Grabaciones de seguros y RGPD: definición
Las grabaciones de seguros y el RGPD abarcan las normas sobre obtención, análisis, cesión y conservación de fotografías y materiales de vídeo utilizados por las compañías de seguros y por las entidades que actúan en su nombre, teniendo en cuenta la normativa de protección de datos personales. En la práctica, se trata de materiales que documentan un siniestro, una inspección pericial, un accidente de tráfico, el estado de un bien, la videovigilancia del lugar del hecho o grabaciones facilitadas por el cliente, el taller, el perito o la entidad encargada de la tramitación del siniestro.
Si en una foto o grabación puede identificarse a una persona física de forma directa o indirecta, ese material contiene datos personales en el sentido del art. 4.1 del RGPD, es decir, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Esto se aplica, en particular, a la imagen del rostro, la matrícula del vehículo, rasgos característicos de la persona y el contexto que permita su identificación. En el sector asegurador, esto significa que las grabaciones no son únicamente material probatorio, sino también un conjunto de datos que exige una base jurídica para su tratamiento, limitación de la finalidad, plazos de conservación, control de acceso y evaluación del riesgo.
En el contexto de la anonimización de fotos y vídeos, es clave distinguir entre el material original, que puede ser necesario para la tramitación del siniestro o la defensa de reclamaciones, y el material destinado a una posterior cesión, formación, auditoría, presentación o entrega a terceros. En este segundo caso, lo más habitual es difuminar rostros y matrículas para reducir el alcance de los datos al mínimo, de conformidad con el art. 5.1.c del RGPD.
Bases jurídicas para el tratamiento de grabaciones por parte de las aseguradoras
El tratamiento de imágenes en el sector asegurador no se basa en una única base jurídica. En la práctica, la base depende de la finalidad, de la fase del procedimiento y del tipo de material. El mero hecho de disponer de una grabación no exime de la obligación de indicar una causa concreta del art. 6.1 del RGPD.
Las bases jurídicas más utilizadas son las siguientes:
- art. 6.1.b del RGPD: tratamiento necesario para la ejecución de un contrato o para la aplicación de medidas precontractuales, por ejemplo, la tramitación de un siniestro comunicado por el asegurado o el análisis de fotos de daños;
- art. 6.1.c del RGPD: cumplimiento de una obligación legal, por ejemplo, obligaciones documentales derivadas de normativa sectorial, contable o en materia de prevención del blanqueo de capitales;
- art. 6.1.f del RGPD: interés legítimo del responsable del tratamiento, por ejemplo, formulación, ejercicio o defensa de reclamaciones, prevención del fraude o verificación de las circunstancias del hecho;
- art. 9.2.f del RGPD: cuando el material revela categorías especiales de datos y el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones.
Si la grabación muestra lesiones corporales, rehabilitación o estado de salud, puede contener datos de categoría especial. En ese caso, la base del art. 6 del RGPD no basta por sí sola. También es necesaria una excepción del art. 9.2 del RGPD. Esto resulta especialmente relevante en siniestros con daños personales y en grabaciones procedentes de cámaras hospitalarias, videovigilancia de instalaciones o documentación médica en formato visual.
Cómo entender la anonimización de grabaciones de seguros
En aplicaciones del sector asegurador, la anonimización de vídeo significa transformar la imagen de tal forma que no sea posible identificar a una persona física utilizando medios razonablemente probables. Sin embargo, en la práctica operativa es más frecuente aplicar seudonimización o enmascaramiento visual para una finalidad concreta de cesión, ya que el material original puede seguir siendo conservado por la aseguradora.
En fotos y grabaciones, las operaciones más habituales son las siguientes:
- detección automática y difuminado de rostros,
- detección automática y difuminado de matrículas,
- enmascaramiento manual de otros elementos identificativos en el editor, si aparecen en la imagen.
Conviene mantener la precisión técnica. Un modelo de IA basado en deep learning se utiliza para detectar objetos como rostros y matrículas, y después el sistema aplica una máscara de desenfoque u ocultación sobre la zona detectada. Esto no siempre implica la anonimización del flujo de vídeo ni el tratamiento en tiempo real. En el caso de Gallio PRO, la automatización se limita exclusivamente a rostros y matrículas. Logotipos, tatuajes, identificaciones nominales, documentos o contenidos de pantalla no se detectan automáticamente y requieren edición manual.
Cesión de materiales: principio de necesidad y minimización
Las grabaciones de seguros suelen remitirse a múltiples destinatarios: peritos, despachos, reaseguradoras, talleres, tramitadores externos, expertos judiciales y tribunales. Cada una de estas cesiones exige valorar si el material completo es realmente necesario. El principio de minimización de datos del art. 5.1.c del RGPD significa que el destinatario debe recibir únicamente la parte de imagen necesaria para cumplir la finalidad prevista.
