Protección de Datos para Aseguradoras

Las entidades aseguradoras tratan grandes cantidades de datos, algunos de ellos incluidos entre las categorías de especiales de datos del RGPD. Estos datos personales incluyen datos de menores o datos obtenidos de terceros por lo que requieren de una legislación específica que desarrolle lo dispuesto en el RGPD y la LOPDGDD, permitiendo a las empresas de seguros ejercer su actividad y garantizar la seguridad de los datos y los derechos de los interesados.

Debido a esta regulación especial y los tratamientos particulares que realizan las empresas de seguros están sometidas a ciertas obligaciones, siendo en ocasiones una actividad que genera confusión en materia de protección de datos. Los servicios de protección de datos para aseguradoras que ofrece Grupo Adaptalia como consultoría, disipan todas las dudas de las empresas garantizando la seguridad en el desempeño de su actividad.

Es importante señalar también que entre estas obligaciones se encuentra la de nombrar un Delegado de Protección de Datos. Esta figura debe tener una formación especializada en protección de datos con conocimientos jurídicos y técnicos que permitan implantar las medidas de seguridad adecuadas a cada tratamiento. El Delegado de Protección de Datos puede ser un empleado interno pero es común externalizarlo de forma que se garantice su independencia contratando su servicios a una consultora especializada como el Grupo Adaptalia.

En este artículo resolveremos algunas de las cuestiones expuestas e informaremos de algunas de las particularidades de los servicios de las empresas de seguros en materia de protección de datos.

¿Qué leyes regulan la protección de datos en el sector seguros?

La protección de datos en el sector seguros está regulada con carácter general en el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE)

Por otro lado, cabe destacar que la licitud del tratamiento fundada en el cumplimiento de obligaciones legales es uno de los pilares en los que se asienta el tratamiento de datos por las empresas de seguros. Al tratarse de una actividad regulada en el ordenamiento jurídico nacional y comunitario a través de un conjunto de normas de derecho público y privado esta sometido a una normativa sectorial extensa, como:

  • Reglamento Delegado (UE) 2015/35 de la Comisión, de 10 de octubre de 2014, por el que se completa la Directiva 2009/138/CE, así como los reglamentos comunitarios de ejecución de solvencia II.
  • Ley 50/1980, de 8 de octubre, de Contrato de Seguro (LCS).
  • Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras (LOSSEAR).
  • Real Decreto 1060/2015, de 20 de noviembre, de ordenación, supervisión y solvencia de entidades aseguradoras y reaseguradoras.
  • Real Decreto Legislativo 8/2004, por el que se aprueba el texto refundido de la ley de responsabilidad civil y seguro en la circulación de vehículos a motor.
  • Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros (Ley de Mediación).
  • Directiva UE 2016/97 sobre la distribución de seguros.
  • Reglamento (UE) 1286/2014, de 26 de noviembre de 2014, sobre los documentos de datos fundamentales relativos a los productos de inversión minorista vinculados y los productos de inversión basados en Seguros.
  • Real Decreto 1588/1999, de 15 de octubre, por el que se aprueba el Reglamento sobre la instrumentación de los compromisos por pensiones de las empresas con los trabajadores y beneficiarios.
  • Reglamento Delegado (UE) 2017/2358, de 21 de septiembre por el que se completa la Directiva 2016/97 en lo que respecta a los requisitos de control y gobernanza de productos de seguros.
  • Reglamento Delegado (UE) 2017/2359 de 21 de septiembre de 2017 por el que se completa la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo en lo que respecta a los requisitos de información y las normas de conducta aplicables a la distribución de productos de inversión basados en seguros.
Tipos de datos

Tipos de datos recogidos por las empresas aseguradoras 

Las empresas de seguros por la naturaleza de sus servicios realizan tratamientos de datos personales muy diversos, desde categorías especiales de datos establecidos en el RGPD como los datos de salud hasta datos obtenidos de terceros que requieren de una regulación específica desarrollada por el artículo 99 de la LOSSEAR. Algunos de estos tratamientos de datos particulares son:

