Datos personales, informes de empresa, cuentas bancarias, siniestros… un enorme volumen de información catalogada como sensible circula en la operativa diaria de las diferentes empresas del sector asegurador, que encuentran grandes dificultades para garantizar su privacidad y seguridad. Además, el aumento del uso de Smartphones, de las app y de la mensajería instantánea facilita cada vez más la fuga de datos no autorizada, por lo que se hace necesario que aseguradoras y mediadores incrementen su inversión en la adopción de medidas de seguridad que, además de las sanciones económicas, les eviten también la pérdida de confianza por parte de clientes y colaboradores o el robo de carteras.
El marco regulatorio al que deben acogerse los profesionales del sector incluye por un lado la normativa general con la Ley 15/1999 sobre Protección de Datos de Carácter Personal (LOPD), y por otro la específica del sector mediante la Ley 26/2006 de Mediación de Seguros y Reaseguros Privados (LMSRP). En base a estas dos normas, en el campo de la mediación y distribución de seguros se han abierto por parte de la Agencia Española de Protección de Datos (AEPD) numerosos expedientes con sanciones que oscilan entre los 600 y los 600.000 euros. Asimismo, a mediados de año se prevé la aprobación de un Reglamento europeo que eleva la cuantía máxima de las sanciones hasta cien millones de euros.
Encargados y Responsables
La LOPD establece una distinción entre los encargados del tratamiento de los ficheros y los responsables de los mismos y define unas obligaciones específicas para cada categoría que deben cumplir para garantizar el derecho a la protección de los datos de carácter personal. En el primer caso se identifica al Encargado de Tratamiento como a “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” En el sector de los seguros esta figura se identifica con los agentes de seguros y operadores de banca seguros exclusivos, los agentes de seguros vinculados y los auxiliares externos.
En el caso de los agentes de seguros y operadores de banca seguros exclusivos, la entidad aseguradora actúa como responsable y en el contrato entre ambos deben quedar patentes las obligaciones adquiridas como encargado de tratamiento en referencia a la utilización de los datos conforme a las instrucciones y finalidades estipuladas por la aseguradora concretadas en: la obligatoriedad de guardar secreto y no divulgar los datos; adoptar medidas necesarias técnicas y organizativas para garantizar la seguridad de los datos y evitar su alteración, pérdida o acceso no autorizado; habilitar protocolos para que el afectado pueda ejercitar los derechos de Acceso, Rectificación, Cancelación u Oposición; y recabar el consentimiento del afectado en caso de datos sensibles, como por ejemplo, los relativos a la salud.
Los agentes de seguros vinculados, al igual que los exclusivos también adquieren la condición de Encargados de Tratamiento aunque con algunas particularidades, ya que al trabajar por cuenta ajena, se encuentran vinculados a distintas aseguradoras, con sus correspondientes contratos de agencia y obligaciones respecto de la LOPD. Por otro lado, los auxiliares externos, encargados de la captación de clientes y de funciones administrativas auxiliares, deberán mantener las medidas de seguridad necesarias y utilizar los datos sólo para los fines establecidos legalmente.
En el segundo caso, el Responsable de Fichero se identifica como a “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Entre sus responsabilidades figuran: realizar la inscripción de los ficheros, asegurarse de la calidad de los datos (veracidad), garantizar el secreto, informar a los titulares y obtener su consentimiento y prestar atención a los derechos de los ciudadanos. Además de las entidades aseguradoras, figuran también en esta clasificación los corredores de Seguros y Reaseguros que llevan a cabo la mediación con total independencia y sin vínculos contractuales con las compañías. Deben prestar atención a la cesión a las aseguradoras de los datos obtenidos de sus clientes, atendiendo a las obligaciones de información a las mismas, previa obtención del consentimiento de los clientes.
Autorización y otras obligaciones
Precisamente, la autorización es el principio básico sobre el cual pivota toda política de protección de datos en el sector asegurador. Se define como el consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento del dato personal. De no contar con este consentimiento calificado la información recolectada resulta ser ilegal. Asimismo, el interesado debe ser informado, tanto de la posibilidad de cesión de sus datos personales y sus circunstancias, como del destino de éstos, pues sólo así será eficaz su derecho a consentir y efectivo su derecho a controlar y disponer de sus datos personales.
