Guía para cumplir el RGPD por las Corredurías de Seguros

por | Oct 24, 2018 | Información general | 0 Comentarios

corredurias de seguros rgpd

El nuevo RGPD ha introducido una serie de cambios con respecto a la anterior regulación. Las Corredurías de Seguros, si quieren adecuarse al nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) deben cambiar su procedimiento en algunos aspectos. En este artículo vamos a ver los puntos más importantes a tener en cuenta para cumplir con la protección de datos.

¿Por qué las Corredurías de Seguros deben tener especial cuidado con el RGPD?

cuidado con rgpd en correduria

Las Corredurías de Seguros y el nuevo Reglamento General de Protección de Datos no se llevan especialmente bien. El sector, por un lado, no suele tener en cuenta esta normativa o no le dan la importancia que puede llegar a tener. Por otro, el RGPD establece que muchos de los datos que manejan las Corredurías de Seguros son de carácter especial (como, por ejemplo, los datos relativos a la salud), lo cual les obliga a llevar este tipo de asuntos de forma cuidadosa.

Consulta con nosotros cómo cumplir el RGPD

Esto sucede, sobre todo, en aquellas corredurías que comercialicen seguros de salud u otro tipo de seguros en los que pueda haber accidentes sobre las personas y se deban tratar datos relativos con informes médicos.

Tipos de tratamientos de datos que se dan en las Corredurías de Seguros

tipos de tratamientos en seguros

Los tratamientos más habituales en las Corredurías de seguros se centran en estos tipos:

  • Datos de clientes potenciales. Con ello nos referimos a las prospecciones comerciales, a clientes a los que les informamos de otros productos, etc.
  • Datos para confeccionar los contratos. Estos son datos de carácter personal necesarios para firmar un contrato válido, entre los que podemos encontrar algunos de bajo perfil como nombres, direcciones de correo, direcciones físicas o números de teléfono, y otros más sensibles como datos de enfermedades preexistentes.
  • Datos para tramitar los siniestros. Estos datos se suelen proporcionar por parte del asegurado cuando sucede un siniestro, y son especialmente relevantes cuando hay daños sobre las personas o se trata de un seguro de salud.
  • Otros datos: además de los más habituales del sector de las corredurías de seguros, el RGPD obliga a tener dos tratamientos más: el de “Atención de derechos de las personas” y el de “Notificación de una quiebra de seguridad de los datos personales”. Por otro lado, también suele ser habitual tratar los datos de los empleados.

La anterior lista puede ampliarse, en el caso de las corredurías de seguros, a otros tratamientos que también deberán tenerse en cuenta. A continuación veremos algunas peculiaridades en función del tipo de tratamiento del que estemos hablando.

Cuidado con Facebook y la protección de datos si tienes una correduría de seguros

cuidado con facebook en rgpd

Es muy común utilizar las redes sociales en el caso de las Corredurías de Seguros, ya que es un canal interesante para conseguir nuevos clientes, publicar información, etc. Aun así, te recomendamos que leas nuestro artículo sobre por qué debemos tener cuidado si utilizamos Facebook, ya que no cumpliremos el nuevo RGPD. Muchas empresas se arriesgan igualmente, pero debemos saber toda la información y que, lo que hagamos, lo hagamos sabiendo que no es del todo correcto.

Datos para enviar información comercial conforme al nuevo RGPD

comunicaciones comerciales seguros

Uno de los tratamientos de datos más habituales de las corredurías de seguros son las comunicaciones comerciales. No será raro que informemos, periódicamente, a personas físicas que han mostrado interés en ciertos productos o que cumplan un perfil determinado, de seguros que puedan interesarles. Lo mismo sucede en épocas de promociones o, incluso, cuando sabemos que tienen que renovar su seguro.

Este tipo de tratamientos se deben basar, según el artículo 6 del RGPD, en alguna causa que nos permita enviar esta información. Disponemos de dos posibilidades:

  • Consentimiento. En este caso debemos disponer de una “manifestación de voluntad libre, específica, informada e inequívoca” por la que esta persona acepta el tratamiento de sus datos personales. Dicha manifestación no puede ser tácita por medio de una declaración afirmativa, por lo que no es válida la opción de poner una casilla previamente marcada en un documento.
  • Interés legítimo. En algunos casos no será necesario el consentimiento, aunque son limitados. En general, no será necesario si se trata de una persona que ha solicitado información anterior o ya es cliente de algún tipo de seguro, y la comunicación comercial que le vamos a enviar tiene que ver con ese mismo tipo de productos. Eso sí, la legitimación inicial (la de la información anterior o la del contrato ya existente) debe existir. Por regla general estaremos hablando de un contrato o documento por el que pide un presupuesto y acepta tratar sus datos con la finalidad inicial.

