La entrada en vigor del Reglamento General de Protección de Datos (RGPD) ha supuesto un nuevo reto para los departamentos de cumplimiento normativo de las compañías de seguros por un doble motivo: primero, porque las compañías manejan a gran escala datos sensibles; y segundo, porque su compleja red de contratación de pólizas (compuesta por agentes, mediadores, corredores y agentes exclusivos, que a su vez comercializan sus pólizas tanto de forma presencial como telefónica o telemáticamente). Esto provoca que, en ocasiones, se puedan producir violaciones de la normativa protectora de los datos personales de sus asegurados.
Deteniéndonos en la habitual problemática que se presenta cuando las pólizas se contratan en una sucursal bancaria, por estar vinculadas a la contratación de un producto bancario (como puede ser una tarjeta de crédito, un crédito personal o un préstamo hipotecario), bajo el prisma de la sentencia de la Audiencia Nacional de 2 de febrero de 2018 rec. 486/2015, vamos a analizar las diferentes responsabilidades en que pueden incluir las compañías de seguros y las entidades financieras, cuando se comuniquen entre ellas los datos personales de sus clientes.
Esta sentencia trae su origen en la denuncia presentada por el asegurado ante la Agencia Española de Protección de Datos frente a CAIXABANK y frente a SEGURCAIXA ADESLAS y VIDACAIXA. Se denunciaba que el banco había comunicado a las aseguradoras los datos personales del cliente para que éstas pudieran concertar sus respectivos seguros vinculados a la tarjeta de crédito que éste había contratado en la sucursal de la entidad bancaria.
Se imputaba a las entidades aseguradoras, SEGURCAIXA ADESLAS y VIDACAIXA, una infracción del artículo 44.3.b) de la LOPD, que tipifica como infracción grave: “Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.Precepto que ha de relacionarse con el artículo 6.1 de dicha LOPD, que requiere el consentimiento inequívoco del afectado para tratar sus datos de carácter personal “salvo que la ley disponga otra cosa”. Consentimiento que se define en la letra h) del art. 3 LOPD como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.
En este caso ambas aseguradoras eran responsables del tratamiento de los datos, pero respecto de un tratamiento que habían encargado a un tercero, el banco. Pues bien, es jurisprudencia consolidada la que determina que cuando el artículo 43.1 alude al “responsable del fichero”, se comprende también al responsable del tratamiento, ex artículo 5 q) del Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD. Debe entenderse, por tanto, como responsable del fichero o del tratamiento la persona, física o jurídica, que decida sobre la finalidad, contenido y uso del tratamiento, y por encargado del tratamiento quien trata datos personales por cuenta del responsable del tratamiento.
Es al responsable del tratamiento a quien la ley impone las obligaciones derivadas del régimen jurídico de la protección de datos y quien ha de sufrir las sanciones junto al encargado del tratamiento cuando dichas obligaciones no se respetan.
De hecho, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (de aplicación directa a partir del 25 de abril de 2018) contempla asimismo las figuras del responsable y del encargado del tratamiento.
La primera en el artículo 24.1: “el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. Y el encargado del tratamiento en el artículo 28.1: “el responsable del tratamiento elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.
Responsable y encargado del tratamiento de datos que, sin lugar a dudas, resultan asimismo responsables de las infracciones en materia de protección de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo 82.2 del mismo Reglamento (UE) 2016/679.
Por tanto, en el caso resuelto por la Audiencia Nacional se concluye que la concurrencia de un encargado del tratamiento (CAIXABANK) en absoluto exime de responsabilidad a las entidades aseguradoras, toda vez que los datos personales tratados lo fueron con la finalidad de llevar a cabo unos contratos de seguro propios, en los que ellas eran las que decidían sobre la finalidad, contenido y uso del tratamiento de los datos personales recabados. Correspondía por tanto a SEGURCAIXA ADESLAS y VIDACAIXA acreditar que contaban con el consentimiento del titular de los datos personales tratados en la contratación de las pólizas.
En unos momentos como los actuales, en donde la irrupción de la tecnología en los procesos de contratación es imparable, unido la creciente presión que se viene haciendo por parte de los colegios profesionales de mediadores sobre el papel que desempeñan las entidades bancarias como agentes exclusivos, el cumplimiento del Reglamento de Protección de Datos se ha convertido en una prioridad que en ocasiones resulta muy complicado cumplir.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación