La aplicación práctica de la LOPDGDD en una correduría de seguros

Es conocido que cualquier entidad que en su actividad realice tratamiento de datos de carácter personal está obligada a cumplir con el Reglamento de la Unión Europea 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). En estas normas se establece las obligaciones y requisitos que deben adoptar los responsables y encargados del tratamiento, y se definen los derechos que asisten a los ciudadanos en la protección de sus datos personales para garantizar que se protegen sus derechos y libertades fundamentales y, en particular, su derecho a la protección de sus datos de carácter personal.

Pero cuando hablamos de un efectivo cumplimiento normativo en materia de protección de datos en un sector tan complejo como son las corredurías de seguros y reaseguros, la situación merece un especial análisis, poniendo foco en los aspectos principales que se deben tener en cuenta para evitar posibles reclamaciones que afecten a la imagen reputacional y patrimonial de la empresa.

¿Qué es un corredor de seguros?

Comenzaremos definiendo al corredor de seguros como las personas físicas o jurídicas que realizan la actividad de distribución de seguros, ofreciendo asesoramiento independiente basado en un análisis objetivo y personalizado, a quienes demanden la cobertura de riesgos.

Los corredores de seguros deberán informar a quien trate de concertar el seguro sobre las condiciones del contrato que a su juicio conviene suscribir y ofrecer la cobertura que, de acuerdo a su criterio profesional, mejor se adapte a las necesidades de aquel; asimismo, velarán por la concurrencia de los requisitos que ha de reunir la póliza de seguro para su eficacia y plenitud de efectos, igualmente, vendrán obligados durante la vigencia del contrato de seguro en que hayan intervenido a facilitar al tomador, al asegurado y al beneficiario del seguro la información que reclamen sobre cualquiera de las cláusulas de la póliza y, en caso de siniestro, a prestarles su asistencia y asesoramiento.

En este contexto de actividad, las corredurías tienen la necesidad de recabar información y datos de carácter personal de los clientes para el desarrollo de sus principales actividades. En concreto, a modo de resumen, las corredurías tratarán:

• Datos identificativos: Nombre y apellidos, fecha de nacimiento, Documento Nacional de Identidad o documento acreditativo similar, dirección, firma y datos bancarios y económicos.
• Datos adicionales, al objeto de poder llevar a cabo análisis, estudios y evaluaciones a fin de determinar la tipología de contrato adecuada para cada uno de los clientes y apoyar en la gestión de los siniestros. Tales como: datos financieros, patrimoniales, profesionales, educativos, sociales, económicos, médicos y de salud, entre otros.

Qué tener en cuenta a la hora de cumplir con la LOPDGDD

En un primer vistazo vamos a analizar una serie de cuestiones que debe tener en cuenta a la hora de cumplir con lo establecido en la normativa:

Identificar la base jurídica que legitima el tratamiento

En primer lugar, debemos identificar la base jurídica de los tratamientos que se realizan y ver que se adecuan al menos a una de las bases que se consideran legítimas el RGPD es decir cuando se da al menos una de las siguientes situaciones:

• Disponemos del consentimiento del interesado.
• Cuando existe una relación contractual entre las partes,
• Cuando es necesario para garantizar los intereses vitales del interesado o de otras personas.
• Cuando exista un interés público.
• Cuando se realiza por un cumplimiento legal.
• Cuando se realiza en el ejercicio de poderes públicos o
• Cuando podamos argumentar la existencia de intereses legítimos del responsable o de terceros.

Informar del tratamiento al interesado

Otro punto importante es cuando se va a recaban datos personales hay que informar del tratamiento al interesado, tanto si lo datos se recaban directamente del interesado como cuando no hayan sido obtenidos directamente del interesado.

Llevar un registro de actividades

Para el caso de una correduría de seguros, el responsable ha de llevar un registro de actividades del tratamiento en el que se identifique los datos del responsable, la finalidad del tratamiento, las categorías de datos tratadas, el plazo de conservación de los datos, si los datos van a ser cedidos a terceros, o las medidas técnicas y organizativas aplicadas para su protección.

Informar de los derechos

Otro aspecto importante es que se debe informar y garantizar a los interesados los derechos que tiene, en concreto derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y, algo que afecta particularmente al sector de la mediación, el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar

Garantizar la seguridad del tratamiento

Los responsables del tratamiento deben de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.

Colaboradores externos

Uno de los aspectos que causa duda en el sector es identificar la relación de la correduría de seguros con los colaboradores externos. El R.D.L 3/2020 en su art. 137 establece que los mediadores de seguros podrán celebrar contratos mercantiles con colaboradores externos que realicen actividades de distribución por cuenta de dichos mediadores.

Los colaboradores externos no tendrán la condición de mediadores de seguros. Los colaboradores externos desarrollarán su actividad bajo la dirección, régimen de responsabilidad administrativa, civil profesional, y régimen de capacidad financiera del mediador para el que actúen y como tal adquieren la condición de encargados de tratamiento lo que obliga al mediador a elegir un encargado que garantice la capacidad para aplicar las medidas técnicas y organizativas necesarias a las que hace referencia el reglamento, esta relación se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Vamos a destacar algunas características específicas que afectan al sector de las corredurías de seguros de manera particular y cómo tratarlas de una manera correcta en la aplicación del RGPD.

