Udo Oelen es director de vigilancia del sector privado en la Agencia de Protección de Datos de Holanda (Nederlandse Autoriteit Persoonsgegevens – AP). A partir del 25 de mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos. Udo a explica resumidamente qué significa el nuevo reglamento europeo para el Sector Seguros. Y eso es muy amplio.
La privacidad nos afecta a todos
Para las compañías de seguros, detectar el fraude es una tarea importante. En ese sentido, la privacidad es complicada, porque usted quiere hacer su trabajo de manera eficiente. Además, de la encuesta de FRISS “Insurance Fraud & Digital Transformation Survey 2016”, se desprende que proteger la privacidad es uno de los desafíos más importantes del Sector Seguros.
Usted, además de investigador de fraude, es también una “persona normal”. No quiere que las fotos de las vacaciones de sus hijos deambulen por Internet, que sus datos médicos acaben en la calle o que sus transacciones financieras sean vendidas por el banco a empresas comerciales. Para usted, la privacidad es tan importante como para todos los demás. La privacidad es un derecho fundamental.
Condiciones estrictas
Como investigador de fraude, está acostumbrado a entrar en la intimidad y a “apropiarse” de la información privada de los demás. Esto es posible para la investigación del fraude, eso sí, bajo estrictas condiciones. Al fin y al cabo, siempre se trata de personas: no de perfiles de riesgo, algoritmos y semáforos que están en verde, naranja o rojo.
En 2018, las estrictas condiciones actuales serán reemplazadas por el Reglamento General de Protección de Datos (RGPD, en Europa GDPR), un reglamento que es mucho más estricto.
Primero esbozaré la nueva legislación, a continuación, trataré los temas específicos del Sector Seguros.
El 25 de mayo de 2018 entrará en vigor la nueva normativa. No hay ningún plazo de transición, la ley ya fue anunciada hace dos años. Por lo tanto, las organizaciones ya han tenido dos años de tiempo para prepararse. ¿Cómo lo ha hecho su organización?
La nueva ley, en pocas palabras
Esta nueva ley era más que necesaria. La legislación vigente data de la época en la que Internet no existía o solo estaba presente en determinados entornos. Actualmente vivimos en la era de la Internet de las cosas y de los grandes volúmenes de datos, y existe la necesidad de crear nuevas normas relativas a la privacidad. La nueva legislación es aplicable a todos los Estados miembros de la Unión Europea (UE).
En pocas palabras, estos son los principales puntos del RGDP:
- Se refuerzan los derechos de los ciudadanos
- Los ciudadanos tienen más control sobre su propia intimidad. El consentimiento para el procesamiento de datos personales debe ser explícito y una organización debe poder demostrarlo. Además, el consentimiento se debe poder revocar con la misma facilidad con la que se aprueba.
- Los ciudadanos tienen el derecho de ser olvidados y el derecho a la portabilidad de datos. Por lo tanto, sus datos personales deben poder ser destruidos o trasladados a otra organización.
- Los ciudadanos pueden presentar reclamaciones ante la Agencia de Protección de Datos. Cualquier reclamación se deberá tramitar obligatoriamente y puede dar lugar a una investigación y, en su caso, a una sanción. En este momento, las reclamaciones todavía se consideran, principalmente, como un indicador.
- Ofrece a las organizaciones más responsabilidades y deberes – algo para lo que son fundamentales los conceptos de responsabilidad y demostrabilidad.
- Las organizaciones deben poner en práctica la rendición de cuentas, que significa que deben poder demostrar que se ha cumplido la ley.
- Las organizaciones tienen el deber de documentación – una administración de privacidad de la que se desprenda qué datos se han procesado.
- Es obligatorio realizar un Evaluación de impacto de la privacidad de los datos y las compañías deben contar con un Agente para la protección de los datos. Próximamente se ofrecerá más información al respecto.
La buena noticia es que, además de estas obligaciones, también hay una serie de ventajas. La legislación es internacional y eso significa que, dentro de las organizaciones de la UE, solo tienen una norma y una autoridad reguladora. Por otra parte, la nueva ley también proporciona herramientas para cumplir los códigos de conducta y certificaciones. La autoridad reguladora tiene la obligación de ofrecer apoyo en este sentido.
- Los representantes de privacidad adquieren mayores poderes. Hablamos, sobre todo, de tener que tramitar todas las reclamaciones y de la obligación de ayudar a las organizaciones a cumplir con la ley. En caso de infracciones, las sanciones que se pueden imponer han aumentado considerablemente.
El impacto para el Sector Seguros
¿Qué significa esto específicamente para el Sector Seguros? Los principios básicos no cambian mucho: se necesita una base para poder recopilar y procesar los datos. En su caso, a menudo será “un interés legítimo de una organización”. Algo que también es importante: solo se pueden recopilar datos que son necesarios para la finalidad prevista. Solo lo que se necesita, no lo que es posible recopilar. Además, el procesamiento debe ser proporcional: mejor la consulta limitada y concentrada de fuentes que recopilar información muy amplia.
Gartner indica que las organizaciones utilizan, cada vez más, tecnologías para procesar datos estructurados y no estructurados, en lugar de usar múltiples fuentes públicas. Esto también podría ser incompatible con la nueva legislación.
Para su sector, también me gustaría señalar el principio de subsidiariedad. Esto significa que el objetivo debe lograrse con un medio lo menos intervencionista posible. Grabar a alguien en secreto para demostrar el fraude no es posible si eso se puede detectar de una manera diferente, menos intrusiva.
También debo comentar que el procesamiento de datos personales sensibles debe cumplir los requisitos más estrictos. Entre estos se incluyen, por ejemplo, los datos médicos y penales.
Además de estos principios existentes, también tendrá que lidiar con algunos nuevos aspectos obligatorios.
- Registro de los procesamientos. Se debe indicar de qué datos se trata, con qué objetivo, sobre qué base, cómo están protegidos, de dónde provienen o si se pueden utilizar para otros fines. Existe un Registro que es obligatorio para todas las organizaciones que procesan datos personales y que pueden ser controlados por la autoridad reguladora. Especialmente para aquellos que trabajan con grandes volúmenes de datos, con modelos de decisión automáticos, un registro del procesamiento de este tipo es un desafío. El carácter de los grandes volúmenes de datos a menudo implica que el origen (ya) no es claro.
- La evaluación del impacto de la protección de datos (EIPD) – esta es necesaria para el procesamiento de alto riesgo. Se trata de organizaciones que recopilan información para identificar perfiles y que procesan datos personales sensibles a gran escala. Probablemente tendrá que hacer una evaluación de este tipo y tomar medidas cuando sea necesario. Como autoridad reguladora, podemos y debemos ayudarle y asesorarle al respecto.
- Agente para la protección de datos – el cargo ya existe, pero ahora es mucho más importante. La creación de un Agente para la protección de datos es obligatoria, por ejemplo, en las organizaciones que siguen a individuos a gran escala para hacer evaluaciones de riesgo. Esto es algo que ya le será familiar.
Siga los pasos y hágalo a tiempo
He explicado algunos puntos, pero hay mucho más. La Agencia de protección de datos ha publicado un plan de diez pasos en el sitio web, con las cosas que realmente se deben solucionar en un futuro próximo. El plazo, hasta el 25 de mayo de 2018, es relativamente corto y, por lo tanto, mi consejo es tomarse este asunto muy en serio.
La implementación de las medidas debe, puede y es necesaria – protege los datos personales de todas las personas, incluyendo los suyos. Todos queremos privacidad.