¿Deben las aseguradoras adaptarse a la normativa de protección de datos? En esta guía sobre protección de datos para aseguradoras responderemos a esta cuestión y veremos qué pasos deben seguir estas entidades para adaptarse al RGPD y la LOPDGDD.
En este artículo hablamos de:
- ¿Deben las aseguradoras cumplir con la Ley de Protección de Datos?
- Normativa de protección de datos para aseguradoras
- Cómo adaptar la normativa de protección de datos en una empresa de seguros
- Informar a los interesados del tratamiento de sus datos
- Recabar el consentimiento expreso
- Llevar el registro de actividades de tratamiento
- Realizar análisis de riesgos
- Firmar contratos de encargado del tratamiento
- Acuerdos o cláusulas de confidencialidad
- Cumplir con la legalidad en la página web
- Designar un Delegado de Protección de Datos (DPO)
- Notificar las brechas de seguridad
- Llevar a cabo auditorías periódicas
- No cumplir la Ley de Protección de Datos en la aseguradora es motivo de sanción
- Preguntas frecuentes
- ¿Necesita tu aseguradora cumplir con el RGPD y la LOPDGDD? Contacta con Grupo Atico34
¿Deben las aseguradoras cumplir con la Ley de Protección de Datos?
Las aseguradoras manejan una gran cantidad de datos personales de sus clientes y potenciales clientes, puesto que en el desarrollo de su actividad comercial pueden tener acceso a datos de relativos a la salud, a información financiera, al historial de siniestros de coche, etc., tanto de personas adultas como de menores de edad. Por este motivo, las aseguradoras deben cumplir con la Ley de Protección de Datos.
Normativa de protección de datos para aseguradoras
La normativa de protección de datos para aseguradoras la encontramos establecida en:
- El RGPD (Reglamento General de Protección de Datos)
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- Ley de Mediación de Seguros y Reaseguros Privados
- Ley de Ordenación, Supervisión y Solvencia de las entidades aseguradoras y reaseguradoras
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
RGPD para aseguradoras
El RGPD es el marco europeo para la protección de datos y marca las normas y obligaciones que todos los Estados miembros de la UE deben aplicar para garantizar la protección de los datos personales de los ciudadanos.
En vigor desde 2016, en España lo está desde 2018, el RGPD introdujo, entre otros, los principios de la protección de datos, así como novedades en cuanto al consentimiento de los interesados a la hora de ceder sus datos, así como la necesidad de que los responsables del tratamiento (en este caso las aseguradoras) y de los encargados del tratamiento sean proactivos, es decir, no solo se trata de cumplir con la norma implementando las medidas necesarias para garantizar la seguridad de la información personal, sino demostrar que dichas medidas son efectivas.
Además, también introdujo la obligación de llevar un registro de actividades de tratamiento, dividió los datos personales entre datos básicos y datos de categorías especiales (que exigen una mayor protección) y estableció los supuestos en los que es necesario realizar una evaluación de impacto en protección de datos (EIPD) o cuándo se debe designar un Delegado de Protección de Datos (DPO). Estos dos últimos aspectos, como veremos más adelante, son importantes para la protección de datos en aseguradoras.
LOPDGDD para aseguradoras
La LOPDGDD es la ley española que regula la protección de datos, así como la garantía de derechos digitales. Adapta el RGPD al ordenamiento jurídico español, de manera que recoge de manera muy similar las obligaciones y requisitos del Reglamento europeo, y amplía y profundiza en aquellos aspectos donde este permite la discreción de los Estados miembros para hacer más exigente la ley.
En ese sentido, y afectando directamente a las aseguradoras, la LOPDGDD establece de manera concreta las actividades en las que es obligatorio designar un DPO, así como ofrece una graduación algo más detallada de las infracciones y sanciones.
En cualquier caso, cumplir con la LOPDGDD es cumplir con el RGPD.
Cómo adaptar la normativa de protección de datos en una empresa de seguros
Como ya hemos dicho, las aseguradoras, en el desempeño de su actividad comercial, tratan con un gran volumen de datos personales, incluso tienen acceso a estos antes de formalizar el contrato de un seguro. La tramitación de las pólizas, tanto cuando se están negociando como cuando se ejecutan, requiere que la aseguradora (a través de sus empleados) acceda a una amplia variedad de información personal.
Debemos tener en cuenta que las aseguradoras necesitan de esta información para elaborar y tramitar las pólizas, sean estas de vida, salud, automóvil, etc. Por ese motivo es fundamental que las aseguradoras o cualquier entidad aseguradora o corredor de seguros, cumplan la normativa de protección de datos, especialmente porque tienen acceso y tratan datos de categorías especiales (artículo 9 del RGPD).
Informar a los interesados del tratamiento de sus datos
Uno de los principios fundamentales de la protección de datos es la transparencia y esto implica para las aseguradoras, en su papel de responsables y/o de encargados del tratamiento, informar a sus clientes y potenciales clientes de que se va a realizar un tratamiento de sus datos personales.
Esa información debe comprender:
- La identidad del responsable y (si procede) del encargado del tratamiento, así como los datos identificativos del Delegado de Protección de Datos
- La finalidad del tratamiento (es decir, para qué se van a usar los datos personales recabados)
- La base legitimadora del tratamiento (que puede ser el consentimiento del interesado o alguno de los fines específicos recogidos en el artículo 6, letras b, c, d, e o f del RGPD)
- Si los datos se cederán a terceros y la identidad de estos
- Si se producirán transferencias internacionales de datos
- El plazo de conservación de los datos
- La vía para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Esta información puede suministrarse de diferentes formas, aunque lo habitual es recurrir a cláusulas o anexos informativos en los contratos del seguro o en el documento que se use para recabar el consentimiento expreso de los clientes o potenciales clientes. Incluso se puede facilitar un enlace web que lleve una página en la que se recoja toda esta información.
Recabar el consentimiento expreso
El consentimiento RGPD siempre debe ser expreso, es decir, que requiere de una acción afirmativa, y que pueda quedar registrada, por parte del interesado (cliente o potenciales clientes), como puede ser la firma de las cláusulas de protección de datos en el contrato del seguro o de un documento de consentimiento de protección de datos antes de ceder ninguna información personal para la negociación de la póliza.
Como hemos dicho en el punto anterior, al recabar el consentimiento expreso, se informará a los interesados de todo lo relativo a la gestión de protección de datos y el tratamiento que se hará de ellos.
El consentimiento expreso es la primera base legitimadora para el tratamiento de datos personales y en el primer contacto entre los potenciales clientes y la aseguradora, es necesario recabarlo si esta va a solicitar datos personales de los primeros.
El consentimiento solo es válido para la finalidad para la que se haya recabado, de manera que si la aseguradora quiere llevar a cabo un nuevo tratamiento con otra finalidad, deberá volver a recabarlo, salvo que se dé alguno de los supuestos contemplados en las letras b, c, d, e o f del artículo 6 del RGPD.
Llevar el registro de actividades de tratamiento
Las aseguradoras, en su calidad de responsables del tratamiento, deben llevar un registro de actividades de tratamiento por cada tratamiento de datos personales que realicen. Esta obligación la tienen porque son un tipo de entidad que trata datos personales de manera sistemática y a gran escala, además de tratar datos de categorías especiales (como son los relativos a la salud).
Los registros de actividades de tratamiento deben mantenerse actualizados, y, aunque no es necesario inscribirlos en ningún registro, si la AEPD los solicita, hay que facilitárselos. Como mínimo, tendrán el siguiente contenido:
- Identificación y datos de contacto del responsable del tratamiento y, si procede, del encargado del tratamiento y del DPO
- Legitimación del tratamiento
- Finalidad del tratamiento
- Descripción de categorías de interesados y categorías de datos
- Descripción de categorías de destinatarios (existentes y previstos)
- Si se realizan o se van a realizar transferencias internacionales de datos y sus garantías
- Descripción de las medidas de seguridad
- Plazos de conservación de los datos personales
Realizar análisis de riesgos
Es obligación del responsable y del encargado del tratamiento realizar los preceptivos análisis de riesgos de los tratamientos de datos personales que se van a realizar o están previstos realizar. Por lo tanto, la aseguradora deberá, con carácter previo a cualquier tratamiento de datos, llevar a cabo un análisis de riesgos que le permita determinar a qué amenazas puede exponer este los datos de clientes y potenciales clientes.
Cuando decimos amenazas, nos referimos tanto a aquellas de carácter físico (por ejemplo, robos de documentación, incendios, inundaciones, etc.), como de carácter digital (por ejemplo, compromiso de cuentas de empleados, bloqueo del servidor, filtraciones de datos, etc.), que pueden suponer desde la destrucción o pérdida de los datos, hasta su secuestro o exfiltración.
El análisis de riesgos permitirá, por lo tanto, conocer de antemano estas amenazas, así como las probabilidades de materialización e implementar las medidas de seguridad adecuadas para reducir dichas probabilidades, así como, en caso de que se produjeran, minimizar su impacto en la vida de los interesados (los titulares de los datos).
¿Deben las aseguradoras realizar una evaluación de impacto?
Sí, las aseguradoras deben realizar evaluaciones de impacto de aquellos tratamientos que afecten a datos de categorías especiales, así como cuando se traten a gran escala y de manera sistemática.
La evaluación de impacto es un análisis de riesgos mediante el cual se puede determinar el impacto en los derechos y libertades de los interesados de la materialización de ciertas amenazas, de manera que permitirá aplicar medidas de seguridad más estrictas o, en el caso de que estas medidas no puedan reducir ese impacto, no llevar a cabo el tratamiento de datos correspondiente.
Firmar contratos de encargado del tratamiento
Las aseguradoras colaboran con otro tipo de empresas para poder prestar algunos de los servicios que ofrecen, como pueden ser mediadores de seguros, corredurías de seguros, centros de salud, talleres mecánicos, funerarias, etc. Cuando la relación entre estas empresas y la aseguradora es contractual (es decir, no forman parte del grupo asegurador), la aseguradora debe firmar con ellas un contrato de encargado del tratamiento, puesto que estas empresas van a tratar datos personales de los clientes de la aseguradora.
El contrato de encargado del tratamiento debe contener las obligaciones respecto a los datos personales que estas empresas van a tratar, como la finalidad del tratamiento, el plazo de conservación de los datos, qué se hará con estos después, así como las medidas de seguridad a aplicar.
Acuerdos o cláusulas de confidencialidad
Lo habitual es que los empleados de la aseguradora tengan acceso a los datos personales de los clientes y potenciales clientes, esto implica que ellos también deben cumplir con la normativa de protección de datos y respetar la confidencialidad de la información personal que manejan, además de cumplir con el protocolo y las medidas de seguridad implementadas por la empresa para garantizar la protección de datos.
Una forma de asegurar ese compromiso con la confidencialidad, es a través del acuerdo o la cláusula de confidencialidad; el primero es un documento que puede ir anexo al contrato de trabajo y la segunda es una cláusula (o varias) de confidencialidad que se incluye en el propio contrato. Aunque los empleados deberían respetar siempre su deber de confidencialidad, el acuerdo o la cláusula son formas de reforzar este compromiso y de que conozcan las consecuencias de no seguir y cumplir con las normas de seguridad de la aseguradora.
Cumplir con la legalidad en la página web
Muchas aseguradoras se publicitan a través de páginas web, en las que, además, es posible no solo entablar un primer contacto con la aseguradora, sino incluso contratar un seguro. Por ese motivo, es necesario que estas páginas web cumplan con los requisitos contemplados tanto en la Ley de Protección de Datos como en la LSSI-CE.
En concreto, la página web de la aseguradora deberá tener siempre accesibles desde cualquiera de sus secciones:
- El aviso legal, donde se recogen todos los datos identificativos de la aseguradora:
- Nombre o razón social
- CIF/NIF
- Dirección
- N.º de inscripción en el Registro Mercantil
- Términos y condiciones
- La política de privacidad, que recoge toda la información pertinente a la gestión de los datos personales en la web:
- Responsable del tratamiento
- Finalidad del tratamiento
- Base legitimadora del tratamiento
- Cómo se gestionan los datos personales
- Plazo de conservación de los datos
- Cesiones a terceros (identificados)
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- La política de cookies y el aviso de cookies, donde informa del tipo de cookie que emplea la web, su finalidad, sus titulares, el tiempo de conservación, etc., permitiendo al usuario aceptarlas o rechazarlas.
Designar un Delegado de Protección de Datos (DPO)
Las aseguradoras están obligadas a designar un Delegado de Protección de Datos, puesto que se encuentran entre las actividades recogidas en el artículo 34 de la LOPDGDD, puesto que, como ya dijimos, tratan datos personales de forma sistemática y en gran volumen, además, muchas de ellas tratan datos de categorías especiales.
