Dejando aparte todas las cuestiones relativas a la adaptación al cumplimiento de esta norma, nunca antes las cuestiones relativas a la protección de datos habían estado tan presentes en las mesas de los directivos de cualquier empresa mediana o grande. Y después de aquel hito, la posterior entrada en vigor el 7 de diciembre de 2018 de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante la “LO 3/2018”) ha venido a completar el marco regulatorio para que plenamente las empresas consideren un nuevo paradigma en cuanto a la protección de los datos personales en sus relaciones con las personas físicas.
Suscripción y selección de riesgos
Las entidades aseguradoras, en la actividad que desarrollan de cobertura de riesgos a personas físicas, acceden a una enorme cantidad de datos de sus clientes y potenciales clientes. Pensemos en la suscripción y en la tramitación de siniestros de seguros de salud, de vida, de incapacidad o de invalidez, de automóviles… Las compañías de seguros aplican procedimientos de análisis, dependiendo normalmente del importe de la suma asegurada o del tipo de cobertura a contratar, para decidir si contratan la póliza o no, y también, una vez contratada, gestionan los siniestros correspondientes para lo cual en muchas ocasiones reciben documentos como facturas de prestaciones médicas / hospitalarias, certificados de defunción, información sobre el origen de fondos del importe de la prima a invertir…
Como puede observarse, algunos de esos datos en muchos casos tienen la peculiaridad de ser de categorías especiales de datos a los que se refiere el artículo 9.1 del Reglamento General, pues consisten en información relativa al estado de salud y datos biométricos. En algunos casos, además los datos anteriores corresponden a menores de edad, incluso recién nacidos, en otros casos, los datos corresponden a personas imputadas o sancionadas penalmente, identificadas en las listas comúnmente utilizadas en la prevención de blanqueo de capitales y financiación del terrorismo. Y para terminar de complicar el paisaje, en algunos casos los datos llegan a la entidad aseguradora como parte de la suscripción de un seguro colectivo, o bien en el caso de pólizas individuales estas personas finalmente no contratan la póliza, ya sea por decisión de la propia persona o bien porque no cumplan los requisitos de suscripción de la aseguradora. Por fortuna, para despejar las posibles dudas que pudieran surgir sobre la posibilidad o no de tratamiento, la Disposición Adicional Decimoséptima de la LO 3/2018 ha aclarado que los tratamientos de los datos de salud y de los datos genéticos a los que se refiere la Ley 20/2015 están ”amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento” General.
Para adaptarse al cumplimiento de la nueva normativa de protección de datos, las entidades aseguradoras han tenido que modificar sus cláusulas informativas a los clientes con la finalidad de informarles con claridad de todos los extremos a los que se refiere el artículo 13 del Reglamento General. Afortunadamente la norma permite la información en dos capas, pues en ocasiones las cláusulas informativas completas son más largas que el propio formulario de recogida de datos.
Y respecto a ello además ha habido que organizar la gestión documental para poder probar qué información se dio a qué cliente y cuándo se hizo. Sólo quienes estén involucrados en la gestión operativa de una entidad aseguradora pueden llegar a comprender el enorme alcance que todo esto implica si, como impone el artículo 5.2 del Reglamento General, la responsabilidad es proactiva, es decir, si no sólo se cumple con los principios de la norma, lo cual ya tiene su complejidad, sino que también el responsable es “capaz de demostrarlo”, pues el desarrollo informático de los gestores de documentación de las entidades y sus conexiones con los mediadores de seguros que hayan intermediado las pólizas se han tenido que adaptar para que esta información sea almacenada y fácilmente localizable.
Y no sólo eso. Algo que ha sido probablemente uno de los principales motivos para que el Reglamento tardase dos años en ser aplicable tras su entrada en vigor: lograr todo lo anterior no sólo para los nuevos clientes sino también para todos aquellos que ya formaban parte de las carteras aseguradas.
Respecto a la problemática de la protección de datos en la suscripción de riesgos es interesante prestar atención a dos cuestiones que tienen su trascendencia ya en la actualidad y tendrán aún más en el futuro:
Por un lado, el deber que tienen las entidades aseguradoras de ”adoptar medidas efectivas para, prevenir, impedir, identificar, detectar, informar y remediar conductas fraudulentas relativas a seguros” (artículo 100 de la Ley 20/2015, de 14 de julio, de ordenación supervisión y solvencia de las entidades aseguradoras y reaseguradoras). En este sentido, en los procesos de suscripción de seguros como el de salud, vida o invalidez las entidades tienen en cuenta la información sobre el estado de salud del potencial cliente a la hora de aceptar o no la cobertura de un riesgo, o bien de aceptarlo con cláusulas limitativas del artículo 3 de la Ley 50/1980, de 8 de octubre, de Contrato de seguro. Sin embargo ¿qué hacer si un potencial cliente después de realizar su declaración de estado se salud decide no contratar? De acuerdo con el artículo 99.9 de la Ley 20/2015 “Las entidades aseguradoras deberán proceder en el plazo de diez días a la cancelación de los datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud”, es decir, o la entidad dispone de este consentimiento o bien los datos deberán borrarse. ¿Y si aunque el sujeto hubiera consentido, el individuo en cuestión ejercita su derecho de cancelación? ¿Y si después de ejercitar tal derecho regresa a intentar contratar el mismo producto y miente en su declaración de estado de salud?, ¿Cómo se identifica e impide este fraude?. Interesante cuestión que genera no poco debate sobre el cumplimiento de diversas obligaciones que la normativa impone a las entidades aseguradoras: lucha contra el fraude versus protección de datos.
Por otro lado, la evolución sobre la regulación relativa a la no discriminación así como la aplicación de modelos lineales generalizados u otros modelos actuariales que consideran múltiples variables en la tarificación de seguros de personas y especialmente de vida están enriqueciendo la problemática del tratamiento de los datos en la tarificación. Por ejemplo, la matemática actuarial tradicional calculaba las tarifas de los seguros de vida en función de la edad y del sexo del potencial asegurado. En la actualidad la ciencia actuarial está estudiando la relación entre la mortalidad y otras variables como los hábitos de vida del potencial asegurado (por ejemplo descontando prima por caminar x metros al día como el producto vidaMovida de Seguros El Corte Inglés) e incluso su nivel educativo, o el distrito postal de residencia. Todo ello son datos personales que poco a poco van incorporándose en los modelos de tarificación debido a que la normativa de no discriminación ya en vigor no permite utilizar la variable sexo (Directiva 2004/113/CE del Consejo, relativa a la aplicación del principio de igualdad de trato entre hombres y mujeres en el acceso a bienes y servicios y su suministro), tampoco se puede discriminar a las personas que tengan VIH/SIDA u otras condiciones de salud (nueva Disposición Adicional Quinta de la Ley 50/1980 incorporada por la Ley 4/2018). No es descartable que en el medio plazo otras variables también puedan considerarse discriminatorias.
Otro elemento peculiar en la suscripción de riesgos en el sector asegurador es la existencia del fichero SINCO, fichero de antecedentes siniestrales utilizado en la suscripción del seguro del automóvil cuyo responsable es UNESPA y encargado del tratamiento TIREA y al que vierten información sobre los vehículos asegurados todas las entidades aseguradoras que operan en España en este ramo. Este fichero tiene su licitud amparada en el artículo 99.7 de la Ley 20/2015 y es un instrumento fundamental para tarificar adecuadamente y fomentar la transparencia del mercado de seguros.
Licitud del tratamiento
Otro de los quebraderos de cabeza que han tenido que superar las entidades en los últimos tiempos ha sido el análisis de si, conforme a la nueva normativa, el tratamiento de los datos personales que hacen, no sólo de la nueva clientela sino también de la cartera de clientes a 25 de mayo de 2018, es lícito y, en su caso, cómo remediar aquellas situaciones en que no lo fuera o, lo más habitual, la entidad no fuera capaz de demostrarlo. En este sentido, las empresas en general y también los operadores del sector asegurador, han utilizado diversas estrategias (algunas muy imaginativas) para lograr el consentimiento de sus clientes. Tanto es así que en algunos casos los departamentos de cumplimiento normativo y especialmente los DPO han tenido que abordar por un lado complejos procesos de análisis de todos los tratamientos que se llevan a cabo en las entidades y sus motivos de licitud conforme al artículo 6 del Reglamento General y, por otro lado, han tenido que idear planes de remedio con la finalidad, sobre todo, de que los datos personales de los clientes no sólo sirvieran para gestionar el contrato ya en vigor (lo cual en virtud del artículo 6.1.b) del Reglamento General es posible por sí mismo, sin necesidad de consentimiento adicional) sino especialmente para poder hacer segmentación o perfilado especialmente con fines de marketing o promocionales.
Aquí nos encontramos con una de las principales dificultades para hacer compatibles por un lado, los avances en las técnicas analíticas avanzadas sobre las bases de Página 4 de 5 datos de clientes, su posible enriquecimiento con informaciones externas, llegar a elaborar perfiles de comportamiento de consumo de seguros de los clientes para ofrecerles aquello que necesitan, el tantas veces mencionado big data, y por otro lado, la necesidad de consentimiento del interesado para poder hacer todo lo anterior sin vulnerar sus derechos y libertades. Cuando además se trata no sólo de los datos de los ya clientes sino también de los datos de los contactos / targets / prospects o como quieran referirse a los potenciales clientes la cuestión tiene una complejidad adicional.
En el caso de los ya clientes, la Agencia Española de Protección de Datos, en su informe del Gabinete Jurídico 195/2017 sobre una serie de consultas formuladas por la Asociación Española de la Banca emitió algunos criterios interpretativos contenidos en sus apartados III y IV con la finalidad de aclarar a qué se refiere el motivo de licitud del tratamiento contenido en la letra f) del apartado 6.1 del Reglamento General que reza que el tratamiento es lícito cuando “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.” No obstante, aun con este informe de la AEPD es una tarea no infrecuente y muy relevante de los DPO asesorar en la aplicación de sus criterios ponderando el interés legítimo del responsable tal como se modula en el artículo 6 con el considerando 47 del Reglamento General que incorpora matizaciones muy necesarias como que tal interés legítimo debe tener “en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”, así como que “el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.
Para terminar con la cuestión de la licitud del tratamiento, no se debería olvidar que en el sector asegurador junto a las entidades aseguradoras participan en la prestación del servicio de aseguramiento muchos profesionales terceros como mediadores de seguros (agentes exclusivos y vinculados, corredores y operadores de banca-seguros), peritos (tanto en la selección de riesgos antes de contratar como en la valoración de los daños al indemnizar), talleres, reparadores de siniestros, ingenieros, médicos, hospitales, empresas de servicios funerarios, empresas de teleasistencia, reaseguradores… estos terceros en ocasiones forman parte del mismo grupo empresarial que la entidad aseguradora y en otras ocasiones simplemente tiene con ella un vínculo contractual, a veces en exclusiva y en otros casos no. La tarea de establecer por un lado la articulación jurídica correcta para poder compartir información entre ambas partes (¿cesión de datos?, ¿contrato de encargado del tratamiento?) y, por otro lado, implementar con responsabilidad proactiva las medidas de seguridad para llevarlo a cabo no es ni sencillo ni tiene una solución única, pues depende especialmente del tipo de datos y de la finalidad del tratamiento.
El futuro
No son pocos quienes opinan que en un futuro no tan lejano las empresas que cuiden y sepan manejar los datos tendrán en su mano una de las claves del éxito. Respecto a ello, es muy conveniente no olvidar la perspectiva legal. Business Analytics sí, aporta un inmenso valor al negocio, pero siempre que sea una tarea que se acometa desde la escrupulosa concienciación de que el respecto de los derechos y libertades de los clientes y potenciales clientes es imprescindible. Y no sólo por las posibles multas o sanciones, o el riesgo reputacional que pueda conllevar el hecho de no hacerlo, sino por el valor que aporta no sólo a la alta dirección y administración sino también a la clientela el saber que su entidad aseguradora, a quien con la inversión del proceso productivo han confiado la prima a cambio de la esperanza de que cubra el siniestro cuando acontezca, no sólo tiene altos estándares para ello sino en toda su actividad.
En esta cuestión ya se han realizado muchos progresos y ciertamente implica un cambio cultural: la llamada “privacidad desde el diseño y por defecto”, es decir, pensar a la hora de acometer cualquier tipo de acción de negocio en la derivada de protección de datos que podría tener, para considerarla no cuando la acción ya esté en marcha, sino desde su génesis. Este nuevo paradigma junto con los principios consagrados en el artículo 5 del Reglamento General serán los valores en términos de protección de datos que deberán acompañar el devenir de las entidades en los próximos años.
Entrevista en el I Congreso de DPO
Laura Duque Santamaría, Directora de Cumplimento Normativo y Control Interno de la Mutualidad de la Abogacía, en el marco del I Congreso de DPO, organizado por Wolters Kluwer, nos ofrece su visión sobre el impacto de la nueva normativa de protección de datos tiene sobre el sector asegurador y, en particular, sobre el trabajo del Delegado de Protección de Datos. Puedes leer la entrevista completa haciendo clic aquí.