En una frase. Las aseguradoras españolas tratan datos de salud, scoring actuarial, datos de víctimas y cesiones a peritos con riesgo elevado de sanción AEPD por información insuficiente sobre decisiones automatizadas, ficheros sectoriales (IRIS, SINCO) y red de mediadores.
Puntos clave
- Mapfre: 250.000 EUR (2023) por información insuficiente.
- Mutua Madrileña, AXA, Allianz: expedientes habituales.
- Datos de salud en seguros: categoría especial art. 9.2.h RGPD.
- Ficheros comunes (IRIS, SINCO, UNESPA): tratamientos específicos.
- Mediadores y agentes: corresponsables o encargados según contrato.
1. Marco regulatorio combinado
Las aseguradoras operan bajo:
- RGPD + LOPDGDD.
- Ley 50/1980 contrato de seguro.
- Ley 20/2015 ordenación seguros (LOSSEAR).
- Reglamento Solvencia II.
- Directiva IDD distribución.
- DORA desde 2025.
DGSFP coordina con AEPD en muchos expedientes.
2. Datos tratados en seguros
| Categoría | Producto típico | Base jurídica |
|---|---|---|
| Identificativos asegurado | Todos | Contrato |
| Salud | Vida, salud, decesos | Art. 9.2.h |
| Antecedentes siniestros | Todos | Interés legítimo + información |
| Datos vehículo | Auto | Contrato + DGT |
| Datos vivienda | Hogar | Contrato |
| Datos económicos | Vida-ahorro | Contrato + obligación legal |
3. Scoring actuarial y art. 22 RGPD
La fijación de prima por algoritmo (tarifa según edad, residencia, historial) es decisión automatizada del art. 22 RGPD si determina por completo la prima sin intervención humana. Requisitos:
- Información sobre la lógica aplicada.
- Derecho a obtener intervención humana.
- Posibilidad de impugnar el resultado.
- Información sobre consecuencias.
4. Ficheros sectoriales: IRIS, SINCO, UNESPA
UNESPA gestiona ficheros comunes del sector:
- IRIS: incidencias judiciales y siniestros sospechosos.
- SINCO: siniestros comunicación general.
- Histórico siniestralidad auto: TIREA gestiona.
Requieren:
- Información expresa en póliza sobre consulta y aportación al fichero.
- Plazo de conservación regulado (normalmente 5-7 años).
- Procedimiento ARCO específico para el fichero.
5. Datos de salud en seguros de vida y salud
Tratamiento intensivo de categoría especial. Base jurídica del art. 9.2.h RGPD (asistencia sanitaria, contrato seguro) y consentimiento informado específico. Requisitos:
- Información detallada sobre cuestionario médico.
- Conservación limitada al plazo necesario.
- Acceso restringido a personal médico autorizado.
- Comunicación a reaseguradoras: contrato adecuado.
6. Sanciones AEPD relevantes al sector
| Aseguradora | Importe (EUR) | Año | Motivo |
|---|---|---|---|
| Mapfre | 250.000 | 2023 | Información insuficiente |
| Mutua Madrileña | 120.000 | 2024 | Atención derechos deficiente |
| AXA | 90.000 | 2024 | Cesión sin base a perito |
| Allianz | 75.000 | 2023 | Brecha sin notificar |
| Reale | 45.000 | 2025 | Cookies marketing |
| Línea Directa | 60.000 | 2024 | Llamadas tras oposición |
7. Peritos y red de servicios
Los peritos son encargados del tratamiento (art. 28 RGPD) cuando actúan por cuenta de la aseguradora. Contratos obligatorios. Particularidades:
- Acceso solo al expediente concreto.
- Conservación limitada al tiempo necesario.
- Devolución o eliminación al cierre.
- Sin uso para fines propios.
Talleres concertados, médicos colaboradores, abogados: encargados del tratamiento.
8. Mediadores y agentes
| Tipo | Rol jurídico | Contrato |
|---|---|---|
| Agente exclusivo | Encargado | Art. 28 |
| Operador banca-seguros | Encargado o corresponsable | Variable |
| Corredor | Responsable propio + encargado de aseguradora | Doble |
| Comparador online | Responsable propio | Acuerdo cesión |
La AEPD ha aclarado que el corredor es responsable de su CRM y encargado para la gestión de pólizas concretas.
9. Marketing y cross-selling
Las aseguradoras hacen intensivo cross-selling (auto → hogar → vida → salud). Requiere:
- Información clara sobre tratamiento para finalidades adicionales.
- Casillas separadas para cada finalidad.
- Posibilidad de oposición específica.
- Respeto Lista Robinson y oposiciones previas.
10. Brechas en seguros
Sector con alto valor de datos sensibles. Procedimiento integrado:
- Notificación interna inmediata.
- Análisis técnico y legal.
- Notificación AEPD en 72h.
- Notificación DGSFP si compromiso operativo.
- Comunicación a afectados si alto riesgo.
- Análisis forense y medidas.
11. Vehículos y datos telemáticos
Pólizas pago por uso (PHYD) usan datos GPS, conducción, frenadas. Requisitos:
- Información clara sobre datos captados.
- Consentimiento específico para finalidad PHYD.
- EIPD obligatoria por tratamiento masivo + geolocalización.
- Conservación limitada al plazo necesario para tarifa.
12. Cómo cumplir RGPD en aseguradoras
- DPO con dependencia funcional adecuada (obligatorio en aseguradoras).
- Registro de actividades por ramo.
- Política de privacidad clara con secciones por tipo de seguro.
- Información específica sobre IRIS, SINCO, fichero histórico.
- Cláusulas art. 22 RGPD en flujos de scoring.
- Contratos art. 28 con peritos, talleres, médicos colaboradores.
- EIPD para nuevos productos con datos masivos o IA.
- Auditoría RGPD anual con muestreo.
FAQ
¿La aseguradora puede negarme un seguro por algoritmo?
Sí pero el art. 22 RGPD obliga a informar sobre la lógica y permite solicitar intervención humana y revisión.
¿Mis datos médicos van a UNESPA?
A UNESPA van datos de siniestralidad (IRIS, SINCO), no historiales médicos. Su uso en infrasiniestralidad para nuevas contrataciones está informado en póliza.
¿Cuánto guardan mis datos tras cancelar?
Durante plazos legales de prescripción (5 años en general, 15 años en algunos casos de responsabilidad civil). Después: eliminación o anonimización.
¿Puedo oponerme al marketing de mi aseguradora?
Sí. Derecho de oposición (art. 21 RGPD) ejercitable en cualquier momento por escrito o desde la app del cliente.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial