Protección de datos en aseguradoras. Guía 2021

¿Por qué es tan importante la protección de datos en aseguradoras? ¿Qué obligaciones tienen las compañías de seguros al tratar la información de sus clientes? En este artículo vemos todo lo que ha de hacer una entidad aseguradora para cumplir con el RGPD y la LOPDGDD.

¿Qué leyes de Protección de datos son aplicables a las entidades aseguradoras?

Empezamos esta guía para el tratamiento de datos personales por parte de aseguradoras repasando qué leyes de protección de datos les son aplicables: la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD).

Aparte de estas dos normativas, las aseguradoras también deben tener en cuenta las siguientes leyes relacionadas con su actividad:

Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados
Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras
LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)

LOPDGDD en aseguradoras

La LOPDGDD es la normativa española que regula tanto la protección de datos personales como los derechos digitales de los ciudadanos. Está en vigor desde diciembre de 2018, momento en que sustituyó a la antigua LOPD, introduciendo las modificaciones necesarias para adaptar el RGPD a nuestro ordenamiento jurídico.

Más adelante veremos las obligaciones que deben cumplir las aseguradoras y los corredores de seguros para adaptarse a la protección de datos, pero resaltamos ya elementos importantes de la normativa, como es llevar el registro de actividades, realizar la evaluación de impacto y nombrar un Delegado de Protección de Datos (DPD).

RGPD para entidades aseguradoras

El RGPD es la normativa europea de protección de datos, mediante el que se configura el marco normativo para toda la UE. Aprobado en 2016, en España lleva en vigor desde mayo de 2018, momento en que las organizaciones tuvieron que adaptarse a las nuevas medidas y obligaciones recogidas en él.

El RGPD tiene un carácter más general que la LOPDGDD, puesto que deja en varios aspectos la puerta abierta para que los Estados miembros lo adapten a su ordenamiento jurídico (un ejemplo lo tenemos en el tratamiento de datos personales de personas fallecidas o en la graduación de las infracciones).

Su objetivo es dotar a los ciudadanos de un mayor control sobre los datos personales que ceden a las organizaciones, asegurando un mayor nivel para la protección de su privacidad.

En cualquier caso, al cumplir con la LOPDGDD se está cumpliendo con las exigencias del RGPD.

¿Cómo deben cumplir las empresas de seguros la normativa en materia de Protección de datos? (LOPDGDD/RGPD)

Las empresas de seguros o entidades aseguradoras manejan en el desempeño de su actividad datos personales de sus clientes o asegurados; ya desde el mismo momento de la suscripción y selección de riesgos para seguros de vida, siniestros, de salud, de automóvil, de incapacidad, etc., se suministra una gran cantidad información de carácter personal para poder tramitar las pólizas (datos de prestaciones médicas, facturas, certificados de defunción, etc.).

En muchos casos, esta información está relacionada con los datos de categorías especiales que recoge el artículo 9 del RGPD, como los relativos al estado de la salud.

Por estos motivos, las aseguradoras deben cumplir con la normativa de protección de datos. Pero no solo ellas, la LOPDGDD y el RGPD también se aplican a los corredores de seguros, quienes manejan y tratan los mismos tipos de datos personales.

En los siguientes puntos veremos las principales obligaciones en materia de protección de datos para el corredor de seguros y las aseguradoras.

Registro de actividades de tratamiento

Las aseguradoras tienen la obligación de elaborar un registro de actividades de tratamiento por cada tratamiento de datos personales que realicen, puesto que en muchos casos van a tratar con datos de categorías especiales, que tienen un mayor nivel de protección, y realizar también tratamientos de datos a gran escala (especialmente aquellas aseguradoras que tienes miles de clientes).

El registro de actividades de tratamiento debe realizarlo el responsable del tratamiento (la propia aseguradora), puesto que es quien decide los tratamientos de datos personales que se van a realizar y la finalidad de los mismos.

Se trata de un documento que debe detallar de forma concisa la siguiente información:

Identificación y datos de contacto del responsable del tratamiento y, si procede, del corresponsable, del encargado del tratamiento y del DPD
Legitimación del tratamiento
Finalidad del tratamiento
Descripción de categorías de interesados y datos
Descripción de categorías de destinatarios (existentes y previstos)
Si se realizan o se van a realizar transferencias internacionales de datos, aportar toda la información relativa a ellas
Descripción de las medidas de seguridad
Plazos de conservación de los datos personales previstos

Aunque el registro de actividades de tratamiento es un documento de carácter interno, es decir, no hay que enviarlo a ninguna autoridad de control, sí debe estar a disposición de estas cuando lo soliciten. En España esa autoridad es la AEPD (Agencia Española de Protección de Datos).

Elaborar un análisis de riesgos

Someter los datos personales a actividades de tratamiento puede exponer estos a diferentes riesgos, que pueden desde comprometer su integridad y disponibilidad, hasta revelarlos a terceros no autorizados o al público en general. Hablamos de riesgos tanto físicos (incendios, robos de documentación, inundaciones, etc.) como digitales (hackeos de cuentas, robo de datos, bloqueo de páginas o servidores, filtraciones, etc.).

Para poder determinar a qué riesgos y amenazas pueden quedar expuestos los datos personales al tratarlos, las aseguradoras y corredores de seguros deberán llevar a cabo un análisis de riesgos con carácter previo a la realización del tratamiento de los datos del asegurado o futuro asegurado.

Este análisis permitirá diseñar las medidas de seguridad necesarias para minimizar las posibilidades de que un riesgo llegue a materializarse y pueda afectar negativamente a los derechos y libertades de los interesados, así como de reducir el posible impacto negativo si finalmente se produce un incidente de seguridad.

Podéis ver un ejemplo de análisis de riesgos de protección de datos en este modelo, que puede serviros como guía, además, para elaborar el de vuestra aseguradora.

Descarga aquí todos los modelos gratis para tu empresa de seguros

Realizar una Evaluación de impacto

Cuando el riesgo para los derechos y libertades de los interesados es alto, es necesario llevar el análisis de riesgos un paso más allá y realizar una EIPD (evaluación de impacto de protección de datos).

En el caso de las aseguradoras es necesario hacer una EIPD, primero, porque tratan con datos de categorías especiales, y segundo, porque en muchos casos lo hacen de forma sistemática y a gran escala.

Además, hay aseguradoras que recurren al análisis de datos en seguros (Big Data) con el objetivo de mejorar la toma de decisiones, diseñar productos y servicios basados en el análisis del comportamiento y estadístico de los asegurados, creando para ello perfiles de los mismos.

Como con el análisis de riesgos, la evaluación de impacto servirá a la aseguradora para diseñar las medidas de seguridad adecuadas y más efectivas para garantizar la protección y salvaguarda de los datos personales de los interesados. Y para establecer los protocolos necesarios para minimizar el impacto negativo que puedan provocar las brechas de seguridad.

Firmar los contratos de entidades aseguradoras con terceros

Actualmente, es difícil encontrar a una empresa que no ceda datos personales de sus clientes o empleados a terceros, puesto para gestionar determinados servicios, se contratan terceras empresas (por ejemplo, el servicio de prevención que hace los reconocimientos médicos de los empleados, la plataforma de cloud computing que se utiliza para almacenar bases de datos, etc.).

En el caso de las aseguradoras hay que tener en cuenta además que estas colaboran estrechamente con muchos otros agentes, tales como corredurías de seguros, mediadores de seguros, peritos, talleres mecánicos y de reparación de siniestros, ingenieros, centros de salud, funerarias, empresas de asistencia a distancia, reaseguradoras, etc. Estos agentes pueden formar parte del grupo empresarial de la aseguradora, o estar unidos a ellos por un simple vínculo contractual.

En el segundo caso, la normativa de protección de datos en aseguradoras obliga a firmar con ellos un contrato de encargo del tratamiento.

