Como empresas de seguros, se incluirían a las aseguradoras y a las corredurías de seguros. Éstas empresas tratan información muy diversa de los clientes, desde información personal básica, datos patrimoniales, financieros, de salud, etc.

¿Tipos de seguros y datos que se tratan?

Los seguros y los tipos de datos que se tratan podrían clasificarse como: 

• Seguros personales: Son aquellos que comprenden todos los riesgos que pueden afectar a una persona en su integridad física, salud o existencia. Se clasifican en:

• Seguros de vida: sirve para que los beneficiarios puedan tener una seguridad económica en el caso de fallecimiento de la persona asegurada o invalidez absoluta o permanente.
• Seguros de accidentes personales: se trata de servicios y prestaciones asistenciales. El asegurado puede ser indemnizado si sufriera una lesión o incapacidad a causa de un accidente y también, en caso de fallecimiento.
• Seguros de salud o enfermedad: ofrece una cobertura sanitaria cuando se necesita, además de prestación de capital o reembolso de gastos sanitarios.
• Seguro de dependencia: cubre a los clientes que tengan algún tipo de limitación física o psíquica diagnosticada, a causa de la cual necesiten una persona que les asista.
• Seguros de daños o patrimoniales: Cubren los riesgos del patrimonio de la persona y de las empresas. Se dividen en:

• Seguros de coche: cubren los riesgos que se pueden correr a la hora de conducir y son obligatorios por ley para circular. Adicionalmente, se pueden incorporar coberturas ante robo, incendio y/o daños propios del vehículo.
• Seguros de ingeniería: están especializados en daños del patrimonio a causa de accidentes provocados por fenómenos naturales, fallos humanos, acción de las cosas o desgaste natural.
• Seguros multirriesgo: abarcan una amplia variedad de riesgos a través de la contratación de una única póliza de seguros.
• Seguros de crédito: cubren pérdidas por insolvencia de los deudores.
• Seguros de robo: se contratan ante la posible sustracción ilegítima (robo) de los bienes asegurados, mediando violencia o intimidación.
• Seguros de transportes: garantizan la cobertura por los daños materiales que puedan sufrir las mercancías o el transporte.
• Seguros de incendios: cubren los daños producidos si se incendia el objeto asegurado.
• Seguro de responsabilidad civil: se contratan para indemnizar a un tercero cuando el asegurado resulte civilmente responsable de los daños o perjuicios causados.
• Seguros de prestación de servicios:  La obligación del asegurador consiste en la prestación de un servicio al asegurado.

• Seguros de asistencia en viaje: cubren imprevistos en la realización de un viaje.
• Seguros de decesos: abarcan los gastos derivados del funeral del asegurado y los trámites y gestiones que se deben realizar en el momento del fallecimiento.
• Seguros de defensa jurídica: se centran en servicios de asistencia jurídica y extrajudicial.

¿Qué leyes de Protección de datos son aplicables a las entidades aseguradoras?

La normativa aplicable sería la siguiente:

• Reglamento Europeo de Protección de Datos GDD
• LOPD
• LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
• Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados
• Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras

Más adelante veremos las obligaciones que deben cumplir las aseguradoras y los corredores de seguros para adaptarse a la protección de datos, pero resaltamos ya elementos importantes de la normativa, como es llevar el registro de actividades, realizar la evaluación de impacto y nombrar un Delegado de Protección de Datos.

Ventajas que consigue una empresa de seguros

Al cumplir con la normativa de protección de datos, una aseguradora o corredor de seguros consigue las siguientes ventajas:

• Evitar recibir sanciones por parte de la Agencia Española de Protección de Datos
• Mejora en la reputación de su despacho
• Una mejor gestión de los flujos de información

¿Cómo deben cumplir las empresas de seguros la normativa de Protección de datos?

Las empresas de seguros, entidades aseguradoras o corredurías de seguros manejan en el desempeño de su actividad datos personales de sus clientes o asegurados; ya desde el mismo momento de la suscripción y selección de riesgos para seguros de vida, siniestros, de salud, de automóvil, de incapacidad, etc., se suministra una gran cantidad información de carácter personal para poder tramitar las pólizas (datos de prestaciones médicas, facturas, certificados de defunción, etc.).

