Artículo 149. Sistemas comunes de información para la prevención del fraude en el seguro.

1. Las entidades aseguradoras podrán establecer, al amparo de lo dispuesto en el artículo 99.7 de la Ley 20/2015, de 14 de julio, sistemas comunes de información para el cumplimiento de sus obligaciones legales de prevenir, impedir, identificar, detectar, informar y remediar conductas fraudulentas relativas a seguros, conforme a lo dispuesto en el artículo 100 de la citada ley.

El tratamiento de los datos personales incluidos en los citados sistemas de información se amparará en el artículo 6.1.c) del Reglamento (UE) 2016/679, en relación con la citada obligación legal.

2. Los datos contenidos en el sistema serán los necesarios, idóneos y proporcionales para el cumplimiento de la finalidad a la que se refiere el apartado anterior. Se podrán establecer sistemas comunes de información relativos a perjudicados, sin incluir dato alguno referente a la salud.

A tal efecto, los sistemas establecerán mecanismos de generación de alertas que permitan a las entidades aseguradoras la detección de conductas inconsistentes o anómalas tanto en relación con el vehículo respecto del que se solicitase un aseguramiento como respecto de los siniestros que hubieran sido declarados a las entidades aseguradoras.

Las entidades aseguradoras determinarán con carácter previo a la puesta en funcionamiento de los sistemas los datos que sean necesarios, idóneos y proporcionales para el adecuado funcionamiento del sistema, así como las alertas que pudieran generarse como consecuencia del funcionamiento del mismo. En caso de que las entidades aseguradoras adoptasen un código de conducta para la creación y regulación del sistema de información, conforme a lo indicado en el artículo 150.5 de esta ley, deberá incorporarse al mismo la descripción de los datos que habrán de suministrarse al sistema y las alertas que justificarán la consulta de los datos por las entidades aseguradoras.

3. Los datos proporcionados por las entidades aseguradoras deberán ser exactos, debiendo procederse, cuando corresponda, a su actualización, a fin de reflejar fielmente la información referida a las pólizas contratadas y la siniestralidad efectivamente declarada. Para ello deberán adoptar cuantas medidas y procedimientos sean necesarios para verificar periódicamente la exactitud de los datos comunicados a los Sistemas comunes de prevención del fraude.

Se procederá a la supresión en los sistemas comunes de Información de los datos referidos a siniestros y las pólizas a ellos asociados que tuvieran una antigüedad superior a cinco años, adoptándose medidas que permitan la citada supresión de forma automática.

4. Las entidades aseguradoras podrán consultar los datos incluidos en los sistemas comunes de prevención del fraude con la finalidad de poder identificar situaciones de anomalía y de riesgo de fraude por parte del tomador, asegurado, beneficiario, titular del vehículo o perjudicado, a fin de poder valorar las solicitudes de suscripción de una póliza y, en su caso, la tarificación del riesgo, así como adoptar las decisiones que resulten necesarias en relación con la tramitación de un siniestro con posible riesgo de fraude.

Asimismo, las entidades aseguradoras podrán encomendar a terceros que actúen como encargados del tratamiento de aquellas el acceso a los datos de los sistemas comunes de información contra el fraude para la investigación de las medidas de seguridad y técnicas de los vehículos, identificación de los vehículos robados, así como para la impartición de formación a los profesionales, colaboradores y trabajadores del sector automovilístico y asegurador.

5. La información contenida en los sistemas de prevención del fraude podrá ser comunicada a las Fuerzas y Cuerpos de Seguridad, así como a los órganos de las Administraciones Públicas de las que los mismos dependen para el ejercicio de sus funciones en la prevención y lucha contra el fraude, o, requerida por los mismos, a fin de que por aquellos sea posible contrastar los datos del sistema con los que consten en las denuncias que se hubieran formulado como consecuencia del siniestro. La información a proporcionar deberá ser de carácter específico en cada caso, ajustada a los datos que resulten precisos para la tramitación de un expediente determinado, sin que pueda tratarse de un acceso masivo o indiscriminado. Dicho tratamiento de datos se realizará, en todo caso, de acuerdo con la normativa de protección de datos que sea aplicable a dicho tratamiento.

Igualmente, la Dirección General de Tráfico podrá acceder a los datos contenidos en los sistemas de información con el objetivo de prevenir el fraude y la verificación de los datos contenidos en el Registro de Vehículos, amparándose asimismo el acceso en el artículo 6.1.e) del Reglamento (UE) 2016/679.