Aunque pueda parecer lo contrario, el 25 de mayo de 2018, día de la entrada en vigor del Reglamento Europeo de Protección de Datos, está cada vez más cerca. Mucho y bien se deberá trabajar para que las adaptaciones del sector a las exigencias del nuevo texto legal sean reales, efectivas y minimicen las posibilidades de incumplimiento.

data13

 

Bastante se ha hablado ya de las novedades del Reglamento: el DPO (Data Privacy Officer), el cambio en materia de consentimiento, las importantes sanciones que el incumplimiento puede acarrear, los principios de accountability, privacy by design & by default, el derecho al olvido, … pero hoy se destacarán aspectos concretos que impactan en la actividad aseguradora y en los que TIREA trabaja para cumplir con estas exigencias.

El régimen que, en materia de protección de datos, aplica al sector asegurador, se encuentra recogido en el art. 99 de la Ley 20/2015, de 14 de julio. En él estarían, con carácter general, todos los tratamientos que, para su propia actividad, necesita realizar el sector. Estaríamos, por tanto, dentro de los denominados tratamientos legítimos en la actividad aseguradora, siendo conformes a lo establecido en el artículo 6.1. f del Reglamento Europeo.

Gran parte de los trabajos que realiza TIREA para el sector asegurador tienen carácter consustancial a la propia actividad aseguradora y, salvo las cautelas legales necesarias para realizar correctamente la labor como prestador de servicios, la actividad soporte realizada para las entidades aseguradoras podrían considerarse que son o están dentro del interés legítimo de la actividad aseguradora.

Si bien lo anterior, hay figuras recogidas en el Reglamento cuyo impacto tiene gran relevancia y para los que se trabaja con el objetivo de dar una respuesta adecuada. Desde el Área de GRC de TIREA se ha promovido la creación de un Grupo de Trabajo Interno, de carácter transversal a todas las áreas de la compañía, que ha evaluado los aspectos a mejorar y aquellas situaciones y/o acciones que es necesario acometer para seguir dando a nuestros clientes las condiciones de fiabilidad y seguridad que nos demandan. ¿Qué figuras son éstas?:

  1. Principio de Accountability. Bajo este principio, también denominado de responsabilidad activa, se está en la línea de mejorar nuestros controles para seguir acreditando la conformidad de las actividades de tratamiento con el Reglamento.
  2. Derecho a la portabilidad de datos. Figura controvertida por su generalidad y falta de concreción. Facilitar, bajo este paraguas, más datos de los necesarios puede plantear problemas de competencia, excesivos costes, … se está a la espera de que se concrete el alcance de este derecho a través de la nueva ley que se está gestando en España.
  3. Evaluación del impacto de privacidad. Un proveedor debe trabajar, en todos sus proyectos, evaluando el impacto y los riesgos que el tratamiento de datos comporta, determina el nivel de riesgo y la probabilidad de que se materialice, implementar medidas mitigadoras y revisar, periódicamente, que las medidas son efectivas. Nuestro objetivo pasa por mejorar los procedimientos ya existentes, de modo que podamos acreditar antes nuestros clientes un alto grado de madurez y cumplimiento.

No cabe duda de que el esfuerzo será grande, pero se trabaja para que nuestra respuesta sea acorde a la trayectoria seguida hasta la fecha.