Protección de Datos

RGPD para corredurías de seguros: guía 2026

RGPD para corredurías de seguros: rol dual, datos de salud en vida y salud, comparadores, cesión de leads y conservación de pólizas y documentación.

También disponible en:Deutsch

En una frase. Una correduría de seguros tiene un rol dual en protección de datos: es responsable del tratamiento frente a su cliente (asesoramiento, gestión de la póliza) y colabora con las aseguradoras en la contratación; trata datos de salud en los seguros de vida y salud, gestiona leads de comparadores y debe conservar la documentación de las pólizas solo durante los plazos legales.

El mediador de seguros ocupa una posición jurídica peculiar: no es la aseguradora, pero maneja los mismos datos sensibles y responde de su propio tratamiento. Confundir los roles o tratar sin base los datos de salud son los dos errores que más comprometen a una correduría. Este artículo aclara sus obligaciones RGPD en 2026.

Puntos clave

  • La correduría es responsable del tratamiento frente a su cliente; no es una simple encargada de la aseguradora.
  • Los seguros de vida y salud implican datos del art. 9 (salud): base reforzada, minimización y seguridad.
  • Los comparadores y la compra de leads exigen verificar el origen y la base del consentimiento del interesado.
  • La conservación de pólizas y siniestros se rige por plazos legales (mediación, mercantil, blanqueo), no es indefinida.
  • La aseguradora y la correduría son responsables distintos: cada una responde de su tratamiento.

1. El rol dual de la correduría

La clave de todo el análisis es entender la posición del mediador. La correduría de seguros, regulada por la Ley 20/2015 y el Real Decreto-ley 3/2020, asesora al cliente de forma independiente y gestiona la contratación con distintas aseguradoras. Respecto a los datos que recaba de su cliente para asesorarle y gestionar sus pólizas, la correduría es responsable del tratamiento: decide los fines y los medios. No es una mera encargada de la aseguradora.

Cuando transmite la propuesta a la aseguradora para que emita la póliza, hay una comunicación entre dos responsables independientes: cada uno responde de su propio tratamiento. Esta distinción es la que separa a la correduría de la compañía aseguradora, que trata los datos para asumir el riesgo y gestionar el siniestro.

Actor Rol Responde de
Correduría Responsable Asesoramiento, cartera, gestión de pólizas del cliente
Aseguradora Responsable independiente Suscripción del riesgo, siniestros
Software de gestión / CRM Encargado Tratamiento por cuenta de la correduría
Comparador que cede leads Responsable de origen Recogida y consentimiento del lead

2. Datos de salud en vida y salud

Los seguros de vida, salud, decesos o dependencia exigen cuestionarios de salud del tomador o asegurado. Son datos del art. 9 del Reglamento (UE) 2016/679, sujetos a prohibición general salvo excepción. En el ámbito asegurador, la habilitación deriva del consentimiento explícito y de las previsiones específicas de la normativa de seguros. La correduría debe:

  • Recabar solo los datos de salud necesarios para la finalidad concreta (minimización).
  • Obtener consentimiento explícito e informado para su tratamiento y comunicación a la aseguradora.
  • Restringir el acceso a esos datos y protegerlos con medidas reforzadas.

El régimen de los datos de salud se desarrolla en la guía de RGPD en el sector sanitario, aplicable por analogía a la parte de salud del negocio asegurador.

3. Comparadores y compra de leads

Muchas corredurías captan clientes a través de comparadores online o comprando leads. Aquí el riesgo es heredado: si el lead se recogió sin un consentimiento válido para ceder los datos a corredurías, la correduría que lo utiliza está tratando datos sin base. Antes de comprar leads hay que exigir al proveedor prueba del consentimiento y de la información facilitada al interesado, y reflejar la cesión en los contratos. Enviar comunicaciones comerciales a leads de origen dudoso es una de las conductas que la AEPD sanciona con frecuencia, y la responsabilidad no se traslada al proveedor: quien usa el dato responde de su licitud.

El deber de información es especialmente exigente cuando el primer contacto con el cliente se produce a través de un comparador. La correduría debe identificarse claramente como responsable en su cláusula del art. 13, explicar de dónde proceden los datos, con qué aseguradoras trabaja y a quién los comunicará. La opacidad sobre el origen de los datos y sobre los destinatarios es, en la práctica, una de las quejas más frecuentes de los interesados ante la autoridad de control.

4. Conservación de pólizas y documentación

Documento Plazo orientativo
Contrato de mediación y pólizas Vigencia + plazos de prescripción de acciones
Documentación mercantil y contable 6 años (Código de Comercio)
Prevención del blanqueo (Ley 10/2010) 10 años
Datos de salud del cuestionario Mientras exista base; después, supresión o bloqueo
Leads no convertidos Plazo breve; supresión si no hay contratación

Superados los plazos, procede la supresión o el bloqueo de los datos. Mantener toda la cartera histórica sin política de conservación vulnera la limitación del plazo. Un error habitual es conservar indefinidamente los cuestionarios de salud de pólizas ya canceladas: una vez extinguida la relación y transcurridos los plazos de prescripción, esos datos del art. 9 deben eliminarse o bloquearse, porque su conservación sin base es precisamente el tipo de irregularidad que agrava una sanción.

5. Registro, DPO y encargados

Todos estos tratamientos deben constar en el registro de actividades de tratamiento. El software de gestión, el CRM y la pasarela de pago son encargados que exigen el contrato del artículo 28 RGPD. Una correduría que trate datos de salud a gran escala puede estar obligada a designar delegado de protección de datos. Para una correduría pequeña o un mediador autónomo, el punto de partida es el de cualquier autónomo o freelance, reforzando las cautelas sobre datos de salud.

Automatizar el registro, los contratos de encargado y el control de los plazos de conservación es el trabajo repetitivo que una plataforma como Legiscope reduce en corredurías con carteras amplias.

Véase también, para sectores con obligaciones de protección de datos similares: RGPD para banca y entidades financieras, RGPD para despachos de abogados y RGPD para notarías.

Preguntas frecuentes

¿La correduría es responsable o encargada del tratamiento?

Frente a su cliente, es responsable del tratamiento: decide los fines y medios del asesoramiento y la gestión de la cartera. No es una encargada de la aseguradora. Cuando transmite la propuesta a la aseguradora, se produce una comunicación entre dos responsables independientes.

¿Puede la correduría tratar mis datos de salud para un seguro de vida?

Sí, con tu consentimiento explícito e informado y limitándose a los datos de salud estrictamente necesarios para la finalidad. Esos datos deben protegerse con medidas reforzadas y su acceso ha de estar restringido al personal que los necesita.

Solo si el lead se recogió con un consentimiento válido que ampare la cesión a corredurías y con la información adecuada al interesado. La correduría debe exigir prueba de ese consentimiento; usar leads de origen no acreditado supone tratar datos sin base y es sancionable.

¿Cuánto tiempo debe conservar la correduría mis pólizas?

Durante la vigencia y los plazos legales aplicables: prescripción de acciones, obligaciones mercantiles (6 años) y prevención del blanqueo (10 años). Superados esos plazos, la documentación debe suprimirse o bloquearse, no conservarse indefinidamente.

Conclusión

La correduría de seguros vive de la confianza y de datos sensibles. El punto de partida es entender su rol dual: responsable frente al cliente, colaboradora de aseguradoras que también son responsables. Sobre esa base, los dos frentes de riesgo son los datos de salud —minimización y consentimiento explícito— y el origen de los leads. Documentar las bases, firmar los contratos de encargado y fijar plazos de conservación resuelven el grueso del cumplimiento.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →