La mediación de seguros es una actividad intensamente regulada y exigente. Los profesionales del sector operan en un entorno en el que confluyen la normativa sectorial, las normas de protección del consumidor, la prevención del blanqueo de capitales, la normativa de protección de datos, ciberseguridad, la prevención de los conflictos de interés, un gobierno corporativo exigente y la responsabilidad penal de las personas jurídicas. Todo ello, en un contexto de extrema competitividad y exigencia por parte de las Compañías aseguradoras.

En este escenario, disponer de un programa de compliance robusto es fundamental para dotar de seguridad jurídica a la actividad de las agencias y corredurías de seguros, sus administradores, directivos y trabajadores.

Riesgos penales en la mediación de seguros

Las empresas pueden responder penalmente por determinados delitos cometidos en su seno, en los términos que establece el artículo 31 bis del Código Penal y la parte especial del Código Penal.

Una agencia o correduría de seguros y las personas que la dirigen o trabajan en ella pueden verse expuestos con frecuencia a riesgos penales, entre los que suelen identificarse los siguientes:

  • apropiación indebida o administración desleal;
  • estafa;
  • falsedad documental;
  • delitos contra la Hacienda Pública;
  • revelación de secretos;
  • delitos informáticos;
  • corrupción entre particulares;
  • blanqueo de capitales, cuando proceda por la actividad desarrollada;
  • delitos contra los derechos de los trabajadores;
  • delitos contra la administración.

La gestión de información sensible, los datos económicos de terceros, las relaciones con clientes, la suficiencia de la documentación contractual, el cobro de las primas, la gestión de los siniestros, la suscripción de pólizas, la adecuada coordinación de colaboradores, la elección de proveedores tecnológicos y las relaciones con las compañías aseguradoras son fuentes claras y frecuentes de riesgos penales en el ámbito asegurador.

Un programa de compliance bien estructurado debe partir del conocimiento real y preciso de la actividad actividad concreta de la correduría o agencia. No es lo mismo una pequeña agencia exclusiva que una correduría con red de colaboradores, volumen relevante de cartera, comercialización digital, productos de vida, productos de inversión basados en seguros o acuerdos complejos con terceros.

Trazabilidad de la actuación profesional

Una cuestión muy importante es conservar evidencias documentales de la intervención profesional realizada.

Una agencia o correduría diligente debería poder acreditar:

  • qué información facilitó al cliente;
  • qué documentación recibió;
  • qué necesidades fueron evaluadas;
  • qué producto se recomendó;
  • por qué se recomendó;
  • qué advertencias se realizaron;
  • quién intervino en la operación;
  • qué formación tenía esa persona;
  • qué controles internos existían.

Prevención del blanqueo de capitales

La Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo incluye entre los sujetos obligados a las entidades aseguradoras autorizadas para operar en el ramo de vida y a los corredores de seguros cuando actúen en relación con seguros de vida u otros servicios relacionados con inversiones. La prestación de este tipo de servicios exige una prevención reforzada.

La correduría o agencia debe valorar de forma rigurosa sus obligaciones de identificación, diligencia debida, conservación documental, examen especial y comunicación, definiendo criterios claros sobre:

  • identificación formal y real del cliente;
  • operaciones de riesgo;
  • personas con responsabilidad pública;
  • operaciones inusuales;
  • conservación de documentación;
  • formación interna;
  • escalado de incidencias;
  • relación con SEPBLAC cuando proceda.

Protección de datos y ciberseguridad

Las corredurías y agencias tratan datos especialmente sensibles desde una perspectiva práctica: datos identificativos, económicos, familiares, profesionales, bancarios, patrimoniales y, en determinados ramos, incluso información de salud.

El RGPD y la Ley Orgánica 3/2018 obligan a tratar esos datos con base jurídica adecuada, información transparente, medidas de seguridad, contratos con encargados de tratamiento, análisis de riesgos y capacidad de respuesta ante brechas de seguridad.

Una brecha informática, un envío erróneo de documentación, un acceso indebido por un empleado, una mala configuración del CRM o una cesión inadecuada de datos a terceros puede generar responsabilidad administrativa, civil, contractual e incluso penal en supuestos graves.

Además, desde el 17 de enero de 2025 resulta aplicable el Reglamento DORA sobre resiliencia operativa digital del sector financiero, con incidencia en entidades financieras, aseguradoras e intermediarios de seguros, aunque el propio Reglamento excluye de su ámbito a determinados intermediarios que sean microempresas o pequeñas o medianas empresas. La DGSFP ha destacado que DORA busca reforzar la seguridad informática del sector financiero y su capacidad de mantener la actividad ante perturbaciones operativas graves.

Por tanto, incluso cuando una agencia o correduría quede fuera del ámbito directo de DORA por tamaño, hay que establecer controles adecuados sobre sistemas, proveedores tecnológicos, continuidad de negocio, accesos, copias de seguridad y respuesta ante incidentes.

Claves de un programa de compliance efectivo

Un programa de compliance debe adaptarse al tamaño, estructura y actividad concreta de la empresa. Pero, con carácter general, debería incluir:

  1. Mapa de riesgos penales, en el que se deben identificar las actividades de la empresa que pueden dar lugar a conflictos con la norma penal.
  2. Código ético y políticas internas, redactados de forma comprensible y aplicable a la realidad diaria de la organización.
  3. Protocolos de contratación y distribución, incluyendo información precontractual, análisis de necesidades del cliente, documentación de recomendaciones, control de productos complejos y revisión de comunicaciones comerciales.
  4. Política de prevención de conflictos de interés, especialmente relevante en la relación con aseguradoras, colaboradores, incentivos, comisiones y recomendaciones al cliente.
  5. Procedimiento de prevención de blanqueo de capitales y financiación del terrorismo, cuando resulte aplicable, con controles proporcionados al tipo de producto y cliente.
  6. Política de protección de datos y seguridad de la información, incluyendo control de accesos, proveedores tecnológicos, conservación documental, brechas de seguridad y uso de herramientas digitales.
  7. Canal interno de información, cuando proceda, con política del sistema interno de información, procedimiento de gestión de las informaciones recibidas y designación del responsable del sistema interno de información.
  8. Plan de formación, que contribuya a implantar en la empresa una cultura corporativa de cumplimiento normativo.
  9. Sistema disciplinario interno, que garantice la efectividad del modelo.
  10. Revisión periódica del sistema.

Los programas de compliance no deben verse como un coste añadido, sino como una inversión en una herramienta de protección jurídica, reputacional y empresarial absolutamente necesaria en un entorno cada vez más complejo.

Haes de, Carlos. Un bosque de palmeras (Elche). Hacia 1861. Museo Nacional del Prado, Madrid. (C) Archivo Fotográfico del Museo Nacional de Prado.