El uso de datos de carácter personal en la actividad de las aseguradoras es muy importante.

Por eso necesitan adaptarse al RGPD.

¿No sabes cómo cumplir esta normativa en tu empresa de seguros?

En este post te doy los pasos a seguir para adaptar tu aseguradora a la nueva normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para empresas de seguros son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva Ley de Protección de Datos (pendiente de aprobar aún en España)
  • Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
  • Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados
  • Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)

¿Cómo deben cumplir las empresas de seguros el RGPD?

Las empresas de seguros forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Este tipo de entidades manejan una gran cantidad de datos de clientes.

Recaban y tratan datos personales por razones muy distintas:

  • analizar el riesgo de los tomadores de seguro que necesitan una cobertura,
  • proporcionar asesoramiento e información sobre los diferentes servicios que nos puedan ofrecer,
  • pagar las indemnizaciones correspondientes o
  • detectar fraudes.

Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu aseguradora para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

Vamos allá

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Así de sencillo.

Debes responder a preguntas como:

  • Tipo de datos que recopilamos
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedemos esos datos o los transferimos fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En la empresa de seguros debes también realizar un análisis del riesgo.

¿Qué es esto?

Se trata de valorar las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • financieros …
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene lo complicado.

Respira profundo.

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis tendrá que implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

¿Te has quedado igual que estabas?

Te explico por qué necesitas realizar esa Evaluación de impacto.

Las aseguradoras son unas de las empresas que más han invertido en el análisis de grandes volúmenes de datos (Big Data) con la finalidad de tomar decisiones y diseñar nuevos y mejores productos y servicios para los asegurados. La tecnología hace que las aseguradoras puedan analizar información interna y externa para lograr predicciones estadísticas sobre el comportamiento de los asegurados, mejorando y personalizando las ofertas de las aseguradoras.

Es decir, se elaboran perfiles de usuarios basados en el comportamiento.

Por eso debes hacerla.

4. Contratos con terceros

No me digas que tú no cedes datos a terceros porque no me lo creo.

¿Tienes una empresa informática que realiza el mantenimiento de los equipos o la página web?

¿Trabajas con talleres a los que facilitas los datos de tus asegurados para las reparaciones de los vehículos?

¿Ves?

Sí cedes datos a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos.

Numerosas aseguradoras que administran datos financieros y personales en nombre de sus clientes recurren con regularidad al software de contabilidad. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y qué hay que hacer?

Debes aclarar con sus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la aseguradora y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de clientes

Además de actualizar la política de privacidad, en la empresa de seguros debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la oficina

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la compañía de seguros debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si una particular trabaja con tu aseguradora, pero decide cambiar a otra, puede llevarse consigo cualquier dato suyo que tengas. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

8. Contratos con empleados

¿Tienes empleados?

Pues esto te interesa.

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una compañía de seguros, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la empresa de seguros, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

Puede ser necesario que en la compañía de seguros, por el volumen de datos que trate, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Cómo puedo demostrar que mi aseguradora cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Puedo intercambiar información de mis clientes con Corredurías de seguros?

La respuesta es depende de las medidas de seguridad establecidas.

Se establecerán criterios específicos, acompañados de normas de calidad y códigos de conducta que favorezcan al corredor al establecer los límites de sus obligaciones. Esto ayudará a delimitar las responsabilidades y obligaciones de los corredores de seguros y las que corresponden a las empresas aseguradoras.

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Se considera otro tratamiento, por tanto deberás incluirlo en el Registro de actividades de tratamiento e informar sobre el uso de estos dispositivos de grabación mediante los correspondientes carteles informativos.

Recomiendo que leas esta guía para instalar un sistema de videovigilancia cumpliendo el RGPD.

¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?

Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté vigente el contrato del seguro.

También, una vez finalizado ese contrato, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu aseguradora a la normativa de Protección de Datos.

Sanciones

Y llegamos a la parte más peliaguda.

¡Ojo! no es ninguna broma.

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

Ya lo dice el refrán.

Más vale prevenir que curar.

Te dejo algunos ejemplos de sanciones impuestas por la AEPD a compañías de seguros.

No atender debidamente el ejercicio del derecho de cancelación

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la Ley de Protección de Datos y, en particular, cuando tales datos resulten inexactos o incompletos. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Resolución AEPD R/01436/2018

Realizar comunicaciones comerciales sin consentimiento

El tratamiento de datos de carácter personal tiene que contar con el consentimiento expreso del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato. El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Resolución AEPD R/01291/2018

Y tu aseguradora, ¿ya está adaptada al nuevo RGPD? ¿Cumples todos los requisitos?

¿Necesitas cumplir el RGPD?

Protección de datos para empresas de seguros
4.6 (92%) 15 votos