Opinión|23/03/2015
Emilio Aced Félez. Jefe de Área de la Agencia Española de Protección de Datos
Una aproximación proactiva a la protección de datos personales en el sector asegurador
El sector asegurador trata un gran volumen de datos personales caracterizados, en muchos casos, por la especial sensibilidad de los mismos. Basta pensar en los que se utilizan para la concesión o fijación de la prima de un seguro de Vida, los derivados de la prestación de servicios sanitarios o los que se comunican cuando se producen lesiones en un accidente de tráfico y debe gestionarse el pago de indemnizaciones o de los gastos sanitarios derivados del mismo.
Además, es un sector con una gran complejidad por la diversidad de los servicios que presta, los numerosos actores que intervienen, los procesos que deben implantarse, las herramientas que se utilizan o los mecanismos establecidos para la detección del fraude. En los últimos años, además, hay que añadir a estos elementos los procesos de contratación en línea, la realización y la utilización de perfiles personales y la oferta de productos y servicios a través de internet.
Cualquier responsable de tratamiento de datos personales que opera en el mercado de los seguros (mediadores, corredores, compañías aseguradoras, agentes comerciales, etc.) por el mero hecho de serlo está obligado al cumplimiento de la normativa de protección de datos. En esta situación de complejidad y cambios continuos resulta necesario dar un paso más para establecer políticas de protección de datos proactivas que, desde las etapas iniciales del diseño de cualquier nuevo producto o servicio, tengan ya en cuenta los requerimientos en materia de protección de datos –lo que se ha dado en llamar Protección de Datos desde el Diseño–, eliminando o minimizando así los riesgos existentes para la privacidad a través de una completa y sistemática evaluación de impacto en la privacidad de las personas.
Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y así, tras su identificación, afrontarlos y gestionarlos para eliminarlos o, al menos, mitigarlos en la medida de lo posible, antes de que se materialicen.
El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a su reputación e imagen por un tratamiento inadecuado de los datos personales.
Por todo ello, la Agencia Española de Protección de Datos (AEPD) decidió promover la utilización de estas nuevas herramientas en España mediante la publicación de una Guía de Evaluación de Impacto en la Protección de Datos Personales, cuya versión definitiva se redactó tras someter un primer borrador a consulta pública, documento que obtuvo una acogida muy favorable (más del 85% de las respuestas mostraron su apoyo a la iniciativa).
La Guía expone el concepto de EIPD y sus elementos esenciales, así como los criterios que, a juicio de la AEPD, harían recomendable la realización de una evaluación cuando se aborde la puesta en marcha de un nuevo producto o servicio.
Igualmente, detalla las fases principales que lleva aparejada la realización de una EIPD, incluyendo la constitución del equipo de trabajo, la descripción del proyecto y de los flujos de datos personales, la identificación y evaluación de los riesgos, la consulta con las partes afectadas, la gestión de los riesgos identificados, el análisis de cumplimiento normativo, la redacción y publicación de un informe final, la implantación de las medidas correctoras y la revisión de los resultados.
También incluye varios anexos que contienen una guía para ayudar en el análisis de cumplimiento normativo y diversos modelos de documentos para describir los flujos de información, los riesgos identificados, el impacto de los mismos, las medidas propuestas y, para concluir, un modelo del informe de resultados de una EIPD.
En la AEPD estamos convencidos de que el empleo de las evaluaciones de impacto mejorará sin duda las garantías para los derechos de las personas en aquellas organizaciones que las incorporen, y contribuirá a generar más confianza en los usuarios y clientes de las mismas.
La realización de evaluaciones de impacto en las organizaciones, aunque no podrá ser considerada como un criterio de exención ante eventuales responsabilidades en caso de vulneración de la normativa de protección de datos, sí será tenida en cuenta por la AEPD como un elemento relevante para valorar si se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales.
Finalmente, hay que resaltar que aunque en España no existe en estos momentos una obligación legal de realizar evaluaciones de impacto en la protección de datos personales en ningún sector o ámbito específico, la sensibilidad de los tratamientos del sector asegurador y su impacto en la privacidad de las personas hacen muy aconsejable el uso de estas herramientas que, en cualquier caso, en el futuro sí podrían ser obligatorias si prospera la Propuesta de Reglamento General de Protección de Datos para la Unión Europea en los términos propuestos por la Comisión Europea.
El sector asegurador trata un gran volumen de datos personales caracterizados, en muchos casos, por la especial sensibilidad de los mismos. Basta pensar en los que se utilizan para la concesión o fijación de la prima de un seguro de Vida, los derivados de la prestación de servicios sanitarios o los que se comunican cuando se producen lesiones en un accidente de tráfico y debe gestionarse el pago de indemnizaciones o de los gastos sanitarios derivados del mismo.
Además, es un sector con una gran complejidad por la diversidad de los servicios que presta, los numerosos actores que intervienen, los procesos que deben implantarse, las herramientas que se utilizan o los mecanismos establecidos para la detección del fraude. En los últimos años, además, hay que añadir a estos elementos los procesos de contratación en línea, la realización y la utilización de perfiles personales y la oferta de productos y servicios a través de internet.
Cualquier responsable de tratamiento de datos personales que opera en el mercado de los seguros (mediadores, corredores, compañías aseguradoras, agentes comerciales, etc.) por el mero hecho de serlo está obligado al cumplimiento de la normativa de protección de datos. En esta situación de complejidad y cambios continuos resulta necesario dar un paso más para establecer políticas de protección de datos proactivas que, desde las etapas iniciales del diseño de cualquier nuevo producto o servicio, tengan ya en cuenta los requerimientos en materia de protección de datos –lo que se ha dado en llamar Protección de Datos desde el Diseño–, eliminando o minimizando así los riesgos existentes para la privacidad a través de una completa y sistemática evaluación de impacto en la privacidad de las personas.
Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y así, tras su identificación, afrontarlos y gestionarlos para eliminarlos o, al menos, mitigarlos en la medida de lo posible, antes de que se materialicen.
El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a su reputación e imagen por un tratamiento inadecuado de los datos personales.
Por todo ello, la Agencia Española de Protección de Datos (AEPD) decidió promover la utilización de estas nuevas herramientas en España mediante la publicación de una Guía de Evaluación de Impacto en la Protección de Datos Personales, cuya versión definitiva se redactó tras someter un primer borrador a consulta pública, documento que obtuvo una acogida muy favorable (más del 85% de las respuestas mostraron su apoyo a la iniciativa).
La Guía expone el concepto de EIPD y sus elementos esenciales, así como los criterios que, a juicio de la AEPD, harían recomendable la realización de una evaluación cuando se aborde la puesta en marcha de un nuevo producto o servicio.
Igualmente, detalla las fases principales que lleva aparejada la realización de una EIPD, incluyendo la constitución del equipo de trabajo, la descripción del proyecto y de los flujos de datos personales, la identificación y evaluación de los riesgos, la consulta con las partes afectadas, la gestión de los riesgos identificados, el análisis de cumplimiento normativo, la redacción y publicación de un informe final, la implantación de las medidas correctoras y la revisión de los resultados.
También incluye varios anexos que contienen una guía para ayudar en el análisis de cumplimiento normativo y diversos modelos de documentos para describir los flujos de información, los riesgos identificados, el impacto de los mismos, las medidas propuestas y, para concluir, un modelo del informe de resultados de una EIPD.
En la AEPD estamos convencidos de que el empleo de las evaluaciones de impacto mejorará sin duda las garantías para los derechos de las personas en aquellas organizaciones que las incorporen, y contribuirá a generar más confianza en los usuarios y clientes de las mismas.
La realización de evaluaciones de impacto en las organizaciones, aunque no podrá ser considerada como un criterio de exención ante eventuales responsabilidades en caso de vulneración de la normativa de protección de datos, sí será tenida en cuenta por la AEPD como un elemento relevante para valorar si se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales.
Finalmente, hay que resaltar que aunque en España no existe en estos momentos una obligación legal de realizar evaluaciones de impacto en la protección de datos personales en ningún sector o ámbito específico, la sensibilidad de los tratamientos del sector asegurador y su impacto en la privacidad de las personas hacen muy aconsejable el uso de estas herramientas que, en cualquier caso, en el futuro sí podrían ser obligatorias si prospera la Propuesta de Reglamento General de Protección de Datos para la Unión Europea en los términos propuestos por la Comisión Europea.