EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL Y LOS MEDIADORES DE SEGUROS
Por América Brel
Abogado
En muchas ocasiones tanto el ciudadano de a pie, el empresario o el profesional, tarda en tener conocimiento de la abundante normativa que, cada vez mas, surge para imponernos obligaciones, a la vez que establece determinado tipo de sanciones por su incumplimiento.
En esta ocasión, al igual que sucedió con la Prevención de Riesgos Laborales, estamos ante una normativa que debe aplicarse, en parte, por imperativo de la Unión Europea. Obligaciones derivadas de la Ley que, muchas veces ignoramos y nos despreocupamos de cuales pueden ser las consecuencias de su incumplimiento, hasta que llega el momento irreversible de hacer frente a una sanción, normalmente pecuniaria, que podía haberse evitado con facilidad.
En relación al tratamiento de datos de carácter personal, existe una serie de deberes de obligado cumplimiento que afectan a un gran número de ciudadanos y prácticamente a la totalidad de las empresas y al mediador de seguros especialmente, en la medida que su trabajo implica necesariamente la obtención y custodia de datos personales de un gran número de personas, y en algunos casos –como en los cuestionarios o declaraciones de salud cuyas copias se archivan- de información considerada de especial protección. No está de más que dediquemos un poco de nuestro tiempo a informarnos de algo que debemos conocer.
Es mi intención, a través de este artículo, hacer una detallada y sencilla exposición de esta materia, con el fin de llegar al mayor número de agentes y corredores la ayuda necesaria por ser sujetos obligados a cumplir con la normativa legal vigente respecto a la protección de datos personales.
En principio debemos saber que desde el 26 de junio de 1999, las empresas y los profesionales que tratan datos de carácter personal están obligadas a implantar en sus sistemas de tratamiento, aquellas medidas de seguridad reguladas en el Real Decreto 994/1.999. El incumplimiento de estas medidas, es sancionable con multas que pueden oscilar desde 60.101 € hasta 601.012 € y ello, de acuerdo con lo dispuesto en el artículo 9, en relación con el 44.3 de la de la Ley 15/1999 de 13 de diciembre.
El control y vigilancia de la aplicación y cumplimiento de las normas que regulan la protección de datos de carácter personal, está encomendado a la Agencia de Protección de Datos, autoridad de control española dependiente del “Grupo” de la Comisión del Parlamento Europeo. Debemos tener en cuenta que este ente es totalmente autónomo e independiente de las instituciones políticas españolas.
Dicho esto, cabría hacerse la primera pregunta importante: ¿QUÉ
ES LA PROTECCIÓN DE DATOS?
Desde un punto de vista jurídico, podemos decir que estamos ante un conjunto de normas que desarrollando el artículo 18, 1 y 4 de la Constitución española, pretenden garantizar los derechos fundamentales de los afectados por el tratamiento de datos de carácter personal realizado por terceros.
Y esta normas sería de aplicación y afectaría a toda información referente a personas físicas identificadas o identificables (art. 2, L.O.P.D.) en cualquier tipo de soporte, ya sea informático, documental o de otro tipo; y en todos los ámbitos, tanto físicos como informáticos, de la empresa (locales, departamentos, archivos, etc.).
Como ya indicábamos al inicio del artículo esta normativa obliga a toda persona, física o jurídica – en consecuencia a los agentes, corredores y sociedades de agencia o corredurías- , que trate los datos de otros y exige que se dé cumplimiento a todos los requisitos de legalidad, legitimación y seguridad que establecen la Directiva 46/95, la Ley 15/1.999 de 13 de diciembre y el Real Decreto 994/1.999 de 11 de junio.
Y, llegados a este punto, de nuevo nos vemos obligados a plantearnos otra cuestión ¿QUÉ HEMOS DE HACER LOS EMPRESARIOS Y PROFESIONALES PARA DAR CUMPLIMIENTO A LA LEY?
Primeramente es necesaria la elaboración de un cuestionario en el que se harán constar una serie de datos relacionados todos ellos con la actividad de la empresa, elementos informáticos de que se dispone, tipo de datos personales con los que se trabaja, medidas de seguridad del local, informáticos y de otro tipo, así como personas que tienen acceso a la información, etc. La importancia de este cuestionario es vital, ya que la omisión de los conceptos globales que definan los grupos de datos conlleva una ineficacia de la protección a los efectos de evitar sanciones. Conviene aclarar que no se trata de la declaración ante la agencia de protección de datos de un listado de clientes, cuentas corrientes o domicilios, sino de la definición en conjunto de cada tipo de datos (por ejemplo, si se poseen datos financieros, bancarios, de salud, domicilios o patrimonio de los clientes).
Una vez recopilados, será imprescindible analizar su contenido y ver que tipo de medidas correctoras habrá que aplicar a la organización, estructura y elementos personales y materiales de la empresa para que, una vez aplicadas y realizadas las oportunas correcciones, se dote a la misma de un documento de seguridad que regule el tratamiento de la información referente a personas físicas identificadas o identificables y lo denominaremos “Documento de Seguridad.”
El documento de seguridad al que hacíamos referencia en nuestro anterior comentario (ver la Revista del Colegio de Mediadores nº...), es un reglamento interior que regula los accesos a la información y los sistemas que la contienen, su tratamiento (recogida, uso, archivo, conservación y aplicaciones) y la administración de los datos de carácter personal que están dentro o fuera de la empresa, pero que son tratados por su interés (art. 4,8, siguientes y concordantes del R.D. 994/1.999 de 11 de junio, en relación con el art. 9 de la Ley 15.999).
Por lo indicado en el párrafo anterior, es fácilmente deducible que, en este documento de seguridad, está implicado todo el personal de la empresa, tanto el que tiene acceso a la información, como aquél que sólo tiene acceso físico a los lugares en donde se encuentra la información o a los soportes que la contienen.
Evidentemente, a todos nos asalta una duda de vital importancia a la hora de pensar en la responsabilidad y quién la asume: ¿Quién tiene responsabilidad y hasta donde llega? De conformidad con lo dispuesto en el artículo 43 de la Ley Orgánica 15/1999 de 13 de diciembre, responden todos los responsables y encargados del tratamiento de los datos y en empresas pequeñas, carentes de un departamento específico, responderá el administrador de la sociedad o el titular persona física corredor o agente o quien efectivamente lleve el control básico del negocio, según el total del sistema sancionador previsto en el artículo 44 de la misma ley. Por consiguiente, es muy importante establecer quien o quienes y en que nivel, deben hacerse responsables de toda la información, de su puntual y meticulosa custodia, de cumplir fielmente con el mandato de la legislación ya mencionada.
El documento de seguridad a que hemos hecho referencia, ha de quedar en poder del responsable de los datos o del fichero a disposición de la inspección de la Agencia de Protección de Datos. Podríamos decir que el documento de seguridad sería algo así como el “manual de instrucciones”, el soporte que definirá cuales son los deberes y obligaciones de cada una de las personas responsables de la información, así como la forma correcta de tratar todos los datos, de acuerdo con el mandato legal.
En pura lógica, además de disponer del documento de seguridad, consecuencia del mismo será la implantación de los distintos niveles de seguridad que deban aplicarse en la empresa, en función de la calidad de la información que se almacene en sus bases de datos. Ello viene recogido en el ya mencionado Real Decreto 994/1.999 de 11 de junio.
Pero, ¿Qué son los niveles de seguridad?- Son categorías de protección. Categorías de protección que se aplicarán en función de la mayor o menor sensibilidad o grado de afectación de tales datos para con las personas a que los mismos se refieren. Por poner un ejemplo, es fácil comprender que será mas sensible un dato referente a una posible enfermedad o condición sexual, que al estado civil de una persona. En consecuencia, deberá estar mas protegido el primero que el segundo.
Y, puesto que hemos hablado de niveles de seguridad, ¿Cuáles son los niveles de seguridad que prescribe la Ley? Son tres: el básico (todos los ficheros); el medio (los básicos que además tienen datos referentes a solvencia patrimonial y crédito, antecedentes administrativos, penales, civiles y datos con los que se puede tener idea de la personalidad del afectado) y Alto (los básicos que, además de tener las medidas del medio, traten datos de salud, ideología, política, religión y otras análogas).
Una realizado el correspondiente estudio, llevadas a cabo las medidas correctoras y adecuado la empresa a lo ordenado por la legislación, surge una obligación ineludible, ya que no es suficiente con tener el documento de seguridad y en regla. Después de ello, existe la obligación legal de declarar los ficheros en el Registro General de Ficheros Automatizados de la Agencia de Protección de Datos, mediante los formularios oficiales facilitados por la propia Agencia. Se trata de un Registro Público donde se debe hacer constar el nombre del fichero, los fines y utilidades del mismo y el responsable con su dirección.
Su utilidad es que todos los afectados tengan la oportunidad de acceder a los ficheros privados y públicos en el caso de que sus datos hayan sido incluidos sin su consentimiento y/o conocimiento, para que pueda hacerse realidad el derecho de todos los ciudadanos a eliminar, modificar o corregir cualquier de sus datos que aparezcan en tales ficheros y para poder garantizar, de algún modo, la correcta utilización de los mismos y, además, para que la Agencia pueda regular y fiscalizar el cumplimiento de la Ley. Todo ello sin olvidar la utilidad para el mediador, ya que la correcta tramitación de la declaración ante la Agencia de Protección de datos implicará el correcto cumplimiento de la ley y evitará las importantísimas sanciones pecuniarias que supone su incumplimiento, cuyo mínimo supera los 60.000 Euros.
En otro orden de cosas y entre otras de las obligaciones derivadas de esta normativa, podemos enumerar como mas significativas, para quienes tengan datos de niveles medio y alto (prácticamente todos), deben someterse a auditorias anuales o bienales, además de que los datos de nivel alto, han de "viajar" encriptados.
Y la mas cruda realidad es que, quien no tenga el documento de seguridad, cuando se someta a la Auditoria de cuentas, se le ha de apuntar una incidencia mínima de riesgo para la que la Ley establece una sanción mínima de 60.101 €. Asimismo, el que disfrute de certificaciones de calidad (ISO, TUV, AENOR, ETC,) se encontrará con que la calidad en el tratamiento de los datos no cumple con los requisitos exigidos. La Agencia sanciona la no posesión del documento de seguridad, o la no declaración de los ficheros con multas que pueden oscilar, como ya dijimos, desde 60.101 € hasta 601.012 €.
El objetivo de estos comentarios no tiene más objeto que informar y prevenir a los mediadores –que por la naturaleza de su profesión tienen datos sensibles- de la necesidad de cumplimiento de esta normativa no sólo formalmente, sino correctamente dirigiéndose a quienes sean expertos en la materia, del mismo modo que se cuenta con asesores jurídicos, financieros o laborales ya que al tratarse de un tema tan específico, es necesario un conocimiento adecuado y profundo en el ámbito de la protección de datos.