L’entrada en vigor del Reglament Europeu de Protecció de Dades (II)

En aquest segon article dedicat a aquest Reglament tractarem alguns altres interrogant que s’observa que mantenen oberts respecte a les obligacions i canvis precisos per adaptar-se a aquesta norma; també , de certs enteniments o interpretacions que es difonen en el mateix.

No es exacte que el Reglament Europeu, com a habitualment es repeteix inclòs per la pròpia AEPD, exigeixi una actuació i vigilància pro activa (preventiva o anticipatòria) en matèria de seguretat i protecció de dades. O cap mesura en concret com la pseudonomització (encriptat o xifrat de les dades), certificacions, adhesions a codis de conducta o d’altres. Molt més exactament, el Reglament té la marcada i inèdita singularitat de permetre a cada responsable del tractament l’autoavaluació i autor reglamentació de les mesures a aplicar. També, a l’hora de decidir si vol utilitzar el tractament per una finalitat diferent d’aquella per la que van ser recollits, el que el Reglament ara permet (art. 6.4). Això es l’important, la novetat i el que en la meva opinió ha de ressaltar. I això no per deixar-se alarmar ni per interpretar intensivament les obligacions en matèria de seguretat, sinó per aprofitar la veritable i certa entrega de llibertat de criteris que suposa. Lògicament, s’ha de fer algun tipus d’avaluació seriosa i digne d’aquest nom, no cal ni amb això s’invita a defraudar l’obligació però, certament, cal recordar els seus termes exactes i que el Reglament no estableix cap mètode en concret per l’avaluació de les mesures de seguretat a adoptar .
Clarament i en definitiva, el Reglament permet i opta per delegar la valoració discrecional i pròpia de cada responsable de les mesures que ha d’aplicar juntament amb els seus encarregats (arts. 6.4, 24.1, 25.1, 32.1 i 35.1 del Reglament). I es limita a proporcionar-li uns criteris per a que els ponderi: la naturalesa de les dades, finalitats, riscos per als drets i llibertats de les persones i altres conceptes jurídics indeterminats. En el concret cas de la mediació d’assegurances i el seu ús ordinari comercial, inclòs quan de manera incidental inclou dades referides a la salut que no integren un tractament com a tal específic, no s’aprecia, ni el Reglament permet deduir, que tinguin cap particularitat de risc, ni comprometen en absolut els drets i llibertats de les persones.
S’ha de dir que tot això fa molt difícil, per poc que s’apliquin unes mesures dins del raonable, i en tant no existeixi un desenvolupament legislatiu que permeti potser una altre conclusió, que ningú pugui ser sancionat per incompliment de mesures de seguretat: ho impedeix de nou un elemental sentit de la certesa del dret i de la seguretat jurídica (de clar i segur desenvolupament jurisprudencial) vista l’aposta contínua del propi Reglament per el propi criteri i valoració de cada responsable en els arts. 6.4, 24.1, 25.1, 32.1 i 35.1 del Reglament.
En altres paraules, si resulta que el legislador es remet al criteri i a la valoració de cada responsable, en el que clarament delega la ponderació d’una sèrie de factors, resultaria després contradictori sancionar per disconformitat amb dit criteri i ponderació si, efectivament, el responsable ho va fer. Si contemplava la possibilitat de no mostrar-se d’acord, i a més sancionar per això, el que hagués hagut de fer es no delegar, o be assenyalar un mètode o pautes precises, i no una combinació de conceptes jurídics indeterminats per una matèria que precisament destaca per la seva transversalitat, això és, per afectar a tot tipis d’activitats i professions dispars.
Pendent de qualsevol clarificació o desenvolupament en la futura llei de protecció de dades en la que la Agència ha referit quin treball permet, no només mantenir les mesures de seguretat que fins ara venien aplicant-se conforme a la legislació vigent, sinó reduir-les o atenuar-les si això s’avalua i justifica deguda i demostrablement. A més, es molt important saber que el Reglament Europeu permet ara utilitzar les dades per una finalitat diferent a aquella per a la que es recolliren sense consentiment de l’interessat, per sorprenent que sigui (art. 6.4 del Reglament). De nou, avaluat per el propi responsable del tractament i “tenint en compte” (diu l’art. 6.4 del Reglament sense referir tan sols una avaluació documentada o detallada), la relació entre les finalitats d’ús (l’inicial i aquells per la que es pugui utilitzar posteriorment), el context en que es van recollir, la naturalesa de les dades, les conseqüències per els interessats i les garanties adequades.
Tot l’anterior pot enllaçar-se amb la més àmplia qüestió del consentiment necessari per tractar les dades i la manera de documentar-se, i efectuar el següent resum: no necessita el mediador (corredor o agent) consentiment del client per tractar les seves dades amb la finalitat d’assessorar-lo, tarificar i buscar per ell una possible pòlissa, si ha obtingut aquestes dades de manera demostrable del client ( correu electrònic, formulari signat, etc.), i per tant, aquestes dades son necessàries per les mesures precontractuals que el client ha sol·licitat, o per el contracte per el que s’ha interessat: art. 6.1 b del Reglament Europeu de Protecció de dades. Necessita únicament proporcionar-li la informació que indica el Reglament, i que inclou també la relativa al ús complementari que es donaran a les dades (altres pòlisses del seu possible interès, alternatives en cas d’extinció, serveis complementaris). Però no es necessari que el client signi aquest document; n’hi ha prou amb justificar que se li va enviar (correu electrònic).

