Responsabilidad del tratamiento en la mediación de seguros
Josep Aragonés Salvat 03/10/2019
Mediación de seguros
En este documento pretendemos identificar las responsabilidades de cada uno de los intervinientes en el tratamiento de datos personales en la mediación de seguros.
En dicha mediación nos encontramos con varias figuras con responsabilidades distintas. Vamos a detallar las posibilidades existentes para cada caso:
DEFINICIONES:
- Mediación: actividad consistente en la presentación, propuesta o realización de trabajos previos a la celebración de un contrato de seguro, así como la asistencia en la gestión y ejecución de dichos contratos.
- Mediador: el que media entre el tomador de seguro y la entidad aseguradora. Puede ser agente o corredor de seguros.
- Agente: mediador vinculado a una entidad aseguradora.
- Corredor: mediador independiente, no vinculado a ninguna entidad aseguradora.
- Colaborador: el que actúa por cuenta del mediador en la distribución de productos de seguros. No tiene condición de mediador, y desarrolla su actividad bajo la dirección, responsabilidad y régimen de capacidad financiera del mediador para el que actúe.
RELACIONES CON LOS INTERVINIENTES EN LA CONTRATACIÓN DE SEGUROS
- Mediación de seguro individual
Cuando el tomador es una persona física - interesado.
- Agente: actúa ante el interesado como ET de la Entidad aseguradora (RT).
- Corredor: actúa ante el interesado como RT.
- Colaborador: actúa ante el interesado como ET del Agente o Corredor.
- Mediación de seguro colectivo
Cuando el tomador es una persona jurídica - empresa.
- Agente, Corredor y Colaborador: actúan ante la Empresa cliente como ET.
- Contratación de seguro (en todos los casos)
Una vez contratado el seguro, se ha terminado la mediación y, si es el caso, el encargo.
- Agente y Corredor: actúa como ET de la Entidad aseguradora para el mantenimiento administrativo (facturación, coberturas, etc.) y de siniestros.
- Colaborador: actúa como SubET del Agente o Corredor.
- Entidad aseguradora: actúa como RT de los asegurados (interesados).
RESUMEN
Figura |
Actúa como |
Ante |
Observaciones |
AGENTE |
ET |
el Interesado
la Empresa cliente
la Entidad aseguradora |
Trata los datos por cuenta de la Entidad aseguradora
Trata los datos por cuenta de la Empresa cliente
Trata los datos por cuenta de la Entidad aseguradora |
CORREDOR |
RT
ET |
el Interesado
la Empresa cliente |
Trata los datos por cuenta propia
Trata los datos por cuenta de la Empresa cliente |
RT1
ET2 |
la Entidad aseguradora |
1 Interesado: le cede los datos como DD emisor
2 Empresa cliente: los trata por cuenta de la Entidad aseguradora |
COLABORADOR |
ET |
el Interesado
la Empresa cliente
el Agente o Corredor |
Trata los datos por cuenta del Agente o Corredor
Trata los datos por cuenta de la Empresa cliente
Trata los datos por cuenta del Agente o Corredor |
EMPRESA CLIENTE |
RT |
el Agente o Corredor
el Colaborador
la Entidad aseguradora |
Encarga el tratamiento para la mediación de seguros
Encarga el tratamiento para la mediación de seguros
Contrata el seguro: le cede los datos como DD emisor |
Intervinientes:
- Interesado: cuando el tomador del seguro es una persona física (interviene directamente el interesado).
- Empresa cliente: cuando el tomador del seguro es una persona jurídica (no interviene el interesado).
- Entidad aseguradora, Agente o Corredor: empresa que recibe los datos para contratar el seguro.
Abreviaturas:
- RT (Responsable del tratamiento): determina fines y los medios del tratamiento.
- ET (Encargado del tratamiento): trata los datos por cuenta (encargo) del RT.
- DD (Destinatario de datos): emisor (cede o comunica datos) o receptor (recibe datos de una cesión, comunicación).
Según dispone la Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados, tendremos en cuenta que:
- Los AGENTES tendrán la condición de ET de la entidad aseguradora con la que hubieran celebrado el contrato de agencia.
- Cuando un cliente (INTERESADO) hubiera firmado un contrato de seguro, los mediadores vinculados no podrán transmitir estos datos a otras entidades aseguradoras por cuenta de las cuales actúen.
- Los CORREDORES tendrán la condición de RT respecto de los datos de las personas que acudan a ellos.
- Los COLABORADORES tendrán la condición de ET de los mediadores de seguros con los que hubieran celebrado el contrato mercantil y sólo podrán tratar los datos para la distribución de productos de seguros actuando por cuenta de dichos mediadores bajo su responsabilidad y dirección.
NORMATIVA APLICABLE
Disposiciones que afectan al tratamiento de datos personales en la mediación de seguros:
Ley 26/2006, de 17 de julio, de mediación de seguros y reaseguros privados. Sección 5 Protección de datos de carácter personal
Artículo 62. Condición de Responsable o Encargado del tratamiento
1. A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:
a) Los agentes de seguros exclusivos y los operadores de banca-seguros exclusivos tendrán la condición de encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley.
b) Los agentes de seguros vinculados y los operadores de banca-seguros vinculados tendrán la condición de encargados del tratamiento de las entidades aseguradoras con las que hubieran celebrado el correspondiente contrato de agencia, en los términos previstos en esta Ley.
Cuando el cliente hubiera firmado un contrato de seguro, los agentes de seguros vinculados y los operadores de banca-seguros vinculados deberán tratar los datos del contrato de forma que únicamente puedan ser conocidos por la entidad aseguradora con la que se hubiera celebrado el contrato, sin que puedan tener acceso a dichos datos las restantes entidades aseguradoras por cuenta de las cuales actúen.
c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.
d) Los auxiliares externos a los que se refiere el artículo 8 de esta Ley tendrán la condición de encargados del tratamiento de los agentes o corredores de seguros con los que hubieran celebrado el correspondiente contrato mercantil. En este caso, sólo podrán tratar los datos para los fines previstos en el apartado 1 de dicho artículo 8.
2. En los supuestos previstos en las letras a) y b) del apartado 1 anterior, en el contrato de agencia deberán hacerse constar los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, y, en particular, la indicación de si el agente de seguros va a celebrar contratos mercantiles con los auxiliares externos, a los que se refiere el artículo 8 de esta Ley.
Del mismo modo, en el supuesto previsto en el apartado 1.d) anterior deberán incluirse en el contrato mercantil celebrado con los auxiliares externos los extremos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre.
Artículo 63. Otras normas de protección de datos
1. En la publicidad que remitan a terceros los mediadores de seguros y los corredores de reaseguros a través de comunicaciones electrónicas deberá estarse a lo dispuesto en los artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
2. Los agentes de seguros y operadores de banca-seguros únicamente podrán tratar los datos de los interesados en los términos y con el alcance que se desprenda del contrato de agencia de seguros y siempre en nombre y por cuenta de la entidad aseguradora con la que hubieran celebrado el contrato.
Los operadores de banca-seguros no podrán tratar los datos relacionados con su actividad mediadora para fines propios de su objeto social sin contar con el consentimiento inequívoco y específico de los afectados.
3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:
a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.
b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3.
Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento de los interesados.
4. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato.
En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquella con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.
Artículo 8. Los colaboradores externos de los mediadores de seguros
1. Los mediadores de seguros podrán celebrar contratos mercantiles con colaboradores externos que colaboren con ellos en la distribución de productos de seguros actuando por cuenta de dichos mediadores bajo su responsabilidad y dirección, en los términos que las partes acuerden libremente.
La Dirección General de Seguros y Fondos de Pensiones establecerá las líneas generales y los principios básicos que habrán de cumplir los programas de formación de los colaboradores en cuanto a su contenido, organización y ejecución.
2. Los colaboradores externos no tendrán la condición de mediadores de seguros, y desarrollarán su actividad bajo la dirección, responsabilidad y régimen de capacidad financiera del mediador de seguros para el que actúen.
Los colaboradores deberán identificarse como tales e indicar también la identidad del mediador por cuenta del que actúen. En virtud del contrato mercantil con éste, la información que deberán proporcionar al tomador de seguros será toda o parte de la establecida en el artículo 42, sin que en ningún caso el tomador deje de recibir esa información completa.
3. Los mediadores de seguros llevarán un libro registro en el que anotarán los datos personales identificativos de los colaboradores externos, con indicación de la fecha de alta y, en su caso, la de baja, que quedará sometido al control de la Dirección General de Seguros y Fondos de Pensiones.
4. Un colaborador externo de un mediador de seguros, persona física o jurídica, no podrá colaborar con otros mediadores de seguros de distinta clase a la de aquél que le contrató en primer lugar. Además, si es colaborador externo de un agente exclusivo, sólo podrá colaborar con otros agentes exclusivos de la misma entidad aseguradora.
Artículo 12 LOPD. Acceso a los datos por cuenta de terceros (derogado y sustituido por el art. 33 de la LOPDGDD)
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Artículo 33 LOPDGDD. Encargado del tratamiento
1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.
2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.
Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.
3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.
4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
Artículo 21 LSSI. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Artículo 22 LSSI. Derechos de los destinatarios de servicios
1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014
Disposición adicional vigésima quinta. Protección de datos de carácter personal
1. Los contratos regulados en la presente Ley que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo.
2. Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel tendrá la consideración de encargado del tratamiento.
En este supuesto, el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 12.2 y 3 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, las previsiones del artículo 12.2 de dicha Ley deberán de constar por escrito.
Cuando finalice la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado de tratamiento que esta hubiese designado.
El tercero encargado del tratamiento conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la entidad responsable del tratamiento.
3. En el caso de que un tercero trate datos personales por cuenta del contratista, encargado del tratamiento, deberán de cumplirse los siguientes requisitos:
a) Que dicho tratamiento se haya especificado en el contrato firmado por la entidad contratante y el contratista.
b) Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
c) Que el contratista encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre.
En estos casos, el tercero tendrá también la consideración de encargado del tratamiento.