El Reglamento General de Protección de Datos
El 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos en Europa, este reglamento es el resultado de intensas negociaciones e intercambios entre los Stakeholders durante 4 años. La RGPD cuenta con 99 artículos y 173 consideraciones, y fue publicado el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea, esta nueva regulación viene para reforzar los derechos de los ciudadanos sobre su información personal que manejan terceros: personas, empresas, organizaciones, etc.
En el nuevo Reglamento General de Protección de Datos se incorporan importantes novedades, entre las más destacadas están el consentimiento y derechos de las personas sobre su información, el derecho al olvido por ejemplo, al mismo tiempo que incluyen nuevas cuantías para las multas, nuevos procesos en el tratamiento de los datos y figuras como el delegado de protección de datos que deben tener ahora las empresas.
¿Cómo afecta la RGPD a las aseguradoras?
El RGPD, como también es conocido el Reglamento General de Protección de Datos, afecta a las Aseguradoras como a todas aquellas empresas que se encuentren en la comunidad Europea o que trabajen con información personal de sus ciudadanos.
En el aspecto técnico, las aseguradoras tienen que garantizar el derechos que los clientes tienen sobre sus datos, además las aseguradoras tienen que grabar todas las conversaciones para cumplir con MiDIF II, por esta razón Comunycarse ha desarrollado una solución para la grabación de llamadas y registro de interacciones que cumple con ambas regulaciones.
5 novedades de cómo RGPD afecta al sector de Aseguradoras
1. Nuevos Derechos de los Ciudadanos
Con el nuevo RGPD se refuerzan los derechos ya conocidos por muchos, llamados como derechos ARCO: Acceso, Rectificación, Cancelación y Oposición, mientras que se incorporan nuevos derechos tales como:
- La transparencia
- La Información
- Supresión o derecho al olvido
- Limitación del tratamiento
- Portabilidad de datos
La incorporación de estos derechos hace que las empresas aseguradoras realicen adaptaciones o adquieran sistemas de información que faciliten a los usuarios los accesos seguros a su información para que pueden ejercer sus derechos según lo consideren.
2. Un consentimiento Expreso e Inequívoco
Este es uno de los grandes cambios, más en esta era digital, ya que ahora se necesita que el usuario de su consentimiento de forma expresa y tantas veces como la empresa analice los datos para los diferentes fines, antes con la LOPD era suficiente una aceptación tácita, pero ahora no, ahora debe ser un consentimiento libre, específico, informado e inequívoco, y la empresa responsable del tratamiento de los datos debe probar que el titular consintió el tratamiento de los datos de forma explícita.
En este sentido, las aseguradoras deben tener establecidas las políticas y los procesos sobre el tratamiento de los datos, con la finalidad de garantizar las obligaciones de la nueva Regulación General de Protección de Datos. A partir del 25 de mayo de 2018, todas las empresas del sector de aseguradoras estará bajo la mirada del RGPD para el cumplimiento en el tratamiento de la información que los asegurados le faciliten a las aseguradoras.
Aseguradoras vs. Corredurías de seguros
El intercambio de información entre aseguradoras y corredurías de seguros es un tema clave y siempre ha sido un tema sensible por la falta de confianza en el uso de estos datos. La comisión Europea y las Agencia Nacionales de Protección de Datos tendrán que crear normas concretas para cada situación según el sector con la finalidad de hacer más viable la aplicación del Reglamento General de Protección de Datos de Europa.
Hablando de la información que reciben los corredores de seguros por parte de las seguradoras, se establecerán criterios específicos, acompañados de normas de calidad y códigos de conducta que favorezcan al corredor al establecer los límites de sus obligaciones. Esto ayudará a delimitar las responsabilidades y obligaciones de los corredores de seguros y las que corresponden a las empresas aseguradoras.
3. Privacy Impact Assessment y Privacy by Design
Para la actividad aseguradora tendrá un especial interés y relevancia en los nuevos requerimientos llamados Análisis de impacto de privacidad (Art.35) o el conocido como Privacidad desde el diseño (Art. 25.1).
Por un lado, el requerimiento de Privacy Impact Assessment plantea la necesidad de evaluar las consecuencias y diseñar un plan sobre los posibles riesgos en el tratamiento de los datos personales de los asegurados, por ejemplo, en el sector Asegurador actualmente entran dentro del ámbito del RGPD los datos biométricos o la información de geolocalización para los calculos de las pólizas de seguros.
Y por el otro lado, el Privacy by Design hace que las aseguradoras interioricen la privacidad de los datos de las personas en el proceso de diseño y elaboración de nuevos planes de seguros. Con la finalidad de que se tenga presente en cualquier fase del proceso el RGPD cuando se vaya a recabar información personal.
4. Análisis de Datos
Las aseguradoras son unas de las empresas que más han apostado he invertido en el análisis de grandes volúmenes de datos (Big Data) con la finalidad de tomar decisiones y el diseño de nuevo y mejores productos y servicios para los asegurados. La tecnología hace que las aseguradoras puedan analizar información interna y externa para lograr predicciones estadísticas sobre el comportamiento de los asegurados, mejorando y personalizando las ofertas de las aseguradoras.
Aunque no existe en el nuevo Reglamento General de Protección de Datos información específica sobre el tratamiento de grandes volúmenes de datos para el análisis, esta práctica puede afectar de forma negativa cuando los usuarios no son conscientes de los análisis que hacen las aseguradoras. En este sentido, las aseguradoras deben tener en cuenta lo relativo al consentimiento explícito del cliente y el interés legítimo.
El RGPD es el catalizador para el desarrollo del seguro de Ciberriesgos en el ámbito de la Unión Europea, este tipo de seguro que nació en los 90 en los Estados Unidos, tiene como finalidad el asegurar a las empresas en la era digital en que vivimos. Existen 3 artículos que están relacionados con el seguro de ciberriesgos en el Reglamento General de Protección de Datos:
- Artículo 33: Se establece que si hay una vulneración de los datos personales la empresa tiene la obligación de notificar a la autoridad de control competente en un plazo máximo de 72 horas desde el momento en que se haya tenido constancia del problema.
- Artículo 34: Establece que las empresas también tienen que notificar la vulneración de los datos personales a sus dueños que son los afectados. Este es un proceso que las empresas tendrán que definir y que seguramente tendrá un fuerte impacto en el balance de cualquier empresa.
- Artículo 83: Define las nuevas sanciones, que tienen cuantías más elevadas que la actual Ley Órganica de Protección de Datos española, las multas pueden alcanzar hasta 20 millones de euros o el 4% del volumen total anual de la empresa.
5. El Delegado de Protección de Datos
Entre las novedades del Reglamento General de Protección de Datos está la figura del delegado de protección de datos. Es una persona física o jurídica que se debe designar en todas las empresas aseguradoras, y esta designación debe ser comunicada oportunamente a la autoridad competente.
Este Delegado tiene la responsabilidad de mantener la relación con la Agencia Española de Protección de Datos (AEPD), así como velar por el cumplimiento del Reglamento General de Protección de Datos. Esta figura del Delegado de Protección de Datos está regulada en el Artículo 37.1 del RGPD.