Latest news

El Reglamento Europeo de Protección de Datos en la mediación de Seguros

2 comments
El Reglamento Europeo de Protección de Datos en la mediación de Seguros
5 (100%) 11 votes

David Harvey

Asesor en materia de LOPD del Colegio de Mediadores de Seguros de Madrid

Las nuevas obligaciones del Reglamento Europeo de Protección de Datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Una de la mayores novedades es que se crea la figura del Delegado de Protección de Datos, que deberá nombrarse en los casos que las actividades del responsable (el mediador de seguros en calidad de correduría) y encargado del tratamiento (colaboradores, y empresas externas que accedan a datos de carácter personal o el agente de seguros exclusivo) consistan en operaciones de trata­ miento que requiera una observancia habitual y sistemática de interesados a gran escala o se traten datos de categoría especial.

Con acierto, se permite que pueda nombrarse a una persona para un grupo empresarial, y que incluso pueda ser un tercero bajo el marco de un contrato de servicios. (Consultoría especializada en Protección de datos en el mejor de los casos).Esta será pieza clave para garantizar la confidencialidad en el trato de datos personales por parte de las empresas y entidades obligadas.

La existencia de un Delegado de Protección de Datos será obligatoria en la empresa privada cuando las actividades principales consistan en operaciones de tratamiento a gran escala que requieran un seguimiento habitual y sistemático de los interesados. Aunque esta definición es bastante imprecisa y habrá de irse concretando con el tiempo, parece claro que habrán de incluirse en esta categoría, al menos, todas aquellas empresas cuyo negocio se desarrolle en torno al tratamiento de datos personales (todos los supuestos casos de mediación de seguros).

 

“Es necesario que todos los mediadores en cualquiera de sus modalidades, que tratan datos, realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo”

 

¿Supone una mayor carga de obligaciones para los mediadores?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será solo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el di­ seño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todos los mediadores en cualquiera de sus modalidades, que tratan datos, realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, así como el Colegio de Mediadores de Madrid junto a consultorías especializadas como Harvey & Lluch Consultores estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con mediado­ res que realizan los tratamientos de datos más habituales en la gestión empresarial.

“EI consentimiento tiene que ser verificable y quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento”

 

¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar   datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento re­ quiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Los mediadores deberían revisar la forma en la que obtiene y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el trata­ miento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá en­ tenderse como concedido implícita­ mente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y quienes recopilen da­ tos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

 

¿Deben los mediadores revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluya en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y mu­ chas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Harvey LluchEl Reglamento Europeo de Protección de Datos en la mediación de Seguros

2 comments

Join the conversation
  • Francisco Javier - 23 mayo, 2018 reply

    ¿Cómo afecta la nueva RGPD a los auxiliares externos de los mediadores de seguros?
    Gracias

    Harvey & Lluch Consultores - 18 junio, 2018 reply

    Te adelantamos que los principales cambios son para aquellas entidades y empresas que tengan más de 250 empleados y facturen más de 6 millones de euros, o realicen tratamiento de datos a gran escala (si bien este último punto es muy ambiguo desde el punto de vista técnico y jurídico.)

    Por ultimo aparece la figura del DPO esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones. Obligatorio en entidades como los mediadores de seguros.

    El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.

    Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

    Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

    La figura del DPO también nos indica que hay supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

    Por este motivo se impartirá una jornada formativa de sensibilización y resolución de dudas el próximo jueves 26 de junio a las 10h en el Colegio de Mediadores de Madrid.
    El ponente será David Charlton Harvey, Director de la Consultora Harvey & Lluch Consultores, la cual es la encargada de las auditorias y cumplimiento de la LOPD en el Colegio de Mediadores de Seguros de Madrid

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *