EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL Y LOS
MEDIADORES DE SEGUROS
Por América Brel
Abogado
En muchas ocasiones tanto el ciudadano de a pie, el empresario o el
profesional, tarda en tener conocimiento de la abundante normativa que,
cada vez mas, surge para imponernos obligaciones, a la vez que establece
determinado tipo de sanciones por su incumplimiento.
En esta ocasión, al igual que sucedió con la Prevención
de Riesgos Laborales, estamos ante una normativa que debe aplicarse,
en parte, por imperativo de la Unión Europea. Obligaciones derivadas
de la Ley que, muchas veces ignoramos y nos despreocupamos de cuales
pueden ser las consecuencias de su incumplimiento, hasta que llega el
momento irreversible de hacer frente a una sanción, normalmente
pecuniaria, que podía haberse evitado con facilidad.
En relación al tratamiento de datos de carácter personal,
existe una serie de deberes de obligado cumplimiento que afectan a un
gran número de ciudadanos y prácticamente a la totalidad
de las empresas y al mediador de seguros especialmente, en la medida
que su trabajo implica necesariamente la obtención y custodia
de datos personales de un gran número de personas, y en algunos
casos –como en los cuestionarios o declaraciones de salud cuyas
copias se archivan- de información considerada de especial protección.
No está de más que dediquemos un poco de nuestro tiempo
a informarnos de algo que debemos conocer.
Es mi intención, a través de este artículo, hacer
una detallada y sencilla exposición de esta materia, con el fin
de llegar al mayor número de agentes y corredores la ayuda necesaria
por ser sujetos obligados a cumplir con la normativa legal vigente respecto
a la protección de datos personales.
En principio debemos saber que desde el 26 de junio de 1999, las empresas
y los profesionales que tratan datos de carácter personal están
obligadas a implantar en sus sistemas de tratamiento, aquellas medidas
de seguridad reguladas en el Real Decreto 994/1.999. El incumplimiento
de estas medidas, es sancionable con multas que pueden oscilar desde
60.101 € hasta 601.012 € y ello, de acuerdo con lo dispuesto
en el artículo 9, en relación con el 44.3 de la de la
Ley 15/1999 de 13 de diciembre.
El control y vigilancia de la aplicación y cumplimiento de las
normas que regulan la protección de datos de carácter
personal, está encomendado a la Agencia de Protección
de Datos, autoridad de control española dependiente del “Grupo”
de la Comisión del Parlamento Europeo. Debemos tener en cuenta
que este ente es totalmente autónomo e independiente de las instituciones
políticas españolas.
Dicho esto, cabría hacerse la primera pregunta importante: ¿QUÉ
ES LA PROTECCIÓN DE DATOS?
Desde un punto de vista jurídico, podemos decir que estamos
ante un conjunto de normas que desarrollando el artículo 18,
1 y 4 de la Constitución española, pretenden garantizar
los derechos fundamentales de los afectados por el tratamiento de datos
de carácter personal realizado por terceros.
Y esta normas sería de aplicación y afectaría
a toda información referente a personas físicas identificadas
o identificables (art. 2, L.O.P.D.) en cualquier tipo de soporte, ya
sea informático, documental o de otro tipo; y en todos los ámbitos,
tanto físicos como informáticos, de la empresa (locales,
departamentos, archivos, etc.).
Como ya indicábamos al inicio del artículo esta normativa
obliga a toda persona, física o jurídica – en consecuencia
a los agentes, corredores y sociedades de agencia o corredurías-
, que trate los datos de otros y exige que se dé cumplimiento
a todos los requisitos de legalidad, legitimación y seguridad
que establecen la Directiva 46/95, la Ley 15/1.999 de 13 de diciembre
y el Real Decreto 994/1.999 de 11 de junio.
Y, llegados a este punto, de nuevo nos vemos obligados a plantearnos
otra cuestión ¿QUÉ HEMOS DE HACER LOS EMPRESARIOS
Y PROFESIONALES PARA DAR CUMPLIMIENTO A LA LEY?
Primeramente es necesaria la elaboración de un cuestionario
en el que se harán constar una serie de datos relacionados todos
ellos con la actividad de la empresa, elementos informáticos
de que se dispone, tipo de datos personales con los que se trabaja,
medidas de seguridad del local, informáticos y de otro tipo,
así como personas que tienen acceso a la información,
etc. La importancia de este cuestionario es vital, ya que la omisión
de los conceptos globales que definan los grupos de datos conlleva una
ineficacia de la protección a los efectos de evitar sanciones.
Conviene aclarar que no se trata de la declaración ante la agencia
de protección de datos de un listado de clientes, cuentas corrientes
o domicilios, sino de la definición en conjunto de cada tipo
de datos (por ejemplo, si se poseen datos financieros, bancarios, de
salud, domicilios o patrimonio de los clientes).
Una vez recopilados, será imprescindible analizar su contenido
y ver que tipo de medidas correctoras habrá que aplicar a la
organización, estructura y elementos personales y materiales
de la empresa para que, una vez aplicadas y realizadas las oportunas
correcciones, se dote a la misma de un documento de seguridad que regule
el tratamiento de la información referente a personas físicas
identificadas o identificables y lo denominaremos “Documento de
Seguridad.”
El documento de seguridad al que hacíamos referencia en nuestro
anterior comentario (ver la Revista del Colegio de Mediadores nº...),
es un reglamento interior que regula los accesos a la información
y los sistemas que la contienen, su tratamiento (recogida, uso, archivo,
conservación y aplicaciones) y la administración de los
datos de carácter personal que están dentro o fuera de
la empresa, pero que son tratados por su interés (art. 4,8, siguientes
y concordantes del R.D. 994/1.999 de 11 de junio, en relación
con el art. 9 de la Ley 15.999).
Por lo indicado en el párrafo anterior, es fácilmente
deducible que, en este documento de seguridad, está implicado
todo el personal de la empresa, tanto el que tiene acceso a la información,
como aquél que sólo tiene acceso físico a los lugares
en donde se encuentra la información o a los soportes que la
contienen.
Evidentemente, a todos nos asalta una duda de vital importancia a la
hora de pensar en la responsabilidad y quién la asume: ¿Quién
tiene responsabilidad y hasta donde llega? De conformidad con lo dispuesto
en el artículo 43 de la Ley Orgánica 15/1999 de 13 de
diciembre, responden todos los responsables y encargados del tratamiento
de los datos y en empresas pequeñas, carentes de un departamento
específico, responderá el administrador de la sociedad
o el titular persona física corredor o agente o quien efectivamente
lleve el control básico del negocio, según el total del
sistema sancionador previsto en el artículo 44 de la misma ley.
Por consiguiente, es muy importante establecer quien o quienes y en
que nivel, deben hacerse responsables de toda la información,
de su puntual y meticulosa custodia, de cumplir fielmente con el mandato
de la legislación ya mencionada.
El documento de seguridad a que hemos hecho referencia, ha de quedar
en poder del responsable de los datos o del fichero a disposición
de la inspección de la Agencia de Protección de Datos.
Podríamos decir que el documento de seguridad sería algo
así como el “manual de instrucciones”, el soporte
que definirá cuales son los deberes y obligaciones de cada una
de las personas responsables de la información, así como
la forma correcta de tratar todos los datos, de acuerdo con el mandato
legal.
En pura lógica, además de disponer del documento de seguridad,
consecuencia del mismo será la implantación de los distintos
niveles de seguridad que deban aplicarse en la empresa, en función
de la calidad de la información que se almacene en sus bases
de datos. Ello viene recogido en el ya mencionado Real Decreto 994/1.999
de 11 de junio.
Pero, ¿Qué son los niveles de seguridad?- Son categorías
de protección. Categorías de protección que se
aplicarán en función de la mayor o menor sensibilidad
o grado de afectación de tales datos para con las personas a
que los mismos se refieren. Por poner un ejemplo, es fácil comprender
que será mas sensible un dato referente a una posible enfermedad
o condición sexual, que al estado civil de una persona. En consecuencia,
deberá estar mas protegido el primero que el segundo.
Y, puesto que hemos hablado de niveles de seguridad, ¿Cuáles
son los niveles de seguridad que prescribe la Ley? Son tres: el básico
(todos los ficheros); el medio (los básicos que además
tienen datos referentes a solvencia patrimonial y crédito, antecedentes
administrativos, penales, civiles y datos con los que se puede tener
idea de la personalidad del afectado) y Alto (los básicos que,
además de tener las medidas del medio, traten datos de salud,
ideología, política, religión y otras análogas).
Una realizado el correspondiente estudio, llevadas a cabo las medidas
correctoras y adecuado la empresa a lo ordenado por la legislación,
surge una obligación ineludible, ya que no es suficiente con
tener el documento de seguridad y en regla. Después de ello,
existe la obligación legal de declarar los ficheros en el Registro
General de Ficheros Automatizados de la Agencia de Protección
de Datos, mediante los formularios oficiales facilitados por la propia
Agencia. Se trata de un Registro Público donde se debe hacer
constar el nombre del fichero, los fines y utilidades del mismo y el
responsable con su dirección.
Su utilidad es que todos los afectados tengan la oportunidad de acceder
a los ficheros privados y públicos en el caso de que sus datos
hayan sido incluidos sin su consentimiento y/o conocimiento, para que
pueda hacerse realidad el derecho de todos los ciudadanos a eliminar,
modificar o corregir cualquier de sus datos que aparezcan en tales ficheros
y para poder garantizar, de algún modo, la correcta utilización
de los mismos y, además, para que la Agencia pueda regular y
fiscalizar el cumplimiento de la Ley. Todo ello sin olvidar la utilidad
para el mediador, ya que la correcta tramitación de la declaración
ante la Agencia de Protección de datos implicará el correcto
cumplimiento de la ley y evitará las importantísimas sanciones
pecuniarias que supone su incumplimiento, cuyo mínimo supera
los 60.000 Euros.
En otro orden de cosas y entre otras de las obligaciones derivadas
de esta normativa, podemos enumerar como mas significativas, para quienes
tengan datos de niveles medio y alto (prácticamente todos), deben
someterse a auditorias anuales o bienales, además de que los
datos de nivel alto, han de "viajar" encriptados.
Y la mas cruda realidad es que, quien no tenga el documento de seguridad,
cuando se someta a la Auditoria de cuentas, se le ha de apuntar una
incidencia mínima de riesgo para la que la Ley establece una
sanción mínima de 60.101 €. Asimismo, el que disfrute
de certificaciones de calidad (ISO, TUV, AENOR, ETC,) se encontrará
con que la calidad en el tratamiento de los datos no cumple con los
requisitos exigidos. La Agencia sanciona la no posesión del documento
de seguridad, o la no declaración de los ficheros con multas
que pueden oscilar, como ya dijimos, desde 60.101 € hasta 601.012
€.
El objetivo de estos comentarios no tiene más objeto que informar
y prevenir a los mediadores –que por la naturaleza de su profesión
tienen datos sensibles- de la necesidad de cumplimiento de esta normativa
no sólo formalmente, sino correctamente dirigiéndose a
quienes sean expertos en la materia, del mismo modo que se cuenta con
asesores jurídicos, financieros o laborales ya que al tratarse
de un tema tan específico, es necesario un conocimiento adecuado
y profundo en el ámbito de la protección de datos.