En muchos casos, esta información está relacionada con los datos de categorías especiales que recoge el artículo 9 del Reglamento Europeo de Protección de Datos, como los relativos al estado de la salud.

Por estos motivos, las aseguradoras deben cumplir con la normativa de protección de datos. 

Debes saber que para cumplir con la normativa vigente de protección de datos las aseguradoras y corredurías (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:

1. Realizar un Registro de actividades de tratamiento
2. Realizar un Análisis de riesgos
3. Evaluación de Impacto
4. Firmar los contratos con terceros
5. Firmar las cláusulas legales con los empleados
6. Solicitar el consentimiento a los clientes
7. Incluir los textos legales en la página web
8. Notificar brechas de seguridad
9. Elaboración del documento de seguridad

Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.

1. Registro de actividades de tratamiento

Las aseguradoras tienen la obligación de elaborar un registro de actividades de tratamiento por cada tratamiento de datos personales que realicen, puesto que en muchos casos van a tratar con datos de categorías especiales, que tienen un mayor nivel de protección, y realizar también tratamientos de datos a gran escala (especialmente aquellas aseguradoras que tienes miles de clientes).

El registro de actividades de tratamiento debe realizarlo el responsable del tratamiento (la propia aseguradora), puesto que es quien decide los tratamientos de datos personales que se van a realizar y la finalidad de los mismos.

Se trata de un documento que debe detallar de forma concisa la siguiente información:

• Identificación y datos de contacto del responsable del tratamiento y, si procede, del corresponsable, del encargado del tratamiento y del DPD
• Descripción de categorías de interesados y datos
• Descripción de categorías de destinatarios (existentes y previstos)
• Si se realizan o se van a realizar transferencias internacionales de datos, aportar toda la información relativa a ellas
• Legitimación del tratamiento
• Finalidad del tratamiento
• Descripción de las medidas de seguridad
• Plazos de conservación de los datos personales previstos

Aunque el registro de actividades de tratamiento es un documento de carácter interno, es decir, no hay que enviarlo a ninguna autoridad de control, sí debe estar a disposición de estas cuando lo soliciten. 

Además, hay que tener en cuenta que cada vez más empresas tienen programas de afiliados, que habrá que tener en cuenta. Así mismo, en este sector hay muchos comerciales que son autónomos y no son trabajadores por cuenta ajena.

También se recogen datos de contacto y redes sociales.

2. Análisis de riesgos

Someter los datos personales a actividades de tratamiento puede exponer estos a diferentes riesgos, que pueden desde comprometer su integridad y disponibilidad, hasta revelarlos a terceros no autorizados o al público en general. Hablamos de riesgos tanto físicos (incendios, robos de documentación, inundaciones, etc.) como digitales (hackeos de cuentas, robo de datos, bloqueo de páginas o servidores, filtraciones, etc.).

Para poder determinar a qué riesgos y amenazas pueden quedar expuestos los datos personales al tratarlos, las aseguradoras y corredores de seguros deberán llevar a cabo un análisis de riesgos con carácter previo a la realización del tratamiento de los datos del asegurado o futuro asegurado.

Este análisis permitirá diseñar las medidas de seguridad necesarias para minimizar las posibilidades de que un riesgo llegue a materializarse y pueda afectar negativamente a los derechos y libertades de los interesados, así como de reducir el posible impacto negativo si finalmente se produce un incidente de seguridad.

3. Evaluación de impacto

Cuando el riesgo para los derechos y libertades de los interesados es alto, es necesario llevar el análisis de riesgos un paso más allá y realizar una EIPD (evaluación de impacto de protección de datos).

En el caso de las aseguradoras es necesario hacer una EIPD, primero, porque tratan con datos de categorías especiales, y segundo, porque en muchos casos lo hacen de forma sistemática y a gran escala.

Además, hay aseguradoras que recurren al análisis de datos en seguros (Big Data) con el objetivo de mejorar la toma de decisiones, diseñar productos y servicios basados en el análisis del comportamiento y estadístico de los asegurados, creando para ello perfiles de los mismos.

Como con el análisis de riesgos, la evaluación de impacto servirá a la aseguradora para diseñar las medidas de seguridad adecuadas y más efectivas para garantizar la protección y salvaguarda de los datos personales de los interesados. Y para establecer los protocolos necesarios para minimizar el impacto negativo que puedan provocar las brechas de seguridad.

