Tratamiento de datos en la mediación de seguros
MEDIACIÓN DE SEGUROS
En este documento pretendemos identificar las responsabilidades de cada uno de los intervinientes en el tratamiento de datos personales en la mediación de seguros.
En dicha mediación nos encontramos con varias figuras con responsabilidades distintas. Vamos a detallar las posibilidades existentes para cada caso:
DEFINICIONES:
Mediación: actividad de presentación, propuesta o realización de trabajos previos a la celebración de un contrato de seguro o de reaseguro, o de celebración de estos contratos, así como la asistencia en la gestión y ejecución de dichos contratos, en particular en caso de siniestro; todo ello sin mantener vínculos contractuales que supongan afección con entidades aseguradoras, ofreciendo asesoramiento independiente, profesional e imparcial a quienes demanden la cobertura de los riesgos a que se encuentran expuestos sus personas, sus patrimonios, sus intereses o responsabilidades.- Mediador: toda persona física o jurídica, distinta de una entidad aseguradora o reaseguradora y de sus empleados, que, a cambio de una remuneración, emprenda o realice una actividad de distribución de seguros, es decir el que media entre el tomador de seguro y la entidad aseguradora. Puede ser:
- Agente: mediador vinculado a una entidad aseguradora.
- Corredor: mediador independiente, no vinculado a ninguna entidad aseguradora.
- Colaborador: el que actúa por cuenta del mediador en la distribución de productos de seguros. No tiene condición de mediador, y desarrolla su actividad bajo la dirección, responsabilidad y régimen de capacidad financiera del mediador para el que actúe.
RESPONSABILIDAD DEL TRATAMIENTO EN LA MEDIACIÓN DE SEGUROS
- Mediación de seguro individual conforme al artículo 203.1 Real Decreto-ley 3/2020, y a los efectos previstos en el GDPR y la LOPDGDD
Cuando el tomador es una persona física (interesado).
-
- Agente: actúa ante el interesado como ET de la Entidad aseguradora (RT) con la que hubieran celebrado el correspondiente contrato de agencia.
- Corredor: actúa ante el interesado que acuda a él como RT.
- Colaborador: actúa ante el interesado como ET del Agente o Corredor con el que hubieran celebrado el correspondiente contrato mercantil.
- Entidad aseguradora: actúa como RT de los asegurados (interesados).
- Mediación de seguro colectivo
Cuando el tomador es una persona jurídica (empresa).
-
- Agente y colaborador: actúan ante la Empresa cliente como ET.
- Corredor y entidad aseguradora: actúan ante la Empresa cliente como RT.
- Empresa cliente: actúa ante los interesados (sus personas aseguradas) como RT que cede sus datos al corredor y a la entidad aseguradora.
RESUMEN
|
Figura |
Actúa como |
Ante |
Observaciones |
|
AGENTE |
ET |
el Interesado la Empresa cliente la Entidad aseguradora |
En cualquier caso, trata los datos por cuenta de la Entidad aseguradora |
|
CORREDOR |
RT RTR RTE |
el Interesado la Empresa cliente la Entidad aseguradora |
Trata los datos por cuenta propia RRecibe los datos de como DD receptor ECede los datos como DD emisor |
|
COLABORADOR |
ET |
el Interesado la Empresa cliente el Agente o Corredor |
En cualquier caso, trata los datos por cuenta del Agente o Corredor |
|
EMPRESA CLIENTE |
RT |
el Agente o Corredor el Colaborador la Entidad aseguradora |
En cualquier caso, contrata el seguro: cede los datos como DD emisor |
Intervinientes:
- Interesado: cuando el tomador del seguro es una persona física (interviene directamente el interesado).
- Empresa cliente: cuando el tomador del seguro es una persona jurídica
- Entidad aseguradora, Agente o Corredor: empresa que recibe los datos para contratar el seguro.
Abreviaturas:
- RT (Responsable del tratamiento): determina fines y los medios del tratamiento.
- ET (Encargado del tratamiento): trata los datos por cuenta (encargo) del RT.
- DD (Destinatario de datos): emisor (cede o comunica datos) o receptor (recibe datos de una cesión, comunicación).
LEGITIMACIÓN DEL TRATAMIENTO:
- Corredores y entidades aseguradoras: podrán tratar los datos de las personas que se dirijan a ellos amparándose en alguno de los supuestos del artículo 6.1 del GDPR.
CONSERVACIÓN DE DATOS PERSONALES:
- Corredores: resuelto el contrato de seguro en cuya distribución hubiera intervenido un corredor deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de los mismos para otras finalidades y, en particular, para la celebración de un nuevo contrato.
- Entidades aseguradoras: no podrán conservar los datos que les faciliten los mediadores de seguros, y que no deriven en la celebración de un contrato de seguro, estando obligadas a eliminarlos salvo que exista otra base jurídica que permita un tratamiento legítimo de los datos conforme al GDPR.
