¿Por qué es tan importante la protección de datos en aseguradoras? ¿Qué obligaciones tienen las compañías de seguros al tratar la información de sus clientes? En este artículo vemos todo lo que ha de hacer una entidad aseguradora para cumplir con el RGPD y la LOPDGDD.

Protección de datos en entidades aseguradoras

Una empresa de seguros o entidad aseguradora es aquella cuya actividad está encaminada a la cobertura de riesgos a personas físicas. Por ello, tienen acceso a una gran cantidad de datos personales sobre sus clientes.

En el proceso de suscripción y selección de riesgos para seguros de vida, siniestros, de salud, de automóvil, de incapacidad, etc, las aseguradoras reciben numerosa información personal de los clientes para la tramitación de las pólizas. Por ejemplo, datos de prestaciones médicas, facturas, certificados de defunción y un largo etcétera.

Mucha de la información manejada por las aseguradoras tiene la peculiaridad de formar parte de los llamados datos sensibles detallados en el artículo 9.1 del RGPD. Por ejemplo, datos biométricos o relativos al estado de salud, información sobre menores de edad o sobre personas imputadas por algún delito.

Por otro lado, el avance de la tecnología también ha supuesto un aumento de los riesgos de ataques cibernéticos que podrían suponer una pérdida de datos. Esto ha hecho que muchas entidades, incluyendo las propias aseguradoras, opten por contratar un seguro de protección de datos para empresas.

Por todo ello, la protección de datos en las compañías de seguros se caracteriza por una serie de obligaciones y requisitos, que incluye el cumplimiento del reglamento de seguros y la normativa de protección de datos.

Normativa aplicable

Las normas que regulan la Protección de Datos en empresas de seguros son:

  • RGPD o Reglamento General de Protección de Datos
  • LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales
  • Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados
  • Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)

¿Cómo deben cumplir las empresas de seguros el RGPD?

Las empresas de seguros forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos personales, por lo que también tendrán que adaptarse al RGPD y la LOPDGDD.

Para asegurar un debido cumplimiento de la normativa, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea. La relación entre LOPD y agentes de seguros está marcada por el uso de datos personales por parte de estos profesionales por diversas razones:

  • Analizar el riesgo de los tomadores de seguro que necesitan una cobertura,
  • Proporcionar asesoramiento e información sobre los diferentes servicios que nos puedan ofrecer,
  • Pagar las indemnizaciones correspondientes o
  • Detectar fraudes.

Las principales actuaciones para cumplir con la protección de datos en aseguradoras son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

En esta infografía puedes ver las obligaciones que unen RGPD y corredores de seguros..

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas de seguros

Registro de actividades de tratamiento en aseguradoras

Lo primero que debes tener en cuenta es qué tipo de datos del asegurado manejas y en qué cantidad. Debes responder a preguntas como:

  • Tipo de datos que recopilamos
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedemos esos datos o los transferimos fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Análisis de riesgos en compañías de seguros

Otro requisito básico para la protección de datos en aseguradoras es realizar un análisis de riesgos. Este análisis consiste en valorar las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta estos factores:

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • Financieros …
  • Número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

Evaluación de impacto

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis tendrá que implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Las aseguradoras invierten mucho tiempo y dinero en el análisis de datos en seguros (Big Data) con la finalidad de tomar decisiones y diseñar nuevos y mejores productos y servicios para los asegurados. La tecnología hace que las aseguradoras puedan analizar información interna y externa para lograr predicciones estadísticas sobre el comportamiento de los asegurados, mejorando y personalizando las ofertas de las aseguradoras.

Es decir, se elaboran perfiles de usuarios basados en el comportamiento.

Contratos de entidades aseguradoras con terceros

¿Tienes una empresa informática que realiza el mantenimiento de los equipos o la página web? ¿Trabajas con talleres a los que facilitas los datos de tus asegurados para las reparaciones de los vehículos? Entonces cedes datos a terceros.

Hay que tener en cuenta que en el sector de los seguros no solo participan las empresas aseguradoras. Estas colaboran estrechamente con muchos otros agentes, tales como corredurías de seguros, mediadores de seguros, peritos, talleres mecánicos y de reparación de siniestros, ingenieros, centros de salud, funerarias, empresas de asistencia a distancia, reaseguradoras, etc. Estos agentes pueden formar parte del grupo empresarial de la aseguradora, o estar unidos a ellos por un simple vínculo contractual.

Todo estos hay que tenerlo en cuenta a la hora de cumplir con la protección de datos en aseguradoras. Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Textos legales en página web

LOPD para corredores de seguros: ¿qué hay que hacer si tienes página web? En ese caso debes incluir en ella los textos exigidos por la LOPDGDD y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

El aviso legal es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la aseguradora y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • Existencia de un tratamiento de los datos que se le están solicitando,
  • Finalidad,
  • Destinatario o destinatarios de aquella información,
  • Identidad y dirección del responsable del tratamiento de los datos y
  • Posibilidad de ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición):.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes incluir una política de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

Consentimiento de clientes

Además de actualizar la política de privacidad, en la empresa de seguros debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la oficina

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • Responsable del tratamiento,
  • Finalidad para la que se van a usar los datos,
  • Si se van a ceder a terceros y
  • El medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las aseguradoras de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Derechos de los clientes de aseguradoras

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

  • Acceso a los propios datos personales;
  • Rectificación si los datos son inexactos;
  • Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la compañía de seguros debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una particular trabaja con tu aseguradora, pero decide cambiar a otra, puede llevarse consigo cualquier dato suyo que tengas. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

Contratos con empleados de la aseguradora

Los empleados de las compañías de seguros tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de datos en la empresa aseguradora.