4. Contratos con Encargados de tratamiento

Actualmente, es difícil encontrar a una empresa que no ceda datos personales de sus clientes o empleados a terceros, puesto para gestionar determinados servicios, se contratan terceras empresas (por ejemplo, el servicio de prevención que hace los reconocimientos médicos de los empleados, la plataforma de cloud computing que se utiliza para almacenar bases de datos, el servicio de consultoría de prevención de los trabajadores, asesorías fiscales para la gestión de impuestos, o asesorías laborales para la gestión de las nóminas, etc.).

En el caso de las aseguradoras y corredurías de seguros hay que tener en cuenta además que estas colaboran estrechamente con muchos otros agentes, tales como corredurías de seguros, mediadores de seguros, peritos, talleres mecánicos y de reparación de siniestros, ingenieros, centros de salud, funerarias, empresas de asistencia a distancia, reaseguradoras, etc. Estos agentes pueden formar parte del grupo empresarial de la aseguradora, o estar unidos a ellos por un simple vínculo contractual.

En el segundo caso, la normativa de protección de datos en aseguradoras obliga a firmar con ellos un contrato de encargo del tratamiento.

Este contrato, que debe elaborar el responsable del tratamiento, tiene que contener las instrucciones sobre el tipo de tratamiento de datos personales y su finalidad para el encargado del tratamiento, asegurando así que este cumple con las mismas obligaciones que la aseguradora.

5. Solicitar el consentimiento a los clientes

Para poder llevar a cabo cualquier tipo de tratamiento de datos de sus clientes, la aseguradora y correduría de seguros debe recabar el consentimiento expreso de los mismos. Cabe señalar que en muchas ocasiones, este consentimiento se incluye como parte del contrato, en una o varias cláusulas, en las que se informa a los clientes de los usos y tratamientos que se podría hacer de sus datos. Por lo que al contratar la póliza, se estaría dando dicho consentimiento.

En otras ocasiones, el consentimiento puede recabarse a través de la firma de un documento independiente, en el que se informa al interesado de:

• Datos de identificación del responsable del tratamiento
• Si los datos se ceden a terceros
• Las vías y mecanismos disponibles para ejercer sus derechos
• Finalidad del tratamiento
• Plazo de conservación de los datos

Siempre que se quiera realizar un tratamiento de datos diferente o nuevo, será necesario volver a recabar el consentimiento de los interesados.

6. Acuerdos de confidencialidad de los empleados

Con aquellos empleados, de la aseguradora o correduría de seguros que puedan acceder a la información personal de los clientes, será necesario firmar un acuerdo de confidencialidad o incluir unas cláusulas de confidencialidad en sus concretos, para evitar que esa información sea revelada a personas no autorizadas. En él se establecerán las consecuencias de infringirlas.

Los empleados también deben cumplir las medidas de seguridad que se hayan establecido, para garantizar en la aseguradora o correduría de seguros la protección de los datos personales.

7. Si tienes una Página web

Si la aseguradora o correduría de seguros cuenta con página web, esta debe tener enlazados los correspondientes textos legales:

• Política de privacidad (es toda la información referente a la protección de datos):
  • En qué forma se gestionan los datos personales
  • Tiempo de conservación de los datos
  • Cesiones a terceros, identificando a estos
  • Responsable del tratamiento
  • Finalidad del tratamiento
  • Legitimación
  • Cómo y dónde pueden ejercer sus derechos los interesados
• Aviso legal (donde se identifica al propietario de la página web):
  • Nombre del propietario
  • NIF
  • Dirección
  • Email
  • N.º de colegiado o Nº de inscripción en el Registro Mercantil
• Política de cookies: Si la página web genera cookies, propias o de terceros, se debe incluir toda la información correspondiente a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).
• Términos y condiciones de uso: Si la aseguradora va vender servicios a través de su página web, debe incluir este texto legal, que aparte de estar disponible en la página, debe aparecer antes de proceder a aceptar la compra o contratación. Deben incluir:
  • Precios
  • Plazos y políticas de prestación del servicio
  • Métodos de pago
  • Condiciones particulares
  • Política de cancelación
  • Derecho de desistimiento

8. Facilitar los derechos de los usuarios

Otra de las obligaciones relativas a la protección de datos en aseguradoras, es que estas deben facilitar a sus asegurados o usuarios toda la información relativa a sus derechos ARCO. 