En la práctica, antes de ceder el material debe responderse al menos a tres preguntas:
- si el destinatario necesita el material original o si basta con una versión con rostros y matrículas difuminados,
- si la finalidad de la cesión incluye la identificación de personas o únicamente la valoración del daño, la reconstrucción del hecho o la comprobación del estado del bien,
- si la transmisión se realiza en virtud de un contrato de encargo del tratamiento, una cesión de datos o una obligación legal.
En las relaciones con encargados del tratamiento debe tenerse en cuenta el art. 28 del RGPD. Si una entidad externa trata grabaciones por cuenta de la aseguradora, es necesario un contrato de encargo del tratamiento. Si actúa como responsable independiente, debe evaluarse su propia base jurídica y sus obligaciones de información.
Plazo de conservación de las grabaciones de seguros
El RGPD no establece un plazo único y rígido para conservar grabaciones. Resulta de aplicación el principio de limitación del plazo de conservación del art. 5.1.e del RGPD. El periodo de conservación debe derivarse de la finalidad, de la normativa sectorial, de los plazos de prescripción de reclamaciones y de la necesidad probatoria real.
Una buena práctica consiste en separar la conservación por fases y por categorías de material:
Tipo de material | Finalidad | Ejemplo de criterio de conservación
|
|---|---|---|
Material de trabajo de la inspección | Valoración del siniestro | Hasta la finalización de la tramitación y, posteriormente, incorporación al expediente solo de los archivos necesarios |
Material probatorio | Defensa de reclamaciones, litigio | Hasta el vencimiento del plazo de prescripción o la finalización firme del procedimiento |
Material de formación o auditoría | Formación, control de calidad | Previa anonimización y con un plazo de conservación separado y más corto |
Si el material va a reutilizarse, por ejemplo, para la formación de tramitadores de siniestros o para pruebas del sistema, deben limitarse los identificadores visuales. En este tipo de uso, una versión anonimizada será, por regla general, más proporcional que la grabación completa.
Parámetros técnicos y de control en la anonimización de vídeo
La mera declaración de que se han difuminado datos no es suficiente. Para el DPD y los equipos de seguridad son importantes los parámetros medibles del proceso. Estos permiten evaluar el riesgo de reidentificación y la calidad del material tras su tratamiento.
Parámetro | Significado | Importancia práctica
|
|---|---|---|
Recall de detección | Porcentaje de rostros o matrículas correctamente detectados | Un recall bajo aumenta el riesgo de divulgación de datos |
Precision de detección | Porcentaje de marcaciones correctas entre todas las marcaciones | Una precision baja incrementa el número de máscaras erróneas |
Tasa de falsos negativos | Porcentaje de objetos no detectados | Indicador clave del riesgo para la privacidad |
Consistencia entre fotogramas | Estabilidad de la máscara en fotogramas sucesivos | Evita la exposición momentánea del rostro o de la matrícula |
Traza de auditoría del proceso | Información sobre quién, cuándo y sobre qué archivo realizó la operación | Refuerza la responsabilidad proactiva del art. 5.2 del RGPD |
En entornos de riesgo elevado, se prefiere el software on-premise. Este modelo limita la transferencia de archivos fuera de la infraestructura del responsable del tratamiento y facilita la implantación de políticas de acceso, segmentación de red y supervisión local de los plazos de conservación. Esto es especialmente importante en grabaciones de daños personales y materiales utilizados en procedimientos judiciales.
Referencias normativas y práctica de cumplimiento
La evaluación del cumplimiento debe basarse en documentos fuente. Son esenciales el RGPD, las directrices del CEPD sobre los conceptos de responsable y encargado del tratamiento, así como los principios de privacy by design del art. 25 del RGPD. En materia de seguridad de la información, resultan útiles las normas ISO/IEC 27001:2022 e ISO/IEC 27701:2019, aunque por sí solas no crean una base jurídica para el tratamiento.
En la práctica polaca, también deben tenerse en cuenta los criterios de la autoridad de protección de datos y la normativa nacional que influye en la conservación y el uso probatorio de los materiales. Si en las grabaciones aparecen matrículas, conviene dejar constancia de la divergencia interpretativa. Por un lado, las directrices de las autoridades de protección de datos y la práctica europea suelen tratarlas como datos personales en contextos donde sea posible la identificación. Por otro lado, parte de la jurisprudencia nacional ha señalado que una matrícula, por sí sola, no siempre identifica a una persona física. En la política operativa de una aseguradora, el enfoque más seguro es el basado en la evaluación del riesgo y en el enmascaramiento de matrículas cuando el material vaya a cederse posteriormente.