PROTECCIÓN DE DATOS EN LA MEDIACIÓN GUÍA RÁPIDA PROTECCIÓN DE DATOS EN LA MEDIACIÓN
NORMATIVA BÁSICA Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD). Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. Ley 26/2006, de 17 de julio, de Mediación de Seguros y Reaseguros Privados .
Cuestiones principales en protección de datos SUJETOS EN LA PROTECCIÓN DE DATOS Interesado Responsable del Tratamiento Encargado del Tratamiento PRINCIPIOS DE PROTECCIÓN DE DATOS Finalidad Consentimiento Información OBLIGACIONES DEL RESPONSABLE DEL FICHERO DERECHOS DE LOS AFECTADOS
SUJETOS DE LA PROTECCIÓN DE DATOS El interesado o afectado Persona física a la que se refieren los datos El responsable del fichero o tratamiento Decide sobre la finalidad, contenido y uso del tratamiento Actúa en nombre propio El encargado del tratamiento Trata los datos exclusivamente por cuenta del responsable del fichero Carece de poder de decisión Vinculado jurídicamente al responsable del tratamiento
PRINCIPIOS DE PROTECCIÓN DE DATOS Finalidad Los datos sólo pueden ser empleados para fines determinados, explícitos y legítimos del responsable del fichero Los datos sólo pueden ser empleados para fines compatibles con los que motivaron su recogida Los datos deben ser adecuados, pertinentes y no excesivos, se prohíbe el tratamiento de datos no relacionados con la finalidad para la finalidad para la que se recabaron Los datos sólo se conservarán durante el tiempo necesario para el cumplimiento de la finalidad: cumplida ésta deberán ser cancelados El tratamiento debe ser leal y lícito: es preciso informar
PRINCIPIOS DE PROTECCIÓN DE DATOS Consentimiento Regla general: sólo será posible el tratamiento de los datos si el afectado ha prestado su consentimiento Excepciones : Previsión legal Relación contractual o negocial Fuentes accesibles al público Formas del consentimiento El consentimiento debe ser: Expreso Tácito Prohibición consentimiento presunto Libre Inequívoco Específico Informado
PRINCIPIOS DE PROTECCIÓN DE DATOS INFORMACIÓN El responsable del tratamiento deberá informar siempre al afectado del hecho de que sus datos serán sometidos a tratamiento Si los datos se recogen del afectado se debe informar: De la existencia del tratamiento De la finalidad del mismo De los posibles destinatarios de los datos De la identidad del responsable del tratamiento Del carácter obligatorio o potestativo de facilitar los datos De las consecuencias de la negativa a facilitar los datos De la posibilidad de ejercitar los derechos y ante quién Si los datos no se recogen del afectado: En general, deberá informarse en los tres meses siguientes de los extremos anteriores y del ejercicio de los derechos
OBLIGACIONES DEL RESPONSABLE Deber de secreto Informar al afectado de que sus datos serán sometidos a tratamiento Implementar las medidas de seguridad necesarias de conformidad con lo exigido por la LOPD y su reglamento Notificar a la AEPD los ficheros
DERECHOS DE LOS AFECTADOS (ARCO) Derecho de Acceso: Derecho a obtener información sobre los datos objeto de tratamiento y su finalidad. Derecho de Rectificación: Derecho a modificar los datos que sean inexactos o incompletos. Derechos de Cancelación: Derecho a que se cancelen los datos inadecuados o excesivos Derechos de Oposición: Derecho a que no se traten datos o se cese en su tratamiento en los caso que prevé el artículo 34 de Reglamento de la LOPD. Existe obligación de resolver por parte del responsable en plazos muy breves
CESIONES DE DATOS Concepto: toda revelación de datos a PERSONA DISTINTA del afectado Basta con que el destinatario tenga personalidad distinta al cedente: son cesiones de datos las comunicaciones en el seno de un Grupo Basta con una mera revelación, aunque el destinatario no incorpore los datos a un fichero No se considera cesión la transmisión de datos a un encargado del tratamiento
REQUISITOS PARA LA CESIÓN En general Interés legítimo del cedente y el cesionario Consentimiento del afectado Excepciones al consentimiento Autorización por Ley Fuentes accesibles al público Datos necesarios para el pleno cumplimiento de una relación jurídica Comunicación a ciertos Órganos Comunicación entre Administraciones Públicas Interés vital o realización de estudios epidemiológicos
CONSERVACIÓN DE LOS DATOS Principio: Si no se celebra el contrato: Los datos deberán cancelarse una vez transcurrido el plazo de aceptación de la oferta Si se celebra el contrato: Los datos deberán cancelarse una vez resuelto o cumplido el contrato Excepción: Los datos podrán conservarse si el afectado lo ha consentido y para los fines que haya consentido
CANCELACIÓN DE LOS DATOS No equivale al borrado físico, dará lugar al BLOQUEO de los datos, quedando estos a disposición de las autoridades judiciales o administrativas para responder de las posibles responsabilidades. En todo caso, los datos no podrán ser utilizados para ningún fin, dado que se ha debido producir su cancelación. Cumplidos los plazos de prescripción, deberá producirse el borrado físico de los datos.
LA PROTECCIÓN DE DATOS especialmente en la MEDIACIÓN
A efectos de la LOPD las distintas figuras que intervienen en la actividad de mediación tendrán la condición de responsables o encargados del tratamiento RESPONSABLE DEL TRATAMIENTO Corredores ENCARGADO DEL TRATAMIENTO Agentes de seguros Operadores de banca seguros (OBS) Auxiliar Externo
ACTIVIDAD DE MEDIACIÓN La diferente naturaleza de los mediadores implica que: Los agentes y operadores sean encargados del tratamiento y por tanto, deban suscribir un contrato en los términos del artículo 12 de la LOPD. Los corredores sean responsables del tratamiento y por ello, la transmisión de datos implica una cesión o comunicación de datos según se define en artículo 11 de la LOPD. No precisa consentimiento, porque es necesario para la perfección de la relación jurídica buscada por el cliente. No obstante, deberá informarse de la misma al cliente.
CORREDORES Responsables del tratamiento respecto de los datos de las personas que acudan a ellos. (Artículo 62.1.c de la Ley 26/2006 de Mediación).
CORREDORES CONSENTIMIENTO: NO ES PRECISO CONTAR CON EL CONSENTIMIENTO DE LAS PERSONAS QUE ACUDAN A ELLOS PARA SOLICITAR UN SEGURO, EN LOS SIGUIENTES CASOS: Antes de contratar un seguro para prestar asesoramiento y para trasladar los datos a la aseguradora con la que contraten. Después de celebrarlo para ofrecer el asesoramiento que determina la Ley de Mediación. Se debe informar siempre al cliente de la cesión de sus datos al asegurador
CORREDORES TRATAMIENTO DE LOS DATOS ES NECESARIO EL CONSENTIMIENTO EXPRESO, EN LOS SIGUIENTES CASOS: Suscribir un nuevo contrato. Modificar o rescindir el contrato de seguro en vigor. Nueva contratación de clientes que procedan de otras aseguradoras. Tratamiento de datos con una finalidad distinta a las anteriores, por ejemplo: envío de publicidad por cualquier medio, incluidos medios electrónicos.
CORREDORES TRATAMIENTO DE LOS DATOS (Cont.) REQUISITOS EN TODOS LOS SUPUESTOS Autorización inequívoca del cliente. Para poder probarlo es conveniente tener condiciones particulares firmadas y algún documento que acredite la personalidad como por ejemplo DNI. Informar sobre el uso/finalidad de sus datos (artículo 5 LOPD).
CANCELACION DE LOS DATOS CORREDORES CANCELACION DE LOS DATOS Una vez finalizada la relación contractual, salvo que con anterioridad a la resolución, hubiera obtenido del cliente el consentimiento para efectuar su tratamiento para otros fines (como publicidad, etc.) y, en particular, para la celebración de un nuevo contrato de seguro. Si pierde la condición de mediador de seguros.
AGENTES Y OPERADORES BANCA SEGUROS Encargados del tratamiento de los datos de clientes de las Aseguradoras con las que hubieran celebrado el correspondiente contrato de Agencia. (Artículo 62.1.a de la Ley 26/2006 de Mediación). Dependen del Asegurador (Responsable del Fichero) para el tratamiento de los datos.
REQUISITOS CUANDO HAY UN ENCARGADO DEL TRATAMIENTO Existencia de un contrato entre el responsable y el encargado del tratamiento. Contenido: Mención expresa de que el encargado sólo tratará los datos conforme a las instrucciones del responsable El encargado no aplicará los datos a otro fin El encargado implantará las medidas de seguridad legalmente exigidas El encargado no transmitirá los datos ni siquiera para su conservación a un tercero (prohibición de subcontratar salvo que haya sido apoderado expresamente por el responsable, actuando en su nombre) El encargado destruirá los datos al terminar la relación o los devolverá al responsable
AGENTES Y OBS TRATAMIENTO DE LOS DATOS Precisa que en el contrato que se firme recoja todo lo que determina el artículo 12 de la LOPD En nombre y por cuenta del Asegurador . De acuerdo con las instrucciones que reciba del Asegurador. Para ningún otro fin distinto al establecido en el contrato de seguro. Darán cuenta al Asegurador de las peticiones que reciban de los clientes ejercitando sus derechos de acceso, rectificación, cancelación y oposición.
Recomendaciones en la actividad de mediación 1.- Los datos facilitados para la contratación de una póliza no pueden ser utilizados para la contratación de otro seguro, salvo que exista consentimiento expreso del cliente. 2.- Es importante que las condiciones particulares estén firmadas con el fin de poder acreditar el consentimiento del asegurado, ante una denuncia de la AEPD. 3.- Es obligatorio contestar , en el plazo que determina la LOPD, el ejercicio de los derechos ARCO, por ello cualquier escrito que se reciba en este sentido de un cliente se debe trasladar inmediatamente a la Aseguradora.
Recomendaciones en la actividad de mediación (cont.) 4.- Los datos de los clientes sólo se pueden utilizar para la relación contractual para que se solicitaron. Si se quieren usar para otros fines -por ejemplo publicitarios-, el cliente debe haber consentido previamente de forma inequívoca. 5.- Se deben adoptar las medidas de seguridad que determina la LOPD y su reglamento, con el fin de que evitar una alteración, pérdida y acceso no autorizado a los datos. El no cumplir con lo que determina la normativa de protección de datos puede implicar graves sanciones económicas por parte de la Agencia Española de Protección de Datos, que podrían llegar incluso a los 600.000.-€.