> El Data Privacy Institute (DPI) celebró el pasado 6 de marzo el primer desayuno de trabajo enfocado en el ámbito asegurador, en el marco de una serie de seminarios especializados que se organizarán con el objeto de compartir y generar conocimiento y buenas prácticas en ámbitos concretos de la protección de datos.

> La normativa introduce nuevos requerimientos que afectarán al modelo de negocio de las aseguradoras, como por ejemplo “Privacy Impact Assessment” y “Privacy by Design”.

El borrador del nuevo Reglamento Europeo de Protección de Datos no ha cogido por sorpresa al sector asegurador, ya que la normativa española relativa a este ámbito contempla cuestiones relacionadas con la protección de datos. No obstante, la complejidad del sector (múltiples figuras, tipología de seguros, entre otros) y la internacionalización de las operaciones ponen de relieve la falta de adecuación de la normativa actual frente a la evolución reciente del sector. Elena Mora, miembro del Data Privacy Institute (DPI) y Subdirectora del Marco Regulatorio de Mapfre, mantiene la necesidad de contar con una regulación común ya que es “necesario y positivo”, evitando que cada país contemple una normativa distinta.

Por otro lado, las compañías barajan las consecuencias que podrían suponer algunos de los nuevos requerimientos que previsiblemente introducirá la nueva normativa. Aspectos como “Privacy Impact Assessment” (análisis de impacto de privacidad) o “Privacy by Design” (privacidad desde el diseño) tendrán especial relevancia en el sector asegurador con el nuevo marco legal europeo.

El primero, Privacy Impact Assessment, contempla la necesidad de evaluar las consecuencias en el tratamiento de datos personales. En caso de datos sensibles, será necesario elaborar un plan que contemple los posibles riesgos. Un claro ejemplo de aplicación de la nueva normativa sería el tratamiento de información biométrica o los servicios basados en la geolocalización, como medida para calcular el seguro sanitario o el seguro de un vehículo respectivamente. “Se trata de aprovechar la capacidad tecnológica para hacer seguros a medida”, argumenta Javier Carbayo, miembro del Data Privacy Institute (DPI) y Gerente del Área de Gobierno, Riesgos y Cumplimiento en Ecix Group. Sin embargo, esto “supone que en el diseño de la póliza se tenga en cuenta la protección de los datos del tomador del seguro y, por tanto, se incluya la privacidad en el negocio. Con la nueva normativa europea la compañía aseguradora va a tener que demostrar que se ha tenido en cuenta la privacidad del cliente” añade Carbayo.

Por su parte, el concepto Privacy by Design supone que los sistemas que conforman el proceso tendrán que contemplar el cumplimiento de la normativa. “Lo que soporta el proceso deberá poder cumplir el Reglamento”, matiza Carbayo, por lo que las aseguradoras tendrán que interiorizar la privacidad en el proceso de diseño y elaboración del seguro.

En suma, la inclusión de ambos conceptos se traduce en una transformación del negocio que permita llevarlo a la práctica. Para ello, las aseguradoras tendrán que establecer una metodología en la que la privacidad sea comprendida como un elemento básico integrado que permita la gestión integral del riesgo. Sin duda, esta será una de las principales incógnitas de la nueva normativa. ¿Quién establece los parámetros para dicha metodología? En función de la metodología utilizada, los resultados podrán ser diferentes. “Partes de la premisa de que, ante un problema de seguridad, se cuestionará tanto el análisis de impacto realizado como las medidas de seguridad adoptadas”, explica Elena Mora. De ello también dependerá el coste de implantación de la nueva normativa en las compañías: “si se toman medidas desde el principio, el coste será mucho menor”, añade.

El Big Data en el sector asegurador

El reciente fenómeno Big Data por el que las compañías pueden hacer uso de enormes cantidades de información de origen interno (ficheros internos) y externo (como los ficheros comunes o redes sociales), supone el reto de adecuar las bases jurídicas a los nuevos avances tecnológicos. En este sentido, las compañías deben tener en cuenta los elementos habilitadores que planea la nueva normativa, como son el consentimiento explícito del cliente y el interés legítimo.

En relación al primero, con la nueva normativa europea el sector se plantea la necesidad de dar las herramientas al usuario para que gestione su privacidad. La información pública y las fuentes accesibles a todos, son una realidad frente al consentimiento, que la propuesta de Reglamento europeo no recoge. Sin embargo, la consulta de información personal es considerada tratamiento de datos y, por tanto, puede ser sancionada.

En el caso del interés legítimo, será necesario determinar la casuística para demostrar su aplicabilidad. El interés legítimo no cuenta con unas líneas maestras, no hay ninguna referencia y, por tanto, está sujeto a distintas interpretaciones. Las compañías podrían interpretar como interés legítimo la optimización de procesos internos, como el cálculo eficiente de las primas de las pólizas. No obstante, al no haber directrices por parte de las autoridades de control, este concepto podría perder valor en relación al consentimiento.

Sobre la relación jurídica, las aseguradoras abogan por un sistema abierto y apuestan por un modelo más competitivo. “Vamos a sufrir una monetización de la información”, mantiene el Subdirector del Data Privacy Institute (DPI), Carlos A. Saiz. Los clientes tendrán en su mano decidir sobre el tratamiento de sus datos si esto les supone un beneficio, vía ingresos o vía disminución en el coste del servicio.