Este Delegado de Protección de Datos obligatorio puede ser un empleado interno o contratar los servicios de uno externo, tanto a través de una consultoría especializada en protección de datos como un profesional por cuenta ajena.
En cualquier caso, la designación del DPO deberá ser comunicada a la AEPD, publicando los datos identificativos y de contacto del mismo.
Notificar las brechas de seguridad
En el caso de que se produzcan brechas de seguridad que pudieran dejar expuestos los datos personales de clientes, potenciales clientes, empleados, etc., la aseguradora deberá notificar dicha brecha de seguridad a la AEPD y a los propios interesados cuyos datos hayan podido verse afectados en un plazo no superior a 72 horas.
Llevar a cabo auditorías periódicas
Aunque ya no se recogen como una obligación explícita en la normativa, realizar la auditoría de protección de datos de forma periódica permitirá a las aseguradoras demostrar su proactividad y su cumplimiento de la norma, ya que a través de esta auditoría se comprobará el nivel de cumplimiento y la eficacia de las medidas de seguridad adoptadas, detectando posibles problemas o carencias y proponiendo las soluciones más adecuadas.
Se recomienda que estas auditorías se hagan cada uno o dos años a través de un servicio de auditoría externo, para asegurar así una completa objetividad.
No cumplir la Ley de Protección de Datos en la aseguradora es motivo de sanción
Las aseguradoras pueden enfrentar importantes sanciones si no cumplen con la normativa de protección de datos, sobre todo teniendo en cuenta el tipo de datos sensibles a los que pueden tener acceso y la cantidad de información personal que manejan diariamente.
Las cuantías de las sanciones dependen de la gravedad de la infracción, el número de personas afectadas y de su duración en el tiempo. La LOPDGDD establece las siguientes infracciones y sanciones:
- Infracciones leves (artículo 74): sanción de hasta 40.000 euros
- Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros
- Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual
Preguntas frecuentes
¿Se puede ceder información de los clientes a otras corredurías de seguros?
Sí, siempre y cuando se cumpla con la normativa, es decir, se haya informado a los clientes de que sus datos podrían ser cedidos a corredurías de seguros y estos hayan dado su consentimiento. Además, las corredurías deberán cumplir también con sus obligaciones en materia de protección de datos.
¿Qué debe hacerse con los datos personales cuando no se formaliza el seguro?
La Ley 20/2015 nos da la respuesta a esta pregunta; si finalmente el contrato de un seguro no llega a formalizarse, la aseguradora tendrá un plazo de 10 días para proceder a la supresión (eliminación) de los datos que el potencial cliente hubiera facilitado durante la negociación de la póliza. Podrá conservar dichos datos si el interesado da su consentimiento expreso para ello.
Eso sí, de acuerdo a la Ley de Protección de Datos, aún teniendo ese consentimiento, los datos personales no podrán conservarse indefinidamente y será necesario establecer un período de conservación limitado, que quedará a juicio del responsable del tratamiento (pero que no debería exceder los dos años).
¿Las aseguradoras están siempre obligadas a designar un DPO?
Sí, como hemos dicho más arriba, la LOPDGDD recoge a las aseguradoras como obligadas a designar un DPO.
¿Pueden las aseguradoras ofrecer seguros de protección de datos?
Sí, hay aseguradoras que desde hace un tiempo ofrecen un seguro de protección de datos a otras empresas y profesionales. Estos seguros cubren las pérdidas económicas causadas por las pérdidas de datos personales, sean estas debidas a incidentes de seguridad o negligencias del propio responsable del tratamiento.
¿Necesita tu aseguradora cumplir con el RGPD y la LOPDGDD? Contacta con Grupo Atico34
Dada la complejidad que cumplir con la normativa de protección de datos implica para las aseguradoras, es recomendable recurrir a los servicios de expertos en la materia, como los que encontrarás en Grupo Atico34, nuestro equipo de abogados especialistas en protección de datos se asegurará de que tu empresa de seguros cumple con todas las obligaciones pertinentes y podrás además contratar los servicios de un DPO.
Si tu aseguradora aún no se ha adaptado al RGPD y la LOPDGDD y quieres evitar cuantiosas sanciones, no dudes en ponerte en contacto con Grupo Atico34 y descubrir qué podemos hacer por tu negocio.