¿Porque las ‪‎corredurías‬ de seguros son sancionadas por la ‪AEPD‬ hasta 600.000 euros?

¿PORQUÉ SANCIONA LA AEPD A ESTE TIPO DE TIPO DE EMPRESAS?

foto usb seguridad candado

Antes de nada, es necesario hablar de las 3 figuras de profesionales que ofrecen servicios de correduría y comercializan todo tipo de seguros, de manera que podamos determinar su papel y obligaciones respecto al tratamiento de datos personales de los asegurados.

1º. Los Corredores de Seguros.

Las funciones y obligaciones de los corredores se limitarán a ofrecer información y promocionar la suscripción de las pólizas de seguro y en su actividad de asesoramiento. Los Corredores de Seguros no mantienen ninguna dependencia con la entidad aseguradora. Pueden prestar servicios a más de una entidad aseguradora (allianz, mapfre, ocaso…) incluso para el mismo tipo de seguro fuese de decesos, responsabilidad civil, de hogar….etc.

Los corredores de seguros son responsables de tratamiento de datos , ¿qué significa? Significa que toda transmisión de datos entre corredor y la entidad aseguradora con la que finalmente el cliente haya elegido, será tomada como una comunicación de datos, que resulta totalmente lícita conforme al artículo 11.1 LOPD.

2º. Los Agentes de Seguros.

Los Agentes de Seguros se caracterizan por la relación de dependencia que mantienen con la aseguradora por medio del preceptivo contrato de agencia firmado por ambas partes -en régimen de exclusividad-, donde son considerados como encargados del tratamiento en materia de protección de datos, conforme al artículo 3.g LOPD. Es decir, no podrá subcontratar, ya que se entendería como una cesión o comunicación de datos, para la que solo estaría habilitado el responsable del tratamiento1.

3º. Los Auxiliares Externos.

Son como colaboradores de los mediadores de seguros estando vinculados por un contrato de auxiliar-asesor en el que se establecerá que actúan por cuenta de los mediadores y que en ningún caso asumirán obligaciones. Pero en caso de que mantengan una relación comercial con un agente, deberá existir un acuerdo de cesión o comunicación de datos en el que el responsable del tratamiento sea parte. Pero si mantuviese una relación con un corredor, en vez de con un agente, al considerarse al primero como responsable del tratamiento, bastaría que fueran las partes las que estuvieran de acuerdo.

Aspectos importantes de los corredores de seguros y responsables.

1º. Las corredurías no requerirán de consentimiento previo para la cesión de datos a las aseguradoras.

Hemos dicho que los corredores de seguros serán responsables del tratamiento de datos, pero eso significa también que, las aseguradoras cesionarias y destinatarias de esta información, serán también responsables de los ficheros que recogiesen datos de los asegurados:  Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros” (Art. 11.2c LOPD).

Esto significa que no será preciso el previo consentimiento del interesado, aunque las corredurías, por la propia naturaleza de los servicios que prestan, cuentan desde el principio con el consentimiento de las personas que solicitan sus servicios a comunicar sus datos a las entidades aseguradoras.

No obstante, el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 lo especifica aún más apuntando que : Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento…”

En definitiva, el corredor de seguros o reaseguros no podrá facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco.

Pero atención, sí será necesario respetar el deber de información al respecto de la comunicación exigido por el artículo 5 LOPD.

2º. Al fin del contrato, el responsable y corredor de seguros deberá cancelar el fichero.

Una cuestión importante es que ocurre cuando la relación contractual entre el asegurado y la aseguradora se extingue ¿ podrá la correduría mantener la información relativa a los asegurados ? ¿y negociar la contratación de pólizas con otras compañías?

La condición de responsable del tratamiento de la correduría implica que una vez extinguida esta relación, no procederá a la devolución de los datos, tal y como se obliga al encargado de tratamiento en los términos del artículo 12 de la LOPD, sino que debe proceder a su cancelación, como señala el artículo 4.5 de la LOPD

El responsable no podrán permitirse la libertad sin el consentimiento del interesado, contratarle una nueva póliza con otra aseguradora (aunque pueda suponer un beneficio para el cliente). Se requiere mandato expreso para que el responsable pueda contratar un producto nuevo en la misma aseguradora.

Tiene su lógica, el legislador pretende de esta manera que el responsable no trate al fichero de datos personales de los interesados como valiosa mercancía vulnerando los derechos de intimidad y de la esfera de los derechos personales.

3º. Si la correduría quiere realizar una nueva póliza con los datos de un asegurado, requerirá de su consentimiento inequívoco.

Entonces, si un corredor quisiera conservar los datos del asegurado para otra finalidad ( ofrecer un contrato de seguro de decesos al que tenía de hogar, o ofrecer un seguro de responsabilidad civil patronal al empresario que tuvo accidentes laborales en su empresa…) o incluso cambiar de compañía aseguradora para una misma rama de seguros, debería primero informar al interesado sobre el producto de aseguramiento y luego recabar su consentimiento inequívoco.

Esta postura ha sido la postura adoptada por la AEPD la cual ha expresado tanto en sus informes jurídicos como en sus resoluciones sancionadoras.

4º. El responsable del fichero deberá velar por que el encargado del tratamiento reúna las garantías correspondientes. Algo así como que será responsable en relación a una posible reclamación basada ya sea en la “culpa in eligendo” o “culpa in vigilando”.

