Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?
Tribuna de Eduardo Martínez, abogado de ECIJA.
Desde la experiencia que los profesionales de ECIJA hemos podido adquirir por trabajar día a día con clientes del sector asegurador, hemos observado que hay una consulta que se viene repitiendo desde la entrada en vigor del RGPD.
Las empresas, colegios profesionales y organismos público, entre otros, suelen consultar cómo deben proceder a la hora de facilitar datos personales de sus empleados o colegiados a la compañía aseguradora con la que tienen suscrito una póliza colectiva.
Un gran número de estas entidades suelen considerar que las compañías aseguradoras tienen la condición de encargados del tratamiento, ya que son terceros que al prestar un “servicio” a la compañía, deben de acceder a datos personales de sus empleados. Asimismo, desde el sector asegurador se reciben múltiples solicitudes de firma de un acuerdo de encargo de tratamiento tras la firma de una póliza colectiva. Es más, en las propias licitaciones públicas y privadas se vienen incluyendo cláusulas de encargo de tratamiento en los propios pliegos y condiciones de la licitación.
Pero, lo cierto es que difícilmente la compañía aseguradora, puede ostentar la figura de un encargado del tratamiento en el marco de una póliza colectiva. Entonces, ¿puedo ceder los datos de los trabajadores a la compañía aseguradora?
Anteriormente a la aplicación del RGPD, la Agencia Española de Protección de Datos (AEPD) se ya se había pronunciado en diferentes ocasiones sobre las figuras que ostentan las compañías aseguradoras y los tomadores de pólizas colectivas. En este sentido, la AEPD consideraba que, dado que la empresa aseguradora realiza diversos tratamientos de los datos de los trabajadores asegurados, decidiendo el contenido, uso y finalidad de los mismos al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los trabajadores, se concluye que estamos en un supuesto sometido a las normas reguladoras de la cesión de datos.
Cabe decir, que desde la aplicación del RGPD no había demasiadas publicaciones oficiales contemplando este supuesto, más allá de las propias guía y códigos de conducta del sector asegurador, entre otros UNESPA (Unión Española de Entidades Aseguradoras y Reaseguradoras). Pero a través de la reciente Guía sobre protección de datos y relaciones laborales publicada en mayo de 2021 por la propia AEPD, ha convenido incluir este aspecto y lo cierto es, que aclara muchas dudas al respecto que nos gustaría resaltar.
En primer lugar, la AEPD aclara que el flujo de datos entre la compañía como tomador de una póliza colectiva y la compañía aseguradora, corresponde a una comunicación de datos personales.
Entonces, si es una cesión de datos ¿qué bases legitimadoras entran en juego?
Por una parte, la compañía aseguradora tiene una habilitación legal contemplada en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, comúnmente conocida como “LOSSEAR”.
En su artículo 99 establece que “Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo”
En cuanto a la compañía tomadora de un seguro colectivo, la AEPD aclara que la base de legitimación podrá depender, al menos, de dos aspectos:
- Pacto entre empleador y la persona trabajadora por el que aquél se comprometa a esa contratación.
- La obligación que derive de un convenio colectivo, en cuyo caso, el consentimiento no es necesario para este tratamiento de datos
Ahora bien, al contemplar bases legitimadoras que puedan habilitar la comunicación de los datos a la compañía aseguradora, no podemos perder de vista el cumplimiento del deber de informar. Esto es, informar previamente al empleado de la cesión de sus datos personales a la entidad aseguradora con la finalidad claramente establecida y demás aspectos contemplados en la normativa en materia de protección de datos.
En segundo lugar, la guía también canaliza las distintas casuísticas en cuanto al flujo de datos entre sendos responsables del tratamiento. Pero algo a destacar, es la necesidad de establecer un “procedimiento para la captación y tratamiento de los datos personales”.
La recomendación de la mencionada autoridad de control, es que la compañía tomadora, facilite únicamente los datos de los asegurados, para que la aseguradora sea quien les contacte y establezca la relación directa entre asegurado-aseguradora, con las implicaciones en materia de protección de datos que esto conlleva.
No obstante, caben otras alternativas que si bien pueden ser “más garantistas” pueden conllevan al fin y al cabo una mínima comunicación de datos personales entre ambas entidades.
Por ejemplo, se podría poner a disposición de los empleados, que puedan beneficiarse de la póliza, unos formularios con datos de contacto de la aseguradora para que sea el propio empleado quien solicite la adhesión a la póliza colectiva. Pero como avanzábamos, seguramente sería necesaria una comunicación de datos entre la compañía aseguradora y la tomadora para que al menos, se pueda cotejar que efectivamente esa persona puede beneficiarse de la póliza colectiva.
Por último, queríamos resaltar un aspecto que realmente es útil para los responsables del tratamiento. Lo relativo al tratamiento de datos personales de personas relacionadas con el empleado, generalmente familiares, que pueden ser beneficiarios u optar de alguna forma a beneficiarse de la póliza contratada.
En este sentido, la AEPD recuerda que cuando la relación jurídica es formalizada por un afectado en beneficio de un tercero, el tratamiento de los datos de éste, que resulta necesario para la adecuada formalización de la mencionada relación, podría considerarse amparado por la legislación de protección de datos. Por lo que no sería necesario recabar el consentimiento de este beneficiario para el tratamiento de sus datos personales, en el marco de la formalización de una póliza.
En resumidas cuentas, las empresas que ostenten la figura del tomador de una póliza colectiva en la que sus empleados son asegurados, deberán en primer lugar, revisar en qué supuesto de los descritos se encuentran. Es decir, si la póliza colectiva se contrata derivado de un Convenio Colectivo, a un pacto con el empleado etc. Asimismo, deberán revisar qué categorías de datos y mediante qué procedimiento se facilitan datos personales de los empleados a la aseguradora, siempre llevando el principio de minimización por bandera. Y todo ello, con el estricto cumplimiento del deber de informar con respecto a estos empleados, en los términos descritos.