¿Cómo deben cumplir el RGPD los corredores de seguros?

Corredores y corredurías de seguros tratan con datos personales de sus asegurados, en ocasiones, incluso con datos relativos a la salud, por ello deben cumplir con la normativa de protección de datos. En esta guía explicamos cómo deben cumplir el RGPD los corredores de seguros.

¿Cómo afecta el RGPD a corredores de seguros?

En el desempeño de sus servicios, los corredores de seguros, o corredurías de seguros, necesitan tratar los datos personales de sus asegurados, tanto en el momento de formalizar el contrato como posteriormente, cuando asesoran a sus clientes sobre aseguradoras, comunican sus datos a estas o representan o defienden sus intereses frente a estas. Además, tampoco nos podemos olvidar de los datos de los potenciales clientes, es decir, de aquellas personas que comienzan un proceso de contratación con el corredor, pero que finalmente no terminan de formalizarlo.

Por lo tanto, los corredores de seguros deben cumplir con las obligaciones RGPD para el tratamiento de datos personales, esto implica tomar y aplicar una serie de medidas tanto técnicas como organizativas, que garanticen la legitimidad de los tratamientos, la transparencia, la confidencialidad, la integridad y la disponibilidad de los datos.

Es decir, la implantación del RGPD para un corredor de seguros pasa por cumplir con el principio de responsabilidad proactiva y poner en marcha todas las medidas y procesos que garanticen la protección de datos personales de sus asegurados, sus clientes potenciales y, en caso de tenerlos, sus empleados.

Cabe señalar que aunque hablemos principalmente de cumplir el RGPD para corredores de seguros, por extensión, también nos referimos a la LOPDGDD (la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales española, que introduce en nuestro ordenamiento jurídico las obligaciones y principios del RGPD).

Cómo deben cumplir el RGPD los corredores de seguros

Saber cómo cumplir con el RGPD pasa, por lo tanto, por conocer las obligaciones establecidas en esta normativa y entender que cualquier dato que sirva para identificar a una persona, se considera dato personal, y que cualquier acción en la que se manejen datos personales (recogida, almacenamiento, comunicación, eliminación, etc.), es un tratamiento de datos personales.

De manera que para comenzar, es necesario saber qué datos personales va a tratar el corredor de seguros habitualmente (o tiene previsto tratar) y qué tratamientos de datos realiza (o tiene previsto realizar), puesto que el cumplimiento de la mayoría de las obligaciones del RGPD girará siempre en torno a estos elementos.

¿El corredor de seguros es responsable o encargado del tratamiento?

Antes de ver las principales obligaciones y medidas RGPD que deben cumplir y adoptar los corredores de seguros, debemos aclarar que el corredor de seguros es el responsable del tratamiento, en tanto en cuanto la cartera de clientes es suya (y no de las aseguradoras con las que trabaje) y, por tanto, es quién decide sobre los usos y tratamientos de datos personales de sus clientes.

Registro de actividades de tratamiento

Llevar un registro de actividades de tratamiento es obligatorio para los corredores de seguros si tratan datos de categorías especiales (como lo son los relativos a la salud, y que podemos encontrar en el art. 9 del RGPD) y/o para empresas con más de 250 trabajadores (sería el caso de una correduría con una plantilla de ese tamaño).

El registro de actividades de tratamiento debe hacerse para cada uno de los tratamientos de datos personales que realice el corredor de seguros (por ejemplo, tendríamos uno bajo clientes). Como mínimo debe contener la siguiente información:

• Datos identificativos y de contacto del responsable del tratamiento (y, en su caso, del Delegado de Protección de Datos y el encargado del tratamiento).
• Finalidad del tratamiento.
• Categorías de interesados (por ejemplo, asegurados).
• Categorías de destinatarios de los datos (por ejemplo, aseguradoras).
• Si se van a realizar transferencias internacionales de datos y garantías correspondientes.
• Plazos para la supresión de los datos.
• Medidas de seguridad adoptadas.

