Reglament Europeu de Protecció de Dades: resum en 12 idees per a corredors, corredores i corredories d’assegurances

Persecretariagremi

Reglament Europeu de Protecció de Dades: resum en 12 idees per a corredors, corredores i corredories d’assegurances

Davant la propera entrada en vigor el 25 de maig del nou Reglament Europeu de Protecció de Dades (GDPR en anglés), i donat el rebombori que existeix últimament als mitjans de comunicació i xarxes socials, us adjuntem un resum en 12 punts sobre com afecta als corredors, corredores i corredories de l’ACCA.

Val a dir que la norma europea no entra a aspectes tècnics informàtics o de comunicacions, per la qual cosa recomanem que feu servir la vostra empresa o consultoria informàtica de confiança pel que fa a les mesures concretes a adoptar per protegir les dades que tingueu a les vostres empreses. La vostra corredoria és la responsable d’adoptar les mesures de seguretat que considereu oportunes per tal d’evitar que les dades personals que tracteu no tinguin l’ús adequat, el Reglament no les concreta com en part es feia amb la normativa anterior.

Les idees bàsiques a tenir presents són, en la nostra opinió:

1)      Notificació de fitxers a l’Agència espanyola de Protecció de Dades: ja no s’haurà de fer. Al seu lloc, s’haurà de portar un registre d’activitats de tractament.

2)      Registre d’activitats de tractament: haurà de tenir al menys aquest contingut orientatiu:

–          Identificació del Responsable del tractament

–          Finalitat del tractament

–          Interessats

–          Categories de dades personals

–          Període de conservació

–          Transferències internacionals de dades

–          Mesures de seguretat

–          Encarregats del tractament

3)      Treballadors i col·laboradors externs: recordeu que han d’haver signat compromisos de confidencialitat. Es recomana a més que rebin formació sobre Protecció de Dades, però no és obligatòria legalment, ni cal fer-ho per FUNDAE barrejat amb una consultoria de protecció de dades, com algunes empreses oferten.

4)      Tot tractament de dades personals ha de tenir una base jurídica que el doni legitimitat, és a dir, un motiu legal per tractar-los. Les bases jurídiques que legitimen el tractament de dades són:

–          Existència d’una relació contractual

–          Consentiment exprés de l’afectat

–          Existència d’un interès legítim prevalent de la corredoria o dels seus col·laboradors als quals se’ls comuniquin dades personals

–          Obligació legal per a la corredoria

–          Altres (interès públic, necessitat vital de l’interessat)

5)      Consentiment: ara ha de ser sempre exprés, i la corredoria ha de poder demostrar que l’afectat li va autoritzar a tractar les seves dades. Ja no hi ha prou amb fórmules com ara “si abans de X dies no ens diu el contrari, entendrem que podem enviar comunicacions comercials…”, o bé les caselles pre-marcades als emails o pàgines web.

Per tant, us recomanem que reviseu les bases de dades que pugueu tenir de clients o potencials, o el vostre CRM, especialment si feu accions d’email- marketing com ara l’enviament de newsletters. Si no podeu demostrar que teniu el consentiment exprés de l’afectat, aquest us podria denunciar davant l’Agència espanyola de Protecció de Dades, i les sancions són força elevades.

Una opció davant aquests casos és que envieu un comunicat als vostres potencials o subscriptors comunicant el motiu pel qual teniu les seves dades, la finalitat per la qual les seguireu fent servir (inclòs l’enviament de comunicacions comercials, si fos el cas) i un botó o casella per tal que puguin consentir expressament que podem continuar fent servir les seves dades. Però recordeu que si són les dades dels vostres clients vigents no cal fer-ho, donat que les teniu per donar compliment al vostre contracte amb ells, és a dir, per donar-los el vostre servei com a mediadors d’assegurances.

6)      Drets de l’afectat: a més dels que ja tenien, s’amplien amb la finalitat que el client que demani les seves dades pugui rebre una còpia llegible en format electrònic.

7)      Mesures tècniques: el nou Reglament no entra a detallar mesures tècniques, les deixa a criteri de la corredoria (i dels seus assessors informàtics, afegim nosaltres).

8)      Anàlisi de riscos:  les corredories hauran de fer una valoració dels riscos que tenen a la seva organització. En el cas de les corredories “pime”, considerem que n’hi hauria prou amb una reflexió documentada sobre les implicacions dels tractaments en el drets i llibertats dels interessats, però la vostra consultoria us podrà ajudar si voleu anar una mica més enllà.

9)      Aquelles corredories que feu comunicacions comercials o de captació per via electrònica, recordeu que ja estàveu obligades des de fa anys a complir la Llei de Serveis de la Societat de la Informació i de Comerç Electrònic, que no canvia pel Reglament Europeu de Protecció de Dades. A títol de resum, recordeu tenir a la vostra web les següents clàusules:

–         Política de cookies

–          Avís legal

–          Política de privacitat

–          Condicions Generals de la Contractació (venda online)

–          Avisos legals al formulari de contacte, secció d’enviament de curricula…

10)  Dades “al núvol”: recomanem que consulteu amb la vostra consultoria informàtica l’adaptació dels vostres proveïdors de serveis a distància (com ara Google Drive, Dropbox, Mailchimp…) la seva adequació al RGPD, i la seva adhesió al Privacy Shield Framework en cas de tenir els servidors o les seus als Estats Units d’Amèrica.

11)  En cas de violacions de seguretat (robatori de la informació dels clients per empleats deslleials, intrusions informàtiques, robatori del servidor…), la corredoria ha de comunicar-lo a l’Agència Espanyola de Protecció de Dades en el termini màxim de 72 hores, excepte que veieu improbable que la violació de seguretat posi en risc els drets i llibertats de les persones físiques.

12)  Delegat de Protecció de Dades: al 99% de les corredories de l’ACCA no us caldrà tenir-lo, tot i que òbviament a qui el contracti no el perjudicarà. Encara no és del tot clar legalment, però la nostra opinió és que el tractament de dades que fan les corredories de la nostra Associació no és “a gran escala” com diu el Reglament Europeu, i per tant no seria obligatori contracte aquest Delegat (DPO en anglés); no obstant, veurem si la futura llei espanyola de protecció de dades concreta qué s’entén per “gran escala”.

Assessoria Jurídica

Associació Catalana de Corredors i Corredories d’Assegurances

Quant a l'autor

secretariagremi editor