Blog

RGPD, IDD, blanqueo y canal de denuncias: el checklist definitivo para corredurías en 2026

Semmas
12 de Marzo de 2026 12 min de lectura
RGPD, IDD, blanqueo y canal de denuncias: el checklist definitivo para corredurías en 2026

RGPD, IDD, blanqueo y canal de denuncias: el checklist definitivo para corredurías en 2026

Si diriges una correduría de seguros, tu negocio está sujeto a más normativas de las que probablemente tienes controladas. No es culpa tuya: la carga regulatoria ha crecido enormemente en los últimos años, y las corredurías pequeñas no tienen departamento legal ni compliance officer. Pero el desconocimiento no exime del cumplimiento, y las sanciones son reales.

Este artículo es un checklist práctico de todas las obligaciones legales que una correduría de seguros debe cumplir en 2026. No es un tratado jurídico — es una guía de acción para que puedas identificar rápidamente qué tienes cubierto y qué no.

1. RGPD y protección de datos

Qué exige

El Reglamento General de Protección de Datos (UE 2016/679), complementado por la LOPDGDD española (Ley 3/2018), establece obligaciones estrictas para quien trate datos personales. Las corredurías son responsables del tratamiento, lo que implica obligaciones directas.

Checklist RGPD

  • [ ] Registro de actividades de tratamiento actualizado (Art. 30 RGPD). Debe incluir: finalidades, categorías de datos, categorías de interesados, plazos de conservación, medidas de seguridad
  • [ ] Análisis de riesgos realizado. Si tratas datos de salud (seguros médicos), es obligatoria una Evaluación de Impacto (EIPD)
  • [ ] Base jurídica identificada para cada tratamiento. Las más habituales en correduría:
    • Ejecución de contrato (gestión de pólizas)
    • Obligación legal (PBC, supervisión DGSFP)
    • Interés legítimo (comunicaciones comerciales a clientes existentes)
    • Consentimiento explícito (datos de salud, prospección a no clientes)
  • [ ] Cláusulas informativas en todos los puntos de recogida de datos: formularios web, presupuestos, contratos, emails
  • [ ] Contratos de encargado de tratamiento firmados con todos los proveedores que acceden a datos: software de gestión, hosting, email marketing, gestoría, etc.
  • [ ] Política de privacidad publicada en la web
  • [ ] Protocolo de ejercicio de derechos: procedimiento para atender solicitudes de acceso, rectificación, supresión, portabilidad, oposición y limitación. Plazo: 1 mes
  • [ ] Protocolo de brechas de seguridad: plan de acción para notificar a la AEPD en 72 horas y a los afectados si hay riesgo alto
  • [ ] Delegado de Protección de Datos (DPD): obligatorio si tratas datos de salud a gran escala. En la práctica, la mayoría de corredurías pequeñas no están obligadas, pero es recomendable designar un responsable interno
  • [ ] Formación al personal en protección de datos: obligatoria y demostrable

Datos de salud: atención especial

Las corredurías que gestionan seguros de salud, vida o decesos tratan datos de salud (categoría especial bajo el RGPD). Esto implica:

  • Consentimiento explícito del asegurado
  • Si no se formaliza el contrato, la aseguradora debe suprimir los datos en 10 días
  • Medidas de seguridad reforzadas (cifrado, control de acceso)

Sanciones

Gravedad Rango de sanción
Leve 900 - 40.000 €
Grave 40.001 - 300.000 €
Muy grave 300.001 - 20.000.000 € (o 4% facturación)

Las corredurías pequeñas raramente reciben sanciones millonarias, pero multas de 5.000 a 60.000 € por incumplimientos formales (falta de registro de actividades, contratos de encargado no firmados) son perfectamente habituales.

2. Ley de Distribución de Seguros (IDD)

Qué exige

El RDL 3/2020 transpone la Directiva IDD (2016/97) y regula la actividad de distribución de seguros en España. Es la norma que define qué es un corredor, qué obligaciones tiene y cómo debe actuar.

Checklist IDD

  • [ ] Inscripción vigente en el Registro de la DGSFP (o registro autonómico)
  • [ ] Seguro de RC profesional en vigor con las coberturas mínimas: 1.300.380 € por siniestro / 1.924.560 € agregado anual
  • [ ] Capacidad financiera acreditada: 4% de primas anuales percibidas (mínimo 19.510 €)
  • [ ] Formación continua: 25 horas anuales para todo el personal que participe en la distribución. Conservar certificados
  • [ ] Análisis objetivo del mercado: el corredor debe presentar al cliente un número suficiente de contratos (mínimo 3) de diferentes aseguradoras, documentando la recomendación personalizada
  • [ ] Documento IPID (Insurance Product Information Document): entregado al cliente antes de la contratación para productos de No Vida
  • [ ] Información precontractual: identidad del corredor, registro, vínculos con aseguradoras, procedimiento de quejas, remuneración
  • [ ] Evaluación de demandas y necesidades: documentar qué necesita el cliente antes de recomendar un producto
  • [ ] Gobernanza de producto (POG): participar en el proceso de diseño y supervisión de productos cuando actúes como co-fabricante
  • [ ] Política de conflictos de interés: protocolo escrito para identificar y gestionar conflictos
  • [ ] Procedimiento de quejas y reclamaciones: accesible para clientes, con plazo de respuesta de 2 meses