En una compañía de seguros, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la empresa de seguros, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Necesitan las aseguradoras un Delegado de Protección de Datos?

Puede ser necesario que en la compañía aseguradora, por el volumen de datos que trate, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Cómo puedo demostrar que mi aseguradora cumple el RGPD?

Puedes demostrar el cumplimiento de la protección de datos en la empresa de seguros de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado para la Protección de datos.

¿Qué obligaciones tienen las aseguradoras en la lucha contra el fraude en los seguros?

El artículo 100 de la Ley 20/2015 de ordenación, supervisión y solvencia de entidades aseguradoras y reaseguradoras afirma literalmente que las aseguradoras deben «adoptar medidas efectivas para, prevenir, impedir, identificar, detectar, informar y remediar conductas fraudulentas relativas a seguros».

¿Qué hacer con los datos facilitados por los clientes si no llega a formalizarse el seguro?

Puede darse el caso de que un usuario haya facilitado datos personales a la aseguradora, pero que finalmente la póliza no llegue a contratarse. En ese caso, el artículo 99.9 de la Ley 20/2015 de 14 de julio, señala que «las entidades aseguradoras deberán proceder en el plazo de diez días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud”.

¿Puedo intercambiar información de mis clientes con Corredurías de seguros?

La respuesta es: depende de las medidas de seguridad establecidas.

Se establecerán criterios específicos, acompañados de normas de calidad y códigos de conducta que favorezcan al corredor al establecer los límites de sus obligaciones. Esto ayudará a delimitar las responsabilidades y obligaciones de los corredores de seguros y las que corresponden a las empresas aseguradoras.

¿Qué es el fichero SINCO?

Se trata de una base de datos de antecedentes de siniestros relacionados con el automóvil. El responsable del tratamiento es INESPA y el encargado del tratamiento TIREA. En este fichero todas las empresas aseguradoras informan acerca de los vehículos asegurados. Es un instrumento esencial para la tarificación adecuada de las pólizas de seguros de automóvil y su uso está amparado en el artículo 99.7 de la Ley 20/2015.

Existen aseguradoras que ofrezcan seguros de protección de datos?

Sí. Existen seguros para empresas de protección de datos que cubren las pérdidas económicas provocadas por la pérdida de datos de clientes y otras violaciones provocadas por brechas de seguridad o ataques de ciberdelincuentes.

Los seguros de protección de datos pueden contar con diferentes coberturas, que van desde los daños provocados por las violaciones de seguridad, el abono de rescates o extorsiones o el pago e multas derivadas del incumplimiento de la normativa de protección de datos.

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Se considera otro tratamiento, por tanto deberás incluirlo en el Registro de actividades de tratamiento e informar sobre el uso de estos dispositivos de grabación mediante los correspondientes carteles informativos.

Recomiendo que leas esta guía para instalar un sistema de videovigilancia cumpliendo el RGPD.

¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?

Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté vigente el contrato del seguro.

También, una vez finalizado ese contrato, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu aseguradora a la normativa de Protección de Datos.

Sanciones por no cumplir con la protección de datos en aseguradoras

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Software para cumplir la protección de datos en aseguradoras

Existen bastantes software con asesoramiento LOPD para la gestión de seguros. Todos los programas que te mostramos a continuación so ideales para la protección de datos en aseguradoras.

Facilita RGPD

Se trata de una herramienta diseñada por la Agencia Española de Protección de Datos (AEPD) que permite a cualquier empresa adaptarse al RGPD de forma sencilla y rápida. Sin embargo, también hay que decir que es una herramienta bastante limitada. Solo te dice lo que tienes que hacer, pero no te ayuda en la redacción de textos legales o si se trata de cuestiones mas complejas.

LOPD Manager

En este caso es un programa diseñado por consultores expertos, ideal para garantizar la protección de datos en entidades aseguradoras y todo tipo de empresas. Gracias a este software puede realizar auditorías y análisis de la seguridad de los datos y automatizar la creación de cláusulas y textos legales, entre muchas otras funciones.

Global Suite Data Protection

Global Suite es un software de gestión que ofrece numerosas posibilidades para las empresas. Uno de sus módulos es Global Suite Data Protection, que está destinado a cumplir con el Reglamento de Protección de Datos europeo.

Estos son solo algunos de los programas más recomendados para la protección de datos en aseguradoras, pero también tienes otros como PymeLegal, TecnoLOPD y One Trust.

Y tu aseguradora, ¿ya está adaptada al nuevo RGPD? ¿Cumples todos los requisitos?

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.