Responsabilitat del tractament en la mediació d'assegurances
Josep Aragonés Salvat 03/10/2019
Mediació d'assegurances
En aquest document pretenem identificar les responsabilitats de cada un dels intervinents en el tractament de dades personals en la mediació d'assegurances.
En aquesta mediació ens trobem amb diverses figures amb responsabilitats diferents. Anem a detallar les possibilitats existents per a cada cas:
DEFINICIONS:
- Mediació: activitat consistent en la presentació, proposta o realització de treballs previs a la celebració d'un contracte d'assegurança, així com l'assistència en la gestió i execució d'aquests contractes.
- Mediador: el que hi ha entre el prenedor d'assegurança i l'entitat asseguradora. Pot ser agent o corredor d'assegurances.
- Agent: mediador vinculat a una entitat asseguradora.
- Corredor: mediador independent, no vinculat a cap entitat asseguradora.
- Col·laborador: el que actua per compte del mediador en la distribució de productes d'assegurances. No té condició de mediador, i desenvolupa la seva activitat sota la direcció, responsabilitat i règim de capacitat financera del mediador per al qual actuï.
RELACIONS AMB ELS INTERVINENTS A LA CONTRACTACIÓ D'ASSEGURANCES
- Mediació d'assegurança individual
- Agent: actua davant l'interessat com ET de l'entitat asseguradora (RT).
- Corredor: actua davant l'interessat com RT.
- Col·laborador: actua davant l'interessat com ET de l'agent o corredor.
- Mediació d'assegurança col·lectiva
- Agent, Corredor i Col·laborador: actuen davant l'Empresa client com ET.
- Contractació d'assegurança (en tots els casos)
- Agent i Corredor: actua com ET de l'entitat asseguradora per al manteniment administratiu (facturació, cobertures, etc.) i de sinistres.
- Col·laborador: actua com SubET de l'Agent o Corredor.
- Entitat asseguradora: actua com RT dels assegurats (interessats).
RESUM
| Figura | Actua com | Davant | Observacions |
| AGENT | ET | l'Interessat la Empresa client l'Entitat asseguradora |
Tracta les dades per compte de l'Entitat asseguradora Tracta les dades per compte de l'Empresa client Tracta les dades per compte de l'Entitat asseguradora |
| CORREDOR | RT ET |
l'Interessat la Empresa cliente |
Tracta les dades per compte propi Tracta les dades per compte de l'Empresa client |
| RT1 ET2 |
l'Entitat asseguradora | 1 Interessat: li cedeix les dades com DD emissor 2 Empresa client: els tracta per compte de l'entitat asseguradora |
|
| COL·LABORADOR | ET | l'Interessat l'Empresa client l'Agent o Corredor |
Tracta les dades per compte de l'Agent o Corredor Tracta les dades per compte de l'Empresa client Tracta les dades per compte de l'Agent o Corredor |
| EMPRESA CLIENT | RT | l'Agent o Corredor el Col·laborador l'Entitat asseguradora |
Encarrega el tractament per a la mediació d'assegurances Encarrega el tractament per a la mediació d'assegurances Contracta l'assegurança: li cedeix les dades com DD emissor |
Intervinents:
- Interessat: quan el prenedor de l'assegurança és una persona física (intervé directament l'interessat).
- Empresa client: quan el prenedor de l'assegurança és una persona jurídica (no intervé l'interessat).
- Entitat asseguradora, agent o corredor: empresa que rep les dades per contractar l'assegurança.
- RT (Responsable del tractament): determina fins i els mitjans del tractament.
- ET (Encarregat del tractament): tracta les dades per compte (encàrrec) de l'RT.
- DD (Destinatari de dades): emissor (cedeix o comunica dades) o receptor (rep dades d'una cessió, comunicació).
Segons disposa la Llei 26/2006, de 17 de juliol, de mediació d'assegurances i reassegurances privades, tindrem en compte que:
- Els AGENTS tindran la condició d'ET de l'entitat asseguradora amb la qual hagin celebrat el contracte d'agència.
- Quan un client (INTERESSAT) hagués signat un contracte d'assegurança, els mediadors vinculats no podran transmetre aquestes dades a altres entitats asseguradores per compte de les quals actuïn.
- Els CORREDORS tindran la condició de RT respecte de les dades de les persones que acudeixin a ells.
- Els COL·LABORADORS tindran la condició d'ET dels mediadors d'assegurances amb els que haguessin celebrat el contracte mercantil i només podran tractar les dades per a la distribució de productes d'assegurances actuant per compte d'aquests mediadors sota la seva responsabilitat i direcció.
NORMATIVA APLICABLE
Disposicions que afecten al tractament de dades personals en la mediació d'assegurances:
Llei 26/2006, de 17 de juliol, de mediació d'assegurances i reassegurances privades. Secció 5a Protecció de dades de caràcter personal
Article 62. Condició de responsable o encarregat del tractament
1. Als efectes que preveu la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal:
a) Els agents d'assegurances exclusius i els operadors de banca-assegurances exclusius tindran la condició d'encarregats del tractament de l'entitat asseguradora amb la qual haguessin celebrat el corresponent contracte d'agència, en els termes que preveu aquesta Llei.
b) Els agents d'assegurances vinculats i dels operadors de banca-assegurances vinculats tindran la condició d'encarregats del tractament de les entitats asseguradores amb les que haguessin celebrat el corresponent contracte d'agència, en els termes que preveu aquesta Llei.
Quan el client hagués signat un contracte d'assegurança, els agents d'assegurances vinculats i dels operadors de banca-assegurances vinculats han de tractar les dades del contracte de manera que únicament puguin ser coneguts per l'entitat asseguradora amb la qual s'hagués celebrat el contracte, sense que puguin tenir accés a aquestes dades les restants entitats asseguradores per compte de les quals actuïn.
c) Els corredors d'assegurances i els corredors de reassegurances tindran la condició de responsables del tractament respecte de les dades de les persones que acudeixin a ells.
d) Els auxiliars externs a què es refereix l'article 8 d'aquesta Llei tindran la condició d'encarregats del tractament dels agents o corredors d'assegurances amb els que haguessin celebrat el corresponent contracte mercantil. En aquest cas, només podran tractar les dades per als fins previstos en l'apartat 1 de l'esmentat article 8.
b) Els agents d'assegurances vinculats i dels operadors de banca-assegurances vinculats tindran la condició d'encarregats del tractament de les entitats asseguradores amb les que haguessin celebrat el corresponent contracte d'agència, en els termes que preveu aquesta Llei.
Quan el client hagués signat un contracte d'assegurança, els agents d'assegurances vinculats i dels operadors de banca-assegurances vinculats han de tractar les dades del contracte de manera que únicament puguin ser coneguts per l'entitat asseguradora amb la qual s'hagués celebrat el contracte, sense que puguin tenir accés a aquestes dades les restants entitats asseguradores per compte de les quals actuïn.
c) Els corredors d'assegurances i els corredors de reassegurances tindran la condició de responsables del tractament respecte de les dades de les persones que acudeixin a ells.
d) Els auxiliars externs a què es refereix l'article 8 d'aquesta Llei tindran la condició d'encarregats del tractament dels agents o corredors d'assegurances amb els que haguessin celebrat el corresponent contracte mercantil. En aquest cas, només podran tractar les dades per als fins previstos en l'apartat 1 de l'esmentat article 8.
2. En els supòsits que preveuen les lletres a) ib) de l'apartat 1 anterior, en el contracte d'agència s'han de fer constar els aspectes que preveu l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre, i, en particular, la indicació de si l'agent d'assegurances va a celebrar contractes mercantils amb els auxiliars externs, als quals es refereix l'article 8 d'aquesta Llei.
De la mateixa manera, en el supòsit que preveu l'apartat 1.d) anterior s'han d'incloure en el contracte mercantil formalitzat amb els auxiliars externs els aspectes que preveu l'article 12 de la Llei Orgànica 15/1999, de 13 de desembre.
Article 63. Altres normes de protecció de dades
1. En la publicitat que remetin a tercers els mediadors d'assegurances i els corredors de reassegurances a través de comunicacions electròniques haurà d'estar-se al que disposen els articles 21 i 22.1 de la Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic.
