Protección de datos:
Mayor seguridad y protección para los asegurados
La aprobación de la ley 26/2006 de Mediación de los Seguros Privados en el pasado mes de julio vino a culminar un proceso de incremento de las garantías de los asegurados al trasladar al ámbito de los mediadores los requerimientos de la Ley Orgánica de Protección de Datos.
La Agencia Española de Protección de Datos (AEPD) ha colaborado en diversos foros con el objetivo de promover el conocimiento de la normativa de protección de datos y facilitar su cumplimiento.
José Luis Piñar, director de la AEPD, considera que la labor de los mediadores en la actividad aseguradora presenta ciertos aspectos específicos, dado que manejan datos de personas -sus propios clientes- y, al mismo tiempo, han de comunicarlos a las entidades aseguradoras.
Desde su perspectiva, son pocas las reclamaciones planteadas en la Agencia en relación con la actividad desarrollada por los mediadores de seguros. No obstante, la AEPD ha dictado resoluciones sancionando la actividad del corredor una vez resuelto el contrato en cuya mediación participó. “En particular, se ha considerado contraria a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) la actuación del corredor que una vez resuelto el contrato, y sin mediar ningún tipo de autorización o instrucciones específicas del cliente, ha celebrado un nuevo contrato con otra aseguradora a la que, además, ha facilitado los datos bancarios del cliente a fin de proceder al cobro de la prima”, expone Piñar.
Por su parte, José Juan Tudela López, consultor de Protección de Datos de Grupo IWI, estima que, hasta hace relativamente poco tiempo, la Mediación de seguros percibía con cierta lejanía la aplicación de la LOPD y, por extensión, las posibilidades de sanción derivadas de ésta. Sin embargo, de un tiempo a esta parte, la concienciación de este colectivo ha sido espectacular. “Tanto es así que, en la actualidad, podemos afirmar que hay un gran compromiso por parte de este colectivo, convirtiéndose en uno de los pioneros en la aplicación de las medidas derivadas de la LOPD”, subraya.
No obstante, apunta que existen ciertos aspectos que aún plantean gran controversia y que son susceptibles de ser sancionados, “pero estamos convencidos que a través del enorme esfuerzo individual y colectivo con que están afrontando esta cuestión serán resueltos en breve”.
¿DESARROLLO ESPECÍFICO PARA LA MEDIACIÓN?
Mediante la aprobación de la Ley de Mediación de Seguros y Reaseguros Privadosl Seguro Privado se han logrado clarificar aspectos esenciales respecto al tratamiento de los datos personales en el ámbito asegurador. José Luis Piñar precisa que el texto definitivo aprobado tuvo especialmente en cuenta las observaciones efectuadas por la AEPD en el informe preceptivo que elaboró en relación con el Anteproyecto elaborado por el Gobierno, dada la incidencia que en materia de protección de datos presenta la actividad de los mediadores de seguros privados. En este sentido, recuerda que se introdujo en el Proyecto de Ley una sección específica referida expresamente a la protección de datos de carácter personal, en la que se regulan las principales cuestiones en esta materia.
ABIERTA A INICIATIVAS
La Agencia de Protección de Datos viene manteniendo reuniones de trabajo para analizar las dudas o dificultades que se plantean en el ámbito asegurador con el objetivo de ofrecer soluciones. En este sentido, la AEPD tiene constituido un grupo de trabajo permanente por UNESPA y está abierta a considerar cuantas iniciativas de colaboración se la planteen. |
En cierto modo, José Juan Tudela reconoce que en el colectivo de la Mediación existía la sensación de una necesidad de regulación específica en materia de Protección de Datos. De hecho, la AEPD ya había emitido informes en años anteriores para clarificar la situación de los mediadores y siguiendo la línea trazada por la Agencia, entra en vigor la Ley 26/2006, de Mediación de Seguros. El consultor de Protección de Datos de Grupo IWI precisa que en los artículos 62 y 63 de esta ley se clarifican algunos de los aspectos más relevantes para los mediadores en materia de protección de datos de carácter personal; pero recuerda que aún está pendiente de aprobación el Reglamento de la LOPD, “siendo deseable que algunos de los ‘puntos oscuros’ de la ley a nivel general sean aclarados por éste, aunque no creemos que el Reglamento entre a resolver cuestiones para colectivos tan específicos”.
APLICACIÓN DEL RÉGIMEN SANCIONADOR
En cuanto a una posible adaptación de las cuantías de las sanciones en función de la gravedad de la vulneración de la ley o del tamaño del infractor, José Luis Piñar señala que el legislador español ha cumplido adecuadamente la exigencia europea de establecer un marco legal para la protección de datos personales (con establecimiento de infracciones leves, graves y muy graves), al tiempo que se ha creado un órgano independiente con la función específica de aplicar esta normativa y se ha dotado a la AEPD de competencias suficientes para cumplir su función. Piñar añade que es muy frecuente que las multas previstas en la ley se impongan en su grado mínimo porque, normalmente, los responsables cometen infracciones por falta de diligencia y no con la intención clara de violar la Ley. “Ahora bien, en la Agencia debemos ser implacables con quienes intencionadamente violan en su beneficio propio el derecho fundamental a la protección de datos de los ciudadanos”, subraya. En lo que concierne a este tema, José Juan Tudela admite que es evidente que lo que prima en el régimen sancionador es la dimensión del hecho punible en sí (artículo 45.4 LOPD), siendo totalmente irrelevante la dimensión del infractor.
DEBER DE INFORMACIÓN
“A los mediadores se les exige un deber de información mucho más amplio que el recogido en la LOPD”, advierte José Juan Tudela (Grupo IWI)
El director de la AEPD indica que Ley de Mediación de los Seguros Privados se ha hecho eco del deber de información regulado por la LOPD, al disponer en su artículo 42.1 f) que antes de celebrarse un contrato de seguro, el mediador de seguros deberá, como mínimo, proporcionar al cliente información acerca del “tratamiento de sus datos de carácter personal, de conformidad con lo establecido en la Ley Orgánica de Protección de Datos de Carácter Personal”.
Desde la perspectiva del consultor de Protección de Datos de Grupo IWI José Juan Tudela, por las características tan peculiares que este colectivo posee en el tráfico mercantil, es primordial asumir el Deber de Información, derivado del Principio de Información recogido por la LOPD en su artículo 5 e impuesto por la Ley 26/2006 en su artículo 42, siguiendo la senda trazada por la LOPD. “Aunque para los mediadores se exige un deber de información mucho más amplio que el recogido en la LOPD: la información que se debe ofrecer en materia de Protección de Datos es uno de los puntos exigidos en el artículo 42, pero se incluyen 5 puntos más”, advierte Tudela.
DELIMITACIÓN DE RESPONSABILIDADES
La Ley de Mediación de Seguros es una de las primeras en determinar expresamente la condición de cada sujeto en materia de protección de datos, siguiendo, lógicamente, la distinción de figuras efectuada por la LOPD. José Luis Piñar indica que la Ley 26/2006 ha determinado, atendiendo a las circunstancias de cada uno de los implicados, la naturaleza de las figuras relacionadas con la actividad de los mediadores de seguros (agentes de seguros- exclusivos o vinculados-, operadores de bancaseguros -también exclusivos o vinculados- y los corredores de seguros) desde la perspectiva de la protección de datos de carácter personal.
Concretamente, su artículo 63 viene a definir los límites aplicables al tratamiento de los datos por parte de los mediadores. Así, en relación con los agentes, el artículo 63.2 dispone que “únicamente podrán tratar los datos de los interesados en los términos y con el alcance que se desprenda del contrato de agencia de seguros y siempre en nombre y por cuenta de la entidad aseguradora con la que hubieran celebrado el contrato”; mientras que el artículo 63.3 ha venido a clarificar los posibles usos de los datos que pueden llevarse a cabo en la actividad de correduría de seguros, añadiendo que para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las funciones específicas de la correduría, los corredores de seguros deberán contar con el consentimiento de los interesados.
PRINCIPALES RETOS
Dos son los principales retos a los que tiene que hacer frente la Mediación, en opinión de José Juan Tudela: la concienciación de que se está ante un Derecho Fundamental y el Deber de Información. “Asumir estos hechos facilitaría en gran medida la aplicación de las obligaciones derivadas de la LOPD”, reconoce. |
En este sentido datospersonales.org, revista de la Agencia de Protección de Datos de la Comunidad de Madrid, subraya que “una vez se haya resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato”. Piñar ratifica que no se puede facilitar los datos del interesado a otra entidad distinta de aquella con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
“En la Agencia debemos ser implacables con quienes intencionadamente violan en su beneficio propio el derecho fundamental a la protección de datos de los ciudadanos”
Para el consultor de Protección de Datos de Grupo IWI la regulación expresa de los corredores es otro de los hechos destacables de la nueva ley de Mediación, al distinguir las diferentes situaciones que se dan, aunque en la praxis eran ya conocidas. Así, José Juan Tudela aprecia la estipulación de unos requisitos concretos para antes y después del contrato de seguro, “lo cual sigue la lógica razonable adelantada por la propia Agencia en sus informes anteriores a la ley”.
No obstante, la delimitación de responsabilidades es una de las grandes controversias en materia de Protección de Datos en el ámbito de la Mediación. El consultor de Protección de Datos de Grupo IWI explica que la Ley 26/2006 resuelve la cuestión de la responsabilidad distinguiendo la condición de responsable y encargado del tratamiento en cada una de las figuras de Mediación de seguros y reaseguros. Así, otorga un papel a cada una de éstas: agentes exclusivos y vinculados, operadores de bancaseguros exclusivos y vinculados, y, por último, auxiliares externos, que son considerados como encargados del tratamiento. Por el contrario, Tudela aprecia que sólo los corredores de seguros y reaseguros son considerados como responsables del tratamiento. “Para dilucidar su responsabilidad habrá que recurrir a las tesis generales de la LOPD”, recalca.
PROCEDIMIENTO SANCIONADOR Nº PS/0037/2005 DE LA AGENCIA DE PROTECCIÓN DE DATOS
Tras el procedimiento administrativo correspondiente, el director de la APD sancionó a una correduría de seguros con 300.506,05 euros por una infracción de la LOPD, al haber cedido datos de carácter personal de un cliente sin su consentimiento a una aseguradora. Se entendió que se había cometido una infracción del artículo 11 de la citada ley, tipificada como muy grave
Una persona suscribe una póliza de Hogar, anual renovable, a través de una correduría. La aseguradora resolvió el contrato con la correduría, comunicándolo a la asegurada. Ésta celebra la póliza directamente con la entidad. Paralelamente, la correduría remitió una carta a la cliente ofreciéndole una cobertura lo más similar posible en garantías y precio, salvo que indicase lo contrario. Al no obtener respuesta, la correduría contrató una nueva póliza con otra entidad a la que facilitó los datos para la domiciliación de los recibos.
La APD estimó que existió una extralimitación de sus funciones, de carácter informativo y asesor, no pudiendo realizar un contrato pues la ausencia de respuesta a la carta por parte de la denunciante no puede reemplazar al consentimiento. |