Lo que muchas corredurías incumplen sin saberlo

El requisito de documentar la recomendación personalizada es el más incumplido en la práctica. No basta con enviar un presupuesto: debes poder demostrar que evaluaste las necesidades del cliente, que comparaste opciones y que la recomendación se basó en un análisis objetivo.

Si usas un multitarificador que genera comparativas y las vincula al expediente del cliente, este requisito se cumple de forma casi automática. Si cotizas por teléfono y envías presupuestos por WhatsApp, la trazabilidad es prácticamente inexistente.

3. Prevención de blanqueo de capitales (PBC)

Qué exige

La Ley 10/2010 y el RD 304/2014 establecen obligaciones de prevención de blanqueo para mediadores de seguros. Las corredurías son sujetos obligados en los ramos de Vida, Accidentes y Enfermedad (cuando la prima anual supere 1.000 € o la prima única supere 2.500 €).

Checklist PBC

  • [ ] Manual de prevención aprobado por el órgano de administración
  • [ ] Análisis de riesgos de blanqueo específico para tu actividad
  • [ ] Diligencia debida en la identificación de clientes:
    • Persona física: DNI/NIE/pasaporte, verificación de identidad
    • Persona jurídica: CIF, escrituras, identificación del titular real
    • Personas expuestas políticamente (PEP): diligencia reforzada
  • [ ] Seguimiento continuo de la relación de negocios
  • [ ] Examen especial de operaciones que por su naturaleza puedan estar vinculadas al blanqueo
  • [ ] Comunicación de operaciones sospechosas al SEPBLAC (Servicio Ejecutivo)
  • [ ] Conservación de documentación: 10 años desde la terminación de la relación de negocios
  • [ ] Formación al personal: específica en PBC, anual
  • [ ] Representante ante el SEPBLAC designado (obligatorio)
  • [ ] Órgano de control interno designado

¿Mi correduría está obligada?

Si solo gestionas auto, hogar, RC y similares (ramos de No Vida distintos de Accidentes y Enfermedad), las obligaciones de PBC son mínimas o inexistentes. Pero si gestionas Vida, Salud privada o Accidentes con primas superiores a los umbrales indicados, estás plenamente obligado.

En la práctica, la mayoría de corredurías que trabajan con seguros de vida y salud deben cumplir.

4. Canal de denuncias

Qué exige

La Ley 2/2023 de protección al informante (transposición de la Directiva Whistleblowing) obliga a las empresas con 50 o más trabajadores a implantar un sistema interno de información (canal de denuncias). Para empresas de menos de 50 trabajadores no es obligatorio, pero sí recomendable.

Checklist canal de denuncias (si aplica)

  • [ ] Sistema interno de información implementado (puede ser buzón electrónico, plataforma online, correo postal o presencial)
  • [ ] Responsable del sistema designado
  • [ ] Confidencialidad garantizada para el informante
  • [ ] Plazo de respuesta: acuse de recibo en 7 días, respuesta en 3 meses máximo
  • [ ] Protección contra represalias: prohibición de despido, sanción o discriminación al informante
  • [ ] Registro de informaciones recibidas, con conservación durante el plazo legal

¿Afecta a corredurías pequeñas?

La mayoría de corredurías tienen menos de 50 empleados, por lo que no están obligadas. Sin embargo, si tu correduría forma parte de un grupo empresarial que en conjunto supera los 50 trabajadores, la obligación aplica al grupo.

Aunque no estés obligado, tener un canal de denuncias básico (un email dedicado con protocolo de gestión) es una buena práctica que demuestra gobernanza y puede prevenir problemas mayores.

5. VeriFactu (obligatorio desde julio 2027)

Qué exige

El Reglamento de requisitos para software de facturación (RD 1007/2023) obliga a que los sistemas informáticos de facturación cumplan requisitos de integridad y trazabilidad. Cada factura genera un registro con hash encadenado, y el sistema debe ser capaz de enviar estos registros a la AEAT.

