Cómo puede cumplir el RGPD de los corredores de seguros

Con el nuevo RGPD se han introducido cambios en las normativas anteriores para el tratamiento de datos personales. Este nuevo reglamento ha supuesto un cambio para organizaciones, empresas y trabajadores que, por su actividad laboral, tienen que tratar con los datos de clientes. Así, los corredores de seguros, los cuales cuentan con una cartera de clientes propia, también deben adaptarse y cambiar algunos procedimientos para cumplir esta nueva normativa.

¿Qué es el RGPD?

RGPD son las siglas del Reglamento General de Protección de Datos. Se trata de la nueva normativa a nivel europeo que entró en vigor en mayo de 2021, para regular el tratamiento de datos por parte de todas las empresas de la Unión Europea, desde el 25 de mayo del 2018.

Se trata de una normativa que proporciona a los ciudadanos un mayor control y más seguridad sobre su información y datos en el mundo digital. Así, el RGPD aumenta sus derechos, pudiendo elegir la manera en que se tratan sus datos. Así como la forma en la que las empresas se comuniquen con ellos para mandarles información.

El RGPD protege todos los datos personales sin tener en cuenta la tecnología que se usa para su tratamiento, ya sea manual o automatizado. Tampoco se tiene en cuenta que se utiliza para almacenarlos, es decir, no es importante si se guardan en una base de datos a través de un sistema informático o quedan reflejados en un documento de papel.

¿A qué nos referimos con datos personales?

Cuando hablamos de datos personales estamos aludiendo a toda la información referida a una persona física identificada o identificable. Dentro de esto se incluye el nombre, un documento de identidad, datos de localización, dirección de correo electrónico, un identificador en línea como puede ser la dirección IP, identificador cookie, etc.

También son considerados como datos personales los que sirvan para identificar a una persona a pesar de estar cifrados o presentados como pseudónimo. En el caso de que estos datos anonimizados no sean identificadores, siendo realmente anónimos, no serán considerados como datos personales.

¿Qué es la LOPDGDD?

La Ley Orgánica de Protección de datos y Garantía de Derechos Digitales es la normativa que regula el tratamiento de datos personales en España. Se trata de la adaptación española a la normativa establecida a nivel europeo, el ya mencionado RGPD. Esta ley llegó en el año 2018 para sustituir a la antigua LOPD.

Así en esta nueva normativa se establecen las bases legales actualizadas para el tratamiento de datos y se incluye como objetivo el garantizar el respeto de los Derechos Digitales que se incluyen en nuestra constitución. Cumpliendo con la LOPDGDD se está cumpliendo el RGPD.

¿Cómo afecta el rgpd a los corredores de seguros?

Según la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” publicada por la UNESPA en enero de 2019, los corredores de seguros son considerados como responsables del tratamiento de los datos de sus clientes en todo caso. Esto es debido al hecho de que, al contrario que lo que ocurre en el caso de los agentes, las carteras de clientes les pertenecen a ellos.

El nuevo RGPD endurece mucho el control sobre el tratamiento de los datos, por lo que los corredores de seguros deben tener muy en cuenta la nueva normativa. Su incumplimiento puede provocar diferentes tipos de sanciones, incluyendo las económicas.

Un hecho importante que se debe tener en cuenta es que un mediador de seguros debe ofrecer asesoramiento independiente, recomendando productos que se adecuen a lo solicitado. Al enviar comunicaciones a sus clientes, deben tener cuidado, para que ese asesoramiento no se confunda con publicidad. ¿Por qué? Puesto que sus clientes le han cedido los datos esperando ser asesorados, no recibir mensajes publicitarios.

Ser los principales responsables de los datos de sus clientes implica que los corredores tienen una serie de obligaciones que cumplir, de las que hablaremos más adelante.

¿Son los corredores de seguros responsables del tratamiento de datos?

Así es. Los corredores de seguros serán en todo momento los responsables del tratamiento de los datos de sus clientes. Por ello, a la hora de contratar un producto con una compañía de seguros, el corredor deberá informar a su cliente de la cesión de sus datos a dicha empresa. Sin embargo, no será necesaria su autorización a la hora de proponer un asesoramiento personalizado independiente.

El RGPD para los agentes exclusivos y vinculados

Lo primero que se debe mencionar en este punto es que los agentes de seguros, ya sean exclusivos o vinculados, no tienen una cartera de clientes propia, ya que pertenece a la compañía o compañías aseguradoras con las que trabajan. Estas empresas les ceden su cartera para que puedan llevar a cabo su actividad profesional.

Así, cuando el mediador es un agente vinculado o exclusivo, no suele tomar las decisiones sobre las comunicaciones y el tratamiento de datos de los clientes. Siendo así las empresas aseguradoras las responsables de esos datos.

Cumplimiento del RGPD: ¿Qué obligaciones tiene un corredor de seguros?