Conclusión : Se deberá estar a lo establecido por la LOPD en materia de obligaciones de este tipo de profesionales , en función de la posición que tengan, bien como responsables o bien como encargados.

Pero ojo, hay que tener en cuenta el nivel de seguridad que se deberá adoptar en función del tipo de información, por ejemplo, para el caso de enfermedades o información sanitaria para las pólizas se requerirá de un nivel alto de protección. Por ello recomendaría a mis clientes que han acudido al despacho que tengan en cuenta este extremo. Al igual deberán tener presente las obligaciones de destruir o cancelar la información una vez finalizado el contrato de póliza.

Pero básicamente tendrá problemas nuestro cliente en materia de P.D. en caso de :

  • No tener inscripción de Ficheros.

  • No tener Documento de Seguridad.

  • No haber realizado los correspondiente contratos de Cesión de datos / Encargado de tratamiento.

  • No tener cláusulas informativas.

Y por supuesto, será muy importante no pasar por alto las diferentes figuras que pueden llegar a tratar estos datos y asegurarse si se requiere consentimiento o cumplir el deber de informar al titular de los datos: los responsables serán los corredores de seguros y los encargados del tratamiento los de las compañías aseguradoras.

Posiblemente, la pregunta de nuestros clientes cuando acudan a nuestro despacho y les informemos de las cantidades de sanción de 300.000 a 600.000 euros previstas para casos graves, será ¿qué puedo hacer para que no me sancionen en materia de LOPD, sin gastar lo menos posible?

Lo más polémico sin duda alguna, es el hecho de que corredores de seguros sin consentimiento del client1e utilicen los datos personales para iniciar una nueva póliza.Como señala la Sentencia del Tribunal Supremo 718/1995, de 17 de julio, distinguiendo la mediación del mandato2, sus obligaciones son, básicamente, de carácter informativo y asesor, no pudiendo imponer directa o indirectamente la celebración del contrato de seguro (artículo 4.2).

Han habido casos en los que el corredor ha dado de alta sin previa consulta o información o condición expresa en el momento del contrato. El hecho de que la póliza sea renovable anualmente, no significa que la falta de pronunciación del cliente posibilite al corredor dar de alta otra póliza nueva. La AEPD fue implacable, 300.000 euros de sanción ni más ni menos, además acusó que la denunciante tuviera que haber acudido a via jurisdicional civil para reclamar la prima cobrada y la correduría fuera consciente de su infracción dolosa, sin justificación alguna.

El papel de las aseguradoras.

El encargado es la aseguradora, quien trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica (ej. Mapfre y Correduría Seguros BBB) que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio Es d. Además :

1º. Las aseguradoras no podrán comunicar a terceros los datos, ni siquiera para su conservación.

No incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.

2º. Las aseguradoras deberán destruir o devolver al responsable los datos objeto de la prestación de tratamiento

Una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

3º. Las aseguradoras no podrán comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, pero se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

OBLIGACIONES GENÉRICAS DEL RESPONSABLE Y CORREDOR DE SEGUROS

NIVEL BAJO

Ej. Información personal de los asegurados, información económica, circunstancias personales…etc.. que la correduría tendrá archivada.

NIVEL MEDIO

Ej. Información relacionada con solvencia patrimonial o servicios financieros de los asegurados que la correduría tendrá archivada.

NIVEL ALTO

Ej. Información relacionada con enfermedades, salud de los asegurados…etc que estará en los ficheros de la correduría

Creación del fichero de datos e inscripción en el RGPD 2

Información previa y recabar el consentimiento del titular.

Deber de secreto y seguridad (Art. 9 y 10 LOPD y 79-114 RLOPD)

Copias seguridad

Nombramiento resp. seguridad

Cifrado soporte, Responsable

Contraseñas

Auditoría

Back up fuera de la empresa

Antes de adentrarnos en las medidas más técnicas y organizativas , mencionaremos las siguientes 3:

1º.- El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular o responsable del fichero (art. 10 LOPD).

2º. – Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.

3º.- Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.

4º.- Informar a los titulares de los datos personales en la recogida de éstos.

5º.- Obtener el consentimiento para el tratamiento de los datos personales.

6º.- Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación: derechos ARCO.

7º.- Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD. Ej. trabajadores de la correduría, etc..

8º.- Y por último, el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

____________________

4Procedimiento Nº PS/00377/2005 RESOLUCIÓN: R/00302/2006. CORREDURÍA DE SEGUROS S.A.R.F.L.,http://www.tirea.es/getattachment/8e0fe3d8-c7e5-40aa-b6c2-b63158ef04a7/TIR_EXT_JUR_DOC_PS-00377-2005-(Cesion-datos-sin-co.aspx

5“La esencia del contrato de mediación o corretaje radica en que el Corredor o Mediador se obliga a poner en contacto a una persona con otra para que entre ellas puedan celebrar el contrato objeto de la mediación, sin que el referido contrato de corretaje entrañe, por sí solo y a falta de estipulación expresa en tal sentido, conferimiento de mandato alguno a favor del Mediador o Corredor para que éste pueda actuar, como representante o mandatario del que contrató sus servicios, en el perfeccionamiento o celebración del contrato objeto de corretaje.”

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s