicos privados10 que deben acceder a datos personales –incluso, datos especialmente protegidos como los de salud– de los que las entidades aseguradoras son responsables del fichero incluyendo tanto 10 Nos referimos en esta obras a los centros médicos privados, si bien lo que se aquí se indica es también aplicable mutatis mutandis a los profesionales de la medicina que prestan servicios para entidades aseguradoras. Sin embargo, con carácter general, no es aplicable a los centros médicos públicos, que están sujetos a normativa específica. A este respecto, véase el Informe 526/2003 de la AEPD. 243 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... en el contexto de la prestación de un servicio que lleva a cabo para el mismo. En tanto que los datos personales son tratados por el encargado por cuenta del responsable, la normativa entiende que los datos no salen de la esfera de control del responsable y por lo tanto no existe cesión. No existiendo tal cesión, el flujo de datos entre responsable y encargado no precisa del consentimiento del interesado, siendo únicamente preciso que exista un contrato entre responsable y encargado que regule el tratamiento que llevará a cabo éste y que cumpla los extremos previstos en el artículo 12 de la LOPD. Así las cosas, y dado que en los supuestos arriba indicados, los centros médicos acceden a los datos personales en el contexto de una relación de servicios que les une con las aseguradoras, bien podría considerarse que tales centros médicos, ostentan la condición de encargados del tratamiento y que, en consecuencia, el flujo de datos personales entre centro médico y aseguradora que indicábamos que se produce en los supuestos relatados, es «transparente» para el interesado (solicitante de seguro, asegurado o siniestrado) que ni tiene que consentir dicho tratamiento ni, de hecho, ser informado del mismo. En nuestra experiencia asesorando a este sector, esta es la perspectiva que se adopta en muchas ocasiones por la industria aseguradora. Sin embargo, la condición de los centros médicos en lo que respecta al tratamiento de datos de aseguradoras no es pacífica, existiendo posturas que apuntan hacia considerarlos encargados de tratamiento y otras que apuntan a considerarlos como responsables de fichero, como veremos seguidamente. datos existentes entre entidades aseguradoras y centros médicos en dos de los supuestos anteriormente citados, en concreto, el del acceso a datos personales de asegurados en la realización de prestaciones propias de los seguros de enfermedad o asistencia sanitaria y el del acceso a datos en el contexto de la realización de pruebas a solicitantes de seguros, necesarias para las labores de selección de riesgos. Pues bien, tras realizar un examen exhaustivo del régimen legal aplicable a los centros médicos en los dos escenarios mencionados, la AEPD rechazó la posibilidad de que tales centros médicos pudiesen ser considerados como encargados del tratamiento, concluyendo que en realidad ostentaban la condición de responsables del fichero. El núcleo del razonamiento de la AEPD reside en las obligaciones que los centros médicos ostentan bajo la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica (»LBRAP»), en particular, en los artículos 14.2 y 17.1 de dicha norma que establecen lo siguiente, respectivamente: «Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información» y «los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada (a) Centros médicos como responsables del fichero En su Informe 359/200212, la AEPD tuvo oportunidad de analizar los flujos de 12 Junto al Informe citado, también revisten interés el Informe 526/2003 relativo a la cesión de datos de salud a aseguradoras de asistencia sanitaria por centros sanitarios públicos y el Informe 449/2004, sobre cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. 244 XI. PROTECCIÓN DE DATOS gado de tratamiento está vinculada necesariamente con la prestación de un servicio que requiere el tratamiento de datos. Acabado el servicio, finaliza el motivo que justifica el tratamiento de datos y en consecuencia el encargado debe dejar de tratarlos. Sin embargo, como hemos comentado, la LBRAP impide que el centro médico cumpla el mandato de devolución o destrucción de datos previstos en el artículo 12 de la LOPD. A juicio de la AEPD ello conlleva que los centros médicos no puedan ser encargados del tratamiento por lo que solo queda la posibilidad de considerarlos responsables del fichero respecto de aquellos datos que recaben de los asegurados/solicitantes de seguro que traten en el contexto de las pruebas médicas que realicen en el ámbito de la asistencia y exámenes de salud que realicen en el marco de los acuerdos alcanzados con las entidades aseguradoras. Las consecuencias de ello son muy relevantes. La negación de la consideración de los centros médicos como encargados del tratamiento de las entidades aseguradoras, comporta que los flujos de datos entre centro médico y aseguradora ya no sean los de un responsable y su encargado, sino los de un responsable del fichero con otro responsable, es decir, una cesión de datos que, además, son especialmente protegidos (salud). Tal y como hemos mencionado, los flujos de datos entre responsables y encargados del tratamiento son transparentes para el interesado, no siendo preciso obtener el consentimiento (ni siquiera informarles) para realizar el tratamiento. Sin embargo, el régimen de las cesiones es precisamente el contrario; está presidido por la información y el consentimiento del interesado, quedando sujeto a las siguientes obligaciones que además deben cumplir tanto aseguradora como centro médico caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial» A tenor de dichos artículos, los centros médicos privados tienen obligación de conservar la historia médica y documentación clínica de aquellos pacientes a los que asistan. En cumplimiento de estas disposiciones, no les es dado a los centros médicos devolver (esto es, sin quedarse copia) a quienes les encomiendan la prestación del servicios médicos (en este caso, las entidades aseguradoras con quienes los centros médicos suscriben acuerdos bien para asistencia sanitaria a asegurados, bien para la realización de pruebas médicas en el contexto de la selección de riesgos) la información o documentación en la cual se plasmen las pruebas médicas que realizan al solicitante/asegurado. Ello impide que el centro médico pueda cumplir con las obligaciones que le corresponden como encargado del tratamiento bajo el artículo 12 de la LOPD, lo que a juicio de la AEPD conlleva la inaplicación completa del régimen de encargados del tratamiento. Ciertamente, tal y como se prevé en el artículo 12 de la LOPD, «una vez cumplida la prestación contractual [encomendada al encargado del tratamiento] los datos de carácter personal deberán ser distribuidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento». La obligación de cese (bien sea por devolución bien por destrucción) en el tratamiento de los datos tras finalizar el servicio es lógica consecuencia de todo el planteamiento sobre el que se sostiene la consideración del encargado del tratamiento como «brazo ejecutor» del responsable del fichero y que, a su vez, permite excepcionar este supuesto del régimen previsto para las cesiones de datos personales. Como hemos dicho, la figura del encar245 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... dado que ambas entidades ocupan el papel de cedente o cesionario según el sentido del flujo de datos: (i) En primer lugar, de acuerdo con lo dispuesto en el artículo 11 de la LOPD, para que se lleven a cabo cesiones de datos bien desde del asegurador al centro médico bien a la inversa, el interesado deberá dar su consentimiento a la cesión proyectada. Además, para que tal consentimiento no se repute nulo, el interesado deberá ser informado acerca de la actividad del cesionario, es decir, el centro médico o aseguradora según el sentido del flujo, así como la finalidad del tratamiento a llevar a cabo por el cesionario (artículo 11.3 LOPD). En caso que las cesiones de datos incluyan datos de salud (Ej. el informe médico que remite el centro médico a la aseguradora para que valore el riesgo del seguro solicitado) el consentimiento para la cesión de datos deberá ser expreso (artículo 7 LOPD)13. En determinadas circunstancias, es posible que algunas de las cesiones de datos aquí indicadas puedan ampararse en excepciones al consentimiento previstas en la LOPD. Por ejemplo, puede ser el caso, de la cesión de meros datos de contacto del solicitante de un seguro, que puedan ser comunicados por la aseguradora al centro médico con oca- (ii) 13 En línea con la AEPD en su Informe 359/2002, nótese que aunque el artículo 7.3 de la LOPD exonera la obligación de obtener el consentimiento para aquellos tratamientos de datos que sean necesarios para cumplir con una Ley y existan Leyes que amparen la recogida de datos de salud por aseguradoras en algunos de los supuestos aquí tratados (Ej. la recogida de datos en el contexto de cuestionarios de salud, que resulta de aplicar el artículo 10 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro (»LCS»)) lo cierto es que ninguna de estas Leyes ampara la cesión de datos al centro médico, por lo que no evita el consentimiento en este caso. 246 sión de concertar una cita para que el solicitante del seguro realice un examen médico. En este caso, no es difícil que tal cesión de datos pueda entenderse amparada por la excepción al consentimiento prevista en el artículo 11.2(c) de la LOPD, al responder el tratamiento «a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros». En todo caso, deben hacerse algunas precisiones a la aplicación de excepciones al consentimiento a los flujos de datos ahora considerados. En primer lugar, las excepciones del artículo 11.2 de la LOPD, no son aplicables cuando se ceden datos especialmente protegidos como los de salud. En segundo, las excepciones al consentimiento no exoneran del cumplimiento de las obligaciones de información del artículo 5 de la LOPD (si, en