Latest news

El Reglamento Europeo de Protección de Datos en la mediación de Seguros

No comments
El Reglamento Europeo de Protección de Datos en la mediación de Seguros
Danos un Voto

David Harvey

Asesor en materia de LOPD del Colegio de Mediadores de Seguros de Madrid

Las nuevas obligaciones del Reglamento Europeo de Protección de Datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Una de la mayores novedades es que se crea la figura del Delegado de Protección de Datos, que deberá nombrarse en los casos que las actividades del responsable (el mediador de seguros en calidad de correduría) y encargado del tratamiento (colaboradores, y empresas externas que accedan a datos de carácter personal o el agente de seguros exclusivo) consistan en operaciones de trata­ miento que requiera una observancia habitual y sistemática de interesados a gran escala o se traten datos de categoría especial.

Con acierto, se permite que pueda nombrarse a una persona para un grupo empresarial, y que incluso pueda ser un tercero bajo el marco de un contrato de servicios. (Consultoría especializada en Protección de datos en el mejor de los casos).Esta será pieza clave para garantizar la confidencialidad en el trato de datos personales por parte de las empresas y entidades obligadas.

La existencia de un Delegado de Protección de Datos será obligatoria en la empresa privada cuando las actividades principales consistan en operaciones de tratamiento a gran escala que requieran un seguimiento habitual y sistemático de los interesados. Aunque esta definición es bastante imprecisa y habrá de irse concretando con el tiempo, parece claro que habrán de incluirse en esta categoría, al menos, todas aquellas empresas cuyo negocio se desarrolle en torno al tratamiento de datos personales (todos los supuestos casos de mediación de seguros).

 

“Es necesario que todos los mediadores en cualquiera de sus modalidades, que tratan datos, realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo”

 

¿Supone una mayor carga de obligaciones para los mediadores?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será solo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el di­ seño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todos los mediadores en cualquiera de sus modalidades, que tratan datos, realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, así como el Colegio de Mediadores de Madrid junto a consultorías especializadas como Harvey & Lluch Consultores estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con mediado­ res que realizan los tratamientos de datos más habituales en la gestión empresarial.

“EI consentimiento tiene que ser verificable y quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento”

 

¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar   datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento re­ quiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Los mediadores deberían revisar la forma en la que obtiene y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el trata­ miento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá en­ tenderse como concedido implícita­ mente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y quienes recopilen da­ tos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

 

¿Deben los mediadores revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluya en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y mu­ chas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Harvey LluchEl Reglamento Europeo de Protección de Datos en la mediación de Seguros

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *