viernes 13 diciembre 2019 | Escrito por: Sebastián Espuny Comentarios desactivados en Los agentes de seguros y el Registro de Actividades de Tratamiento de Datos

Los agentes de seguros y el Registro de Actividades de Tratamiento de Datos

En este año que termina, he tenido la oportunidad de realizar la auditoría a la LOPD (Ley de Protección de Datos Personales, y ahora con los apellidos ‘y garantía de los derechos digitales’), a varias oficinas de seguros. En concreto, se trataba de agentes mediadores exclusivos de algunas de las entidades aseguradoras más reconocidas de España.

Cabe comentar, que la auditoría difiere sustancialmente de las que habría que realizar a los corredores de seguros, que es una figura distinta.

Para empezar, si eres un pequeño empresario titular de una agencia de seguros exclusiva, deberías analizar cuáles son las actividades de tratamiento que realizas en tu empresa. Probablemente no diferirá mucho de las siguientes:

  • PRECONTRACTUAL. Aquellos datos recogidos de los interesados para el cálculo y valoración de pólizas y/o productos solicitados.
  • CLIENTES. Datos personales de las personas que han contratado algún producto de la compañía matriz, y el agente se encarga de su tramitación y/o gestión.
  • NÓMINAS, PERSONAL Y RECURSOS HUMANOS. Información relativa a los trabajadores de la empresa, relacionada con los recursos humanos, pago de nóminas, contratos, formación y prevención de riesgos laborales.
  • PROVEEDORES Y CONTACTOS PROFESIONALES. Información de proveedores concerniente a su identificación, contacto, y gestión del pago de los servicios contratados.

A esta lista habría que añadir otras actividades propias que diferirán de unos negocios a otros. Por ejemplo, VIDEOVIGILANCIA, CONTACTOS RECIBIDOS A TRAVÉS DE LA WEB, etc, etc.

La nueva LOPDgdd nos obliga a disponer en la empresa de este registro de actividades. Desaparece la antigua obligación de inscribir los ficheros en el Registro General de Protección de Datos,

En las oficinas de seguros que hemos analizado y adaptado, la actividad de tratamiento CLIENTES tenía una particularidad interesante, y es que la empresa auditada tiene el papel de ‘encargado de tratamiento’. El responsable, en este caso, es la entidad aseguradora matriz. Si lo pensamos, es totalmente lógico y razonable, ya que el agente es un mero intermediario entre el usuario y la entidad aseguradora.

Si revisamos el contrato firmado entre el mediador y la entidad aseguradora, muy probablemente encontraremos las cláusulas que regulan la Protección de Datos, y veremos que el agente mediador tiene el papel de encargado, y se obliga a una serie de cláusulas y textos. El agente mediador debe, por tanto, aplicar todas las medidas de índole técnica y organizativa necesarias para garantizar la seguridad, confidencialidad y disponibilidad de los datos personales de los que es encargado.

Entre esas obligaciones está la de tener actualizado el Registro de Actividades de Tratamiento (también con la actividad de la que es encargado, y no responsable de tratamiento). Por esta razón, la hemos incluido en el listado de arriba.

En cuanto a las finalidades, a continuación listo una serie de finalidades que a buen seguro se persiguen en la mayoría de las oficinas de seguros:

  • Formalización contrato de seguro – Datos del contrato.
  • Gestión póliza (modificaciones, información bancaria, ampliaciones cobertura, etc).
  • Verificaciones e investigaciones necesarias para la determinación y, en su caso el pago de la indemnización al asegurado, al beneficiario o al perjudicado.
  • Realizar comunicaciones vinculadas a la póliza.
  • Gestionar la resolución de quejas y conflictos que puedan surgir entre tomadores de seguro, asegurados, beneficiarios, terceros perjudicados o derechohabientes de cualesquiera de ellos.
  • Llevar los libros de contabilidad exigidos por el Código de Comercio y otras disposiciones que les sean de aplicación, así como los registros de cuentas, siniestros, provisiones técnicas, inversiones, contratos de reaseguro y de pólizas, suplementos y anulaciones emitidos.
  • Comunicar información a autoridades públicas, reguladores u órganos gubernamentales en aquellos supuestos en que es necesario hacerlo por ley, normativa local o en el cumplimiento de obligaciones regulatorias.
  • Realizar acciones o comunicaciones comerciales y/o publicitarias, por cualquier medio, incluso mediante comunicaciones electrónicas o equivalentes conforme con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, relacionadas con productos o servicios similares a los contratados.
  • Comunicación de los datos del tomador, los del asegurado, beneficiario o tercero perjudicado a entidades reaseguradoras cuando sea necesario para la celebración del contrato de reaseguro.
  • Cesión Intragrupo: Intercambio de información intragrupo entre entidades aseguradoras para el cumplimiento de obligaciones de supervisión.
  • Gestión centralizada de recursos informáticos (aplicaciones, servidores) intragrupo.
  • Realizar acciones o comunicaciones comerciales y/o publicitarias, por cualquier medio, incluso mediante comunicaciones electrónicas o equivalentes conforme con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, relacionadas con productos o servicios distintos de los contratados o productos ofertados por terceros mediante la realización de un perfilado con fuentes externas.
  • Prevención del fraude.

La información de la finalidad del tratamiento, debe ir acompañada de otras, como los interesados, categorías de datos que se recaban, procedencia de los mismos, plazos de conservación y categorías de destinatarios a los que se pueden ceder o comunicar los datos.

Para finalizar, comentar otro asunto que puede llevar de cabeza a muchos pequeños empresarios. Se trata de la obligación o no, de contar con el consentimiento del interesado.

Para su tranquilidad, decir que en el artículo 99 de la Ley 20/2015, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, se reconoce la legitimidad de las entidades aseguradoras para el tratamiento de datos amparado en las obligaciones derivadas de la actividad cuando expresa: las entidades aseguradoras podrán tratar datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en las disposiciones de desarrollo.

Podemos decir pues, que el agente mediador exclusivo, dispone de legitimación para poder tratar los datos de los clientes, sin consentimiento. Esto es, en términos generales, ya que existen muchas variables que pueden dar lugar a excepciones a esta norma. No olvidemos que hay muchas categorías de datos (de mayor y menos sensibilidad), así como muchas personas de las que tenemos sus datos y que no son directamente el tomador del seguro (beneficiarios, personas implicadas en siniestros, etc).

Por mencionar algunas de estas excepciones, los tratamientos que precisan consentimiento del interesado, son:
• Tratamientos de datos de salud que no estén amparados legalmente en la LOSSEAR, en el artículo 9.2. de la LOPD-GDD o en cualesquiera otras leyes y que sean de obligado cumplimiento para las entidades aseguradoras.
• Tratamientos de marketing directo sobre productos de terceras entidades.
• Tratamientos de marketing directo dirigidos a personas que no son clientes de la entidad aseguradora.

Si estás pensando en realizar la adaptación a la protección de datos, tú mismo, no dejes de pasarte por la página de la Agencia de Protección de Datos y consultar allí la documentación que hay.

Si tienes alguna duda o comentario a este artículo, no dejes de decírmelo.

Comments are closed.