En este segundo artículo a dedicado a este Reglamento vamos a tratar algunos otros interrogantes que se observa que se mantienen abiertos respecto a las obligaciones y cambios precisos para adaptarse a esta norma; también, de ciertos entendimientos o interpretaciones que se difunden del mismo.

No es exacto que el Reglamento Europeo, como a menudo se repite incluso por la propia AEPD, exija una actuación y vigilancia proactiva (preventiva o anticipatoria) en materia de seguridad y protección de datos. O ninguna medida en concreto como la pseudonominación (encriptado o cifrado de los datos), certificaciones, adhesión a códigos de conducta o de otros. Mucho más exactamente, el Reglamento tiene la marcada e inédita singularidad de permitir a cada responsable del tratamiento la autoevaluación y autor reglamentación de las medidas a aplicar. También, a la hora de decidir si quiere utilizar el tratamiento para una finalidad distinta de aquella por la que fueron recogidos, lo que el Reglamento ahora permite (art. 6.4.). Esto es lo importante, lo novedoso y lo que en mi opinión debe resaltarse. Y ello no para dejarse alarmar ni para interpretar intensivamente las obligaciones en materia de seguridad, sino para aprovechar la verdadera y cierta entrega de libertad de criterios que supone. Lógicamente, debe hacerse alguna clase de evaluación seria y digna de ese nombre, no cabe ni con esto se invita a defraudar la obligación pero, ciertamente, cabe recordar sus exactos términos y que el Reglamento no establece ningún método en concreto para la evaluación de las medidas de seguridad a adoptar.

Claramente y en definitiva , el Reglamento permite y opta por delegaren la valoración discrecional y propia y en definitiva, el Reglamento permite y opta por delegar en la valoración discrecional y propia de cada responsable de las medidas que tiene que aplicar junto con sus encargados (art. 6.4, 24.1, 25.1, 32.1 y 35.1 del Reglamento). Y se limita a proporcionarle unos criterios para que los pondere: la naturaleza de los datos, finalidades, riesgos para los derechos y libertades de las personas y otros conceptos jurídicos indeterminados. En el concreto caso de la mediación de seguros y su uso ordinario comercial, incluso cuando de manera incidental incluye datos referidos a la salud que no integran un tratamiento como tal específico, no se aprecia, ni el Reglamento permite deducirlo, que tengan ninguna particularidad de riesgo, ni comprometan en absoluto los derechos y libertades de las personas.

Hay que decir que todo esto hace muy difícil, a poco que se apliquen unas medidas dentro de lo razonable, y en tanto no exista un desarrollo legislativo que permita tal vez otra conclusión, que nadie pueda ser sancionado por incumplimiento de medidas de seguridad: lo impide de nuevo un elemental sentido de la certeza del derecho y de la seguridad jurídica (de claro y seguro desarrollo jurisprudencial) vista la apuesta continua del propio Reglamento por el propio criterio y valoración de cada responsable en los art. 64, 24.1, 25.1, 32.1 y 35.1 de Reglamento.

En otras palabras, si resulta que el legislador se remite al criterio y a la valoración de cada responsable, en el que claramente delega la ponderación de una serie de factores, resultaría luego contradictorio sancionar por disconformidad con dicho criterio y ponderación si, efectivament, el responsable lo hizo. Si contemplaba la posibilidad de no mostrarse de acuerdo, y además sancionar por ello, lo que debió hacer es no delegar, o bien señalar un método i pautas precisas, y no una combinación de conceptos jurídicos indeterminados para una materia que precisamente destaca por su transversalidad, esto es, por afectar a todo tipo de actividades y profesiones dispares.

Pendiente de cualquier clarificación o desarrollo en la futura ley de protección de datos en la que la Agencia ha referido que trabaja permite, no sólo mantener las medidas de seguridad que hasta ahora venían aplicándose conforme a la legislación vigente, sino reducirlas o atenuarlas si ello se evalúa y justifica debida y demostrablemente. Además, es muy importante saber que el Reglamento Europeo permite ahora utilizar los datos para una finalidad diferente a aquella para la que se recogieron sin consentimiento del interesado, por sorprendente que sea (art. 6.4 del Reglamento). De nuevo, evaluado por el propio responsable del tratamiento y “teniendo en cuenta” (dice el art. 6.4 del Reglamento sin referir siquiera una evaluación documentada o detallada), la relación entre las finalidades de uso (la inicial y aquella por la que se puede utilizar posteriormente), la relación entre las finalidades de uso (la inicial y aquella por la que se puede utilizar posteriormente), la relación entre las finalidades de uso (la inicial y aquella por la que se puede utilizar posteriormente), el contexto en que se recogieron, la naturaleza de los datos, las consecuencias para los interesados y las garantías adecuadas.

Todo lo anterior puede enlazarse con las más amplia cuestión del consentimiento necesario para tratar los datos y el modo de documentarse, y efectuar el siguiente resumen: no necesita el mediador (corredor o agente) consentimiento del cliente para tratar sus datos con el fin de asesorarle, tarificar y buscar por él una posible póliza, si ha obtenido estos datos de manera demostrable del cliente (correo electrónico, formulario firmado, etc.), y por lo tanto, esos datos son necesarios para las medidas precontractuales que el cliente ha solicitado, o para el contrato por el que se ha interesado: art. 6.1 b del Reglamento Europeo de Protección de Datos. Necesita únicamente proporcionarle la información que indica el Reglamento Europeo, y que incluye también la relativa a los usos complementarios que se darán a los datos (otras pólizas de su posible interés, alternativas en caso de extinción, servicios complementarios). Pero no es necesario que el cliente firme este documento; basta con justificar que le envió (correo electrónico).

El mediador puede además utilizar directamente estos mismos datos para hacerle posteriormente otras ofertas para otras pólizas no solicitadas, o remplazar una vez extinguida su póliza, pues estos usos diferentes pueden considerarse incluidos y dentro de los requisitos del art. 6.4 del Reglamento Europeo citados antes, siempre y cuando el responsable así lo haya evaluado teniendo en cuenta los factores que proporciona el Reglamento y antes citados (compatibilidad entre los fines, contexto en el que se recogieron los dados, etc.). Me permito señalar que esto es lo que, previsiblemente, hará con mayor seguridad a partir de ahora bancaseguros. Sin embargo, si se desea pese a todo ahorrarse incertidumbres, y eximirse de dicha evaluación, puede optarse por informar desde un principio al cliente que sus datos se utilizarán con otras finalidades posteriores.

Como última cuestión a tratar en este artículo, está la diferencia entre el encargado y el responsable. Sin duda que confundidos o desorientados por el consejo no acertado de sus consultorías, se han comprobado casos de mediadores de seguros que reciben de sus clientes asegurados para su firma, contratos o acuerdos de obligaciones en los que el mediador es considerado como encargado del tratamiento de los datos del cliente asegurado.

No es necesario ni correcto firmar este tipo de contratos. El corredor de seguros puede tratar como responsable los datos de sus clientes, incluso antes de que lo sean cuando meramente se han dirigido a ellos para una tarificación: art. 63.3 Ley 26/2006, de Mediación. En el mismo caso se halla el agente de seguros en su condición de encargado de la aseguradora, que puede igualmente tratar los datos como responsable, no como encargado. Un encargado del tratamiento es aquel (art. 4.7 del Reglamento Europeo de Protección de Datos) que trata datos por cuenta del responsable del fichero. El encargado del tratamiento (art. 28.1 del Reglamento Europeo), trata en definitiva los datos únicamente gracias a que el responsable se los cede y sin una finalidad de titularidad propia, sin ánimo o necesidad de ser el titular de los datos, sino que todo lo anterior (fin, ánimo, y necesidad de utilizar los datos como propias, y quien le cede), es del responsable, a quien el encargado presta un servicio concebido implícita pero claramente como accesorio, limitado, o incidental.

También existen casos en los que legalmente se queda constreñido a la condición de encargado del tratamiento; caso de los colaboradores externos o de los agentes de seguros respecto de las aseguradoras. Con mayor motivo, donde el legislador guarda silencio, no hay obligación de organizar las cosas de ese modo, y quien va a utilizar los datos puede organizarse como responsable de su propio tratamiento si sus fines tienen entidad o peso propio, o simplemente prefiere hacerlo así. Y respecto a la licitud de la comunicación o cesión de los datos por parte del cliente diferente de los propios (por ejemplo, sus empleados o de otros asegurados) basta con que se acoja a cualquiera de las posibilidades legales del mediador o destinatario o responsable para recibirlos como tal responsable (de nuevo, ex art. 6.1 Reglamento; ser necesario para la ejecución de un contrato, cumplir una obligación legal, etc.) y con que se proporcione a los interesados la información específica contemplada para estos casos en los que los datos no se recogen directamente del interesado (previstas en el art. 14 del Reglamento Europeo).

Josep Lluís Fernández

Asesor Jurídico

Col·legi de Mediadors d’Assegurances de Barcelona