2. Els agents d'assegurances i operadors de banca-assegurances únicament podran tractar les dades dels interessats en els termes i amb l'abast que es desprengui del contracte d'agència d'assegurances i sempre en nom i per compte de l'entitat asseguradora amb la qual hagin celebrat el contracte.
Els operadors de banca-assegurances no podran tractar les dades relacionades amb la seva activitat mediadora per a fins propis del seu objecte social sense comptar amb el consentiment inequívoc i específic dels afectats.
3. Els corredors d'assegurances poden tractar les dades de les persones que s'adrecin a ells, sense necessitat de comptar amb el seu consentiment:
a) Abans que aquells subscriguin el contracte d'assegurança, amb les finalitats d'oferir-los l'assessorament independent, professional i imparcial a què es refereix aquesta Llei i de facilitar aquestes dades a l'entitat asseguradora o reasseguradora amb la qual anés a celebrar-se el corresponent contracte.
b) Després d'celebrat el contracte d'assegurança, exclusivament per oferir-los l'assessorament independent, professional i imparcial a què es refereix aquesta Llei o als fins previstos en el seu article 26.3.
Per a la utilització i tractament de les dades per a qualsevol altra finalitat diferent de les establertes en les dues lletres anteriors, els corredors d'assegurances han de tenir el consentiment dels interessats.
4. Resolt el contracte d'assegurança en la mediació hagués intervingut un corredor d'assegurances o un corredor de reassegurances, aquest haurà de procedir a la cancel·lació de les dades, llevat que l'interessat li hagués autoritzat el tractament de les seves dades per a altres finalitats i, en particular , per a la celebració d'un nou contracte.
En tot cas, el corredor d'assegurances i el corredor de reassegurances no podran facilitar les dades de l'interessat a una altra entitat diferent d'aquella amb la qual l'interessat hagués celebrat el contracte resolt si no el seu consentiment inequívoc per a això.
Article 8. Els col·laboradors externs dels mediadors d'assegurances
1. Els mediadors d'assegurances podran celebrar contractes mercantils amb col·laboradors externs que col·laborin amb ells en la distribució de productes d'assegurances actuant per compte d'aquests mediadors sota la seva responsabilitat i direcció, en els termes que les parts acordin lliurement.
La Direcció General d'Assegurances i Fons de Pensions ha d'establir les línies generals i els principis bàsics que hauran de complir els programes de formació dels col·laboradors pel que fa al seu contingut, organització i execució.
2. Els col·laboradors externs no tindran la condició de mediadors d'assegurances, i desenvoluparan la seva activitat sota la direcció, responsabilitat i règim de capacitat financera del mediador d'assegurances per al qual actuïn.
Els col·laboradors hauran d'identificar-se com a tals i indicar també la identitat del mediador per compte del qual actuen. En virtut del contracte mercantil amb aquest, la informació que han de proporcionar al prenedor d'assegurances serà tota o part de l'establerta en l'article 42, sense que en cap cas el prenedor deixi de rebre aquesta informació completa.
3. Els mediadors d'assegurances han de portar un llibre registre en què s'anotaran les dades personals identificatives dels col·laboradors externs, amb indicació de la data d'alta i, si s'escau, la de baixa, que quedarà sotmès al control de la Direcció General d'Assegurances i fons de pensions.
4. Un col·laborador extern d'un mediador d'assegurances, persona física o jurídica, no podrà col·laborar amb altres mediadors d'assegurances de diferent classe a la d'aquell que el va contractar en primer lloc. A més, si és col·laborador extern d'un agent exclusiu, només podrà col·laborar amb altres agents exclusius de la mateixa entitat asseguradora.
Article 12. LOPD. Accés a les dades per compte de tercers (derogat i substituït per l'art. 33 de la LOPDGDD)
1. No es considera comunicació de dades l'accés d'un tercer a les dades quan l'accés sigui necessari per a la prestació d'un servei al responsable del tractament.
2. La realització de tractaments per compte de tercers ha d'estar regulada en un contracte que ha de constar per escrit o en alguna altra forma que permeti acreditar la seva celebració i contingut, establint expressament que l'encarregat del tractament únicament tractarà les dades conforme a les instruccions del responsable del tractament, que no les aplicarà o utilitzarà amb finalitat diferent de la que figuri en el contracte, ni les comunicarà, ni tan sols per a la seva conservació, a altres persones.
En el contracte també ha d'estipular, les mesures de seguretat a què es refereix l'article 9 d'aquesta Llei que l'encarregat del tractament està obligat a implementar.
3. Un cop complerta la prestació contractual, les dades de caràcter personal han de ser destruïdes o retornades al responsable del tractament, igual que qualsevol suport o documents en què consti alguna dada de caràcter personal objecte del tractament.
4. En el cas que l'encarregat del tractament destini les dades a una altra finalitat, les comuniqui o les utilitzi incomplint les estipulacions del contracte, serà considerat també responsable del tractament, responent de les infraccions en què hagués incorregut personalment.
Article 33 LOPDGDD. Encarregat del tractament
1. L'accés per part d'un encarregat de tractament a les dades personals que siguin necessaris per a la prestació d'un servei al responsable no es considera comunicació de dades sempre que es compleixi el que estableix el Reglament (UE) 2016/679, en la present llei orgànica i les seves normes de desenvolupament.
2. Tindrà la consideració de responsable del tractament i no la d'encarregat qui en el seu propi nom i sense que consti que actua per compte d'un altre, estableixi relacions amb els afectats tot i que hi hagi un contracte o acte jurídic amb el contingut fixat en l'article 28.3 del Reglament (UE) 2016/679. Aquesta previsió no serà aplicable als encàrrecs de tractament efectuats en el marc de la legislació de contractació del sector públic.
També es considera de responsable del tractament qui figurant com a encarregat utilitzés les dades per a les seves pròpies finalitats.
3. El responsable del tractament ha de determinar si, quan finalitzi la prestació dels serveis de l'encarregat, les dades personals han de ser destruïts, retornats al responsable o lliurats, si escau, a un nou encarregat.
No és procedent la destrucció de les dades quan existeixi una previsió legal que obligui a la seva conservació, en aquest cas hauran de ser retornats al responsable, que garantirà la seva conservació mentre aquesta obligació persisteixi.
4. L'encarregat del tractament podrà conservar, degudament bloquejades, les dades en tant puguin derivar responsabilitats de la seva relació amb el responsable del tractament.
5. En l'àmbit del sector públic podran atribuir-se les competències pròpies d'un encarregat del tractament a un determinat òrgan de l'Administració General de l'Estat, l'Administració de les comunitats autònomes, les entitats que integren l'Administració local o als organismes vinculats o dependents de les mateixes mitjançant l'adopció d'una norma reguladora d'aquestes competències, que haurà d'incorporar el contingut exigit per l'article 28.3 del Reglament (UE) 2016/679.
Article 21 LSSI. Prohibició de comunicacions comercials realitzades a través de correu electrònic o mitjans de comunicació electrònica equivalents
1. Queda prohibit l'enviament de comunicacions publicitàries o promocionals per correu electrònic o altre mitjà de comunicació electrònica equivalent que prèviament no haguessin estat sol·licitades o expressament autoritzades pels destinataris de les mateixes.
2. El que disposa l'apartat anterior no és aplicable quan hi hagi una relació contractual prèvia, sempre que el prestador hagués obtingut de forma lícita les dades de contacte del destinatari i les empreses per a l'enviament de comunicacions comercials referents a productes o serveis de la seva pròpia empresa que siguin similars als que inicialment van ser objecte de contractació amb el client.
En tot cas, el prestador ha d'oferir al destinatari la possibilitat d'oposar-se al tractament de les seves dades amb fins promocionals mitjançant un procediment senzill i gratuït, tant en el moment de recollida de les dades com en cadascuna de les comunicacions comercials que li dirigeixi.
Quan les comunicacions hagin estat trameses per correu electrònic, dit mitjà ha de consistir necessàriament en la inclusió d'una adreça de correu electrònic o una altra adreça electrònica vàlida on es pugui exercir aquest dret, i queda prohibit l'enviament de comunicacions que no incloguin aquesta direcció.
Article 22 LSSI. Drets dels destinataris de serveis
1. El destinatari podrà revocar en qualsevol moment el consentiment prestat a la recepció de comunicacions comercials amb la simple notificació de la seva voluntat al remitent.
A aquest efecte, els prestadors de serveis han d'habilitar procediments senzills i gratuïts perquè els destinataris de serveis puguin revocar el consentiment que hagin prestat. Quan les comunicacions hagin estat trameses per correu electrònic aquest mitjà ha de consistir necessàriament en la inclusió d'una adreça de correu electrònic o una altra adreça electrònica vàlida on es pugui exercir aquest dret queda prohibit l'enviament de comunicacions que no incloguin aquesta direcció.
Així mateix, han de facilitar informació accessible per mitjans electrònics sobre aquests procediments.
Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, per la qual es transposen a l'ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23 / UE i 2014/24 / UE, de 26 de febrer de 2014
Disposició addicional vintena cinquena. Protecció de dades de caràcter personal
1. Els contractes regulats en aquesta Llei que impliquin el tractament de dades de caràcter personal hauran de respectar en la seva integritat la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i la normativa de desenvolupament.
2. Per al cas que la contractació impliqui l'accés del contractista a dades de caràcter personal, del tractament sigui responsable l'entitat contractant, aquell tindrà la consideració d'encarregat del tractament.
En aquest supòsit, l'accés a aquestes dades no es considera comunicació de dades, quan es compleixi el que preveu l'article 12.2 i 3 de la Llei Orgànica 15/1999, de 13 de desembre. En tot cas, les previsions de l'article 12.2 de l'esmentada Llei han de constar per escrit.
Quan finalitzi la prestació contractual les dades de caràcter personal han de ser destruïdes o retornades a l'entitat contractant responsable, oa l'encarregat de tractament que aquesta hagués designat.
El tercer encarregat del tractament ha de conservar degudament bloquejades les dades en tant puguin derivar responsabilitats de la seva relació amb l'entitat responsable del tractament.
Disposició addicional vintena cinquena. Protecció de dades de caràcter personal
1. Els contractes regulats en aquesta Llei que impliquin el tractament de dades de caràcter personal hauran de respectar en la seva integritat la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i la normativa de desenvolupament.
2. Per al cas que la contractació impliqui l'accés del contractista a dades de caràcter personal, del tractament sigui responsable l'entitat contractant, aquell tindrà la consideració d'encarregat del tractament.
En aquest supòsit, l'accés a aquestes dades no es considera comunicació de dades, quan es compleixi el que preveu l'article 12.2 i 3 de la Llei Orgànica 15/1999, de 13 de desembre. En tot cas, les previsions de l'article 12.2 de l'esmentada Llei han de constar per escrit.
Quan finalitzi la prestació contractual les dades de caràcter personal han de ser destruïdes o retornades a l'entitat contractant responsable, oa l'encarregat de tractament que aquesta hagués designat.
El tercer encarregat del tractament ha de conservar degudament bloquejades les dades en tant puguin derivar responsabilitats de la seva relació amb l'entitat responsable del tractament.
3. En el cas que un tercer tracti dades personals per compte del contractista, encarregat del tractament, hauran de complir els requisits següents:
a) Que l'esmentat tractament s'hagi especificat en el contracte signat per l'entitat contractant i el contractista.
b) Que el tractament de dades de caràcter personal s'ajusti a les instruccions del responsable del tractament.
c) Que el contractista encarregat del tractament i el tercer formalitzin el contracte en els termes que preveu l'article 12.2 de la Llei Orgànica 15/1999, de 13 de desembre.
b) Que el tractament de dades de caràcter personal s'ajusti a les instruccions del responsable del tractament.
c) Que el contractista encarregat del tractament i el tercer formalitzin el contracte en els termes que preveu l'article 12.2 de la Llei Orgànica 15/1999, de 13 de desembre.
En aquests casos, el tercer també té la consideració d'encarregat del tractament.