Checklist VeriFactu

  • [ ] Identificar cómo facturas actualmente: ¿software integrado? ¿programa independiente? ¿Excel/Word?
  • [ ] Confirmar con tu proveedor de software que dispondrá de la adaptación a VeriFactu antes de julio 2027
  • [ ] Obtener la declaración responsable del fabricante de tu software de facturación
  • [ ] Si facturas con Excel/Word: migrar a un software de facturación real antes de la fecha límite
  • [ ] Código QR en todas las facturas emitidas (requerido por VeriFactu)

Sanciones

Hasta 50.000 € por ejercicio por usar software no certificado (la sanción recae sobre el usuario, no sobre el fabricante).

6. Declaración estadístico-contable (DGSFP)

Qué exige

Las corredurías de seguros (personas jurídicas con volumen de primas intermediado superior a determinados umbrales) están obligadas a presentar una declaración estadístico-contable anual ante la DGSFP. El modelo y contenido varían según el tamaño de la correduría.

Checklist

  • [ ] Verificar si estás obligado según tu volumen de primas intermediado
  • [ ] Preparar la documentación: balance, cuenta de resultados, primas intermediadas por ramo y aseguradora
  • [ ] Presentar en plazo: generalmente antes del 30 de junio del año siguiente al ejercicio

7. Formación profesional continua

Qué exige

El RD 287/2021 establece la obligación de formación continua para todo el personal que participe en la distribución de seguros:

Concepto Requisito
Horas anuales 25 horas mínimo
Contenido Actualización normativa, productos, protección de datos, PBC
Acreditación Certificados de centros autorizados
Conservación Debe conservarse documentación acreditativa

Checklist

  • [ ] Plan de formación anual definido
  • [ ] 25 horas completadas por cada persona que distribuye seguros
  • [ ] Certificados archivados y accesibles para inspección
  • [ ] Formación incluye materias obligatorias: derecho de seguros, normativa de distribución, protección al cliente, RGPD, PBC

Cómo un software de gestión simplifica el cumplimiento

La mayoría de estas obligaciones tienen un denominador común: requieren trazabilidad, documentación y control de acceso. Exactamente lo que una hoja de cálculo no puede ofrecer y un software de gestión sí.

Obligación Con Excel Con software de gestión
Registro de actividades RGPD Manual (si existe) Automático
Trazabilidad de recomendaciones IDD Inexistente Historial de cotizaciones por cliente
Control de acceso a datos No hay Roles y permisos por usuario
Documentación PBC (10 años) Carpetas dispersas Archivo digital centralizado
Alertas de vencimiento de pólizas Manual Automático
Protocolo de brechas RGPD Imposible detectar Logs de acceso auditables
Comparativas documentadas (IDD) Capturas de pantalla PDF generados automáticamente

El coste de no cumplir vs. el coste de cumplir

Riesgo acumulado de sanciones

Normativa Sanción típica para correduría pequeña
RGPD (infracción grave) 5.000 - 60.000 €
IDD (falta de documentación) Apercibimiento - 30.000 €
PBC (incumplimiento formal) 3.000 - 150.000 €
VeriFactu (software no certificado) Hasta 50.000 €

La esperanza matemática (probabilidad × impacto) de estas sanciones es difícil de calcular, pero incluso asumiendo una probabilidad baja de inspección, el impacto potencial supera con creces el coste de cumplir.

Coste de cumplir

Una plataforma de gestión que cubra CRM, pólizas, documentación y trazabilidad cuesta entre 200 y 500 € al mes para una correduría típica. Añade una asesoría de protección de datos (500-1.500 €/año) y un manual de PBC (500-1.000 € por elaboración), y el coste total de cumplimiento se sitúa en 4.000-8.000 € anuales.

Comparado con una sola sanción de 10.000 €, la cuenta es clara.

Plan de acción: por dónde empezar

Si al leer este checklist te has dado cuenta de que hay puntos sin cubrir, no entres en pánico. Prioriza así:

Prioridad alta (riesgo inmediato)

  1. RGPD básico: registro de actividades, cláusulas informativas, contratos de encargado
  2. RC profesional y capacidad financiera en vigor (sin esto, no puedes operar legalmente)
  3. Formación continua al día (25 horas)

Prioridad media (próximos 6 meses)

  1. Manual de PBC si gestionas Vida/Salud
  2. Evaluación de impacto RGPD si tratas datos de salud
  3. Documentación IDD: protocolo de análisis objetivo y recomendación personalizada

Prioridad planificada (antes de julio 2027)

  1. VeriFactu: confirmar que tu software de facturación cumplirá
  2. Canal de denuncias si superas 50 empleados

El cumplimiento normativo no tiene que ser un dolor de cabeza si se aborda con las herramientas adecuadas. Un software de gestión específico para corredurías, como Semmas, resuelve automáticamente gran parte de la trazabilidad que exigen RGPD e IDD. Es la diferencia entre cumplir por diseño y cumplir (o no) por voluntad.

Artículos relacionados

Descubre cómo Semmas puede ayudar a tu correduría

Solicitar demo