¿Cómo implementar la ley de protección de datos? Los 10 pasos que deben seguir las aseguradoras y corredurías para cumplir la normativa vigente.
En la era de los datos, es esencial proteger su privacidad e integridad
En 2006, Clive Humby, uno de los primeros científicos de datos, dijo que “los datos son el nuevo petróleo”. En la era digital, todos los usuarios generan una gran cantidad de datos que las empresas pueden utilizar para proporcionarles un servicio más personalizado. Sin embargo, también deben cerciorarse de que esa información no caiga en las manos incorrectas y se utilice adecuadamente. Para garantizar los derechos de los usuarios, consumidores y clientes existe la Ley de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
¿Por qué es importante cumplir la ley de protección de datos?
El sector asegurador maneja una gran cantidad de datos personales de sus clientes pues para desarrollar su actividad necesita tener acceso a información relacionada con la salud de los asegurados, su historial de siniestralidad o los datos financieros. Eso supone un doble desafío ya que no solo debe recopilar datos sensibles sino también garantizar su privacidad y uso adecuado en la compleja red de contratación de pólizas, de manera que aumentan las probabilidades de que se produzcan violaciones de la normativa de protección de los datos.
Las infracciones relacionadas con los datos no solo pueden suponer cuantiosas sanciones económicas, que pueden llegar incluso a los 20 millones de euros en los casos más graves, sino que también pueden dañar seriamente la reputación de la entidad ya que los consumidores se preocupan cada vez más porque las empresas protejan su privacidad. Por eso, es fundamental que tanto las aseguradoras como las corredurías y los agentes de seguros cumplan la Ley de Protección de Datos.
¿Cómo implementar la ley de protección de datos?
1. Informar a los interesados sobre el tratamiento de sus datos
Uno de los principios más importantes de la Ley Orgánica de Protección de Datos, según Noticias Jurídicas, es la transparencia, de manera que las aseguradoras y corredurías deben explicar a las personas cómo usarán sus datos. Tendrán que indicar el responsable del tratamiento de los datos, para qué los van a usar, durante cuánto tiempo los conservarán y si los transferirán al extranjero o los ceden a terceros. También deben informarles sobre las vías para ejercer sus derechos de rectificación, portabilidad, oposición, limitación o supresión de los datos personales. Esa información se puede incluir como anexo en el contrato de seguro o en el documento para recabar el consentimiento expreso.
2. Conseguir el consentimiento expreso
La Ley de Protección de Datos prevé que la persona dé su consentimiento expresamente, lo cual significa que esa acción afirmativa debe quedar registrada, ya sea firmando las cláusulas de protección de datos en el contrato del seguro o un documento específico de consentimiento de uso de los datos antes de ceder cualquier tipo de información personal. De hecho, ese consentimiento solo vale para la finalidad con la que se recabó, si la aseguradora o correduría pretende usar los datos de otra manera, tendrá que volver a pedir el consentimiento de la persona.
3. Registrar las actividades de tratamiento
Dado que las entidades del sector asegurador manejan datos personales de categorías especiales de manera sistemática y a gran escala, tienen que llevar un registro actualizado de las actividades por cada tratamiento de datos que hagan. Por consiguiente, deben identificar al responsable del tratamiento e incluir sus datos de contacto. También tendrán que indicar el objetivo del tratamiento, así como describir las categorías de interesados, datos y destinatarios. Además, deben señalar si realizarán transferencias internacionales de datos y sus garantías, así como describir las medidas de seguridad y el tiempo durante el cual conservarán la información recopilada.
4. Designar a un delegado de protección de datos
Las aseguradoras y corredurías deben designar un delegado de protección de datos entre sus propios empleados o contratar los servicios de uno externo, ya sea una consultoría especializada o un profesional. Una vez elegido, la entidad debe comunicar a la AEPD la identidad del delegado de protección de datos.
5. Analizar los riesgos
Las aseguradoras y corredurías deben analizar los riesgos intrínsecos al tratamiento de datos que realizará para identificar las posibles amenazas. Esos riesgos pueden ser físicos, como el robo de documentación o un incendio, o de carácter digital, como el bloqueo de los servidores, un ciberataque o una filtración de datos. Así podrán implementar las medidas de seguridad adecuadas para reducir las amenazas o minimizar su impacto en caso de que se produzcan.
Cabe aclarar que como el sector asegurador maneja datos de categorías especiales, tiene que realizar evaluaciones de impacto para determinar las repercusiones de las amenazas en los derechos y libertades de las personas y aplicar medidas de seguridad más estrictas para evitar que se produzcan estos eventos.
6. Garantizar que los colaboradores tratan adecuadamente los datos
Las aseguradoras suelen colaborar con mediadores de seguros, corredurías, centros de salud, talleres mecánicos y otros agentes. Dado que esas empresas manejan datos personales de sus clientes, las aseguradoras deben firmar un contrato de encargado del tratamiento que refleje las obligaciones y medidas de seguridad a aplicar, así como el fin con el que serán usados y el plazo de conservación de los mismos.
7. Firmar acuerdos de confidencialidad
Los empleados de las aseguradoras y corredurías suelen tener acceso a los datos personales de los clientes, por lo que ellos también deben cumplir la Ley de Protección de Datos, respetando la confidencialidad de la información y cumpliendo con el protocolo y las medidas de seguridad implementadas. Para reforzar ese compromiso, lo ideal es que firmen un acuerdo de confidencialidad que se puede anexar al contrato de trabajo o incluir como cláusulas en el mismo.
8. Asegurarse de que la web cumple la ley de protección de datos
Muchas aseguradoras recopilan los datos de los usuarios a través de sus sitios web, por lo que este debe cumplir con la Ley de Protección de Datos, según Noticias Jurídicas. Por tanto, la web de la aseguradora o el portal del mediador debe contar con una sección de “Aviso Legal” donde indique sus datos identificativos y los términos y condiciones. También debe incluir una página dedicada a la “Política de Privacidad” donde explique todo lo relacionado con el tratamiento de los datos que se recogen a través de la web, así como un “Aviso de Cookies” informando sobre el tipo de cookies que utiliza, su finalidad y el tiempo por el que se conservarán, además de dar la oportunidad de aceptarlas, rechazarlas o personalizarlas.
9. Comunicar las brechas de seguridad
Si se producen brechas de seguridad que dejen expuestos los datos personales, las aseguradoras y corredurías están en la obligación de comunicarlas a la AEPD y los afectados. Por brechas de seguridad se entiende cualquier incidente que genere un acceso no autorizado a datos e información contenida en ordenadores, aplicaciones, redes o dispositivos. En esos casos, las entidades tienen hasta 72 horas para comunicar lo ocurrido.
10. Realizar auditorías preventivas con periodicidad
Más allá de las auditorías preventivas que pueda realizar la Agencia Española de Protección de Datos, es conveniente que las propias aseguradoras y corredurías planifiquen auditorías externas cada uno o dos años para comprobar que las acciones que ha adoptado cumplen la normativa y las medidas de prevención siguen siendo eficaces. Así podrán detectar posibles problemas, carencias o riesgos y buscar soluciones para reforzar la seguridad e integridad de los datos.