La implantación de protección de datos en una aseguradora: ¿cuáles son las normativas de protección de datos en España que se aplican en seguros?
Los datos, un activo valioso para las empresas de seguros
En un mundo cada vez más digitalizado y conectado, los datos se han convertido en el nuevo oro. En el sector asegurador son un activo muy valioso pues no solo ayudan a conocer mejor a los clientes para proponerles productos adaptados a su perfil, sino que también permiten adelantarse a las tendencias para diseñar nuevas coberturas, identificar con mayor precisión los intentos de estafa al seguro o incluso proporcionar precios dinámicos que mejoren la satisfacción del cliente. Sin embargo, el manejo de esa información debe regirse por la normativa de protección de datos de España.
La normativa de protección de datos en España
Las aseguradoras manejan una gran cantidad de datos personales puesto que para ejercer su actividad deben tener acceso a la información financiera de sus clientes o potenciales clientes, datos sobre su salud o el historial de siniestralidad, entre otros. Eso significa que tienen que cumplir con diferentes normativas de protección de datos en España.
Normativas sectoriales como la Ley de Mediación de Seguros y Reaseguros Privados y la Ley de Ordenación, Supervisión y Solvencia de las Entidades Aseguradoras y Reaseguradoras establecen sus propios requisitos en materia de protección de datos.
Las aseguradoras y corredurías también deben someterse a legislaciones de carácter general como el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Todas esas normativas de protección de datos en España tienen como objetivos principales fomentar la transparencia y la responsabilidad en el uso de la información, garantizar una mayor protección de las bases de datos y proporcionar a los consumidores un mayor control sobre el uso de sus datos. Incumplir dichas legislaciones no sólo puede suponer una prohibición temporal o definitiva del tratamiento de los datos sino también multas millonarias.
La implantación de protección de datos en el sector asegurador
1. Informar a los interesados sobre el tratamiento de sus datos
Uno de los aspectos centrales de las normativas de protección de datos es la transparencia, de manera que las aseguradoras y corredurías deben explicar a sus clientes y potenciales clientes qué tratamiento darán a sus datos personales. La información facilitada debe indicar para qué se van a usar los datos recopilados, si se ceden a terceros y la identidad de los mismos o si se transferirán a otro país.
También debe incluir la base legitimadora del tratamiento, el tiempo durante el cual se conservarán esos datos y la vía para que los clientes ejerzan sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Además, se debe indicar la identidad del responsable del tratamiento de los datos y del delegado de protección de datos (DPD). Lo más habitual es suministrar esa información en anexos informativos en los contratos del seguro o en el documento para recabar el consentimiento expreso.
2. Recabar el consentimiento expreso
El RGPD indica que el consentimiento tiene que ser expreso. Por tanto, antes de ceder cualquier tipo de información personal, se necesita una acción afirmativa que quede registrada, como la firma de las cláusulas de protección de datos en el contrato del seguro o un documento de consentimiento de protección de datos.
Cabe aclarar que ese consentimiento sólo es válido para la finalidad con la que se haya recabado, por lo que si la aseguradora o correduría quiere realizar un nuevo tratamiento con otro fin, tendrá que volver a pedirlo. Esta plantilla de protección de datos, por ejemplo, sirve para recabar el consentimiento explícito.
3. Llevar el registro de actividades de tratamiento
Las aseguradoras y corredurías manejan datos personales sensibles de manera sistemática y a gran escala, por lo que están obligadas a llevar un registro de actividades por cada tipo de tratamiento que realicen.
Ese registro debe contener la identificación y datos de contacto del responsable del tratamiento, el encargado del mismo y el DPD. También tiene que indicar la finalidad y legitimación del tratamiento, así como una descripción de categorías de interesados, datos y destinatarios existentes y previstos. Hay que incluir además la descripción de las medidas de seguridad, el tiempo durante el cual se conservarán esos datos y las garantías si se van a realizar transferencias internacionales de datos. Ese registro debe estar a disposición de la AEPD, en caso de que lo solicitó.
4. Designar al delegado de protección de datos
Las aseguradoras y corredurías tienen que designar a un delegado de protección de datos ya que tratan un gran volumen de datos personales, muchos de ellos correspondientes a categorías especiales, de forma sistemática. Puede tratarse de un empleado de la propia entidad o recurrir a un profesional externo a través de una consultoría especializada en protección de datos.
En ambos casos, hay que comunicar la designación del DPD a la AEPD, facilitando sus datos identificativos y de contacto. De hecho, entre las funciones del DPD se encuentra actuar de enlace entre la aseguradora o correduría y la AEPD, así como asesorar a la entidad sobre la normativa de protección de datos y su cumplimiento.
5. Realizar un análisis de riesgos
La aseguradora o correduría debe hacer un análisis de los riesgos que representan los tratamientos de datos personales que realiza para determinar las amenazas a las que se expone la información de los clientes y potenciales clientes. Ese análisis incluye las amenazas de carácter físico, como el robo de documentación o un incendio, y aquellas digitales, como los hackeos o bloqueos del servidor.
También debe señalar las probabilidades de que esas amenazas se materialicen y proponer medidas de seguridad para reducir el riesgo o minimizar su impacto en los titulares de los datos. De hecho, las aseguradoras y corredurías tienen que realizar una evaluación de impacto en los tratamientos que afecten a los datos de categorías especiales para aplicar medidas de seguridad más estrictas.
6. Acuerdos o cláusulas de confidencialidad para los empleados
Dado que los empleados de la aseguradora o correduría suelen tener acceso a la información de los clientes y potenciales clientes, tienen la obligación de cumplir con la normativa de protección de datos, conocer las medidas de seguridad y seguir el protocolo.
Para sellar ese compromiso, deben firmar un acuerdo o cláusula de confidencialidad. El acuerdo se puede anexar al contrato de trabajo mientras que la cláusula de confidencialidad se incluye en el propio contrato. En ambos casos la entidad debe dejar claras las consecuencias de no cumplir con las normas de seguridad en el manejo de los datos.
7. Firmar contratos de encargado del tratamiento
Las aseguradoras suelen colaborar con otras empresas para prestar algunos de sus servicios, desde mediadores de seguros hasta centros de salud o talleres mecánicos, de manera que es necesario firmar un contrato de encargado del tratamiento que señale las obligaciones respecto a los datos personales que estas empresas utilizarán. Ese documento también debe reflejar la finalidad del tratamiento, el plazo de conservación de los datos y las medidas de seguridad a aplicar.
8. Hacer auditorías periódicas
Es recomendable que las aseguradoras y corredurías realicen una auditoría de protección de datos cada uno o dos años para comprobar el nivel de cumplimiento y la eficacia de las medidas de seguridad adoptadas. Esa auditoría permite asumir una actitud más proactiva en el cumplimiento de las normas de protección de datos ya que también sirve para detectar posibles problemas o insuficiencias y encontrar soluciones más adecuadas. Lo ideal es contratar un servicio de auditoría externo para garantizar la máxima objetividad.
Por último, las aseguradoras y corredurías deben recordar que si sufren alguna brecha de seguridad que exponga los datos de sus clientes, potenciales clientes o empleados, tienen que notificar a la AEPD y a los afectados en menos de 72 horas.