|
Nº 20 - Año 2002 |
|
Nº 20 - Año 2002 |
Artículo
|
SEGUROS
Y PROTECCIÓN DE DATOS por
Julián
Carlos Oliver Raboso Actuario
de Seguros. Profesor de
ICADE y socio de gesprodata.com El
negocio de seguros está basado en la información. El tomador del
seguro aporta datos suyos y de las personas y bienes asegurados al
corredor o al agente que a su vez entrega esos datos y otros a la
empresa de seguros o a las diferentes coaseguradoras y éstas a su vez
informan a las reaseguradoras si procede negociar el tramo facultativo.
En caso de siniestro las aseguradoras solicitan a los peritos que
obtengan datos del mismo y que valoren los daños o secuelas causados.
Los peritos analizan y evalúan los daños causados a personas y bienes
asegurados y no asegurados en la compañía que le ha contratado y
comunican esa información a la aseguradora. Existen igualmente cesiones
de carteras entre agentes y corredores y también entre aseguradoras. Todos
los intercambios de información arriba mencionados constituyen ejemplos
frecuentes de cesiones de datos de personas físicas entre sociedades y
profesionales libres. Los datos cedidos son de distinta índole en cada
caso pero en una inmensa mayoría aportan información financiera o
relativa a la salud de personas físicas. La cesión de datos personales
a efectos de control de seguros de automóviles está explícitamente
autorizada por el REAL DECRETO 7/2001, de 12 de enero, por el que se
aprueba el Reglamento sobre la responsabilidad civil y seguro en la
circulación de vehículos a motor en su Artículo 23; los demás casos
de obtención, almacenado y cesión de datos de carácter personal están
regulados para todas las actividades en las normas referidas más
adelante. La
Agencia de Protección de Datos ha abierto expediente e impuesto
sanciones a diferentes empresas y profesionales en sectores como el de
las comunicaciones, el de la televisión e incluso en el sector
asegurador. Los peritos médicos que valoran lesiones causadas en
accidente de circulación y comunican los datos a las aseguradoras para
la dotación de provisiones y el pago posterior de indemnizaciones
empiezan a tener problemas por la ausencia de consentimiento
expreso por parte del lesionado para la cesión de datos a la compañía
de seguros e incluso para la presentación de prueba pericial en juicios
por lesiones. Antecedentes
legales
Las
disposiciones legislativas que regulan todo lo referente a la protección
de datos se reseñan a continuación: -
Directiva 1995/46/CE del Parlamento Europeo y del Consejo de
24 de octubre de 1995 relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos. -
REAL DECRETO 994/1999 de 11 de junio por el que se aprueba el Reglamento
de Medidas de Seguridad de los Ficheros Automatizados que contengan
Datos de Carácter Personal. -
LEY ORGÁNICA 15/1999 de 13 de Diciembre, de Protección
de Datos de Carácter Personal.
-
INSTRUCCION 2/1995, de 4
de mayo, de la Agencia de Protección de Datos, sobre medidas que
garantizan la intimidad de los datos personales recabados como
consecuencia de la contratación de un seguro de vida de forma conjunta
con la concesión de un préstamo hipotecario o personal. Niveles
de protección
Todas
los entes públicos, personas físicas y personas jurídicas que
obtengan, posean o cedan datos de carácter personal deben cumplir unos
requisitos y trámites expresamente detallados en las normas
anteriormente mencionadas. Tan solo quedan excluidos los datos que
posean las personas físicas para su uso estrictamente doméstico y
los sometidos a la normativa sobre protección de materias
clasificadas o establecidos para la investigación del terrorismo y
formas graves de delincuencia organizada. Existen
tres niveles de protección que dependen de la naturaleza de los datos
de carácter personal que se almacenan, tratan o son cedidos. Estos
niveles dependen de la naturaleza de los datos y fueron establecidos en
el RD 994/1999 de 11 de Junio. El nivel
básico se aplica a todos los casos en los cuales existan datos de
carácter personal. El nivel
medio se aplica cuando existen datos de servicios financieros o
relativos a la comisión de infracciones o son fuente de acceso público.
El nivel alto se aplica
cuando existen datos de salud, vida sexual, origen racial, religión o
ideología o son datos para fines policiales recabados sin el
consentimiento de las personas afectadas. Cada uno de estos niveles debe
ser aplicado en todos los ámbitos por igual para evitar fallos de
seguridad. Esto significa que el nivel de protección debe ser aplicado
por igual en los accesos locales, en los accesos remotos a través de
redes de comunicaciones, en el trabajo fuera de los locales de la
empresa y en ficheros de uso temporal. Como
podemos ver las compañías y mutuas de seguros así como las gestoras
de fondos de pensiones se encuentran al menos en el nivel medio por
tener datos de servicios financieros como son los devengos y cobros de
primas, los datos de gestión de comisiones y todos los datos relativos
a pagos de prestaciones. Deben aplicar el nivel alto las empresas y
profesionales que manejen datos de salud como son las aseguradoras de
los ramos de vida, accidentes, asistencia sanitaria, enfermedad y
decesos. También deben aplicar el nivel alto las compañías de seguros
generales, principalmente en los ramos de automóviles y responsabilidad
civil, cuyos siniestros puedan tener datos de personas físicas
lesionadas. Trámites
y medidas
En
la Ley Orgánica de Protección de Datos de 11 de Diciembre de 1999 se
establece la necesidad del consentimiento expreso de la persona física
para obtener, tratar o ceder sus datos de carácter personal. El
consentimiento expreso debe ser recabado para cada uno de los
tratamientos o cesiones que se vayan a realizar y la persona física en
cuestión deberá ser informada de los derechos de modificación,
cancelación y oposición y del lugar donde puede ejercerlos. Los demás
trámites y las medidas de protección de datos vienen establecidos en
el RD 994/1999. En
todos los casos hay que realizar ante la Agencia de Protección de Datos
el registro de los ficheros que contienen datos de carácter personal
indicando, entre otros, la titularidad de los mismos, la estructura de
su contenido, los responsables de su tratamiento y los destinatarios de
las cesiones de datos que se realicen o se vayan a realizar. El
responsable de los ficheros debe elaborar un documento de seguridad cuyo
contenido debe ser implementado y las normas que afecten a los empleados
y colaboradores deben ser comunicadas a los afectados. En
el nivel básico debe existir una relación de las claves y contraseñas
de los usuarios. El documento de seguridad debe describir los recursos
protegidos, la estructura y definición de los ficheros, las funciones y
obligaciones del personal, las normas relativas a copias de seguridad y
el procedimiento en caso de incidencias. En
el nivel medio se aplicarán los requisitos del nivel básico y además
el documento de seguridad incluirá las normas de controles periódicos,
la figura del responsable de seguridad y las normas de reutilización y
de desecho de soportes. En este nivel deberá realizarse una auditoría
de seguridad al menos cada dos años. También es necesario restringir
el acceso a los locales donde se encuentren los equipos de proceso de
datos y deberán existir registros de incidencias, de entrada y salida
de soportes y de usuarios que acceden a los datos. En
el nivel alto, aplicable a la mayoría de las empresas de nuestro
sector, además de los requisitos de nivel medio se deben cifrar los
datos para su transporte desde o hacia el sistema de proceso de datos y
se deben registrar cada uno de los accesos, incluso los denegados,
realizados por los usuarios a cada uno de los registros accedidos. También
se regularán las copias de seguridad que se almacenen fuera del centro
de proceso de datos. Plazos
y sanciones
Los
plazos relativos a los trámites e implantación de medidas de seguridad
vienen descritos en el RD 195/2000 de 11 de febrero. El
plazo para realizar los trámites e implantar las medidas de nivel básico
en ficheros preexistentes finalizó en marzo de 2000. El plazo para
realizar los trámites e implantar las medidas de nivel medio en
ficheros preexistentes finalizó en junio de 2000. Por último, el plazo
para realizar los trámites e implantar las medidas de nivel alto en
ficheros preexistentes finalizará en junio de 2002. Las
infracciones se clasifican en leves, graves y muy graves. Las
infracciones leves se sancionan con multas comprendidas entre 601 € y
60.101 € y se producen, entre otros casos, por: -
No atender, por motivos
formales, la solicitud del interesado de rectificación o cancelación
de los datos personales objeto de tratamiento cuando legalmente proceda.
-
No solicitar la inscripción del fichero de datos de carácter personal
en el Registro General de Protección de Datos, cuando no sea
constitutivo de infracción grave. -
Proceder a la recogida de datos de carácter personal de los propios
afectados sin proporcionarles la información que señala el artículo 5
de la Ley Orgánica de Protección de Datos. Las
infracciones graves se sancionan con multas comprendidas entre 60.101
€ y 300.506 € y se producen, entre otros casos, por: -
Proceder a la creación
de ficheros de titularidad privada o iniciar la recogida de datos de carácter
personal para los mismos con finalidades distintas de las que
constituyen el objeto legítimo de la empresa o entidad. -
Proceder a la recogida de datos de carácter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos en que éste
sea exigible. -
El impedimento o la obstaculización del ejercicio de los derechos de
acceso y oposición y la negativa a facilitar la información que sea
solicitada. -
Mantener los ficheros, locales, programas o equipos que contengan datos
de carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen. -
Incumplir el deber de información que se establece en los artículos 5,
28 y 29 de la Ley Orgánica de Protección de Datos, cuando los datos
hayan sido recabados de persona distinta del afectado. Las
infracciones muy graves se sancionan con multas comprendidas entre
300.506 € y 601.012 € y se producen, entre otros casos, por: -
La recogida de datos en
forma engañosa y fraudulenta. -
La comunicación o cesión de los datos de carácter personal, fuera de
los casos en que estén permitidas. -
No atender de forma sistemática el deber legal de notificación de la
inclusión de datos de carácter personal en un fichero. El
futuro Todas
las medidas anteriores corresponden al Reglamento de la L.O.R.T.A.D. y
deben ser aplicadas en datos informatizados. La nueva Ley de diciembre
de 1999 no distingue entre datos automatizados y datos en cualquier otro
soporte, por ejemplo en papel. Esta última Ley no tiene, sin embargo,
Reglamento que la desarrolle y se aplica de forma temporal el Reglamento
de la L.O.R.T.A.D.. Por ahora hay de plazo hasta el año 2007 para
aplicar las medidas de protección en soportes no informáticos, en
papel concretamente, soportes muy utilizados en las compañías en la
actualidad. Es de esperar que las Leyes 50/1980 de Contrato de Seguro y 30/1995 de Ordenación y Supervisión de los Seguros Privados sean adaptadas a la normativa de protección de datos permitiendo sin requerir consentimiento expreso del afectado, cesiones de datos entre compañías en temas de coaseguro y de reaseguro y entre peritos y compañías de seguros en temas de valoración de lesiones y de daños por siniestro.
|