  • Datos de terceros distintos del tomador: la empresa de seguros para realizar un tratamiento debe acogerse a alguna de las bases legitimadoras del RGPD. En el artículo 99 de la LOSSEAR se establece la habilitación legal para realizar el tratamiento indicando que se podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento.
  • Datos de salud: las empresas de seguros podrán tratar sin consentimiento del interesado los datos relacionados con su salud para la determinación de la asistencia sanitaria que hubiera debido facilitarse al perjudicado, así como la indemnización que en su caso procediera, cuando las mismas hayan de ser satisfechas por la entidad; y para el adecuado abono a los prestadores sanitarios o el reintegro al asegurado o sus beneficiarios de los gastos de asistencia sanitaria que se hubieran llevado a cabo en el ámbito de un contrato de seguro de asistencia sanitaria.
  • Datos derivados del reaseguro: las entidades aseguradoras, o en su caso, reaseguradoras, podrán comunicar a sus entidades reaseguradoras, sin consentimiento del tomador del seguro, asegurado, beneficiario o tercero perjudicado, los datos que sean estrictamente necesarios para la celebración del contrato de reaseguro en los términos previstos en el artículo 77 de la LCS.
  • Cesión de cartera: En los supuestos de cesión de cartera previstos en la LOSSEAR, así como en los de transformación, fusión o escisión de entidades aseguradoras a los que la misma se refiere, no se producen cesión de datos.
  • Tratamientos para fines no relacionados con el seguro: las entidades aseguradoras que formen parte de un grupo podrán intercambiar, sin necesidad de contar con el consentimiento del interesado, los datos de carácter personal que resulten necesarios para el cumplimiento de las obligaciones de supervisión. Los datos no podrán utilizarse para ninguna otra finalidad sin el consentimiento específico del interesado para ello.
Cumplimiento

¿Cómo deben cumplir las entidades aseguradoras con la LOPD?

Las empresas de seguros tratan una gran variedad de datos personales y están obligadas al igual que los corredores de seguros a cumplir con las disposiciones del RGPD y la LOPD, además de implantar las medidas de seguridad adecuadas a la naturaleza de cada tratamiento. Entre ellas es importante señalar:

  • Deber de información: normalmente mediante cláusulas o anexos en el contrato de seguro que contengan la información del artículo 13 del RGPD. También se puede enlazar a la política de privacidad en los contratos realizados por medios electrónicos.
  • Registro de Actividades de Tratamiento: las empresas de seguros realizan tratamientos sistemáticos que puedan entrañar un riesgo en los derechos y libertades de los interesados, además de tratar categorías especiales de datos personales por lo que están obligadas a llevar un registro de cada tratamiento que debe incluir los dispuesto en el artículo 30 del RGPD.
  • Análisis de Riesgos: antes de realizar un tratamiento de datos personales se debe realizar un análisis de riesgos que identifique las amenazas y las medidas de seguridad que deban implantarse.
  • Evaluaciones de Impacto: el RGPD establece que si tras el análisis de riesgos se identifica que el riesgo para las libertades y derechos de los interesados es alto debe realizarse una Evaluación de Impacto. Es de obligado cumplimiento para las aseguradoras al tratar categorías especiales de datos, como los datos de salud y cuando realicen tratamientos de datos a gran escala sistemáticamente, como los tratamientos que recurren al Big Data.
  • Contratos de Encargados de Tratamiento: se deben firmar con aquellas empresas a las que se cedan datos personales que no formen parte del grupo empresarial de la aseguradora y se regule su relación mediante un contrato.
  • Legalidad en la web: La LSSICE establece que se deben incluir determinados textos en la web de la empresa de seguros como el aviso legal, los términos y condiciones, la política de privacidad y la política de cookies.
  • Notificar las brechas de seguridad: se debe notificar a la AEPD en un plazo no superior a las 72h cuando se produzcan brechas de seguridad que puedan poner en riego los derechos y libertades de los interesados.
  • Nombrar un Delegado de Protección de Datos: las empresas de seguros está incluidas ente los sujetos obligados del artículo 34 de la LOPDGDD a designar un Delegado de Protección de Datos. Este puede ser un empleado interno con la formación adecuada o contratar uno externo con una consultora especializada.
Sanciones

Sanciones en caso de incumplimiento

La AEPD puede imponer sanciones a las empresas de seguros que no cumplan con la normativa de protección de datos que pueden variar en función de la gravedad de la sanción. El realizar tratamientos de datos a gran escala y de categorías especiales de datos es más probable que las sanciones sean cuantiosas.
Las sanciones en función de su gravedad se recogen en los artículos 72, 73 y 74 de la LOPDGDD cuyos importes son:

  • Leves: hasta 40.000€
  • Graves: desde 40.001€ a 300.000€
  • Muy graves: desde 300.001€ a 20 millones de euros o el 4% del volumen de facturación anual.

 

¡Solicite información y evite que su empresa de seguros sufra una de estas sanciones!

 

Suscribete a nuestra Newsletter