Gestionar una correduría de seguros implica mucho más que vender pólizas. Detrás de cada operación hay un entramado de obligaciones legales que, si se incumplen, pueden derivar en sanciones de miles — o cientos de miles — de euros. Y lo que es peor: muchas corredurías las desconocen o las subestiman hasta que un requerimiento administrativo las obliga a reaccionar.
Este artículo es una guía práctica y actualizada de las principales obligaciones legales que afectan a las corredurías de seguros en España en 2026. No sustituye el asesoramiento jurídico profesional, pero sí te dará una visión completa de lo que deberías tener en orden y de las consecuencias reales de no tenerlo.
Las corredurías de seguros manejan uno de los cócteles de datos personales más delicados que existen:
Los datos de salud son lo que el RGPD denomina categorías especiales de datos (artículo 9), cuyo tratamiento está sujeto a condiciones reforzadas. Una filtración de cuestionarios médicos de clientes no es comparable a una filtración de emails: las consecuencias reputacionales y legales son de otro orden.
El cumplimiento del RGPD y la LOPD-GDD (Ley Orgánica 3/2018) no es una cuestión de instalar un banner de cookies. Una correduría necesita, como mínimo:
Registro de Actividades de Tratamiento (RAT): Documento que describe todos los tratamientos de datos que realiza tu correduría. Quién es el responsable, qué datos tratas, con qué finalidad, a quién los comunicas, cuánto tiempo los conservas. Es obligatorio y debe estar actualizado.
Política de privacidad: Accesible para los clientes. Debe informar de forma clara y completa sobre el tratamiento de sus datos.
Cláusulas informativas: Textos legales que acompañan a cada punto de recogida de datos (formularios web, contratos, emails).
Contratos de encargado de tratamiento: Con todos los proveedores que acceden a datos personales por tu cuenta (gestoría, empresa de software, servicio de hosting, etc.).
Análisis de riesgos: Evaluación de los riesgos asociados a los tratamientos de datos que realizas. Para tratamientos de alto riesgo (como los datos de salud), puede ser necesaria una Evaluación de Impacto (EIPD).
Protocolo de brechas de seguridad: Procedimiento documentado para detectar, evaluar, contener y notificar brechas de seguridad. Las brechas que afecten a derechos y libertades deben notificarse a la AEPD en 72 horas.
Procedimiento de derechos ARCO: Protocolo para atender las solicitudes de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento que ejerzan los interesados. El plazo de respuesta es de un mes.
El RGPD obliga a designar un DPO cuando el tratamiento lo realiza una autoridad pública, cuando se tratan datos a gran escala o cuando se tratan categorías especiales de datos como actividad principal.
Aquí hay debate. Una correduría trata datos de salud, sí, pero ¿es su "actividad principal"? La AEPD ha considerado que los intermediarios de seguros no están obligados a designar DPO de forma general, pero lo recomienda encarecidamente dada la naturaleza de los datos que manejan. En la práctica, si tu correduría tiene más de un puñado de empleados o gestiona un volumen significativo de pólizas de salud o vida, designar un DPO (externo es perfectamente válido) es una medida prudente.
Las sanciones del RGPD son las más mediáticas, y con razón:
| Tipo de infracción | Importe máximo |
|---|---|
| Infracciones leves | Hasta 40.000 € (LOPD-GDD) |
| Infracciones graves | Hasta 300.000 € (LOPD-GDD) |
| Infracciones muy graves | Hasta 20.000.000 € o 4% facturación global (RGPD) |
En la práctica, las multas a corredurías y empresas pequeñas son más modestas, pero no despreciables. La AEPD ha impuesto sanciones de 5.000 a 60.000 euros a empresas del sector asegurador por incumplimientos relativamente comunes: falta de base de legitimación, comunicaciones comerciales sin consentimiento o ausencia de contrato de encargado de tratamiento.
La Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, incluye expresamente a los corredores de seguros entre los sujetos obligados (artículo 2.1.j).
Esto sorprende a muchas corredurías, que asumen que esta normativa solo afecta a bancos y notarios. Pero tiene sentido: los seguros pueden usarse como instrumento de blanqueo (seguros de vida con prima única elevada, por ejemplo) y los intermediarios son un eslabón clave en la cadena.
Como sujeto obligado, una correduría debe implementar:
Antes de establecer una relación de negocios con un cliente, debes:
Documento interno que describe las políticas y procedimientos de tu correduría para prevenir el blanqueo. Debe incluir la política de admisión de clientes, los procedimientos de diligencia debida, las medidas de control interno y la formación del personal.
Dependiendo del tamaño de la correduría, se necesita un representante ante el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales).
Si detectas una operación que presenta indicios de blanqueo, tienes la obligación de examinarla internamente y, en su caso, comunicarla al SEPBLAC. No comunicar una operación sospechosa es en sí misma una infracción muy grave.
Todo el personal de la correduría que intervenga en la intermediación de seguros debe recibir formación específica en prevención de blanqueo. Esta formación debe estar documentada y actualizarse periódicamente.
Toda la documentación relativa a las obligaciones de diligencia debida debe conservarse durante un período mínimo de diez años.
| Tipo | Importe |
|---|---|
| Infracción leve | Hasta 60.000 € |
| Infracción grave | 60.001 € - 1.500.000 € |
| Infracción muy grave | 1.500.001 € - 10.000.000 € (o 10% facturación) |
Además, las infracciones graves y muy graves pueden llevar aparejada la revocación de la autorización administrativa para operar como correduría. Es decir: el cierre del negocio.
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, obliga a determinadas empresas a implementar un Sistema Interno de Información (canal de denuncias).