El mediador pot a més utilitzar directament aquestes mateixes dades per fer-les posteriorment altres ofertes per altres pòlisses no sol·licitades, o reemplaçar una vegada extingida la seva pòlissa, doncs aquests usos diferents poden considerar-se inclosos i dins dels requisits de l’art. 6.4 del Reglament Europeu citat abans, sempre i quan el responsable així ho hagi avaluat tenint en compte els factors que proporciona el Reglament i abans citats (compatibilitat entre els fins, context en el que es van recollir les dades, etc.) Em permeto assenyalar que això es el que, previsiblement, farà amb més seguretat a partir d’ara bancaseguros. No obstant, si es desitja malgrat tot estalviar-se incerteses, i eximir-se de dita avaluació, es pot optar per informar des d’un principi al client que les seves dades s’utilitzaran amb altres finalitats posteriors.
Com última qüestió a tractar en aquest article, està la diferència entre l’encarregat i el responsable. Sense dubte que confosos o desorientats per el consell no encertat de les seves consultories, s’han comprovat casos de mediadors d’assegurances que reben dels seus clients assegurats per la seva signatura, contractes o acords d’obligacions en que el mediador es considerat com encarregat del tractament de les dades del client assegurat.
No es necessari ni correcte signar aquest tipus de contractes. El corredor d’assegurances pot tractar com responsable les dades dels seus clients, fins i tot abans de que ho siguin quan merament s’han dirigit a ells per una tarificació: art. 63.3 Llei 26/2006, de Mediació. En el mateix cas es troba l’agent es troba l’agent d’assegurances en la seva condició d’encarregat de l’asseguradora, que pot igualment tractar les dades com responsable, no com encarregat. Un encarregat del tractament es aquell (art. 4.7 del Reglament Europeu de Protecció de Dades) que tracte dades per compte del responsable del fitxer. L’encarregat del tractament (art. 28.1 Reglamento Europeo), tracta en definitiva les dades únicament gràcies a que el responsable els hi cedeix i sense una finalitat de titularitat pròpia, sense ànim o necessitat de ser el titular de les dades, sinó que tot l’anterior (final, ànim i necessitat d’utilitzar les dades com pròpies, i qui les cedeix), es del responsable, a qui l’encarregat presta el seu servei concebut implícita però clarament com accessoris, limitat, o incidental.
També existeixen casos en els que legalment es queda constret a la condició d’encarregat del tractament; cas dels col·laboradors externs o dels agents d’assegurances respecte a les asseguradores. Amb més motiu, on el legislador guarda silenci, no hi ha obligació d’organitzar les coses d’aquesta manera, i qui va a utilitzar les dades pot organitzar-se com responsable del seu propi tractament si la seva finalitat tenen entitat o pes propi, o simplement prefereix fer-ho així. I respecte a la licitud de la comunicació a cessió de les dades per part del client diferents dels propis per exemple, els seus empleats o d’altres assegurats) n’hi ha prou amb que s’acolli a qualsevol de les possibilitats legals del mediador destinatari o responsable per rebre’ls com a tal responsable (de nou, ex. Art. 6.1 Reglament; es necessari per la execució d’un contracte, complir una obligació legal, etc.) i amb que es proporcioni als interessats la informació específica contemplada per aquest casos en els que les dades no es recullen directament de l’interessat (previstes en l’Art. 14 del Reglament Europeu).

Josep Lluís Fernández

Assessor Jurídic

Col·legi de Mediadors d’Assegurances de Barcelona