La Ley Oficial de Protección de Datos de Carácter Personal en el sector asegurador

A pesar de su existencia desde el año 1999, y habiendo finalizado el pasado año todos los plazos previstos para su aplicación, la Ley, más conocida por LOPD, sigue siendo todavía una asignatura pendiente para la mayoría de mediadores de seguros, sean agentes, corredores, empresas o profesionales autónomos.

Éste hecho parece una gran contradicción para los profesionales de este tema cuando uno comprueba que la legislación española sobre protección de datos es una de las más exigentes a nivel europeo y la que estipula las mayores sanciones de toda Europa pudiendo llegar hasta los 600.000 euros.

La no adecuación a la legislación nos expone a un riesgo que en caso de sanciones podría no ser asumible y obligarnos al cierre del negocio. Este hecho tiene especial relevancia cuando nos referimos al sector asegurador y en particular a los mediadores, puesto que estos poseen gran número de datos de carácter personal y especialmente datos sobre la salud de los tomadores y asegurados, que están clasificados por la Agencia de Protección de Datos como de nivel de seguridad alto.
A continuación pasamos a comentar las principales percepciones que hemos recibido a raíz de nuestro trabajo en el sector asegurador:
- “La ley cambiará”. Existe la impresión de que la Ley se verá modificada próximamente aunque esto no es probable. Si bien la Ley establece una normativa muy estricta que ha sido criticada en diversas ocasiones, en caso de producirse modificaciones, éstas no afectarían excesivamente al contenido esencial. Hemos de tener en cuenta que la Ley de Protección de Datos nace de una directriz Europea y que actualmente se aplica en todos los países miembros, por consiguiente, pueden producirse cambios legislativos pero en ningún caso nos eximiría de su cumplimiento.
- “Solo afecta a archivos informatizados”. La Ley considera que un fichero es “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por lo tanto, hay que considerar tanto los ficheros en soporte informático como en soporte papel. Si bien el contexto de la Ley se centra en las medidas de seguridad de ficheros informatizados, no hay que olvidar que los ficheros en formato papel también requieren de ciertas medidas de seguridad, como pueden ser medidas de control de acceso, forma de destrucción, etc.
- “Solo afecta al fichero de clientes”. El fichero de clientes es un fichero claramente identificable en todas las empresas aunque no es el único. Por este motivo en todo proyecto de implantación de la Ley hay que efectuar una búsqueda exhaustiva de todos los datos de carácter personal que poseemos. Además de los clientes, las empresas por ejemplo, con trabajadores deberían declarar un fichero correspondiente a los mismos.
- “A mi no me inspeccionarán”. Actualmente la Agencia de Protección de Datos actúa fundamentalmente mediante denuncias previas de clientes y empleados, siendo las inspecciones sectoriales muy pocas. Esto no nos tiene que relajar ante la posibilidad de una sanción. Actualmente las competencias de ficheros públicos han sido transferidas a las distintas autoridades autonómicas, y muy probablemente veremos como en breve tendrá plenas competencias en el ámbito de los ficheros privados. Con toda seguridad, las tareas de inspección y seguimiento se verán incrementadas y la exposición a una denuncia será mayor.
- “Solo hay que inscribir los ficheros”. Inscribir los ficheros con datos personales en la Agencia Oficial de Protección de Datos es uno de los requisitos establecidos por la Ley. Sin embargo, este trámite no exime del cumplimiento del resto de obligaciones. Existen otros requisitos obligatorios tales como, la elaboración de un Documento de Seguridad que defina los procedimientos internos de seguridad que se van a llevar a cabo y la legitimación de datos, es decir, la recogida de datos con el consentimiento expreso del afectado notificándole sus derechos.
- “Con la implantación basta”. Aún cumpliendo con todos los requisitos anteriormente detallados, la Ley también menciona de forma específica la necesidad y la obligatoriedad de mantener constantemente actualizado el documento de seguridad en caso de que se produzca cualquier tipo de cambio que afecte a los ficheros y/o otros aspectos relacionados (soportes, usuarios, etc.) Además los ficheros de nivel alto y medio deben ser auditados cada dos años. La mejor solución es un contrato de mantenimiento que incluya la certificación de auditoria bianual.
- “Lo importante es el precio más bajo”. Debe prestarse mucha atención al contenido de cada oferta ya que no todas cumplen los requisitos mínimos que nos garanticen el correcto cumplimiento de lo establecido por la Ley. Por consiguiente sólo en igualdad de condiciones el precio debería ser considerando cómo determinante en nuestra elección.
- “¿Quién me tiene que asesorar”? Confíe en una empresa que tenga conocimientos y experiencia tanto en el ámbito legal como informático ya que es indispensable la compenetración de ambas para el desarrollo de un trabajo profesional.
Hagamos un breve resumen de las principales obligaciones que establece la Ley:
- La Ley es de obligado cumplimiento; por lo tanto tenemos la obligación de proteger nuestros ficheros y con ello los datos de tomadores, asegurados, trabajadores, etc.
- Tenemos la obligación de redactar un documento interno en el cual se deben especificar todos los procedimientos de seguridad que se van a establecer para proteger dichos ficheros. Dependiendo del tipo de datos que se traten, la Ley define tres niveles de seguridad: básico, medio y alto, y dependiendo del nivel de seguridad, adoptaremos las medidas de protección correspondientes.
- Tenemos la responsabilidad de legitimar todos los datos que estemos recogiendo. Esto es, la obtención de un consentimiento expreso e inequívoco por parte del otorgante para el tratamiento de sus datos personales. Igualmente las cesiones que realicemos de los datos, deberán hacerse con el consentimiento del afectado y un contrato entre ambas partes para garantizar el cumplimiento de la Ley y de las medidas de seguridad aplicadas al fichero.
Adicionalmente a las medidas propias de adecuación a la Ley,
- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
- El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Por último y después de todo lo expuesto tan sólo me queda aconsejarles que no esperen a que los problemas llamen a su puerta. Infórmense, permitan que les asesoren correctamente y no dejen de asegurarse de que están cumpliendo la Ley.