La obligación afecta a:
Esto significa que incluso una correduría de 5 empleados, por su condición de sujeto obligado en materia de blanqueo, debería disponer de un canal de denuncias.
| Tipo | Importe |
|---|---|
| Infracción leve | Hasta 100.000 € (personas jurídicas) |
| Infracción grave | 100.001 € - 600.000 € |
| Infracción muy grave | 600.001 € - 1.000.000 € |
Desde la Ley Orgánica 3/2007 (modificada por el RD 901/2020 y el RD 902/2020), todas las empresas, independientemente de su tamaño, deben contar con un protocolo para la prevención del acoso sexual y del acoso por razón de sexo.
No importa si tu correduría tiene 2 trabajadores o 200. El protocolo es obligatorio y debe incluir:
El incumplimiento se sanciona como infracción grave o muy grave en materia de igualdad, con multas de hasta 187.515 euros en los casos más graves.
La Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales introdujo el derecho a la desconexión digital de los trabajadores fuera de su tiempo de trabajo.
Las empresas deben elaborar una política interna de desconexión digital que defina las modalidades de ejercicio de este derecho y las acciones de formación y sensibilización. Esto incluye, por ejemplo, limitar el envío de emails o mensajes de trabajo fuera del horario laboral.
Para las corredurías, donde es habitual que un corredor reciba llamadas de clientes fuera de horario, este protocolo es especialmente relevante.
La Dirección General de Seguros y Fondos de Pensiones (DGSFP) impone requisitos adicionales a los corredores de seguros:
El incumplimiento de estas obligaciones puede llevar a la cancelación de la inscripción en el Registro, lo que equivale a la imposibilidad de ejercer.
| Obligación | Norma | Sanción máxima | Consecuencia adicional |
|---|---|---|---|
| Protección de datos (RGPD) | RGPD + LOPD-GDD | 20M € o 4% facturación | Daño reputacional severo |
| Blanqueo de capitales | Ley 10/2010 | 10M € o 10% facturación | Revocación de autorización |
| Canal de denuncias | Ley 2/2023 | 1M € | Inhabilitación de responsables |
| Acoso laboral | LO 3/2007 | 187.515 € | Responsabilidad penal en casos graves |
| Desconexión digital | LOPD-GDD art. 88 | Incluida en sanciones laborales | Reclamaciones individuales |
| Registro DGSFP | LMSRP | Cancelación registro | Imposibilidad de ejercer |
Cumplir con todas estas obligaciones puede parecer abrumador, especialmente para una correduría pequeña que no tiene un departamento legal interno. Aquí es donde la tecnología marca la diferencia.
Semmas incluye un pack de cumplimiento legal con la documentación necesaria para las principales obligaciones que hemos detallado:
Esta documentación se revisa y actualiza anualmente para adaptarse a los cambios normativos. Esto es importante porque las leyes evolucionan: las guías interpretativas de la AEPD, las instrucciones del SEPBLAC y las reformas legislativas pueden cambiar los requisitos de un año para otro.
La plataforma implementa un sistema de roles y permisos que garantiza que cada usuario solo accede a los datos que necesita. Además, el sistema mantiene un registro de actividad que permite saber quién accedió a qué información y cuándo.
Esto no es un extra: es un requisito del RGPD. El principio de minimización de datos y el de limitación de acceso exigen que los datos personales solo sean accesibles para las personas que los necesitan en el ejercicio de sus funciones.
Los datos almacenados en la plataforma están cifrados, tanto en tránsito (TLS) como en reposo. Las credenciales sensibles (claves de API de aseguradoras, por ejemplo) utilizan cifrado adicional. Los backups se realizan de forma automática y cifrada.
Para una correduría que hasta ahora guardaba datos de salud en un Excel en una carpeta compartida, el salto en seguridad es enorme.
Seamos honestos: una plataforma con documentación legal incluida no sustituye el asesoramiento jurídico personalizado en todas las situaciones. Necesitarás un abogado o consultor especializado cuando:
Para el día a día, la documentación incluida en la plataforma te permite tener las bases cubiertas sin necesidad de invertir miles de euros en consultorías legales cada año. Es un punto de partida sólido, no un sustituto completo del asesoramiento legal, pero sí la diferencia entre tener algo y no tener nada.
Las obligaciones legales de una correduría de seguros son numerosas y las consecuencias de incumplirlas, severas. Pero no hay que vivirlo como una amenaza, sino como un aspecto más de la gestión profesional del negocio.
La clave es no esperar a que llegue una inspección o un requerimiento para poner orden. La mayor parte de estas obligaciones se pueden cumplir de forma razonablemente sencilla si cuentas con las herramientas adecuadas y la documentación correcta.
Si quieres comprobar en qué punto está tu correduría, haz un ejercicio simple: repasa la tabla de sanciones de este artículo y pregúntate, para cada obligación, si podrías demostrar cumplimiento mañana mismo. Si la respuesta es no en más de un punto, quizá sea momento de dar un paso adelante. Semmas incluye el pack legal y las herramientas de seguridad como parte de la plataforma, para que el cumplimiento sea parte natural de tu operativa diaria y no un quebradero de cabeza.
La mayoría de corredurías siguen gestionando pólizas, clientes y vencimientos en hojas de cálculo. Te contamos cómo migrar a un sistema unificado sin perder ...
Cada año se registran casi 190 nuevas corredurías en España. Te explicamos los requisitos legales, los costes reales y las decisiones clave para empezar con ...
Desde 2019 todas las empresas españolas deben registrar la jornada de sus trabajadores. Te explicamos qué exige la ley y cómo resolverlo con fichaje digital ...