Datos personales para confeccionar y gestionar las pólizas de seguros

datos para contratos correduria seguros

En este caso la legitimación, es decir, aquella ‘razón’ que nos permite tratar sus datos personales, se basará en el contrato de la póliza. Debemos tener en cuenta que, si solo completamos el contrato, podremos utilizar sus datos exclusivamente con el fin de su gestión. O, lo que es lo mismo, no podremos enviarle ninguna comunicación comercial para ofrecerle nuevos productos o seguros.

La solución a ello es añadir una cláusula de consentimiento para el tratamiento con fines comerciales. Esta cláusula debe estar bien diferenciada del resto del contrato y debe poderse aceptar de manera activa, por lo que no debe estar preestablecida como aceptada. Además, el contrato debe poderse confeccionar en su totalidad sin contestar a esa pregunta. Así evitaremos que tenga la obligación de aceptar las comunicaciones comerciales en un documento que nada tiene que ver con ello.

Si lo hacemos así podremos, en el caso de los asegurados que acepten dicha cláusula, enviarles comunicaciones comerciales ofreciéndoles otros productos muy distintos a los que contrata, así como promociones y descuentos.

Casos de tratamiento de datos de menores de edad por las corredurías de seguros

menores de edad seguros

Los menores de edad tienen una regulación mucho más protectora en el RGPD. Por tanto, si nos vemos en la necesidad de tratar datos personales de menores porque se les va a asegurar, tendremos que cumplir los requisitos que el reglamento nos impone.

Deber de información: Qué debemos comunicar al cliente y cómo

deber de informacion seguros

Además de la ‘razón’ por la que tratamos los datos de los asegurados (que, como ya sabemos, se le conoce como ‘legitimación’) también tenemos que cumplir con el deber de información. Esta se tendrá que transmitir en el momento en el que recabemos sus datos. Por esta razón la mayor parte de las Corredurías de Seguros deciden informar al cliente en el mismo documento en el que rellenan los datos para confeccionar el presupuesto o el contrato.

Consulta con nosotros cómo cumplir el RGPD

La información que debemos facilitar al afectado se centra en una serie de puntos que podemos consultar en la propia página de la Agencia Española de Protección de Datos. Entre ella encontramos quién es el responsable, cómo contactar para ejercer nuestros derechos, cuáles son nuestros derechos, etc.

¿Necesita una Correduría de Seguros un Delegado de Protección de Datos?

dpo correduria de seguros

El Reglamento General de Protección de Datos establece unos requisitos que, si se cumplen, obligarán a la empresa a disponer de un DPO (delegado de protección de datos por sus siglas en inglés).

En general, deberán disponer de DPO aquellas corredurías de seguros que:

  1. Traten datos de categoría especial (como, por ejemplo, aquellos que tienen que ver con la salud de las personas).
  2. Traten datos a gran escala. Como ‘gran escala’ se entiende que tengan un porcentaje de clientes grande en relación al sector y la zona, o que tengan muchos clientes en términos generales.

Por tanto, solo requerirán de un Delegado de Protección de Datos aquellas Corredurías de Seguros que sean relativamente grandes a escala provincial. Aun así, aquellas Corredurías que no tengan la obligación de disponer de un DPO pueden hacerlo si desean quedarse más tranquilas y asegurarse el cumplimiento del RGPD.

¿Tiene que llevar una Correduría de Seguros un Registro de las Actividades de Tratamiento?

registro de actividades de tratamiento

El registro de Actividades de Tratamiento se equipara, en parte (aunque no es exactamente igual, pero para hacernos una idea), a los antiguos ficheros. En el RGPD se establece que deberán llevarlo aquellas empresas que tengan más de 250 trabajadores, o aquellas que, entre otros, traten datos de categorías especiales.

En el caso de las Corredurías de Seguros, como suelen tratar datos de categorías especiales, es recomendable disponer de un Registro de Actividades de Tratamiento. Al fin y al cabo no es demasiado complejo y nos puede evitar tener un disgusto.

En dicho registro incluiremos (podemos hacerlo en forma de cuadro), para cada uno de los tratamientos que tengamos:

  1. El nombre y contacto del responsable.
  2. Los fines del tratamiento.
  3. Las categorías de los interesados que, en la mayor parte de los casos, serán asegurados o potenciales clientes.
  4. Los destinatarios de los datos si es que existen. Las Corredurías, cuando hagan el cuadro que corresponda al tratamiento de los datos de los clientes, deberán poner que se envían a las aseguradoras.
  5. Si existen transferencias de datos a un tercer país. Veremos esto un poco más adelante (por ejemplo en el caso de que utilicemos un dropbox o un ERP en la nube).
  6. Los plazos para la eliminación de los datos.
  7. Las medidas de seguridad que implementamos para evitar que se pierdan, modifiquen o filtren a terceros.

Seguridad en los datos, particularidades de las Corredurías de seguros

seguridad datos seguros

Si nuestra correduría de seguros es relativamente pequeña será suficiente poner la seguridad que cumplimos para evitar la pérdida, modificación o filtración de los datos a terceros.

Si nuestra correduría es un poco más grande nos veremos en la obligación de hacer un estudio más exhaustivo ya que, según el principio de responsabilidad proactiva del nuevo RGPD, seremos nosotros los que tengamos que defender que las medidas de seguridad existentes son suficientes.

Si guardamos los datos en algún lugar gestionado por un tercero, deberemos cerciorarnos de que:

  • Cumple con la seguridad mínima. Por ejemplo, si utilizamos un servidor de telefónica o de Google, que en el contrato que tengamos firmado aparezcan las medidas de seguridad que tienen.
  • Que se encuentra en la Unión Europea. No es que tenga que ver especialmente con la seguridad de los datos, pero si el servidor está fuera de la UE tendremos que ver si existe transferencia internacional de datos, qué seguridad tiene y si hemos informado de este hecho a los propietarios de los datos personales.

Cuidado, por ejemplo, con los requisitos a cumplir si utilizamos Dropbox o algún otro servicio de la nube.

Los derechos de los clientes de una correduría. ¿Qué debemos tener en cuenta?

derechos asegurados rgpd

Los propietarios de los datos personales tienen, según el Reglamento general de Protección de Datos, una serie de derechos que pueden ejercer. Estos son, a grandes rasgos, el derecho de acceso, de rectificación, de supresión, de limitación y de portabilidad.

Además de informarlos en el momento de la recogida de sus datos, también debemos gestionar las peticiones de forma adecuada. Las Corredurías de Seguros tienen, por regla general, el plazo de un mes para contestar a este tipo de peticiones, ampliable dos más en caso de que sea necesario.

¿Es la correduría encargada o responsable del tratamiento de los datos que maneja?

Esta es una fantástica pregunta. La diferencia entre responsable de tratamiento y encargado de tratamiento es que, en el primer caso, se trata de una persona que determina para qué se utilizan los datos y cómo. En el segundo caso, los encargados se limitan a hacer lo que establezca el responsable. Es decir, actúan por cuenta del responsable.

Aunque puede parecer que una correduría de seguros es una encargada del tratamiento en nombre de las aseguradoras, lo cierto es que la ley de mediación de seguros en su artículo 62 establece que son responsables. Por tanto, las obligaciones que tendremos que cumplir son las de los responsables, y las obligaciones, por tanto, más elevadas.

¿Qué pasa si me ‘hackean’ el ordenador o me roban los datos de los asegurados?

brecha seguridad seguros

En el caso de que sufras una filtración de los datos que pueda afectar a los derechos y libertades de los afectados deberemos comunicar este hecho a la Agencia Española de Protección de Datos. Si disponemos de un Delegado de Protección de Datos será él quien actúe de intermediario.

Esta comunicación servirá como evidencia, entre otras, para demostrar que nuestra actuación ha sido correcta y transparente ante la situación.

Posibles sanciones por incumplir la protección de datos por las Corredurías

sanciones proteccion de datos correduria de seguros

Las sanciones administrativas, con el nuevo RGPD, pueden llegar a ascender a veinte millones de euros. Eso sin contar las indemnizaciones por daños y perjuicios que puedan derivarse de un incidente. Esta razón hace especialmente recomendable contar con algún profesional que nos ayude y asesore para implementar correctamente lo que dice la normativa.

Artículo escrito por Rodrigo Tovar Monge.

Consulta con nosotros cómo cumplir el RGPD

Si tienes un problema legal te ayudamos gratuitamente

En Ley Actual te ayudamos gratuitamente a elegir el despacho que más se adecue a tus necesidades.

Contacta con nosotros
468

Enviar comentario

0
Connecting
Please wait...
Envía tu consulta y te guiaremos gratuitamente.

Te guiamos en tu consulta legal gratuitamente.

Nombre
Email
Tu código postal
Teléfono de contacto
Describe tu consulta
Enviar consulta
Un especialista en tu materia se pondrá en contacto contigo a la mayor brevedad. Conforme al reglamento de protección de datos, te comunicamos que, para poder darte el servicio, necesitamos facilitar esta información a despachos especialistas en tu materia asociados a Ley Actual. Solo se utilizará con la finalidad de darte información relacionada con tu consulta.
Ayuda gratis por un experto

¿Necesitas ayuda legal? Envíanos tu consulta y te conectaremos gratuitamente con un experto que te guiará. Estarás un paso más cerca de solucionar tu duda legal.

Tu nombre
Tu correo
Teléfono de contacto
Explícanos tu consulta legal
Enviar
¿Alguna duda legal? Te ayudamos gratis.
Enviar
Feedback

Help us help you better! Feel free to leave us any additional feedback.

How do you rate our support?
WhatsApp Ayuda gratis por Whatsapp