Es decir, una serie de derechos que cualquier persona puede ejercer sobre los datos personales que ha cedido a una organización, lo que le permite tener un mayor control sobre los mismos. En concreto hablamos de:

• Acceso
• Portabilidad
• Oposición
• Rectificación
• Supresión
• Limitación del tratamiento

Además, los interesados también tienen derecho a que sus datos personales no sean empleados en procesos de decisiones automatizadas, que podrían perjudicar sus derechos y libertades (como, por ejemplo, la elaboración de perfiles).

9. Notificar brechas de seguridad

Entre las obligaciones que se introdujeron con la adaptación del Reglamento Europeo de Protección de Datos, está la de notificar las brechas de seguridad que ocurran y puedan poner en riesgo los derechos y libertades de los interesados cuyos datos personales hayan sido afectados.

La normativa de protección de datos actual exige a las aseguradoras que sufran uno de estos incidentes de seguridad, informar en un plazo no superior a 72 horas a la autoridad de control Agencia Española de Protección de Datos y a los propios interesados afectados.

Aquí podéis ver varios ejemplos de brechas de seguridad, para entender mejor qué incidentes son los que deben reportarse.

10. Nombrar un Delegado de Protección de Datos (DPO/DPD)

Las aseguradoras que traten con grandes volúmenes de datos y, especialmente, con datos de categorías personales, tendrán que designar un Delegado de Protección de Datos, encargado de supervisar todo lo relativo al cumplimiento de la normativa de protección de datos en la compañía y asesorar al responsable del tratamiento cuando sea necesario.

Las funciones del delegado de protección de datos son varias, pero entre las más importantes está asegurar el cumplimiento normativo de la aseguradora, resolver posibles dudas o consultas y cooperar con la Agencia Española de Protección de Datos cuando sea necesario.

El Delegado de Protección de Datos puede ser un empleado interno, aunque deberá contar con conocimientos suficientes para desempeñar esta labor. O puede contratarse a un profesional externo. En cualquier caso, su nombramiento debe notificarse a la Agencia Española de Protección de Datos y hacerse público.

Sanciones

Tras conocer las obligaciones en materia de protección de datos para aseguradoras y corredores de seguros, vamos a detenernos en las sanciones que se puede imponer la Agencia Española de Protección de Datos:

De acuerdo a la normativa española:

• La sanción administrativa para las infracciones leves es de hasta 40.000 euros
• La sanción administrativa para las infracciones graves va de los 40.000 a los 300.000 euros
• La sanción administrativa para las infracciones muy graves va de los 300.000 a los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior)

Factores como el número de personas afectadas, el tipo de datos afectados o la duración en el tiempo de la acción infractora, determinan la cuantía de estas multas.

Preguntas frecuentes

¿Existen aseguradoras que ofrezcan seguros de protección de datos?

Sí. Existen seguros para empresas de protección de datos que cubren las pérdidas económicas provocadas por la pérdida de datos de clientes y otras violaciones provocadas por brechas de seguridad o ataques de ciberdelincuentes.

Los seguros de protección de datos pueden contar con diferentes coberturas, que van desde los daños provocados por las violaciones de seguridad, el abono de rescates o extorsiones o el pago de multas derivadas del incumplimiento de la normativa de protección de datos.

¿Qué hacer con los datos facilitados por los potenciales clientes o clientes en firme si no llega a formalizarse el seguro?

Puede darse el caso de que un usuario haya facilitado datos personales a la aseguradora, pero que finalmente la póliza no llegue a contratarse. En ese caso, el artículo 99.9 de la Ley 20/2015 de 14 de julio, señala que:

Las entidades aseguradoras deberán proceder en el plazo de 10 días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud.

¿Puedo intercambiar información de mis clientes con corredurías de seguros?

La respuesta es: depende de las medidas de seguridad establecidas.

Se establecerán criterios específicos, acompañados de normas de calidad y códigos de conducta que favorezcan al corredor al establecer los límites de sus obligaciones. Esto ayudará a delimitar las responsabilidades y obligaciones de los corredores de seguros y las que corresponden a las empresas aseguradoras.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/