Consentimiento de los interesados

El consentimiento explícito de los interesados es la primera base legitimadora para el tratamiento de datos personales; en el caso de los corredores de seguros, necesitarán recabar el consentimiento de los clientes potenciales para el tratamiento de sus datos con la finalidad de confeccionar el contrato, así como a la hora de formalizar la contratación, para lo que se puede recurrir a la aceptación y firma de cláusulas de protección de datos, si bien, estas deben ser claramente diferenciables del resto del contrato.

Así mismo, si se quieren enviar comunicaciones comerciales a los interesados, será necesario recabar el consentimiento explícito de estos (se recabará de forma independiente y diferenciada del consentimiento para el tratamiento de datos), con la excepción de que si ya existe entre estos y el corredor una relación contractual y las comunicaciones comerciales son sobre productos similares o relacionados con esta, no será necesario dicho consentimiento.

Tampoco será necesario el consentimiento de los interesados cuando el corredor deba comunicar los datos a la aseguradora para la contratación y gestión de las pólizas, así como en la tramitación de los siniestros.

Información y derechos de los interesados

Para cumplir con el principio de transparencia del RGPD, el corredor de seguros debe informar a los interesados sobre el tratamiento de sus datos y sus derechos. Esta información debe suministrarse de manera previa al tratamiento de datos (por ejemplo, como anexo al contrato) y debe incluir el siguiente contenido:

• Identidad y datos de contacto del responsable del tratamiento, y en su caso, del encargado del tratamiento y los datos identificativos del Delegado de Protección de Datos.
• La finalidad del tratamiento.
• La legitimidad del tratamiento.
• Si los datos serán cedidos a terceros y la identidad de estos.
• Si se van a realizar transferencias internacionales de datos.
• El plazo de conservación de los datos.
• La vía para ejercer los derechos ARSULIPO (o ARCO+).
• La posibilidad de reclamar ante la AEPD.
• En su caso, información relativa a las decisiones automatizadas, incluida la elaboración de perfiles.

En cuanto a los derechos ARSULIPO, son los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, que de los que el corredor de seguros deberá no solo debe informar, sino también habilitar una vía para que los interesados puedan enviarle sus solicitudes para ejercer dichos derechos y gestionarlas siempre en tiempo y forma (responder dentro de plazo y en, caso de negarlos, justificarlo debidamente y siempre recordando al interesado que puede acudir a la AEPD).

Análisis de riesgos

Para poder adoptar las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de datos, es fundamental conocer los riesgos y amenazas a las que pueden estar expuestos los datos personales que se tratan en la correduría de seguros.

Para ello es necesario realizar los preceptivos análisis de riesgos de cada tratamiento de datos personales que vaya a realizar el corredor de seguros y determinar a qué riesgos y amenazas para los derechos y libertades de los interesados pueden suponer dichos tratamientos, y qué medidas de seguridad son las más adecuadas para minimizarlos, así cómo minimizar su impacto si acaban produciéndose.

En el caso de los corredores de seguro que, además, traten datos de categorías especiales, deberán realizar también una evaluación de impacto en protección de datos de los tratamientos que vayan a llevar a cabo. Esta evaluación (que sigue siendo un análisis de riesgos, pero más exhaustivo), permite determinar el nivel de impacto en los derechos y libertades fundamentales que pueden tener los tratamientos de datos y los riesgos derivados de ellos.

En caso de tener página web

Si el corredor o correduría de seguros tiene una página web para promocionar sus servicios o realizar contrataciones online, también debe cumplir con las siguientes obligaciones RGPD y de la LSSI-CE:

• Aviso legal en el que se recogen los datos identificativos y registrales del corredor o correduría de seguros, así como los términos y condiciones.
• Política de privacidad en la que se suministra toda la información pertinente a la gestión de los datos personales a través de la web:
  • Responsable del tratamiento
  • Finalidad del tratamiento
  • Base legitimadora del tratamiento
  • Cómo se gestionan los datos personales
  • Plazo de conservación de los datos
  • Cesiones a terceros (identificados)
  • Uso de cookies
  • Vía para ejercer los derechos ARSULIPO
• Política de cookies y aviso de cookies para informar sobre el uso de las mismas, su duración, finalidad y titulares, y recabar el consentimiento para su uso, respectivamente.

Cesión de datos a terceros

Como mínimo, los corredores de seguros cederán los datos personales de sus clientes a las aseguradoras con las que contraten las pólizas de estos, por lo que con ellas, y con cualquier otro proveedor o socio a quien vayan a ceder datos personales, se debe firmar un contrato de protección de datos o contrato de encargo de tratamiento, en el que el corredor de seguros, como responsable del tratamiento, fijará qué datos se cederán, con qué finalidad y en otras condiciones relativas a las obligaciones de cada parte del contrato.

Así mismo, informará a los interesados de cuándo se produzcan estas cesiones de datos a terceros.

Notificación de brechas de seguridad

En el caso de que se produzca una brecha de seguridad que ponga en riesgo los datos personales de los asegurados y, debido a ello, sus derechos y libertades puedan verse afectadas, el corredor de seguros deberá comunicar el incidente a la AEPD (Agencia Española de Protección de Datos) y los propios interesados cuyos datos se hayan visto afectados.

Para efectuar estas notificaciones, se dispone de un plazo máximo de 72 horas, a contar desde el momento en que se tuvo noticia del incidente.

¿Debe el corredor de seguros designar un Delegado de Protección de Datos?

El corredor o correduría de seguros que trate datos de categorías especiales y lo hagan a gran escala, están obligadas a designar un Delegado de Protección de Datos (DPO).

Para el resto no será necesario, pero sí que puede resultar recomendable contar con esta figura, ya que entre otras funciones, asesorará al corredor de seguro sobre los tratamientos de datos que realice y cualquier duda que pueda surgir, además, se asegurará de que se cumple correctamente con las obligaciones del RGPD.

Sanciones RGPD para corredores de seguros por no cumplir la ley de protección de datos

No cumplir con el RGPD o hacerlo de manera inadecuada o insuficiente, es motivo de sanción para los corredores, además, teniendo en cuenta que pueden tratar datos de categorías especiales o de menores de edad, las cuantías de las multas pueden ser realmente elevadas.

A modo orientativo, estas son las sanciones que contempla el RGPD para corredores de seguros:

• Infracciones graves: sanciones de hasta 10 millones de euros o el 2% del volumen de facturación anual (la cuantía que resulte superior).
• Infracciones muy graves: sanciones de hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que resulte superior).

Dentro de esas horquillas, la LOPDGDD gradúa más las sanciones:

• Infracciones leves (artículo 74): sanción de hasta 40.000 euros.
• Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros.
• Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual.

¿Puede un corredor de seguros ofrecernos un seguro de protección de datos?

Sí, un corredor de seguros puede ofrecer a sus clientes (en el caso de empresas o autónomos) la contratación de un seguro de protección de datos, ya que muchas aseguradoras ofrecen este tipo de seguros, que se asemejan a los seguros de responsabilidad civil.

¿Necesita tu correduría de seguros cumplir con el RGPD? Contacta con Grupo Atico34

Adaptarse al RGPD como corredor de seguros, o a la correduría de seguros, es una labor compleja, puesto que es muy probable que se vayan a tratar datos de categorías especiales, lo que requiere una mayor atención y nivel de cumplimiento de la normativa.

Por ese motivo es recomendable contratar la protección de datos con consultoras especializadas, como Grupo Atico34, que cuenta con un equipo de profesionales especializados en la materia y con una larga experiencia ayudando a empresas, autónomos y administraciones a adaptarse y cumplir con el RGPD y la LOPDGDD. Además, también podrás contratar los servicios de un DPO, si tienes obligación de designar a uno.

Evita posibles sanciones para tu correduría y adáptala a la normativa de protección de datos con ayuda de Grupo Atico34 y estarás seguro de cumplir completamente la ley.