Al ser los corredores los dueños de su propia cartera y tener el papel de responsables del tratamiento de sus datos, son ellos quienes determinan el tratamiento y uso de los mismos. Esto conlleva que tengan que cumplir con una serie de obligaciones adquiridas por esa posición.

• En primer lugar, debemos destacar el principio de accountability o responsabilidad activa por el que deberán instaurar medidas jurídicas, técnicas y organizativas necesarias para el que se cumpla por completo el Reglamento de Protección de Datos vigente (RGPD y LOPDGDD)
• Para los corredores de seguros es imprescindible disponer de un registro de actividades de tratamiento de datos. Esto es debido al uso de datos de salud que son calificados como datos pertenecientes a categorías especiales. Este registro deberá ser el adecuado, según indica el art. 30 RGPD.
• Consentimiento: Este es uno de los principales cambios que se ha implementado con el RGPD. Se ha reforzado el hecho de que el cliente debe dar su consentimiento de forma específica y explícita. Los corredores deberán informar en todo momento al usuario del uso que se le da y se le dará a sus datos personales. El cliente tiene que aceptarlo. No será imprescindible el consentimiento del tratamiento de datos para la contratación y gestión de las pólizas.
• Los corredores de seguros no podrán enviar publicidad a no ser que el usuario le dé su consentimiento para hacerlo. A pesar de esta afirmación general, existe una excepción que se basa en el interés legítimo. Esto permite mandar publicidad a través de medios electrónicos cuando un usuario haya contratado ya un producto y se añada información relativa a productos parecidos.
• Transparencia: Será imprescindible que el mediador de toda la información a los usuarios del motivo por el que se recogen los datos, cuál será su tratamiento y si serán o no compartidos con terceros. También, el usuario deberá conocer a qué riesgos está expuesto. Del mismo modo que se debe garantizar que sus datos estarán seguros y serán utilizados para los fines explicados.
• Accesibilidad: Los usuarios deben poder acceder en cualquier momento a los datos cedidos. También podrán suprimirlos en el caso de ya no ser necesarios o haber sido utilizados de manera ilícita. Además, será posible que puedan modificarlos, ya sea porque exista algún error en los mismos o que puedan solicitar su supresión.

Cuál es la autoridad de control en materia de protección de datos competente en el Sector asegurador

La Agencia Española de Protección de Datos (AEPD) es la autoridad que controla que se cumpla la normativa de protección de datos personales. Además garantiza y salvaguarda este derecho. Se trata de un organismo fundado en Madrid en 1993, pero que actúa por todo el territorio nacional. Así, la AEPD regula el cumplimiento del RGPD y la LOPDGDD.

Hasta el 2018, había un órgano perteneciente a la AEPD en el que las administraciones y empresas tenían que inscribir sus ficheros (documentos que reflejaban todos los datos de sus clientes). Este es el llamado Registro General de Protección de Datos. A partir de la entrada del RGPD, este organismo dejó de funcionar, y aparecieron otros requerimientos.

A pesar de que este registro haya desaparecido, la RGPD obliga a que las entidades guarden un registro en el que queden reflejadas los tipos de datos que se tratan su cantidad y categoría. Las empresas o trabajadores deben reflejar la finalidad para la que son guardados, el lugar, los medios de tratamiento y si se produce la cesión a terceros. Esto debe ser un documento que se encuentre siempre actualizado. La AEPD, en una inspección, podría pedirlo y la empresa debería entregarlo por obligación.

Otro requisito que deben cumplir las entidades es la de informar a la AEPD de si cuentan con un Delegado de Protección de Datos, figura que explicaremos a continuación.

Delegado de Protección de Datos ¿Cuándo es necesario?

El Delegado de Protección de Datos, también conocido como DPO por sus siglas en inglés de Data Protection Officer. Se trata de una figura muy importante teniendo en cuenta este nuevo reglamento de carácter europeo.

El DPO se encarga de identificar todos los riesgos posibles y encontrarles solución. En definitiva, se trata de la persona encargada de hacer que se cumpla el RGPD y la Ley de Protección de Datos de nuestro país dentro de una empresa u organización.

El Delegado de Protección de Datos será necesario para todas las organizaciones públicas y en las organizaciones en las que haya un tratamiento de datos a gran escala. Es decir, los corredores de seguros no necesitarán contratar a un DPO, ya que la cantidad de datos que maneja es pequeña.

Según lo establecido en la RGPD las aseguradoras y reaseguradoras sí deberán contratar esta figura, pero no los mediadores. En este punto hay que destacar que las corredurías de seguros no necesitaran un DPO a no ser que traten datos que pertenecen a categorías especiales y lo hagan a gran escala.

Si te ha gustado esta píldora informativa legal, te recomendamos visitar los consejos para obtener tu vida laboral en 5 minutos.