Cesión de datos a compañía para tarificar riesgo

¿Estaría legitimada la cesión de datos a una compañía antes de proceder a la contratación? José Manuel Machacón, Delegado de Protección de Datos y Director del Área LOPD en GexBrok considera que “no hay duda que si estaría legitimada al existir una norma legal que lo valida. Si bien hay que tener en cuenta que tan sólo deberán cederse los datos que sean necesarios para que la compañía de seguros formule una oferta y, por supuesto, la compañía de seguros sólo podrá tratar los datos para la formulación de la oferta, no pudiendo, por ejemplo, utilizarlos con fines comerciales salvo que con posterioridad se contratara el seguro y el cliente prestara su consentimiento para tal finalidad. En el caso que finalmente no llegase a formalizarse el contrato la compañía debe cancelar los datos una vez que ha transcurrido un plazo razonable, como máximo a los 3 meses de emitir la propuesta”.

Póliza colectiva

En el caso de las pólizas colectivas se plantea el problema de que deben tratarse los datos de todos los asegurados cuando el tomador es una empresa y puede haber duda si el tratamiento de datos de la totalidad de los asegurados es necesario y está legitimado.

En este caso como dicho tratamiento tiene como fundamento una relación contractual, queda exonerado el requisito de obtener el consentimiento de cada asegurado. En cambio, no estaría legalizado el tratamiento para la utilización con cualquier finalidad ajena a la propia relación contractual (por ejemplo, para remitirle publicidad de la correduría) en cuyo caso si se hace necesario recabar el consentimiento de todos los asegurados.

La LOPDGDD en la compra de una cartera por parte de una correduría de seguros

La compra de una cartera a otra correduría de seguros supone en si una cesión de datos. En consecuencia, una vez formalizados los términos de la compra de cartera y antes de que se produzca la cesión de la cartera, será necesario remitir por el cedente una carta en que se haga referencia a la operación de cesión de cartera y se identifique al nuevo cesionario, manifestando que el nuevo cesionario tratará los datos en los mismos términos que el anterior o, en caso de que haya alguna variación en el tratamiento de datos, cuáles serán las nuevas finalidades para las que serán tratados los datos.

Habrá que identificar al cesionario y habrá que conceder un plazo de treinta días desde la remisión de la carta en los términos antes vistos para la obtención del consentimiento inequívoco y, transcurridos treinta días, llegada la carta a su destino y no habiéndose formulado oposición por parte de los tomadores, podrá procederse a la cesión de cartera.

¿Y qué ocurre en materia de LOPDGDD con los empleados de la correduría?

En este punto hay dos cuestiones a las que debe prestar especial atención la correduría de seguros en relación con sus empleados son:

• En primer lugar, debe tener en cuenta que los empleados sólo deben acceder a los datos que sean necesarios para el ejercicio sus funciones y sean necesarios para el desempeño de su trabajo.
• Es fundamental que la correduría de seguros recabe de sus empleados un compromiso de confidencialidad y deber de secreto relativo a los datos que tratan por razón de su trabajo. Este contrato debe ser conocido y firmado por el empleado y la obligación al deber de secreto se mantiene aun cuando hubiera finalizado la relación contractual entre trabajador y empresa.
• Un último punto a destacar hace referencia a la LOPDGDD donde se hace referencia al derecho de los trabajadores a la desconexión digital. Los trabajadores tendrán derecho a la “desconexión” a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. La correduría de seguros debe elaborar una política interna que defina la modalidad de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

La figura del Delegado de Protección de Datos en una correduría de seguros

El último punto que vamos a tratar es sobre la obligatoriedad o no que tiene una correduría de seguros de nombrar un Delegado de Protección de Datos.

La ley 3/2018 de Protección de Datos expone una relación de aquellas actividades que tienen la obligación de nombrar un DPD, el sector de las corredurías inicialmente no está incluido (no así las compañías de seguros que si están obligadas), por lo que, con carácter general, una correduría no requiere nombrar un DPD.

Dicho lo cual, el hecho de que el RGPD mencione expresamente que aquellos responsables que traten a gran escala datos especialmente sensibles (como los datos de salud) deberán nombrar un DPD implica que aquellas corredurías de seguros que tratan habitualmente este tipo de datos en sus pólizas perteneciente al ramo de asistencia sanitaria, vida o salud sí deberían plantearse la conveniencia de designar un Delegado de Protección de Datos.

Contar un DPD en plantilla es un argumento muy válido para transmitir el mensaje de una empresa seria que trata los datos bajo su responsabilidad de manera adecuada. Cumplir con la normativa es una obligación cada día más importante en la realidad de las organizaciones, y un derecho que, da garantía, que además genera confianza a los clientes, usuarios y administrados, y seguridad en el mantenimiento y continuidad de las actividades de la correduría de seguros.