Para cumplir con los requisitos del nuevo RGPD que entrará en vigor en mayo de 2018, muchas organizaciones deberán contar con un Delegado de Protección de Datos. Pero, ¿qué es exactamente esta figura? ¿Cómo encajará en el sector asegurador? Intentamos esclarecer estas y otras cuestiones a través del presente post.
En el blog de Senassur no es la primera vez que nos ocupamos del Reglamento General de Protección de Datos (RGPD) europeo y su transposición a la legislación española. En concreto, la misma habrá de estar lista antes de que concluya el mes de mayo de 2018. Para entonces, de cara a garantizar el cumplimiento de la normativa de protección de datos en las organizaciones, estas últimas deberán contemplar la nueva figura del Delegado de Protección de Datos o Data Protection Officer (DPO).
En concreto, según recuerdan desde la Agencia Española de Protección de Datos (AEPD), “el DPO constituye uno de los elementos clave del RGPD, y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control”.
Y para desempeñar su labor, el Delegado de Protección de Datos habrá de contar con conocimientos especializados en Derecho, así como, obviamente, de protección de datos, y actuará de manera independiente. Entre sus funciones, reguladas en el artículo 39 del RGPD, se encuentran las de informar, asesorar y supervisar el cumplimiento del Reglamento por parte del responsable o encargado del tratamiento de los datos.
El perfil del Delegado de Protección de Datos
En relación al perfil del Delegado de Protección de Datos, en la AEPD precisan que:
- El RGPD no exige que el Delegado de Protección de Datos sea un jurista, pero sí ha de poseer conocimientos en Derecho.
- El DPO podrá ser interno o externo y persona física o jurídica especializada en la materia.
Sobre esta nueva figura, Carlos Alberto Saiz, director del Data Privacy Institute de ISMS Forum Spain, comentó durante la celebración del IX Encuentro de la Seguridad Integral (Seg2), celebrado el pasado mes de junio en Madrid, que “si hablamos de personas físicas, está claro que el DPO deberá ser un superdotado, ya que tendrá que analizar riesgos, gestionar incidentes, estar al día de los últimos avances tecnológicos, ser un experto jurídico, comunicar con empatía… Desde un economista hasta un abogado, son muchos los expertos que podrán desempeñar las funciones del DPO”.
Por su parte, Iván Bayo, abogado especialista en protección de datos y miembro de la Sociedad Española de Derecho de la Seguridad (SEDS), advirtió en el citado evento que, a día de hoy y con cada vez menos tiempo para que concluya el plazo de transposición del RGPD a la legislación española, “todavía existe un gran desconocimiento en las empresas sobre la figura del DPO, especialmente sobre quién o quiénes pueden hacerse cargo de sus funciones”.
En relación a este último apunte, y con el fin de generar confianza en los ciudadanos como propietarios de sus datos personales, la AEPD ha impulsado, junto a la Entidad Nacional de Acreditación (ENAC), un modelo de certificación –no obligatoria– para los DPO y un Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos formado por asociaciones como la Unión Española de Entidades Aseguradoras y Reaseguradoras (Unespa), organizaciones de varios sectores y las autoridades de protección de datos de Cataluña y País Vasco.
El Delegado de Protección de Datos y el sector asegurador
Sobre cómo afectará el nuevo RGPD a la industria aseguradora de nuestro país, Pilar González de Frutos, Presidenta de Unespa, ha manifestado al blog de Senassur que “el del seguro, como el resto de sectores industriales, se va a ver afectado muy directamente por el Reglamento, ya que contempla nuevos procedimientos que tendrán que implantarse y, por lo tanto, influirán en todos los ámbitos de las organizaciones. Pero la industria aseguradora de nuestro país está trabajando muy activamente para que todas las entidades estén plenamente adaptadas al RGPD a finales de mayo de 2018”.
Preguntada por la misma cuestión, Mónica Pons, Presidenta de Aunna Asociación, opina que “desde los mediadores hasta los productores, la industria aseguradora siempre ha sido muy consciente de la necesidad de garantizar y mantener al máximo nivel tanto la privacidad como la propia consistencia de los datos de sus clientes. Por ello, no le deberá suponer un gran esfuerzo adaptarse a los requisitos del RGPD”.
En relación al Delegado de Protección de Datos, Pilar González de Frutos recuerda que no es una figura nueva, ya que, desde la Ley Orgánica de Protección de Datos (LOPD), la misma se ha ido configurando dentro de las empresas. “De hecho, un porcentaje muy elevado de entidades aseguradoras cuenta con un responsable de protección de datos que, en muchos casos, es un comité multidisciplinar dentro de la entidad o grupo. Otra cuestión distinta es que las capacidades del DPO adquieran una nueva dimensión en el RGPD”, apunta la presidenta de Unespa.
En el caso de Aunna Asociación, hace una valoración muy favorable del DPO. “En el sector financiero, en el que operamos los corredores de seguros, estamos muy habituados a disponer de figuras independientes que facilitan la relación con los usuarios. Me refiero al Defensor del Cliente o al Departamento de Atención al Cliente. Desde ese punto de vista, la creación del DPO y la regulación de su figura no son algo nuevo y, además, creemos que influirá aún más positivamente en la percepción del consumidor final respecto a la profesionalidad del mediador con quien contrata”, señala Mónica Pons a nuestro blog.
Y sobre si el DPO será interno o externo y persona física o jurídica en el ámbito asegurador, Pilar González de Frutos considera que cada entidad aseguradora adoptará su propia estrategia. “En cualquier caso, lo que se debe tener en cuenta es que, en materia de normas, el DPO no sólo debe conocer la que regula la protección de datos, sino que, además, en el caso específico de las aseguradoras ha de ser experto en el denominado derecho de los seguros privados, que abarca una extensa y compleja normativa. Esto es así porque el DPO tiene que determinar si los tratamientos de datos están fundamentados en interés legítimo, obligaciones legales, etc. Además, debe conocer la organización interna para establecer los procedimientos de tratamientos de datos y la evaluación de riesgos, así como otras obligaciones que establece el RGPD y que han de supervisarse por el DPO”, recuerda la representante de Unespa.
De manera más concisa, Mónica Pons cree que, en lo relativo a la implantación del DPO, “lo lógico es que se apueste por un profesional externo de reconocido prestigio y competente, ya que la experiencia nos demuestra que es la opción más operativa y la que mejor responde a las necesidades y situación de la mayoría de corredores”.
Y de cara a la información relativa al RGPD y el DPO que se está transmitiendo a los corredores, la presidenta de Aunna Asociación esclarece que desde la entidad que representa “se informa a los socios de los contenidos y obligaciones del RGPD y también estamos coordinando acciones con otras asociaciones para consensuar un marco de relación común con las aseguradoras que facilite el cumplimiento de requisitos y la correcta utilización de los datos por ambas partes”.
En cuanto a la relación de la industria aseguradora con la AEPD, Pilar González de Frutos destaca la estrecha relación existente entre Unespa y la agencia desde que se aprobó la primera ley de regulación del tratamiento automatizado de los datos de carácter personal en 1992. “Ello ha permitido una plena adecuación del sector asegurador español a esta legislación. La industria del seguro ha abordado cada cambio normativo o iniciativa sectorial en la máxima coordinación con la AEPD, institución que tiene un gran conocimiento del sector y que ha sido de inestimable ayuda para que el del seguro sea, quizás, uno de los más adaptados en materia de protección de datos. Por lo tanto, esta misma dinámica de estrecha colaboración es la que seguiremos con el nuevo RGPD”, concluye la presidenta de Unespa.
Herramientas específicas
De cara a aquellos que todavía no tengan claras las directrices y objetivos del nuevo RGPD, la AEPD ha habilitado una web específica en la que, además del texto del Reglamento, pueden descargarse documentos sobre la figura del DPO, guías de interés, etc.
De manera especial, recomendamos consultar el apartado RGPD en 12 preguntas, ya que facilita conocer a qué empresas u organizaciones se aplica, qué implica la responsabilidad activa recogida en el Reglamento, si el RGPD supone una mayor carga de obligaciones para las empresas, si estas últimas deben revisar sus avisos de privacidad, etc.
La última herramienta desarrollada por la AEPD ha sido Facilita RGPD, que ayuda a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo Reglamento. Se trata de un cuestionario “online”, con una duración máxima de 20 minutos, que posibilita constatar si los datos que se tratan son de bajo riesgo y obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD al concluir el test.
También te puede interesar:
El Reglamento Europeo de Protección de Datos y el sector asegurador