Además, respecto al tratamiento automatizado de datos deben cumplirse otras obligaciones como la inscripción de los ficheros ante el Registro General de Protección de Datos, la elaboración de cláusulas legales para garantizar el derecho de información en la recogida de datos, la elaboración del correspondiente Documento de Seguridad y la adopción de medidas de seguridad técnicas y organizativas.
Por otro lado, los datos personales sólo pueden ser recogidos y tratados con las finalidades básicas del seguro: redacción y emisión de pólizas; cobro de primas y presentación de otras facturas; liquidación de siniestros o realización de otras prestaciones; prevención, detección y/o persecución del fraude; justificación, persecución o defensa de una reclamación legal; cumplimiento de otra obligación específica legal o contractual; prospección de nuevos mercados de seguro; gestión interna; y actividades actuariales.
Peligrosidad de los nuevos canales
La fuga de datos se ha visto incrementada en los últimos tiempos con el rápido avance de las tecnologías y la explosión de nuevos canales de comunicación que puede suponer que las compañías vulneren sus obligaciones de protección de datos incluso sin ser conscientes de ello. La información que se transmite a través de correo electrónico, servidores Cloud de Internet, memorias externas o USB, aplicaciones, redes sociales o mensajería instantánea es cada vez más difícil de controlar. En este sentido, los smartphones ya son el tipo de teléfono más usado (8 de cada 10) ya que, por otro lado son muy eficaces para mejorar el servicio al cliente.
Un ejemplo ilustrativo de esta desprotección lo encontramos en Whatsapp y la mensajería instantánea, ya que al instalarlo en el smartphone la plataforma tiene acceso a todos los teléfonos de contacto, con independencia de que sean usuarios de esta aplicación o no, y el consentimiento que el usuario da al uso de sus datos es generalizado. Por otro lado, en sus términos de uso esta aplicación explicita que no puede garantizar la seguridad de la información que se transmite a través de ella, por lo que el usuario asume completamente el riesgo en todas las comunicaciones.
Sobre estas problemáticas el director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez insistió, durante en la conferencia inaugural del curso ‘Protección de datos y nuevas tecnologías el pasado mes de junio en la Universidad Internacional Menéndez Pelayo (UIMP) de Santander, en la importancia de buscar soluciones constructivas que permitan “conciliar los beneficios de la evolución tecnológica con preservar los derechos y las libertades individuales” e incidió en que reforzar los derechos y las garantías es la receta principal para afrontar la situación actual de riesgos crecientes para la vida privada.
Soluciones y consejos para la prevención
Para ello, además de seguir los protocolos obligatorios, existen soluciones complementarias que pueden ser de gran ayuda ante estas situaciones de riesgo. Una de ellas es el seguro de Responsabilidad por Protección de Datos Personales, que proporciona protección financiera, asistencia legal especializada e incluso servicios de consultoría de comunicación para mitigar el daño a la reputación, tanto de la compañía como de personas clave de la organización. Este tipo de seguro no solo cubre la parte administrativa (multas y sanciones) sino también la responsabilidad civil a la que se le augura un gran crecimiento en los próximos años, aunque por el momento en España haya sido poco demandada.
Por otro lado, además de obtener el consentimiento previo e informado del cliente para el uso de estas de cada una de las plataformas comunicativas es muy recomendable incluir en el contrato una cláusula mediante la cual ambas partes autorizan su utilización como canales de comunicación. Asimismo, respecto a la mensajería instantánea sería conveniente restringir su uso a comunicaciones puntuales y evitar incluir en ella datos sensibles como números de cuenta bancaria o información relacionada con la salud, aspectos que requieren un alto grado de confidencialidad. Tampoco es aconsejable usar con los clientes funcionalidades como los grupos de conversación o chats.
Los protocolos de seguridad deberían prevenir también situaciones críticas como el robo de smartphones y describir en ellos el procedimiento de actuación en caso de que se produzca el incidente, asignando también un responsable de seguridad. Además, es importante instaurar mecanismos para controlar el respeto a esta normativa por parte de la plantilla de la compañía en el uso de los equipos y dispositivos móviles de empresa.
Finalmente, se recomienda también la revisión periódica de los programas y aplicaciones utilizadas en los equipos y dispositivos móviles de la compañía y protegerlos con paquetes de seguridad (antivirus y antispyware) y sistemas de autentificación y borrado remoto en caso de sustracción.