GDPR: el impacto del Reglamento Europeo de Protección de Datos en el sector asegurador

Escrito por: media el 12/12/17 9:00

GDPR_Reglamento_Europeo_Protección_Datos_sector_asegurador

El nuevo Reglamento Europeo de Protección de Datos (más conocido por sus siglas en inglés, GDPR de General Data Pro­tection Regulation) entró en vigor en mayo de 2016, pero no será de obligado cumplimiento hasta el próximo 25 de mayo de 2018.

En él se recogen importantes novedades en el régimen del consentimiento y derechos de las personas físicas, al mismo tiempo que introduce nuevos procedimientos y figuras como el delegado de protección de datos.

En este post queremos señalar en qué aspectos concretos se verá afectado el sector asegurador cuando el nuevo GDPR entre en vigor, para que pueda adaptarse antes de que finalice este periodo transitorio.

Este post también está disponible en inglés.

 

¿Qué novedades trae el nuevo Reglamento Europeo de Protección de Datos?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos deroga la anterior Directiva 95/46/CE.

Esta norma implanta una regulación única en protección de datos en todo el ámbito de la Unión, aplicando así todos los Estados miembro los mismos criterios en esta materia.

No obstante, no solo afecta en el ámbito de los Estados miembros, ya que también se aplica al tratamiento de los datos de los ciudadanos europeos fuera del ámbito de la Unión.

El nuevo Reglamento Europeo de Protección de Datos es un texto complejo y minucioso que refuerza los derechos de los ciudadanos y obliga a las empresas y entidades públicas a adecuarse al contexto digital actual.

Para el sector asegurador, su cumplimiento se traducirá en una mayor transparencia que permitirá reforzar su imagen ante los consumidores.


El nuevo GDPR refuerza  la responsabilidad de las empresas de serdiligentes y de crear los procesos para serlo. De lo contrario, las multas podrían llegar hasta los 20 millones de euros.


 

Las 5 novedades del GDPR que más van a afectar a las compañías de seguros

1. Los nuevos derechos de los ciudadanos

Con esta nueva norma se refuerzan los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y se añaden nuevos derechos en aras de proteger los datos de las personas físicas

El nuevo GDPR establece ahora como derechos:

Estos derechos van a requerir adaptacio­nes de los sistemas de información para facilitar a los clientes accesos seguros que permitan realizar consultas, modificaciones, bloqueos selectivos y volcados de datos en dispositivos externos para su entrega a otras empresas o instituciones.

 nuevo_reglamento_europeo_protección_datos.jpg

 

2.- El consentimiento, que debe ser inequívoco

El gran cambio que aporta el nuevo Reglamento Europeo de Protección de Datos se encuentra en el consentimiento que debe otorgar el consumidor para que la empresa utilice sus datos personales.

Con la LOPD era suficiente que el consentimiento fuera tácito pero con el nuevo Reglamento el consentimiento debe ser expreso y tantas veces como la empresa analice los datos para fines distintos.

En concreto, el consentimiento deberá ser “libre, específico, informado e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”.


Con el nuevo Reglamento Europeo de Protección de Datos el responsable del tratamiento deberá poder probar que el titular de los datos dió su consentimiento de forma explícita.


Por otro lado, no solo serán objeto de protección los datos sensibles - como la salud, el origen racial, los da­tos genéticos, biométricos o religiosos, etc. - sino tam­bién los datos obtenidos de la actividad del sujeto en virtud del uso del servicio o dispositivo - como la localiza­ción, el tráfico, los historiales, etc.

Para estas categorías se exige cumplir unos requisitos para almacenar estos datos, puesto que se les otorga una especial protección. Además, solo el consentimiento del interesado no basta para dar viabilidad al tratamiento.

En virtud del principio de responsabilidad, el responsable del tratamiento debe aplicar las medidas adecuadas para poder demostrar que ese consentimiento se prestó en la forma adecuada.

En este marco, las aseguradoras deben definir políticas y procesos de datos que respeten esta exigencia de diligencia activa.

Desde el 25 de mayo de 2018 en adelante, todos los datos que los asegurados faciliten a las aseguradoras, o que éstas obtengan debido al uso que los asegurados hagan de sus servicios, quedarán bajo la lupa del nuevo GDPR.  

  Un tema clave: el intercambio de información entre aseguradoras y corredurías de seguros

  El intercambio de datos entre los corredores y las compañías aseguradoras ha sido desde     siempre una cuestión sensible por la falta de confianza en el uso de estos datos.

 La Comisión Europea y las Agencias Nacionales de protección de datos tendrán la                   posibilidad de dictaminar normas concretas por sectores que hagan más viable la     aplicación del reglamento europeo de protección de datos.

 En el caso de los corredores de seguros, en lo que respecta a la información que reciben de   las aseguradoras, previsiblemente se establecerán criterios concretos, quizás   acompañados de códigos de conducta o normas de calidad, que favorecerán al corredor   por establecer los límites de sus obligaciones.

 Estos criterios ayudarían a delimitar qué responsabilidades y obligaciones son del corredor     de seguros y cuáles corresponden a la aseguradora.

 

3.- El análisis de impacto de privacidad y Privacidad desde el diseño

Para la actividad aseguradora tendrán especial relevancia los nuevos requerimientos como el llamado Privacy Impact Assessment (Análisis de impacto de privacidad) o el Privacy by Design (Privacidad desde el diseño).

El requerimiento llamado Privacy Impact Assessment (art. 35) considera la necesidad de evaluar las consecuencias en el tratamiento de los datos personales.

En el caso de los datos sensibles será necesario elaborar un plan que contemple los posibles riesgos. Pero será responsabilidad de la empresa establecer deben evaluar los riesgos debido a la naturaleza de datos o por la cantidad de datos que maneja.

   En el sector asegurador, algunos ejemplos de datos que actualmente ya utilizan muchas         compañías de seguros y que entran dentro del ámbito de actuación del nuevo GDPR son         los datos biométricos o la información que se obtiene a través de servicios basados en la       geolocalización para calcular un seguro sanitario o el de un vehículo, respectivamente.

Por lo que respecta al concepto Privacy by Design (art. 25.1), las aseguradoras tendrán que interiorizar la privacidad en el proceso de diseño y elaboración de los seguros..

Esto significa que desde el momento en el que se diseñan aplicaciones que traten datos personales, las empresas del sector asegurador tiene que garantizar la privacidad de los usuarios.

En síntesis, la protección de datos debe plasmarse desde la fase de creación de cualquier producto o servicio que vaya a recabar datos de personas físicas.

 análisis_de_impacto_de_privacidad.jpg

 

4. El análisis de datos

El sector asegurador es uno de los que más ha apostado por analizar grandes volúmenes de datos para mejorar la toma de decisiones o el diseño de productos y servicios.  

Las tecnologías de análisis de datos permiten reunir un gran volumen de información,  tanto de origen interno como externo, y analizarla para hacer predicciones sobre el comportamiento de los usuarios. Así las aseguradoras mejoran el conocimiento sobre sus clientes y pueden personalizar sus ofertas.

Aunque el nuevo Reglamento no contemple específicamente cuestiones sobre el análisis de grandes volúmenes de datos, estas prácticas pueden tener consecuencias negativas, especialmente si los usuarios no son conscientes de ello.

En este sentido, las empresas deben tener en cuenta los elementos habilitadores que planea la nueva normativa, como el consentimiento explícito del cliente y el interés legítimo.

Así la nueva norma contempla medidas como el derecho a oponerse a decisiones sobre los propios datos personales, si están basadas únicamente en el análisis automatizado.

  El seguro de ciberriesgos en el Reglamento General de Protección de Datos

  La aplicación del Reglamento Europeo de Protección de Datos será el catalizador del                desarrollo del seguro de ciberriesgos en el ámbito de la Unión. Estas pólizas nacieron en        los 90 en Estados Unidos con el objetivo de asegurar a las empresas en la era digital.

  Hay tres artículos relacionados con el seguro de ciberriesgos en esta nueva regulación:

  • Artículo 33: establece la obligación de notificar la vulneración de los datos personales a la autoridad de control competente en un máximo de 72 horas desde que se haya tenido constancia del problema.

    Jonathan Kewley, abogado de Clifford Chance London, reconocía recientemente en unas jornadas organizadas por Center for Insurance Research del IE, que la mayoría de sus clientes no están hoy por hoy preparados para responder al regulador en ese tiempo.

  • Artículo 34: requiere también notificar la vulneración de los datos personales a los afectados. Un proceso cuyo coste puede tener un fuerte impacto en el balance de cualquier empresa.

  • Artículo 83: establece las sanciones que se endurecen a las ya previstas en la actual Ley Órganica de Protección de Datos española y eleva de forma considerable las multas, que pueden llegar hasta 20 millones de euros o el 4% del volumen total anual de la empresa.


5. La figura del delegado de protección de datos

Entre las novedades destacadas del nuevo GDPR se encuentra la figura del delegado de protección de datos. Se trata de una persona física o jurídica que todas las empresas deben designar, y cuya designación ha de ser comunicada a la autoridad competente.

El delegado mantendrá relación con la Agencia Española de Protección de Datos (AEPD) y velará por el cumplimiento de la normativa en la empresa.

Por su parte, la AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.

El delegado de protección de datos viene regulado en artículo 37.1 del Reglamento, donde se establece qué organizaciones deberán nombrar un DPD:

  • Autoridades y organismos públicos.
  • Organizaciones que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, o que procesen categorías especiales de datos personales a gran escala.

La AEPD, en su 9ª sesión anual abierta, no quiso pronunciarse sobre si la ley que sustituirá a la actual LOPD contendrá algún tipo de listado de organizaciones o sectores obligados.

No obstante, expuso una lista de organizaciones, a título enunciativo y no exhaustivo, donde aparecen las entidades aseguradoras y reaseguradoras.

 

Conclusión

Actualmente, el manejo de una gran cantidad de datos preocupa a los ciudadanos, quienes están cada vez más concienciados en lo que respecta al manejo y protección de sus datos personales.

Por ello, este nuevo Reglamento Europeo en Protección de Datos es necesario para contar con una regulación que se adapte al nuevo mundo digital y nuevas exigencias de seguridad en la red.

Su aplicación implica que todas las empresas deberán revisar todos sus procedimientos no solo se trata de revisar cuantas bases de datos, sino también la forma en la que los datos son obtenidos y tratados.

Además, deberán estudiar la manera en la que trabajan y analizar todo su entorno de seguridad para estar protegidos.

Para mantener la seguridad y evitar que el tratamiento de datos infrinja lo dispuesto en el nuevo reglamento, el responsable o el encargado del tratamiento de los datos debe evaluar los riesgos inherentes a dicho tratamiento y aplicar medidas para mitigarlos, como por ejemplo el cifrado.

Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

Este post también está disponible en inglés.


 

New Call-to-action

Etiquetas: GDPR

Subscríbete al blog

Últimos posts