Este contrato, que debe elaborar el responsable del tratamiento, tiene que contener las instrucciones sobre el tipo de tratamiento de datos personales y su finalidad para el encargado del tratamiento, asegurando así que este cumple con las mismas obligaciones que la aseguradora.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Incluir los textos legales en la página web

Muchas aseguradoras cuentan con una página web no solo para darse a conocer, sino también para ofertar sus productos e incluso iniciar el proceso de contratación de una póliza. De acuerdo de a la LOPDGDD y la LSSI-CE es necesario que en estas páginas web se incluyan los siguientes textos legales, siempre accesibles desde cualquier sección de la web y de fácil comprensión:

Aviso legal: Deben figurar los datos identificativos del propietario de la página web, es decir, la aseguradora:
- Nombre o razón social
- NIF
- Dirección
- Email
- N1 de inscripción en el Registro Mercantil
Política de privacidad: En este documento debe figurar toda la información relativa a la gestión que se hace de los datos personales que se recaben:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- En qué forma se gestionarán los datos personales
- Tiempo de conservación de los datos
- Cesiones a terceros, identificando a estos
- Cómo y dónde pueden ejercer sus derechos los interesados
Términos y condiciones de uso: Si la aseguradora va vender servicios a través de su página web, debe incluir este texto legal, que aparte de estar disponible en la página, debe aparecer antes de proceder a aceptar la compra o contratación. Deben incluir:
- Precios
- Plazos y políticas de prestación del servicio
- Métodos de pago
- Condiciones particulares
- Política de cancelación
- Derecho de desistimiento
Política de cookies: Si la página web genera cookies, propias o de terceros, se debe incluir toda la información correspondiente a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).

¿Necesitas cumplir con la normativa vigente?

Solicita varios presupuestos

Solicitar el consentimiento a los clientes

Para poder llevar a cabo cualquier tipo de tratamiento de datos de sus clientes, la aseguradora debe recabar el consentimiento expreso de los mismos. Cabe señalar que en muchas ocasiones, este consentimiento se incluye como parte del contrato, en una o varias cláusulas, en las que se informa a los clientes de los usos y tratamientos que se podría hacer de sus datos. Por lo que al contratar la póliza, se estaría dando dicho consentimiento.

En otras ocasiones, el consentimiento puede recabarse a través de la firma de un documento independiente, como el de este modelo de consentimiento de protección de datos en PDF, en el que se informa al interesado de:

Datos de identificación del responsable del tratamiento
Finalidad del tratamiento
Si los datos se cederán a terceros
Las vías y mecanismos disponibles para ejercer sus derechos
Plazo de conservación de los datos

Siempre que se quiera realizar un tratamiento de datos diferente o nuevo, será necesario volver a recabar el consentimiento de los interesados.

Facilitar los derechos de los usuarios

Otra de las obligaciones relativa a la protección de datos en aseguradoras, es que estas deben facilitar a sus asegurados o usuarios toda la información relativa a sus derechos ARCO. ¿Y qué son los derechos ARCO?

Se trata de una serie de derechos que cualquier persona puede ejercer sobre los datos personales que ha cedido a una organización, lo que le permite tener un mayor control sobre los mismos. En concreto hablamos de:

Acceso
Rectificación
Supresión
Limitación del tratamiento
Portabilidad
Oposición

Además, los interesados también tienen derecho a que sus datos personales no sean empleados en procesos de decisiones automatizadas, que podrían perjudicar sus derechos y libertades (como, por ejemplo, la elaboración de perfiles).

Firmar los contratos con los empleados

Los empleados de la aseguradora también deben cumplir con la normativa de protección de datos y eso implica no solo respetar las medidas de seguridad implantadas por la compañía para salvaguardar la privacidad de sus clientes, sino también mantener la confidencialidad de los datos personales a los que tienen acceso.

Lo habitual es que el contrato de trabajo incluya cláusulas de confidencialidad que los empleados deben respetar mientras están en la organización, pero también un periodo de tiempo después de salir de ella (lo habitual suelen ser dos años).

También es posible recurrir a la firma de un acuerdo de confidencialidad independiente del contrato de trabajo.

Notificar brechas de seguridad

Entre las obligaciones que se introdujeron con la adaptación del RGPD, está la de notificar las brechas de seguridad que ocurran y puedan poner en riesgo los derechos y libertades de los interesados cuyos datos personales hayan sido afectados.

