El sector asegurador se apoya históricamente en el análisis del riesgo como elemento estructural de su actividad. La progresiva digitalización y el uso de sistemas algorítmicos avanzados han intensificado esta lógica, permitiendo tratamientos masivos de datos, elaboración de perfiles individualizados y, en determinados supuestos, la automatización de decisiones relevantes en fases clave del ciclo de vida del seguro, especialmente en la contratación y tarificación.
Cuando estos tratamientos incorporan datos de salud, surgen tensiones relevantes entre la libertad de empresa, la técnica actuarial y los derechos fundamentales de los interesados, particularmente desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y de los recientes Reglamento de Resiliencia Operativa Digital (DORA) y Reglamento Europeo de Inteligencia Artificial (AI Act).
A continuación, analizamos los límites jurídicos aplicables a la elaboración de perfiles personalizados y a la adopción de decisiones automatizadas en el ámbito asegurador, situando el foco en la protección del interesado frente a decisiones opacas, automatizadas y no gobernables:
Uso de datos anonimizados y bases estadísticas actuariales
No plantea controversia jurídica el uso por las aseguradoras de bases estadísticas de mortalidad, morbilidad o siniestralidad construidas a partir de datos anonimizados o agregados de los asegurados. Cuando la anonimización es efectiva —esto es, irreversible con medios razonables— dichos conjuntos de datos quedan fuera del ámbito de aplicación del RGPD al no constituir datos personales.
Estas bases estadísticas, clasificadas habitualmente por variables como edad, sexo o tramos de riesgo, constituyen el fundamento legítimo de la técnica actuarial y permiten la tarificación sin incidencia directa sobre derechos individuales. En este ámbito, la cuestión no es de protección de datos, sino de corrección técnica, no discriminación indirecta y cumplimiento de la normativa sectorial de seguros.
Tratamiento de datos de salud identificados en la relación contractual
La situación cambia radicalmente cuando la aseguradora trata datos de salud identificados o identificables del asegurado. Estos datos se encuadran en las categorías especiales de datos personales y su tratamiento está, en principio, prohibido, salvo que concurra alguna de las excepciones previstas en el RGPD.
La base jurídica habitual no es el consentimiento, sino la necesidad del tratamiento para la ejecución del contrato de seguro y la habilitación específica para la gestión de sistemas y servicios de asistencia sanitaria y seguros. Ello permite a las aseguradoras recabar y tratar información médica relevante para evaluar el riesgo, gestionar prestaciones o tramitar siniestros, siempre que el tratamiento sea necesario, proporcional y limitado a la finalidad declarada.
No obstante, la licitud del tratamiento no implica automáticamente la licitud de cualquier uso posterior de los datos, especialmente cuando se emplean para elaborar perfiles individualizados.
El perfilado individual basado en datos de salud
El RGPD define el perfilado como cualquier forma de tratamiento automatizado de datos personales consistente en utilizar dichos datos para evaluar aspectos personales de un asegurado, incluidos elementos relativos a su salud, situación económica o comportamiento.
Desde un punto de vista jurídico, el perfilado no está prohibido per se. Las aseguradoras pueden elaborar perfiles individualizados de riesgo, incluso utilizando datos de salud, siempre que concurran los principios generales del RGPD: licitud, lealtad y transparencia, así como los de limitación de la finalidad, minimización, exactitud y completitud, conservación limitada y confidencialidad e integridad. En la práctica, esto se traduce en la obligación de informar de forma clara al asegurado sobre la existencia del perfilado, sus finalidades y su impacto en la relación contractual.
El problema no reside tanto en la creación del perfil como en el uso que se hace de él, especialmente cuando el perfilado constituye el único fundamento de una decisión con efectos relevantes.
Decisiones automatizadas y prohibición general
El artículo 22 del RGPD establece una regla general clara: el asegurado tiene derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, cuando dicha decisión produzca efectos jurídicos o le afecte significativamente de modo similar, por ejemplo, cuando suponga la denegación de un seguro, la imposición de una prima sensiblemente superior, la exclusión de coberturas esenciales o la resolución anticipada del contrato.
Por tanto, como principio general, una aseguradora no puede ampararse exclusivamente en un sistema automatizado que, a partir de datos de salud, determine de forma autónoma la aceptación o rechazo del riesgo.
Excepciones y su alcance real
El RGPD prevé tres excepciones a la prohibición de decisiones automatizadas: cuando la decisión sea necesaria para la celebración o ejecución de un contrato, cuando esté autorizada por una norma con rango de ley, o cuando se base en el consentimiento explícito del interesado.
Las excepciones previstas por el RGPD deben interpretarse de forma restrictiva. La necesidad para la ejecución del contrato no equivale a mera eficiencia operativa, el consentimiento explícito resulta problemático por el desequilibrio estructural entre las partes y, en el ordenamiento español, no existe una habilitación legal general que permita decisiones automatizadas puras basadas en datos de salud.
Garantías reforzadas y exigencia de intervención humana
Incluso en los supuestos excepcionales en que pudiera admitirse una decisión automatizada, el RGPD y, en su caso, el Reglamento IA exigen garantías adicionales: derecho a obtener intervención humana, a expresar el propio punto de vista y a impugnar la decisión. Esta intervención no puede ser meramente simbólica; debe ser real, efectiva y con capacidad de modificar el resultado.
Desde una perspectiva de cumplimiento, esto conduce a un modelo híbrido ampliamente extendido en el sector: sistemas algorítmicos que apoyan la decisión, pero cuya validación final corresponde a una persona física cualificada, con trazabilidad y justificación documentada.
En conclusión, las aseguradoras pueden tratar datos de salud identificados y elaborar perfiles personalizados de riesgo en el marco de la contratación y ejecución del seguro. Sin embargo, no pueden, salvo excepciones a interpretar restrictivamente, automatizar sus decisiones basándose únicamente en los citados perfiles si ello entraña efectos jurídicos relevantes, siendo necesaria una intervención humana cualificada. Y es que la normativa se enfoca en la protección del asegurado frente a decisiones opacas, irreversibles y no revisables.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación