Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

Comments are closed.