Artículo 146. Tratamiento de los datos personales durante la vigencia del seguro y para la valoración, gestión y tramitación de siniestros.

1. Las entidades aseguradoras tratarán como responsables del tratamiento los datos de los tomadores, asegurados y conductores que figuren en los contratos celebrados con las mismas, así como de cuantos otros se deriven del desenvolvimiento del contrato para las finalidades relacionadas con su adecuado mantenimiento, desarrollo, gestión y revisión y para las restantes finalidades establecidas en la Ley 20/2015, de 14 de julio y su normativa de desarrollo, o respecto de las que dispongan de una base jurídica que las legitime de conformidad con lo establecido en la normativa de protección de datos personales.

2. En caso de producirse un siniestro, las entidades aseguradoras tratarán como responsables del tratamiento todos los datos personales que resulten necesarios, idóneos y proporcionales para cumplir con las obligaciones derivadas del contrato de seguro y, en su caso, cuantificar el importe de la indemnización correspondiente al mismo y para elaborar la propuesta de indemnización o la respuesta motivada prevista en el artículo 7.2 de esta ley. El tratamiento de los datos personales se fundará en el artículo 6.1.c) del Reglamento (UE) 2016/679, al ser necesario para el cumplimiento por la entidad aseguradora del causante del siniestro de las obligaciones establecidas en esta ley.

Igualmente tratarán como responsables, con dicha finalidad y sobre la misma base jurídica, los datos personales que sean facilitados por el perjudicado en el momento de efectuar la solicitud de indemnización, así como los resultantes de los informes periciales complementarios que aquellos hubieran podido aportar o solicitar conforme al párrafo segundo del artículo 7.2 de esta ley.

3. Las entidades aseguradoras podrán recabar y tratar como responsables, con la finalidad a la que se refiere el apartado 2 anterior, los datos contenidos en cuantos informes periciales y atestados emitidos por las Fuerzas y Cuerpos de Seguridad encargadas de la vigilancia del tráfico que resulten necesarios, proporcionales e idóneos para la determinación de la indemnización.

A estos efectos, en caso de acudir a terceras entidades para la investigación, peritación y valoración de los daños, estas tendrán la condición de encargados del tratamiento de las aseguradoras, debiendo suscribir con las mismas el contrato o acto jurídico regulado por el artículo 28.3 del Reglamento (UE) 2016/679. Esta misma exigencia será aplicable cuando las entidades aseguradoras recurran para la realización de estas tareas a entidades reaseguradoras.

4. Las entidades aseguradoras tratarán como responsables del tratamiento los datos personales a los que se refiere el apartado 2 con la finalidad de dar cumplimiento a su obligación legal de indemnización a los perjudicados y de las obligaciones regulatorias establecidas en la Ley 20/2015, de 14 de julio, encontrándose amparado el tratamiento en el artículo 6.1.c) del Reglamento (UE) 2016/679.

5. En los supuestos en los que sea de aplicación lo dispuesto en el artículo 8 de esta ley, en lo que respecta a los convenios de indemnización directa de daños materiales, la entidad aseguradora del perjudicado que haya procedido al abono de la indemnización o a la prestación del servicio, podrá comunicar a la entidad aseguradora del causante del siniestro los datos utilizados para el cálculo y valoración de aquella, así como los informes periciales en que se contengan los mismos, a fin de proceder a la compensación de la misma.

En caso de que la entidad aseguradora del perjudicado no haya procedido al abono de la indemnización o a la prestación del servicio, facilitará a la entidad aseguradora del causante del siniestro, a través de sistemas seguros y dotados de medidas de seguridad reforzadas, la información que resulte necesaria, idónea y proporcional para el cálculo y valoración de la indemnización, a fin de que por la misma se dé cumplimiento a la obligación legal de elaborar la correspondiente oferta de indemnización y, en su caso, proceder a la reparación de los daños.

Las entidades aseguradoras responderán en todo caso de la exactitud de los datos facilitados en virtud de lo dispuesto en este apartado.

Los sistemas de intercambio de información deberán en todo caso contar con medidas de control de accesos, a fin de garantizar la confidencialidad, integridad y disponibilidad de los datos, procediéndose al intercambio de información entre las entidades de forma cifrada o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulable por terceros.