Mediante Oficio No. SPDP-SPDP-2025-0090, de 28 de junio de 2025, la Superintendencia de Protección de Datos Personales respondió una consulta sobre el rol que deben asumir las compañías de seguros cuando acceden a datos de salud proporcionados por establecimientos de salud, en cumplimiento de una solicitud expresa del titular (paciente). La consulta se refería a si las aseguradoras deben ser consideradas encargadas del tratamiento conforme al artículo 34 de la LOPDP, cuando no existe relación contractual entre el establecimiento y la aseguradora.
El pronunciamiento confirma que en estos casos las aseguradoras no son encargadas del tratamiento, sino destinatarias, y que asumen la calidad de responsables cuando tratan los datos para finalidades propias.
La aseguradora es destinataria cuando recibe información por solicitud del titular
Según la SPDP, cuando un hospital o establecimiento de salud remite datos personales de un paciente directamente a una compañía de seguros a pedido del titular, este acto constituye una transferencia o comunicación de datos en los términos del artículo 4 de la LOPDP. En este contexto, la aseguradora es considerada destinataria de los datos, y no encargada, ya que no existe encargo alguno del establecimiento de salud ni relación de prestación de servicios entre ambas entidades.
La SPDP resalta que el hecho de comunicar datos personales a un tercero no equivale a una relación de encargo, y que las figuras de destinatario y encargado son mutuamente excluyentes. Asimismo, enfatiza que la transferencia debe cumplir con todos los requisitos legales, incluyendo el consentimiento del titular y el cumplimiento de los principios de confidencialidad, integridad y seguridad.
Las aseguradoras asumen la calidad de responsables cuando utilizan los datos para sus propias finalidades
Una vez que la aseguradora recibe los datos, y los utiliza para finalidades propias de su giro de negocio —como verificar cobertura, evaluar reclamos o riesgos, entre otras— pasa a ser responsable del tratamiento, en los términos del artículo 4 de la LOPDP. En consecuencia, debe cumplir con todas las obligaciones legales que corresponden a esta figura: licitud, transparencia, proporcionalidad, finalidad, entre otras.
Esto se aplica también a las agencias asesoras y productoras de seguros, que actúan como responsables cuando utilizan los datos para gestionar contratos de seguros. Solo en casos en que estas empresas presten un servicio a la aseguradora con base en un contrato específico, podrían adquirir la calidad de encargadas.
Rechazo a la figura de “responsables independientes”
El pronunciamiento también aclara que el término “responsables independientes” no existe en la legislación ecuatoriana. La SPDP indica que toda entidad calificada como responsable actúa ya con autonomía y toma decisiones propias sobre la finalidad y medios del tratamiento. Si existiera tratamiento conjunto entre dos entidades, la figura aplicable sería la de “responsables conjuntos”, prevista expresamente en la LOPDP.
Tres momentos clave en el flujo de datos
La SPDP identifica tres etapas diferenciadas en el tratamiento:
- Tratamiento inicial por parte del establecimiento de salud, que actúa como responsable respecto de sus finalidades médicas.
- Transferencia a solicitud del titular a la aseguradora, donde esta última actúa como destinataria.
- Tratamiento posterior por parte de la aseguradora, que se convierte en responsable en relación con sus propias finalidades comerciales.
Datos sensibles de salud: mayor exigencia en el cumplimiento de la LOPDP
La SPDP recuerda que los datos personales de salud son considerados sensibles, y que requieren mayores garantías de protección. Tanto los establecimientos de salud como las aseguradoras deben adoptar medidas técnicas y organizativas adecuadas para asegurar la confidencialidad, integridad y disponibilidad de esta información. Asimismo, cualquier uso de documentos que contengan información de salud debe contar con autorización expresa del titular, conforme al Reglamento de Información Confidencial en el Sistema Nacional de Salud.
