La Superintendencia de Protección de Datos Personales emitió un pronunciamiento relevante para la operación de las compañías de seguros y los establecimientos de salud, en el tratamiento de datos personales. Es importante aclarar que este pronunciamiento no es de carácter vinculante ni genera efectos jurídicos generales, sino que constituye una opinión técnica especializada en materia de protección de datos personales.
El pronunciamiento responde a una consulta presentada mediante Oficio SN, de fecha 25 de marzo de 2025, que planteó lo siguiente:
- “¿Se debe considerar que las compañías de seguros son encargadas de datos personales al tenor de lo dispuesto en el artículo 34 de la lopdp cuando éstas acceden a la información de los pacientes recolectada y transmitida por un establecimiento de salud, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”
Luego de un análisis exhaustivo, la Autoridad de Protección de Datos aclaró que las compañías de seguros, así como los establecimientos de salud, son responsables del tratamiento de los datos personales que reciben por parte de los titulares.
El pronunciamiento distingue tres escenarios clave en el tratamiento de datos personales:
- Primer escenario: El establecimiento de salud trata los datos personales del titular para fines relacionados con la prestación de servicios médicos, actuando como responsable.
- Segundo escenario: El establecimiento de salud transfiere la información médica a la compañía de seguros, quienes reciben los datos como destinatarios.
- Tercer escenario: La compañía de seguros o la empresa de seguros y/o asesora y productora de seguros, realiza el tratamiento de los datos personales para sus propias finalidades, actuando en calidad de responsables del tratamiento.
La serie de estos escenarios implican que, aunque la transferencia inicial de datos sea una entrega por parte del establecimiento de salud, la compañía de seguros o la empresa de seguros y/o asesora y productora de seguros, deben cumplir con todas las obligaciones legales de la LOPDP como responsables, incluyendo la adopción de medidas de seguridad, la garantía de confidencialidad, la transparencia en el tratamiento de los datos de los titulares, más aún al tratarse de datos sensibles de salud, ya que son objeto de mayor protección.
La Autoridad de Protección de Datos reafirma que las compañías de seguros y las empresas de seguros y/o asesoras y productoras de seguros, son responsables del tratamiento de datos personales cuando destinan la información médica para sus propios fines.
Conclusiones:
- Las compañías de seguros y/o productoras y asesoras de seguros no son encargadas del tratamiento, sino actúan en calidad de responsables cuando dicha información es destinada para sus propias finalidades comerciales y contractuales.
Consejo Editorial