cambio, de las del artículo 27 LOPD tratado seguidamente) por lo que incluso aunque no sea preciso obtener el consentimiento, deberá suministrarse información acerca de la cesión al solicitante del seguro, cosa que, en realidad y por razones prácticas, puede hacer aconsejable obtener también el consentimiento. Junto a ello, deberá cumplirse con el artículo 27 de la LOPD que establece la obligación de proporcionar al interesado determinada información antes de que se lleve a cabo la primera cesión de datos de carácter personal, en concreto, el nombre y dirección del cesionario así como los datos de carácter personal que van a ser objeto de cesión y finalmente la finalidad del tratamiento de la información a realizar por el cesionario. XI. PROTECCIÓN DE DATOS (iii) Finalmente, no debe olvidarse que las cesiones de datos de carácter personal, llevan aparejadas la obtención por el cesionario de datos de carácter personal de fuentes distintas al interesado, siendo de aplicación lo dispuesto en el artículo 5.4 de la LOPD al que antes hemos hecho también referencia. La obligación prevista en el artículo 5.4 de la mencionada Ley Orgánica es aplicable al responsable del fichero que es el que recaba los datos de fuentes distintas al interesado, bien sea la entidad aseguradora o el centro médico según el sentido del flujo de datos. Como se observa, atendiendo a la doctrina de la AEPD, contrariamente a lo que inicialmente podría suponerse, los flujos de datos entre aseguradoras y centros médicos quedan sometidos a un régimen realmente severo y repleto de obligaciones. Siendo esto así, adquiere todavía mayor relevancia el hecho de que existan pronunciamientos como en que se expone seguidamente, donde se ha considerado que los centros médicos eran encargados del tratamiento respecto de los datos que trataban para las aseguradoras. En cuanto a flujos de datos, el supuesto no dista mucho de los considerados por al AEPD y comentados en el apartado (a) precedente. También aquí, un centro médico privado recaba datos de salud de una persona física con ocasión de realizar una prestación encomendada por una entidad aseguradora. Sin embargo, en el supuesto ahora tratado la Audiencia Nacional consideró que la labor que llevaba a cabo el centro médico en el contexto de la evaluación del estado de salud del asegurado tras un siniestro, correspondía con la de un encargado de tratamiento por lo que el flujo de datos de salud desde el centro médico hasta la aseguradora, quedaba amparado por la excepción de acceso a datos por cuenta de terceros y no constituía cesión. Ciertamente, la Audiencia Nacional nunca entró a analizar de forma precisa las implicaciones de la aplicación de la LBRAP al centro médico, como hace la AEPD en el Informe comentado en la letra (a) precedente. Por este motivo, no resulta inmediato comparar uno y otro pronunciamiento. La Audiencia Nacional calificó al centro médico como encargado de tratamiento simplemente a la vista de la existencia de un «compromiso de confidencialidad y una obligación de destruir los datos o devolverlos a la aseguradora una vez cumplida la prestación contractual [siendo este] un contrato encardinable en el artículo 12 de la LOPD». Junto a ello, conviene precisar que la labor del centro médico en el contexto de la Sentencia mencionada no es exactamente equivalente al que lleva a cabo el centro médico en los escenarios que fueron conocidos por al AEPD en el Informe mencionado anteriormente. En la Sentencia, el centro médico tenía una labor asimilada a la de un perito y, quizás, su relación con el interesado (en este caso, el asegurado siniestrado) estaba todavía más lejos de la relación paciente/médico que (b) Centros médicos como encargados del tratamiento Postura dispar a la indicada de la AEPD, adoptó la Audiencia Nacional en su la SAN de 21 de Septiembre de 2005. En dicha Sentencia, la Audiencia Nacional conoció acerca de la posible ilicitud del tratamiento de determinados datos salud, recabados por un centro médico en el contexto de la realización de labores de seguimiento y valoración médica de las lesiones de una persona accidentada, encomendadas por una entidad aseguradora. 247 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... parece latir bajo las obligaciones de conservación de información que se prevén en la LBRAP. En todo caso, lo arriba indicado no es algo que sea clarificado en la Sentencia citada. Por lo que todo lo más que podemos hacer son suposiciones destinadas a encontrar sentido a la diferente postura de la Audiencia Nacional y la AEPD. Al margen de debates ávidos de buscar explicación a esta situación, lo único cierto es que la Audiencia Nacional consideró que el centro médico contratado por la aseguradora era un encargado del tratamiento, simplemente por que existía un servicio que requería del tratamiento de los datos y un contrato regulador de lo previsto en el artículo 12 de la LOPD, siendo el criterio de la Audiencia Nacional sumamente distinto que el adoptado por al AEPD en el Informe 359/2002 antes comentado. otras finalidades asociadas a la valoración de riesgos o realización de exámenes periciales. Si observamos el tenor literal de los artículos 14.2 y 17.1 de la LBRAP que hemos citado anteriormente que obligan al centro médico a conservar determinada documentación clínica, observamos que tales obligaciones se refieren sólo a documentación relativa al «paciente». Conforme al artículo 3 de la LBRAP, dicho «paciente» es «la persona que requiere asistencia sanitaria y está sometida a cuidados profesionales para el mantenimiento o recuperación de su salud». Es decir, sólo si el objetivo de examen que se realiza a la persona es diagnosticar y curar, existe un paciente y nacen las obligaciones relativas a documentación clínica. Pues bien, dado que las obligaciones de conservación de documentación se refieren únicamente a pacientes, parece que antes de identificar que un centro médico (o profesional de la medicina) está sometido a estas obligaciones, será necesario confirmar que, realmente, la persona sobre la cual se obtuvo información era un auténtico «paciente». Y es que, no siempre que un centro médico o profesional de la médica interviene sobre una persona, esa persona adquiere la condición «paciente». Como señala Mª Teresa Criado del Río en relación con las funciones periciales de los profesionales de la medicina: «[en el caso de] los médicos peritos dedicados a la valoración médico legal del daño a la persona [....] se pueden separar dos facetas claramente diferenciadas: una faceta estrictamente médica, que consiste en la obtención de un diagnostico clínico y etiológico, el establecimiento de un pronóstico y posible evolutividad de las secuelas, la valoración de una posible opción terapéutica que pueda mitigar las lesiones del paciente, una exploración funcional del lesionado,... imprescindible para poder practicar la prueba pericial y realizar el informe; y una faceta estrictamente pericial (c) El «paciente» como criterio diferenciador del rol del centro médico Como ya hemos advertido en alguna otra ocasión (véase a este respecto, Gállego Higueras, Gonzalo Félix. «PROTECCIÓN DE DATOS Y TELESELECCIÓN DE RIESGOS». Revista Española de Seguros. Abril/Marzo 2010 (núm. 142). Ed. AIDA), la disparidad de criterios que hemos visto que existen entre la AEPD y la Audiencia Nacional, parece que aconseja reabrir la cuestión acerca del rol de los centros médicos en lo que respecta a las prestaciones que realizan para las entidades aseguradoras y las implicaciones que ello tiene en materia de protección de datos. En nuestra opinión, la clave de esta cuestión reside en la función exacta que desempeña el centro médico en cada uno de los modelos que hemos considerado y, en particular, en cuando el centro médico actúa realmente en función clínica asistencial o cuando actúa con 248 XI. PROTECCIÓN DE DATOS servicios por el centro médico en el contexto de seguros de asistencia sanitaria, si comporta claramente el tratamiento por el centro médico de datos de «pacientes». Cuando el asegurado acude al centro, es precisamente para que diagnostique y, en su caso, trate una enfermedad o lesión que cree que padece. Trasladando lo indicado respecto a la existencia de «pacientes» a la cuestión planteada acerca del rol de los centros médicos como responsables o encargados respecto de las aseguradoras que les encomiendan sus servicios, parece que en el caso las exploraciones que se realizan en el contexto de la selección de riesgos de solicitantes de seguros y en las actuaciones que realicen los centros médicos en función estrictamente pericial (por ejemplo, la elaboración del informe pericial y su entrega a la aseguradora), los centros médicos deberían ser considerados meros encargados del tratamiento y, por lo tanto, el flujo de datos quedaría cubierto por la excepción que se prevé en el artículo 12 de la LOPD. Por contra, en el supuesto de labores de médicas que pueda realizar un centro médico en el contexto de una peritación, así como en el caso de centros médicos que prestan servicios de asistencia médica al asegurado, los centros adquirirán la condición de responsables del fichero y, en consecuencia, el flujo de datos entre aseguradora y centro constituirá una cesión de datos15. La conclusión que extraemos, no se decanta totalmente ni con la postura de la AEPD ni con la de la Audiencia Nacional antes comentadas. Nosotros planteamos que se realiza a partir de los datos anteriores y consiste en establecer o intentar esclarecer mediante un estudio científico razonado los objetivos del requerimiento pericial» (Criado del Río, Maria Teresa. «LA OBTENCIÓN DE DATOS CLÍNICOS EN LA FUNCIÓN MÉDICO PERICIAL Y EL DERECHO A LA INTIMIDAD DEL LESIONADO: CONSENTIMIENTO INFORMADO». Revista «Cuadernos de Valoración», Mayo 2001). Aplicando lo indicado al tema que nos ocupa, observamos que tal condición de «paciente» no concurre (o no siempre) en dos de los tres supuestos de relación aseguradora-centro médico que hemos analizado anteriormente, a saber: (ii) Las exploraciones que se realizan en el contexto de la selección de riesgos de solicitantes de seguros, donde la finalidad del centro médico es emitir una opinión acerca de la situación de salud del paciente, sin tener entre sus tareas función alguna destinada a sanar; y (ii) Los supuestos de peritación y seguimiento de recuperación en caso de siniestro, donde al menos en parte, el centro médico se limita a verificar la situación de determinada lesión, sin tener entre sus competencias realizar de funciones médicas asistenciales14. El tercer supuesto que considerábamos anteriormente, referido a la prestación de 14 Esta doble función del médico que realiza funciones periciales para entidades aseguradoras, la explica muy correctamente la autora antes citada, en estos términos: «Además, una gran parte de médicos dedicados a la valoración de daños personales trabajan dentro del sector asegurador, y muchos de ellos tienen como función el realizar el seguimiento clínico de los lesionados con un doble objetivo: proporcionar el conjunto de conocimientos y medios necesarios al paciente para conseguir un diagnostico y tratamiento precoz y la más pronta y satisfactoria recuperación (función estrictamente médica) y obtener todos los datos clínicos y asistenciales del paciente para su posterior valoración y reparación de daños personales, poder efectuar la consignación económica y poder realizar las provisiones de fondos por los daños personales por parte de las entidades aseguradoras (función estrictamente pericial)» (Criado del Río, Maria Teresa. Opus cit.). 15 En todo caso, particularmente en el caso de las peritaciones, nótese que el principal flujo de información entre centro médico y aseguradora, se da cuando el primero entrega el informe pericial a la segunda y, en ese caso, la aseguradora actúa como encargado del tratamiento (función estrictamente pericial). 249 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... una tercera vía –creemos que más precisa– que permite conciliar las posturas ambos órganos. Un centro médico podrá ser responsable (como sostiene la AEPD) o encargado (como sostiene la Audiencia Nacional) según los casos, atendiendo al hecho de que los datos personales objeto del flujo con la aseguradora sean o no los de un auténtico «paciente». Desde este planteamiento, no existiría una cesión de datos y no serían aplicables los requisitos que hemos tratado profusamente con ocasión de analizar el supuesto comentado en el apartado 4.2.1 de este texto. Todo el flujo de datos quedaría amparado por un contrato de tratamiento a suscribir entre tomador y aseguradora conforme el artículo 12 de la LOPD. Pues buen, aunque la postura descrita pudiera parecer correcta «a vista de pájaro», un análisis más cercano confirma que no lo es, tal y como se ha ocupado de confirmar la AEPD y, de hecho, resulta ya del propio RLOPD. XI.3.2. TRATAMIENTOS DE DATOS EN SEGUROS COLECTIVOS Otro de los supuestos que puede plantear algunas dudas en el ámbito del seguro es el relativo los flujos de datos en el contexto de seguros colectivos. Cuando se suscribe un seguro colectivo (Ej. un seguro de vida que suscribe una empresa para sus trabajadores), la entidad tomadora del seguro debe proporcionar a la entidad aseguradora determinados datos personales (Ej. los de contacto) de los futuros asegurados, siendo tales datos necesarios que la entidad aseguradora pueda contactar con los futuros asegurados, expedir los correspondientes certificados de seguro, etc. Pues bien, se plantean dudas acerca de la naturaleza que tiene, desde el punto de vista de la normativa sobre protección de datos, la transmisión de estos datos a la aseguradora y los requisitos que le son aplicables. (a) (b) La aseguradora es responsable del fichero Según se ha indicado ya en este texto, la esencia del rol del encargado del tratamiento se encuentra en la realización de un tratamiento de datos por cuenta del responsable del fichero y sólo para el. Ello no es sólo incompatible –como hemos tenido oportunidad de comprobar en el apartado 4.2.1 precedente– con situaciones en las que la legislación aplicable al encargado le impide cumplir de forma estricta las instrucciones del responsable (Ej. devolver los datos). También lo es con el hecho de que el tratamiento a desarrollar por el encargado, tenga un interés para el encargado, al margen del responsable que encomienda el tratamiento, especialmente, cuando a consecuencia del tratamiento se cree un vínculo entre encargado e interesado. Si bien esta incompatibilidad es consecuencia directa del propio concepto de encargado del tratamiento, por si existiera alguna duda, el mismo RLOPD lo ha recogido expresamente en su artículo 20.1 que establece que «se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo ¿La aseguradora como encargado del tratamiento? En tanto que la entidad aseguradora ha sido contratada por el tomador para que suscriba el seguro colectivo, bien podría llegar a pensarse –ciertamente, en nuestra experiencia asesorando, hemos visto a empresas y entidades aseguradoras que adoptaban esta postura– que la entrega de datos por el tomador a la entidad aseguradora, no es mas que un acceso a datos por un encargado del tratamiento (siendo la entidad aseguradora, el encargado). 250 XI. PROTECCIÓN DE DATOS tenerse en cuenta que la aplicación de las excepciones de la LOPD tiene carácter restrictivo, por lo que para que apliquen al caso planteado, será preciso que la suscripción del seguro forme claramente parte de la relación contractual (Ej. por incluirse expresamente como uno de los beneficios de asegurado)16. Finalmente, téngase presente que la aplicación de las excepciones al consentimiento, no exonera, de forma general, del cumplimiento de los deberes de información previstos en el artículo 5 de la LOPD, que deberán ser siempre respetados. vínculo entre quien accede a los datos y el afectado». Pues bien, si examinamos en detalle el tipo de tratamiento que realiza una entidad aseguradora en el supuesto de seguros colectivos, observamos que tiene intereses propios que hacen incompatible la aplicación del régimen de encargados del tratamiento. En palabras de la propia AEPD en su Informe 0363/2008 donde analizó esta cuestión, la entidad aseguradora aplica los datos que recibe «a sus propias finalidades, redundando en beneficio propio, [...] toda vez que el beneficio o pérdida derivado de la contratación del seguro redundará, en definitiva, sobre la entidad aseguradora, que, decidiendo sobre el objeto y finalidad del tratamiento, la convertirá a su vez en un responsable del fichero o tratamiento». Siendo la entidad aseguradora un responsable del fichero, tenemos que el flujo de datos entre el tomador del seguro colectivo y la entidad aseguradora será considerado como una cesión de datos, sujeto a los requisitos ya expuestos este trabajo, incluyendo el consentimiento, salvo cuando este pueda ser exceptuado conforme a lo previsto en el artículo 11.2 LOPD. Entre las excepciones que, según los casos, pueden ser aplicadas, encontramos la prevista en la letra (c) del artículo 11.2 de la LOPD, que hace innecesario obtener el consentimiento «cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros». Tal excepción será aplicable en todos aquellos seguros colectivos que se suscriban como beneficio para los asegurados, en el contexto de una relación jurídica con el tomador, por ejemplo, como beneficio en el contexto de una relación laboral. En todo caso, debe XI.3.3. TRATAMIENTOS DE DATOS DE TERCEROS BENEFICIARIOS DE SEGUROS Continuando con los escenarios de tratamiento de datos en la industria del seguro, que tienen una regulación, al menos, no evidente, encontramos los relativos a los datos personales de terceros beneficiarios designados por asegurados (Ej. en seguros de vida, etc.). (a) ¿Necesidad de consentimiento del beneficiario? La problemática se plantea en los siguientes términos. Según ya sabemos, el tratamiento de datos de carácter personal está sujeto con carácter general al consentimiento del interesado (artículos 6 y 7 de la LOPD). Existen algunas excepciones a este consentimiento, siendo una de las más relevantes aquella según la cual el consentimiento no se requiere cuando los tratamientos «se refieran a las partes de un contrato o precontrato de una relación 16 Sobre la aplicación de la excepción del artículo 11.2(c) LOPD cesiones de datos bajo seguros colectivos, pueden consultarse los Informes 0583/2009 y 0549/2009 de la AEPD. 251 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... nada, para hacerla aplicable a los beneficiarios de seguros. negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento» (artículo 6.2 LOPD). Pues bien, la suscripción de una póliza con terceros beneficiarios personas físicas designados por el asegurado, comporta la recogida y tratamiento por la entidad aseguradora de dichos datos. En aplicación de lo previsto en el artículo 6 de la LOPD, dicho tratamiento esta sujeto al consentimiento del beneficiario. Sin embargo, en tanto que tales beneficiarios son designados por el asegurado, en principio, no parece evidente –y, de hecho, puede que ni siquiera sea compatible con los deseos del asegurado– que dicho consentimiento sea obtenido por la aseguradora. Dado que el tratamiento de los datos del beneficiario se desarrolla en el contexto de la póliza de seguro, para evitar este consentimiento, podríamos intentar acudir a la excepción del artículo 6.2 LOPD que hemos mencionado al principio de este apartado (a) y que se refiere a la existencia de una relación contractual que justifica ese tratamiento. Sin embargo la aplicación de tal excepción no resulta evidente en este caso dado que, en sus propios términos, solo alcanza a «las partes de un contrato o precontrato», es decir, requiere que tanto interesado como responsable del fichero, sean partes de la relación contractual, cosa que no ocurre en sentido estricto en el caso de los beneficiarios designados por asegurados. A la vista de lo expuesto, parecería que las entidades aseguradoras precisan del consentimiento de los beneficiarios de seguros para poder tratar sus datos personales, cosa que no cabe duda que podría suponer un claro inconveniente para el sector asegurador. Afortunadamente, la AEPD se ha hecho eco de esta problemática y ha realizado una interpretación lata de la excepción mencio- (b) El beneficiario como parte de los «elementos personales» de la relación contractual Efectivamente, aunque la excepción relativa a la existencia de una relación contractual que justifica el tratamiento prevista en el artículo 6.2 LOPD, se refiere de forme rotunda a «las partes de un contrato o precontrato» y ello parece condicionar que el interesado de los datos personales deba ser parte necesaria de la relación contractual, la AEPD ha venido aplicando la excepción de forma amplia. Esta amplitud se refiere particularmente al concepto de «parte» del contrato que es asimilado por la AEPD a «elementos personales» de la relación contractual, incluyendo no sólo aquellas personas que firman el contrato directamente, sino también aquellos otros individuos en cuyo beneficio de formaliza la relación contractual. Entre estos otros individuos, no cabe duda que se incluyen los beneficiarios de los seguros. La misma AEPD, alcanza esta conclusión en su Informe 0363/2008, en el que puede leerse lo siguiente: «La Agencia Española de Protección de Datos ha venido considerando que en supuestos no idénticos al presente, pero con los que podría entenderse que el mismo guarda cierta relación de semejanza, la referencia a las «partes» de una relación jurídica, prevista en el artículo 6.2 puede considerarse asimilada a los «elementos personales» de dicha relación, de modo que cuando la relación es formalizada por un afectado en beneficio de un tercero, el tratamiento de los datos de éste, que resulta necesario para la adecuada formalización de la relación, podría considerarse amparado por la Ley Orgánica 15/1999. En este sentido, se ha considerado que el tratamiento de los datos del beneficiario de un segu- 252 XI. PROTECCIÓN DE DATOS lidad civil con terceros perjudicados. Es el otro escenario, junto al de los beneficiarios mencionado en el apartado 4.2.3 precedente, donde con mayor frecuencia se precisa, dentro de la industria del seguro, el tratamiento de datos personales de terceros ajenos a la relación contractual que existe con la aseguradora responsable del fichero. ro de vida se encuentra amparado por lo dispuesto en el artículo 6.2 de la Ley Orgánica 15/1999, aún cuando el beneficiario no haya prestado su consentimiento al tratamiento». A la vista de lo expuesto, queda resuelta la problemática planteada, al no ser preciso contar con el consentimiento del beneficiario para tratar sus datos personales. (c) Información al beneficiario (a) En todo caso, la AEPD no dice nada acerca del cumplimiento de los deberes de información por parte de la aseguradora en virtud del artículo 5.4 de la LOPD. En principio, tales deberes no quedarían amparados por la excepción al consentimiento mencionada, por lo que, parece que, aunque la asegurador pueda tratar los datos del beneficiario sin su consentimiento, sigue teniendo la obligación de notificarle que sus datos han sido recabados y los tratamientos que se van a realizar. Claramente, el cumplimiento de estos deberes de información pueden resultar también problemáticos para la entidad aseguradora. Puestos a buscar una solución a esta cuestión, también cabe plantear la posibilidad de que la asegura «solicite» al asegurado que informe al beneficiario acerca de la «entrega» de sus datos personales a la aseguradora, cosa que, si se hace correctamente, evitaría que la aseguradora tuviera que informar, toda vez que las obligaciones de información del artículo 5.4 de la LOPD solo aplican «salvo [que el interesado] que ya hubiera sido informado con anterioridad». ¿Consentimiento del perjudicado? Cuando se produce un siniestro cubierto por un seguro de responsabilidad civil, la entidad aseguradora que se hace cargo del riesgo del asegurado, precisa conocer los datos identificativos del perjudicado. En caso de que tales datos sean datos de carácter personal, nos encontraremos ante una recogida de datos (en este caos, de fuentes distintas del interesado) que precisará del consentimiento informado (artículos 5 y 6 de la LOPD) de la persona física a la que los datos personales se refieren, es decir, del perjudicado. Dado que la entidad aseguradora no tiene relación alguna con el perjudicado, el cumplimiento de las obligaciones de información y consentimiento puede plantear una carga relevante para la entidad aseguradora. Seguro que no se escapa al lector que, en sus líneas maestras, estamos ante un escenario semejante al comentado anteriormente respecto al de los beneficiarios. En ambos casos la entidad aseguradora precisa tratar datos de un tercero que, además, son generalmente proporcionados por el propio asegurado. Sin embargo, aunque la problemática sea semejante en los dos supuestos mencionados, la solución que se ofrecía en el caso de los beneficiarios de seguros, no resulta aplicable a este caso. Es evidente que cuando