La normativa de protección de datos actual exige a las aseguradoras que sufran uno de estos incidentes de seguridad, informar en un plazo no superior a 72 horas a la autoridad de control (AEPD) y a los propios interesados afectados.

Aquí podéis ver varios ejemplos de brechas de seguridad, para entender mejor qué incidentes son los que deben reportarse.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Nombrar un DPD si es necesario

Las aseguradoras que traten con grandes volúmenes de datos y, especialmente, con datos de categorías personales, tendrán que designar un DPD, encargado de supervisar todo lo relativo al cumplimiento de la normativa de protección de datos en la compañía y asesorar al responsable del tratamiento cuando sea necesario.

Las funciones del delegado de protección de datos son varias, pero entre las más importantes está asegurar el cumplimiento normativo de la aseguradora, resolver posibles dudas o consultas y cooperar con la AEPD cuando sea necesario.

El DPD puede ser un empleado interno, aunque deberá contar con conocimientos suficientes para desempeñar esta labor. O puede contratarse a un profesional externo. En cualquier caso, su nombramiento debe notificarse a la AEPD y hacerse público.

Resumen: aspectos básicos para que una empresa aseguradora cumpla con LOPDGDD/RGPD

A modo de resumen, aquí tenéis los aspectos básicos para cumplir con la protección de datos en aseguradoras:

Realizar el registro de actividades de tratamiento
Llevar a cabo análisis de riesgos para cada tratamiento de datos personales que vaya a hacerse
Realizar una EIPD cuando los riesgos para los derechos y libertades de los interesados sean altos
Implantar las medidas de seguridad técnicas y organizativas necesarias para minimizar los riesgos y las amenazas y reducir su posible impacto
En caso de ceder datos a terceros, firmar el correspondiente contrato de encargado del tratamiento
Asegurar la confidencialidad de los empleados
Facilitar el ejercicio de los derechos de los interesados
Designar un DPD

Modelos y plantillas para aseguradoras

A continuación puedes encontrar todos los modelos y plantillas de documentos exigidos por la normativa de protección de datos para aseguradoras.

Sanciones por no cumplir con la protección de datos

Ahora que ya conocemos las obligaciones en materia de protección de datos para aseguradoras y corredores de seguros, vamos a detenernos en las sanciones que se puede imponer la AEPD en caso de cometer algunas de las infracciones que se contemplan en los artículos 72 (muy graves), 73 (graves) y 74 (leves) de la LOPDGDD.

De acuerdo a la normativa española:

La sanción administrativa para las infracciones leves es de hasta 40.000 euros
La sanción administrativa para las infracciones graves va de los 40.000 a los 300.000 euros
La sanción administrativa para las infracciones muy graves va de los 300.000 a los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior)

Factores como el número de personas afectadas, el tipo de datos afectados o la duración en el tiempo de la acción infractora, determinan la cuantía de estas multas.

Preguntas frecuentes

¿Qué hacer con los datos facilitados por los clientes si no llega a formalizarse el seguro?

Puede darse el caso de que un usuario haya facilitado datos personales a la aseguradora, pero que finalmente la póliza no llegue a contratarse. En ese caso, el artículo 99.9 de la Ley 20/2015 de 14 de julio, señala que:

Las entidades aseguradoras deberán proceder en el plazo de diez días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud.

¿Puedo intercambiar información de mis clientes con corredurías de seguros?

La respuesta es: depende de las medidas de seguridad establecidas.

Se establecerán criterios específicos, acompañados de normas de calidad y códigos de conducta que favorezcan al corredor al establecer los límites de sus obligaciones. Esto ayudará a delimitar las responsabilidades y obligaciones de los corredores de seguros y las que corresponden a las empresas aseguradoras.

¿Existen aseguradoras que ofrezcan seguros de protección de datos?

Sí. Existen seguros para empresas de protección de datos que cubren las pérdidas económicas provocadas por la pérdida de datos de clientes y otras violaciones provocadas por brechas de seguridad o ataques de ciberdelincuentes.

Los seguros de protección de datos pueden contar con diferentes coberturas, que van desde los daños provocados por las violaciones de seguridad, el abono de rescates o extorsiones o el pago de multas derivadas del incumplimiento de la normativa de protección de datos.

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.