AD 67/2019
1. INDICE
- INDICE.
- Abstract
- Palabras Calves:
- El derecho a la portabilidad de los datos en el sector asegurador.
5.3 Procedimiento para el ejercicio y atención al derecho de portabilidad:
5.3.1 Plazos para la atención al derecho de portabilidad:
5.4 Acutualización y veracidad de los datos portados:
5.5 Borrado de datos en el derecho a la portabilidad:
2. Abstract
Uno de los sectores más regulados del mercado empresarial es el sector asegurador, además de tener una robusta regulación sectorial también está sujeto al cumplimiento de normativas transversales y el impacto de tecnologías disruptivas, que obliga a realizar esfuerzos en la gestión de cambios y actualización de los modelos de negocio.
Muchas son las normativas a las que está sujeta, debiendo cumplir con todas ellas para poder operar. Muestra de ello son los cambios a que ha tenido que adaptarse el sector, principalmente venidos desde Europa; así, además de la nueva Directiva de Distribución de Seguro – Directiva (UE) 2018/411 – que trae consigo grandes esfuerzos para su cumplimiento, también le son aplicables las obligaciones contendidas en el Reglamento UE 679/2016 General de Protección de Datos (GDPR). Esta última es objeto de análisis en el presente artículo.
El GDPR afecta centralmente a una industria que basa sus productos en el tratamiento ingente de datos personales.
Son muchos los cambios que deben acometer las entidades aseguradoras para adecuarse a la normativa europea y española de protección de datos: nuevos predicados de información, legitimación de los tratamientos, datos de salud, relación con agentes intervinientes (corredores, agencias, mediadores) o el derecho a la portabilidad.
Ante estos grandes cambios hemos querido analizar cómo afecta al sector la nueva normativa de privacidad, más específicamente en lo que respecta al cumplimiento y garantía de los derechos de las personas. Uno de estos derechos es el derecho a la portabilidad de los datos. Derecho que por sus características y su carácter novedoso genera grandes dudas de aplicación y cumplimiento efectivo.
3. Palabras Calves:
- GDPR
- RGPD
- Protección de datos
- Seguros
- Derecho de portabilidad
- Portabilidad
- Datos
- Insurtech
- Data protection
- Transmisión de datos
- Interoperabilidad
- Seguridad
- Derechos
- LOPDGDD
- Privacidad.
4. El derecho a la portabilidad de los datos en el sector asegurador.
4.1 Cuestiones previas.
En plena ola de discusión acerca de los tratamientos de datos personales, sus cesiones y transmisiones al amparo de la normativa que protege este derecho fundamental de las personas, traemos a estudio uno de los derechos que más complicación práctica está causando a la hora de garantizar el cumplimiento efectivo. Se trata del derecho a la portabilidad de los datos personales.
Según el artículo 20 del GRPD, el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. En la misma línea que la redacción del GDPR se encuentra lo dispuesto por la LOPDGDD en su artículo 17, que establece que derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 GDPR anteriormente mencionado.
Como podrá intuirse no es un derecho que tenga importancia o complejidad de cumplimiento por todo responsable de tratamiento, tampoco es un derecho que en la práctica vaya a ejercitarse ante cualquier tipo de empresa o persona física responsable del tratamiento, ya que la portabilidad de los datos tiene inherente el ser un derecho funcional y útil, dado que permite transportar datos a otro responsable o al propio interesado en aras a que éste los pueda portar y reutilizar.
Esta faceta útil o comercial genera la necesidad de afinar o concretar la aplicación de este derecho a sectores en que se intuye que se producirá con mayor asiduidad su ejercicio.
Por ello, en el presente artículo vamos a tratar el derecho a la portabilidad de los datos personales en el sector asegurador. El sector asegurador es un sector que trata ingente cantidades de datos de todo tipo: datos de identificación, datos de salud, datos sobre solvencia económica, datos bancarios, etc.
Además de estos datos, el sector asegurador genera también información agregada a los datos que facilitan sus clientes, dichos datos junto con los datos aportados por su titular y los generados por el servicio adquirido, forman parte de toda la información personal que maneja una entidad y que, como veremos, tendrá que establecerse qué, cómo y cuándo podrán ser objeto del derecho de portabilidad.
Para comenzar este análisis, es necesario comentar que el derecho a la portabilidad es un derecho diferente al derecho de acceso recogido en el artículo 15 RGPD, se trata de un derecho accesorio al derecho de acceso que, antes de la formulación del derecho a la portabilidad, se veía limitado por el formato elegido por el responsable del tratamiento para proporcionar la información solicitada.
Algunos autores hablan del derecho a la portabilidad como un derecho accesorio y que, como hemos comentado anteriormente, aporta un aspecto funcional que podrá ser aprovechado por las entidades del sector (aseguradora, corredores, mediadores) para el intercambio fluido de información personal como una herramienta de migración de una póliza o presupuesto de otros productos de seguro.
En este sentido el propio Grupo de trabajo del artículo 29 (actualmente asume su figura y trabajos el Comité Europeo de Protección de Datos) señaló que el derecho a la portabilidad pasará a “convertirse en una herramienta importante que respaldará la libre circulación de datos personales en la UE y promoverá así la competencia entre los responsables del tratamiento. Facilitará el cambio entre distintos proveedores de servicios y, por lo tanto, promoverá el desarrollo de nuevos servicios en el contexto de la estrategia para el mercado único digital. Siendo el objetivo de este derecho el aumentar la capacidad de los usuario de trasladar, copiar y transmitir sus datos personales fácilmente de un entorno informático a otro”.
En la práctica el derecho a la portabilidad genera un mecanismo que favorece el cambio de proveedor de seguro u otro producto o servicio, favoreciendo a su vez a la libre competencia entre operadores del mismo o diferentes mercados.
Se trata de un elemento que viene a otorgar un mayor poder de control del interesado sobre sus datos en aras a cumplir con el fin inspirador de la privacidad de obtener un control efectivo y directo sobre los datos personales.
5. Análisis elementos del derecho de portabilidad en el sector asegurador
Pero este derecho a la portabilidad en el sector asegurador no podrá llevarse a cabo siempre que se quiera si no que debe tener base en los requisitos que nos señala el propio artículo 20 GDPR, y no son otros que contar con la legitimidad necesaria (solo podrá ejercitarse por la persona que haya prestado su consentimiento para la celebración del contrato, esto es, el tomador del seguro), referirse a un concreto objeto (la solicitud deberá limitarse a los datos personales que haya facilitado al responsable para la contratación del seguro) y una determinada forma (deberá transmitirse en un formato estructurado, de uso común y lectura mecánica).
A su vez el derecho a la portabilidad no podrá afectar negativamente a los derechos de otras personas.
5.1 Legitimación
En cuanto a la legitimación, como hemos mencionado anteriormente, el derecho a la portabilidad es del tomador del seguro. El contrato de seguro puede venir referido a una o varias personas como titulares del riesgo asegurado. Sin embargo, sólo el tomador del seguro es el “dominus negotii” del mismo, de quién se recaba los datos y quién tiene disponibilidad sobre el contrato de seguro. Teniendo en consideración que el derecho de portabilidad es personalísimo, en los casos de representación voluntaria, el representante deberá acreditar su representación mediante poder notarial u otro documento o soporte que permita verificar la autenticidad del mandato.
El carácter personalísimo del derecho a la portabilidad y la legitimación requerida hacen que sólo pueda ser objeto de portabilidad los datos del tomador del seguro solicitante, excluyendo los seguros colectivos en los que el tomador facilita a la entidad aseguradora datos de terceros. En estos casos de seguros colectivos, si el tomador solicita la portabilidad de datos sólo se incluirá la información directamente suya y, por tanto, sus propios datos, no se harán portables datos de terceros, aun cuando los asegurados y/o beneficiarios sean también parte del contrato de seguro.
A su vez, la solicitud deberá ser lo suficientemente concreta o específica de forma que si el tomador tuviese contratados diversos tipos de seguros con la entidad aseguradora a la que solicita la portabilidad, debería identificar sobre qué contrato o producto quiere hacer efectivo el derecho de portabilidad.
Es en este punto en el que cobra mayor importancia poder asegurar la autenticación del individuo a través de medios fiables (identificación física, biometría o doble factor de autenticación).
5.2 Objeto
En cuanto al objeto de derecho a la portabilidad del tomador, analizamos qué datos podrán ser objeto de portabilidad. Así, tal y como señala el artículo 20.1 del GDPR el afectado tiene derecho a recibir “los datos personales que le incumban, que haya facilitado a un responsable del tratamiento”. No obstante, además de ser datos que se refieran al tomador, los datos tendrán que haber sido facilitados por el propio titular otorgando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. Otro requisito es que el tratamiento de los datos del tomador se efectúe por medios automatizados, lo que implica la exclusión de datos que no hubiesen sido facilitados por el interesado.
Esto nos lleva a la conclusión de que existe información personal que no es obligatorio facilitar cuando se da respuesta al ejercicio de este derecho:
Así, debe quedar excluida de la información a facilitar los datos que el responsable del tratamiento hubiese podido obtener de terceros, los datos inferidos o deducidos (esto es, siguiendo lo que establecen las directrices, datos que son resultado de una evaluación de un usuario o el perfil creado en el contexto de la gestión de riesgos y la normativa financiera) y ello aunque dichos datos puedan formar parte de un perfil de cliente.
Pero, ¿qué información personal es considerada como “datos inferidos” para este sector?, pues bien, para el sector asegurador son datos inferidos los derivados de las actividades de tratamiento de selección y tarificación de riesgos, así como la derivada de la gestión de siniestros (información siniestral).
Otra categoría de datos que deberá excluirse son aquellos cuyo tratamiento se efectúe por medios distintos al automatizado, ya que es condición para la atención de una solicitud del derecho de portabilidad que el tratamiento inicial o ulterior se efectúe por medios automatizados.
También deberán excluirse los datos que no sean pertinentes y adecuados en relación con la finalidad del nuevo tratamiento, para aquellos casos en los que las entidades aseguradoras sean receptoras de los datos como consecuencia del ejercicio del derecho de portabilidad de un tomador, no estando, por tanto, obligadas a aceptar los mismos ni a proceder a su tratamiento y/o conservación.
Por extensión del requisito de legitimidad, se deriva que los datos de terceras personas que el interesado hubiese facilitado al responsable tampoco serán objeto de portabilidad, quedando excluidos.
Otra categoría de datos que no formará parte de la respuesta al derecho de portabilidad son los datos obtenidos por el responsable del tratamiento en cumplimiento de obligaciones legales que le son aplicables por normativa sectorial o para la satisfacción de intereses legítimos del responsable del tratamiento o de terceros. Esta última categoría de datos actuará como regla residual que debe entenderse que cualquier dato personal derivado de un tratamiento no amparado en el consentimiento o sea necesario para la ejecución de un contrato, quedará excluido de ser facilitado como objeto de portabilidad.
Por último, otra exclusión lógica del objeto de portabilidad, son aquellos datos que hayan sido eliminados o bloqueados por haber expirado el tiempo necesario para el cumplimiento del fin para el cual se obtuvieron, de acuerdo con la política de conservación de datos de la entidad (de acuerdo con el principio de limitación del plazo de conservación).
5.3 Procedimiento para el ejercicio y atención al derecho de portabilidad:
Será necesario que el responsable del tratamiento establezca un canal para la atención de derechos de protección de datos. Dicho canal deberá establecerse a través de medios que permitan la respuesta automatizada, por lo que lo más común y práctico es que se establezca un buzón de correo electrónico para la solicitud y respuesta; también podrán utilizarse plataformas de respuesta automatizada (para esto será necesario asegurar la interoperabilidad entre las entidades aseguradoras a través de consensos, acuerdos entre cedente y cesionaria o adhesión a códigos de conducta). Por tanto, el tomador del seguro podrá solicitar a la entidad aseguradora con la que tenga suscrito el contrato de seguro (cedente) el ejercicio del derecho de portabilidad de sus datos a otra entidad aseguradora (cesionaria) debiendo atenderse dentro de los plazos establecidos por la normativa vigente, señalados más adelante.
Es importante señalar que las entidades deberán aprobar protocolos o acuerdos para hacer efectivo, técnicamente hablando, el derecho a la portabilidad. Deberán establecerse un formato común, estándar que tenga en cuenta el tipo de archivo, delimitación del objeto, legitimidad y autenticación de la respuesta.
A los efectos del ejercicio del derecho de portabilidad, las entidades aseguradoras deberán tener a disposición del tomador del seguro la información sobre el ejercicio del derecho a través del formato estandarizado en el que, adicionalmente, se le informe de que le asiste el derecho de portabilidad sobre otros posibles datos que haya facilitado directamente a la entidad aseguradora y no estén comprendidos en el formato estandarizado.
La entidad aseguradora cedente transferirá los datos a la entidad cesionaria a través del formato electrónico que se derive del acuerdo marco con otras entidades aseguradoras, protocolos o el código de conducta al que estén adheridos, que reunirá los requisitos técnicos de transmisibilidad y lectura y que será de obligatoria aplicación a las entidades que sean parte.
Por entender el ejercicio del derecho de portabilidad como un fin o medio de contratación de nuevos seguros, cabe la duda de qué sucede si una vez recibidos los datos por la entidad aseguradora cesionaria, el contrato de seguro no llegará a suscribirse. Se entenderá entonces que, una vez transcurra el plazo establecido de vigencia del presupuesto o propuesta de contrato de seguro, la entidad aseguradora perderá la legitimación para tratar los datos y deberá proceder al borrado de los datos objeto de la portabilidad, salvo que el titular de los datos hubiera dado su consentimiento para el mantenimiento de los datos.
5.3.1 Plazos para la atención al derecho de portabilidad:
En cuanto al procedimiento de atención, se establece que el derecho a la portabilidad cuenta con un plazo para contestar por parte de la entidad de un mes, exceptuando aquellos casos más complejos para los que se concede un plazo de tres meses, pero siempre informando dentro del primer mes de las razones para dicho retraso. Como podemos observar, no existen especialidades en cuanto a plazos de atención de derechos.
Puede darse el supuesto de que el interesado requiriese que sus datos sean transmitidos directamente a otro Responsable, en dicho caso la entidad así deberá proceder siempre que sea técnicamente posible.
En caso de no atender o rechazar la solicitud, el Responsable del tratamiento debe indicarle expresamente al interesado «los motivos para no actuar, así como la posibilidad de presentar una queja a una autoridad supervisora y buscar reparación judicial». Se consideran causas válidas para esta denegación que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
5.3.2 Formato:
Para determinar el formato de lectura entre las entidades aseguradoras, existen ejemplos de asociaciones y consorcios como es el caso de UNESPA, en los que se encarga a un tercero la tecnología adecuada para asegurar la interoperabilidad. Así, en el caso señalado, se encomienda a externos la creación de un formato común con especificaciones técnicas que puedan cumplirse en las entidades participantes.
También existen plataformas que pueden integrarse en los sistemas de gestión de pólizas y que posibilitan la transmisión de datos en formatos Excel de fácil lectura y apertura.
No obstante, nada impide que cada entidad establezca su propio sistema de intercambio de información.
Las especificaciones técnicas del formato deberán tener en cuenta la información general e información de ramos, siguiendo los requisitos establecidos en el artículo 20.1. del RGPD, debiendo cumplir los estándares de transmisibilidad para que, en caso de que no se puedan transmitir los datos directamente entre las entidades por un formato fichero XML, Excel o cualquier otro formato electrónico y canal comúnmente aceptado por el interlocutor designado por la entidad destinataria. Así deberán crearse formatos de ficheros modelos con datos a portar por cada ramo asegurado.
Otra práctica recomendable es que los responsables del tratamiento comiencen a desarrollar los medios que contribuyan a responder a las solicitudes de portabilidad de datos, como herramientas de descarga e interfaces de programación de aplicaciones. Deben garantizar que los datos personales se transmitan en un formato estructurado, de uso común y lectura mecánica, y se les debe alentar a que aseguren la interoperabilidad del formato de los datos proporcionados en el ejercicio de una solicitud de portabilidad.
5.4 Actualización y veracidad de los datos portados:
Aun cuando en caso de portabilidad se presumen exactos los datos transmitidos, la entidad receptora para validar la veracidad de la información recibida de otra entidad aseguradora podrá exigir al tomador la aportación de documentación que acredite la información transmitida y, en particular, aquella relevante para el cumplimiento de obligaciones legales.
En los casos en que existiera duda sobre la identidad del solicitante o sobre la petición recibida, la entidad cedente podrá adoptar las medidas que considere oportunas para verificar la identidad del solicitante o concretar la petición recibida, sin que en ningún caso puedan imposibilitar su ejercicio. Lo dispuesto en el párrafo anterior, no exime a la entidad aseguradora cesionaria de la obligación de comprobar la identidad del titular de los datos personales portados y del cumplimiento del resto de obligaciones establecidas en la normativa de protección de datos.
5.5 Borrado de datos en el derecho a la portabilidad:
Es importante señalar que la portabilidad de los datos no conlleva el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención o conservación informado como aplicable a los datos que el interesado ha proporcionado.
Así mismo, es necesario señalar que la transmisión del soporte de datos puede suponer un riesgo de violación de los datos personales. Será el responsable del tratamiento quien tenga que adoptar las medidas de seguridad adecuadas para proteger la confidencialidad de los datos contra tratamientos no autorizados o ilícitos y asegurar la disponibilidad e integridad ante la posibilidad de pérdida accidental, destrucción o daños. A este efecto el intercambio deberá adoptar medidas de cifrado o encriptado, tanto en tránsito como en reposo, a través de técnicas que no se encuentren comprometidas.
6. Insurtech y derecho de portabilidad de los datos:
Realizando una breve referencia a las tecnologías disruptivas, para mayor complicación, en el sector asegurador también se auguran tiempos de cambio, cambios que las llamadas Insurtech lideran. El “Insurtech” (se trata de la aplicación de las nuevas tecnologías en las contrataciones de seguros) surge con fuerza en el sector, actualmente en fase de desarrollo, aportando no pocas propuestas de aseguramiento basado, por ejemplo, en tecnología P2P o introduciendo a la tan mencionada tecnología blockchain como medio para eliminar los terceros de confianza, agilizar la gestión de siniestros y aportando inmediatez. En mucho de los casos, son las propias entidades aseguradoras las que proponen estas nuevas soluciones de aseguramiento basado en nuevas tecnologías.
No obstante, la falta de regulación específica del aseguramiento P2P (mismo problema en la tecnología blockchain) y la complejidad para aplicar la analogía a los casos concretos de uso, hacen presagiar una necesidad de creatividad legislativa para incluir los nuevos modelos de negocios.
Pero sin apartarnos de nuestra temática, el derecho a la portabilidad de los datos (al igual que otros predicados y obligaciones del GDPR) encuentra grandes escollos para hacerse efectivo en este tipo de aseguramiento, así como en casi cualquier modelo de negocio que conlleve tratamiento de datos personales y se base o utilice tecnología blockchain.
Se trata de crear pólizas inteligentes que puedan dar respuestas automáticas quizás a través de los llamados “Smart Contracts” (contratos autoejecutables) o el aseguramiento P2P (Peer to peer) para que sean los propios usuarios o entidades los que aseguren el riesgo, validen los siniestro y soporten pagos.
Se plantean cuestiones como determinar ¿quién es el responsable de los tratamientos de datos y por tanto el obligado al cumplimiento y garantía de los derechos?, ¿cómo puede darse respuesta al derecho de portabilidad y quién deberá facilitarlo?, ¿Cómo puede llevarse un traspaso de información soportado en tecnología de registros distribuidos?, estas son algunas cuestiones a reflexionar y que seguro tendrán respuestas conforme la madurez tecnológica vaya aumentando.
Ulises David González
Madrid, 9 de agosto de 2019
Ulises David González
Abogado y consultor especializado en derecho de las nuevas tecnologías, Privacidad & Protección de datos y Seguridad de la Información.
Es Graduado en Derecho por la Universidad de Murcia, Master en Abogacía por la Universidad Camilo José Cela y Máster en Protección de Datos, Transparencia y seguridad de la información por la Universidad San Pablo CEU.
Con experiencia práctica en consultoría de empresas y cumplimiento normativo, habiendo desarrollado su formación práctica en reconocidas multinacionales del sector, actualmente forma parte del equipo de PRODAT, realizando funciones como responsable de Consultoría de dicha entidad.