el asegurado suscribe la póliza de responsabilidad civil, no lo hace en XI.3.4. TRATAMIENTOS DE DATOS DEL PERJUDICADO EN CASO DE SEGUROS DE RESPONSABILIDAD CIVIL El último supuesto que vamos a analizar es el relativo a la gestión de supuestos de responsabi253 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... beneficio de un perjudicado determinado y, en consecuencia, no puede considerarse a tales perjudicados como parte de los «elementos personales» de la póliza al objeto de aplicar las excepciones del artículo 6.2 LOPD sobre las partes de un contrato, de forma lata. ¿Quiere decir esto que se precisa el consentimiento de los perjudicados para tratar sus datos? La respuesta es negativa. Aunque no se pueda aplicar la excepción del artículo 6.2 de la LOPD siguiendo el mismo procedimiento que el utilizado para los terceros beneficiarios, si creemos que existen bases para aplicarla por otras vías. (b) tamiento por la entidad aseguradora de los datos del perjudicado, creemos que dicho tratamiento debe encontrar amparo en la excepción prevista en el artículo 6.2 LOPD referida al tratamiento de datos de las partes de una relación negocial, no siendo por ello necesario el consentimiento del perjudicado. En todo caso, al igual que mencionábamos en otros casos, téngase presente que las obligaciones de información del artículo 5.4 LOPD no se ven afectadas por la excepción al consentimiento, por lo que la aseguradora deberá informar acerca del tratamiento al perjudicado. Existencia de una relación jurídica entre aseguradora y perjudicado XI.4. CONCLUSIONES Y RECOMENDACIONES Aunque el perjudicado no forme parte de los «elementos personales» de la póliza de seguro, eso implica necesariamente que no exista una relación jurídica tal con la aseguradora, que pueda justificar el tratamiento de sus datos sin necesidad de consentimiento al amparo del artículo 6.2 LOPD. Efectivamente, conforme al artículo 76 de la LCS «El perjudicado o sus herederos tendrán acción directa contra el asegurador para exigirle el cumplimiento de la obligación de indemnizar, sin perjuicio del derecho del asegurador a repetir contra el asegurado, en el caso de que sea debido a conducta dolosa de éste, el daño o perjuicio causado a tercero». Pues bien, el derecho que confiere al perjudicado la LCS, que le permite reclamar directamente a la entidad aseguradora, crea una relación jurídica propia entre asegurador y perjudicado, que es independiente de la que existe entre asegurado y asegurador bajo la póliza. En tanto que el mantenimiento de dicha relación jurídica, requiere el tra- XI.4.1. CONCLUSIONES (a) El sector asegurador es uno de los más relevantes desde la perspectiva de la normativa protección de datos, tanto por el volumen y especial sensibilidad de los datos personales que se tratan, como por el número de flujos que se generan en la producción y gestión de las pólizas. (b) El derecho a la protección de datos constituye también un elemento clave en la protección del asegurado. (c) Aun siendo el asegurador un sector particularmente afectado por la regulación sobre protección de datos, lo cierto es que se encuentra sometido a un marco regulador que en muchos casos (incluso existiendo normas específicas del sector asegurador) es inapropiado o no es claro. Ello plantea dificultades serías para la actividad cotidiana de los distintos operadores del mercado asegurador, aseguradores directos, reaseguradores, retrocesionarios, agentes, OBS, corredores, auxiliares, etc. 254 XI. PROTECCIÓN DE DATOS XI.4.2. RECOMENDACIONES ba indicados, por ejemplo, sometiendo consultas o códigos tipo a la AEPD. (a) El sector asegurador debe contar con normas que atiendan a sus especialidades en lo que respecta al tratamiento de datos personales. Tanto el legislador, como aquellas entidades con competencias regulatorias, deben hacerse eco de ello y adoptar las disposiciones que procedan. (b) Hasta que tales normas sean elaboradas, sería deseable que la AEPD se pronunciase expresamente sobre la forma de aplicar de las disposiciones actuales sobre protección de datos, en aquellos escenarios dificultosos como, por ejemplo, los flujos de datos entre aseguradoras y centros médicos. (c) Finalmente, sería deseable que el sector asegurador –tal vez a través de organizaciones empresariales sectoriales– promoviese tanto los cambios normativos como los pronunciamientos de la Agencia arri- BIBLIOGRAFÍA CITADA Samuel D. Warren y Louis D. Brandeis. «THE RIGHT TO PRIVACY». Harvard Law Review. Vol. IV. 15 de Diciembre de 1890. Núm. 5. Gonzalo F. Gállego y Joaquín Ruiz Echauri. «RETROCESIÓN....DE DATOS PERSONALES». Actualidad Aseguradora. 4 de octubre de 2010. Núm. 26/2010. Criado del Río, Maria Teresa. «LA OBTENCIÓN DE DATOS CLÍNICOS EN LA FUNCIÓN MÉDICO PERICIAL Y EL DERECHO A LA INTIMIDAD DEL LESIONADO: CONSENTIMIENTO INFORMADO». Revista «Cuadernos de Valoración», Mayo 2001. Gállego Higueras, Gonzalo Félix. «PROTECCIÓN DE DATOS Y TELESELECCIÓN DE RIESGOS». Revista Española de Seguros. Abril/Marzo 2010 (núm. 142). Ed. AIDA. 255