Por Gemma Ortega, delegada de protección de datos y abogado de Asesoría Jurídica en DAS Seguros.
Desde la entrada en vigor del Reglamento General de Protección de Datos, las personas estamos cada vez más preocupadas por la privacidad de nuestros datos personales. Tal y como se desprende de la estadística del barómetro del CIS de mayo de 2018, al 76,1% de los españoles les preocupa mucho o bastante la protección de sus datos personales, y el posible uso de su información personal por parte de otras personas.
En DAS Seguros somos muy cuidadosos con los datos de nuestros clientes y queremos ayudar a los corredores de seguros que colaboran con nosotros a que también lo sean. Por eso hemos querido que la presentación de la Semana del Seguro de este año haya sido acerca de las precauciones que, en materia de protección de datos, los corredores de seguros deben adoptar cuando efectúan acciones comerciales.
En primer lugar, hemos de mencionar las principales leyes que se ven involucradas en este contexto, como son: el Reglamento General de Protección de Datos 2016/679 (UE) (RGPD); la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (complementando el Reglamento); y la Ley 34/2002 de servicios de la sociedad de la información y de correo electrónico (LSSI).
«Desde la entrada en vigor del Reglamento General de Protección de Datos, las personas estamos cada vez más preocupadas por la privacidad de nuestros datos personales».
Antes de analizar las precauciones que en materia de protección de datos debemos adoptar cuando hacemos publicidad, lo primero que nos hemos de plantear es qué es la publicidad. Según la Ley 34/2002 de servicios de la sociedad de la información y de correo electrónico (LSSI), publicidad es cualquier acción destinada a dar a conocer los productos o a mejorar la imagen de una empresa.
Cuando efectuamos una campaña telefónica o enviamos un correo electrónico ofreciendo los servicios de la empresa, claramente estamos haciendo publicidad pero, por ejemplo, si publicamos un blog sobre novedades del sector asegurador ¿estamos haciendo publicidad?
Si analizamos la cuestión a la luz de la definición de la LSSI advertimos que, dado que la finalidad de un blog es la de mejorar la imagen de la empresa que lo publica, estamos haciendo publicidad. Por eso, a la hora de gestionar la suscripción de un blog debemos tener en cuenta las mismas reglas que debemos tener en cuenta cuando hacemos una campaña publicitaria como, por ejemplo, no enviar un artículo a nadie que no haya consentido expresamente el envío.
A continuación, vamos a centrarnos en la propia actividad que lleva a cabo un mediador de seguros. Por ejemplo, si el mediador de seguros asesora a su cliente para que incremente la suma asegurada, o le aconseja que incluya una garantía en su póliza para que el seguro contratado se ajuste mejor a sus intereses, ¿está haciendo publicidad?
La respuesta es que no. El mediador de seguros, de conformidad con la normativa de distribución de seguros, debe ofrecer asesoramiento independiente a quienes demanden la cobertura de sus riesgos. Por lo tanto, la recomendación de un corredor de seguros a su cliente para que, tras analizar sus riesgos, contrate una garantía no debe considerarse publicidad. El medidor está cumpliendo con el contrato de mediación que tiene con el cliente por el que debe recomendarle productos de seguro adecuados a sus riesgos.
«Si un mediador de seguros asesora a su cliente para que incremente la suma asegurada, o le incluye una garantía en su póliza para que el seguro contratado se ajuste mejor a sus intereses, ¿se trata de una acción de publicidad? La respuesta es no, ya que eso forma parte de sus funciones como mediador».
Por lo tanto, en casos como los anteriores, no es necesario que en cada correo electrónico que el corredor envíe al cliente le indique que se puede dar de baja, como tampoco es necesario el consentimiento del cliente para enviárselo. Lo que sí es necesario es que el corredor tenga documentada la relación contractual que mantiene con el cliente.
¿Por qué el corredor de seguros debe adoptar las necesarias precauciones al enviar publicidad?
Es evidente que el corredor de seguros debe adoptar, en materia de protección de datos, una serie de precauciones al enviar publicidad a sus clientes actuales y potenciales. Desde 2007 (que son las estadísticas más antiguas de que disponemos), hasta 2018, las reclamaciones ante la Agencia Española de Protección de Datos (AEPD) se han incrementado un 351%. De hecho, la publicidad se encuentra entre las diez primeras causas que ocasionan un mayor número de reclamaciones entre los afectados ante el mencionado organismo. Además, las implicaciones económicas son muy elevadas, ya que el Reglamento prevé multas de hasta 20 millones de euros, o de hasta el 4% del volumen de la facturación anual del año anterior. Respecto a la cuantía de las sanciones, indicar que, durante el primer año de entrada en vigor del Reglamento General de Protección de Datos, la Agencia ha sancionado de una forma ‘moderada’, teniendo en consideración que nos encontramos en una fase inicial de adaptación.
«Es evidente que el corredor de seguros debe adoptar, en materia de protección de datos, una serie de precauciones al enviar publicidad a sus clientes actuales y potenciales».
Durante nuestra exposición en la Semana del Seguro, vimos una serie de casos prácticos diferenciando en dos grandes grupos: precauciones que debemos tener en cuenta cuando enviamos publicidad a nuestros clientes; y precauciones que debemos tener en cuenta cuando enviamos publicidad a clientes potenciales.
¿Qué precauciones hemos de tener en cuenta cuando efectuamos publicidad a clientes?
Respecto a las precauciones que debemos tener en cuenta cuando enviamos publicidad a clientes, vimos que el corredor puede hacer publicidad de productos de seguro, dado que es legítimo que quiera incrementar su negocio haciendo publicidad de productos similares a los que el cliente tiene contratados. Esto es así porque está dentro de las expectativas del cliente recibir este tipo de publicidad y no supone una invasión desproporcionada en su privacidad.
Aun así, debemos adoptar una serie de precauciones: es necesario que en la “nota informativa previa” el corredor haya informado al cliente que va a tratar sus datos para enviarle publicidad y que le haya dado la opción de oponerse a este tratamiento. En cada correo electrónico publicitario, el corredor debe dar al cliente la posibilidad de no seguir recibiendo publicidad.
Si el corredor lo que quiere es enviar publicidad de productos no aseguradores, debe pedir el consentimiento expreso al cliente, no siendo válidas fórmulas de consentimiento tácito que se utilizaban antes de la entrada en vigor del RGPD.
«Respecto a las precauciones que debemos tener en cuenta cuando enviamos publicidad a clientes, vimos que el corredor puede hacer publicidad de productos de seguro, dado que es legítimo que quiera incrementar su negocio haciendo publicidad de productos similares a los que el cliente tiene contratados».
Un tema que suscita especial interés es el que concierne a la información obtenida a través de rastreos realizados sobre un cliente a través de Internet. La información obtenida de búsquedas en Internet no puede utilizarse para llevar a cabo acciones publicitarias, ni para mejorar la base de datos del corredor, enriqueciendo el perfil de su cliente. Supone una invasión desproporcionada en la privacidad del cliente y excede de sus legítimas expectativas. Como ciudadanos no esperamos que al contratar una póliza de seguros el corredor “nos investigue” en redes sociales para enviarnos publicidad de productos acordes con nuestros intereses.
«La información obtenida de búsquedas en Internet no puede utilizarse para llevar a cabo acciones publicitarias, ni para mejorar la base de datos del corredor, enriqueciendo el perfil de su cliente».
Otro aspecto sobre el que hay que advertir es sobre la práctica de incluir al cliente en grupos de Whatsapp sin su consentimiento. Esto implicaría una cesión de datos no consentida, dado que el resto de participantes tendría acceso a los datos del cliente. Si el mediador de seguros desea comunicarse con un grupo de clientes por Whatsapp, puede utilizar la opción de listas de difusión que ofrece la herramienta.
Por último, señalar que el mediador de seguros puede contratar un proveedor para hacer una campaña de publicidad dirigida a sus clientes. En este caso, debe escoger a un proveedor que ofrezca las suficientes garantías de que tratará la información de forma segura y firmar con él un contrato de encargo de tratamiento, en el que debe quedar claro que el proveedor debe seguir las instrucciones del corredor y no utilizará los datos de los clientes para otros fines.
«Cabe señalar que el mediador de seguros puede contratar un proveedor para hacer una campaña de publicidad dirigida a sus clientes».
¿Qué precauciones hemos de tener en cuenta cuando efectuamos publicidad a clientes potenciales?
Vamos a analizar alguna de las precauciones que el mediador de seguros debe tener en cuenta cuando sus acciones publicitarias van dirigidas a captar clientes.
La primera cuestión que nos planteamos es la de si podemos enviar publicidad a colectivos de profesionales –por ejemplo, abogados- a cuyos datos pueda tener acceso a través de guías o webs. A pesar de que el corredor puede consultar los datos de estos profesionales en las páginas webs del colegio de abogados, no puede enviarles publicidad sin consentimiento. Como norma general, es necesario contar con el consentimiento previo y expreso del interesado, cuando queremos enviar publicidad a clientes potenciales.
En el caso de los datos de personas jurídicas o sociedades mercantiles, que no están dentro del ámbito de aplicación del RGPD, nos preguntamos si podemos enviar publicidad o no sin tener su consentimiento. Curiosamente, sí que se les puede enviar publicidad en papel, dado que están fuera del ámbito de aplicación del Reglamento, pero no por correo electrónico, pues la LSSI que regula las comunicaciones electrónicas, establece que cualquier comunicación comercial a personas que no son clientes, ha de contar con el consentimiento previo del afectado.
Especial cautela hay que tener con otro tipo de prácticas habituales para captar clientes como puede ser la compra de bases de datos. Es posible efectuar este tipo de acciones siempre que nos aseguremos que las personas que integran la base de datos, han dado su consentimiento expreso para recibir productos de seguro y para ceder sus datos para fines publicitarios a entidades que comercializan este tipo de productos. Lo que ocurre en la práctica, y así se desprende de las sanciones de la Agencia Española de Protección de Datos, es que resulta casi imposible obtener una base de datos que cumpla con estos requisitos.
«Especial cautela hay que tener con otro tipo de prácticas habituales para captar clientes como puede ser la compra de bases de datos».
En la ponencia se analizaron las precauciones que el mediador de seguros debe tener en cuenta cuando hace publicidad en redes sociales y en la página web que siempre ha de contar con un aviso de privacidad en el que se informe al usuario de cómo se van a tratar sus datos. Cuando el mediador ofrece al visitante de la página web la opción de obtener información tras dejar sus datos a través de un formulario, ha de obtener su consentimiento expreso y ofrecerle la posibilidad de retirar este consentimiento en cualquier momento. Recordar al respecto que, en toda comunicación publicitaria efectuada por medios electrónicos, se ha de ofrecer al destinatario la posibilidad de no recibir más publicidad.
Por último, y a raíz de la Guía de Cookies, que la Agencia española de Protección de Datos publicó en Noviembre de 2019 para ofrecer a las empresas pautas precisas para adaptar las cookies al Reglamento, se analizó la información que respecto a las cookies debe facilitarse al visitante de la web, y cómo deben gestionarse los diferentes tipo de cookies que la AEPD contempla en la citada Guía.
«En general, cuando se trata de clientes potenciales, la publicidad tiene que basarse en el consentimiento expreso del interesado; aunque dispongamos de sus datos no podemos enviarles publicidad, si no contamos con este consentimiento».