COMUNICACIONES DE DATOS PERSONALES:
- Corredores: no podrán facilitar los datos del interesado a otra entidad distinta de aquella con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
PUBLICIDAD A TRAVÉS DE MEDIOS ELECTRÓNICOS
- En la publicidad que remitan a terceros los mediadores de seguros, a través de comunicaciones electrónicas, deberá estarse a lo dispuesto en los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
NORMATIVA APLICABLE
Disposiciones que afectan al tratamiento de datos personales en la mediación de seguros:
Real Decreto-ley 3/2020, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la UE en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; (….)
Artículo 203. Condición de responsable o encargado del tratamiento.
1. A los efectos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, así como en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos:
a) Los agentes de seguros y los operadores de banca-seguros tendrán la condición de encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en el título I.
b) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.
c) Los colaboradores externos a los que se refiere el artículo 137 tendrán la condición de encargados del tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente contrato mercantil. En este caso, solo podrán tratar los datos para los fines previstos en el artículo 137.1.
2. En el supuesto previsto en la letra a) del apartado 1, en el contrato de agencia deberán hacerse constar los extremos previstos en el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Del mismo modo, en el supuesto previsto en el apartado 1.c) deberán incluirse en el contrato mercantil celebrado con los colaboradores externos los extremos previstos en el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
3. Las entidades aseguradoras no podrán conservar los datos que les faciliten los mediadores de seguros, y que no deriven en la celebración de un contrato de seguro, estando obligadas a eliminarlos salvo que exista otra base jurídica que permita un tratamiento legítimo de los datos conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Artículo 204. Otras normas de protección de datos.
1. En la publicidad que remitan a terceros los mediadores de seguros y reaseguros, a través de comunicaciones electrónicas, deberá estarse a lo dispuesto en los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
2. Los agentes de seguros y operadores de banca-seguros únicamente podrán tratar los datos de los interesados en los términos y con el alcance que se desprenda del contrato de agencia de seguros y siempre en nombre y por cuenta de la entidad aseguradora con la que hubieran celebrado el contrato.
Los operadores de banca-seguros no podrán tratar los datos relacionados con su actividad mediadora para fines propios de su objeto social sin contar con el consentimiento inequívoco y específico de los afectados.
3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos amparándose en alguno de los supuestos del artículo 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
4. Resuelto el contrato de seguro en cuya distribución hubiera intervenido un corredor de seguros o un corredor de reaseguros, este deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de los mismos para otras finalidades y, en particular, para la celebración de un nuevo contrato.
En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquella con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
5. El tratamiento de los datos que los distribuidores de seguros lleven a cabo para valorar la honorabilidad comercial y profesional en el marco de lo dispuesto en el título I, deberá limitarse a la exclusiva finalidad de suministro de la información a la Dirección General de Seguros y Fondos de Pensiones, quedando expresamente limitado el número de personas que dentro de la organización pueda tener acceso a dichos datos.
Artículo 8. Los colaboradores externos de los mediadores de seguros
1. Los mediadores de seguros podrán celebrar contratos mercantiles con colaboradores externos que colaboren con ellos en la distribución de productos de seguros actuando por cuenta de dichos mediadores bajo su responsabilidad y dirección, en los términos que las partes acuerden libremente.
La Dirección General de Seguros y Fondos de Pensiones establecerá las líneas generales y los principios básicos que habrán de cumplir los programas de formación de los colaboradores en cuanto a su contenido, organización y ejecución.
2. Los colaboradores externos no tendrán la condición de mediadores de seguros, y desarrollarán su actividad bajo la dirección, responsabilidad y régimen de capacidad financiera del mediador de seguros para el que actúen.
Los colaboradores deberán identificarse como tales e indicar también la identidad del mediador por cuenta del que actúen. En virtud del contrato mercantil con éste, la información que deberán proporcionar al tomador de seguros será toda o parte de la establecida en el artículo 42, sin que en ningún caso el tomador deje de recibir esa información completa.
3. Los mediadores de seguros llevarán un libro registro en el que anotarán los datos personales identificativos de los colaboradores externos, con indicación de la fecha de alta y, en su caso, la de baja, que quedará sometido al control de la Dirección General de Seguros y Fondos de Pensiones.
4. Un colaborador externo de un mediador de seguros, persona física o jurídica, no podrá colaborar con otros mediadores de seguros de distinta clase a la de aquél que le contrató en primer lugar. Además, si es colaborador externo de un agente exclusivo, sólo podrá colaborar con otros agentes exclusivos de la misma entidad aseguradora.
Artículo 33 LOPDGDD. Encargado del tratamiento
1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.
2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.
Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.
3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.
4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
Artículo 21 LSSI. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Artículo 22 LSSI. Derechos de los destinatarios de servicios
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.