GDPR - General Data Protection Regulation

Reglamento de la legislación de la UE sobre protección de datos y privacidad para todas las personas dentro de la Unión Europea

GDPRTe mostramos algunas dudas sobre la nueva normativa de privacidad y seguridad que es de aplicación desde el 25 de mayo del 2018 en base a preguntas que han realizado nuestros propios empleados y clientes en el transcurso de estos últimos meses.


Conceptos básicos

1. ¿Qué es el GDPR?

GDPR son la siglas en inglés de General Data Protection Regulation, es decir, es el nuevo Reglamento Europeo de Protección de Datos, sustituye a la anterior Directiva Europea que databa del 1995 y a diferencia de ésta, al ser un Reglamento es de directa aplicación, lo que quiere decir que no hace falta que haya una ley local que lo desarrolle. GDPR es nuestra ley en materia de privacidad y la de todas las compañías europeas o del resto del mundo pero que traten datos en Europa.

La Privacidad es un derecho fundamental de los ciudadanos y el GDPR lo que busca es que el ciudadano, en una sociedad tan hiperconectada y distribuida, tenga mayor control sobre sus datos y sea él quien decida qué se hace con sus datos. También permite igualar las reglas del juego en Europa para favorece el intercambio de información de un modo más seguro, ya que hasta ahora cada país había ido haciendo sus propias leyes de a la Directiva del 95, con esto, GDPR nos afecta a todos por igual.

2. 10 derechos fundamentales

  1. Deber de ser informado. Las empresas deben identificarse, decirte qué van a hacer con tus datos y por qué, a qué categorías de destinatarios los van a ceder, por cuanto tiempo los conservarán y avisarte de los siguientes derechos…
  2. Acceso a los datos (qué datos tienes de mí).
  3. Rectificación de datos (corrige ya tu base de datos y avisa a quienes los hayas cedido).
  4. Supresión de los datos (bórrame).
  5. Portabilidad de los datos básicos (envíame los datos a mí o a quien diga).
  6. Limitación del tratamiento (mantelos bloqueados).
  7. Oposición al tratamiento (sobre todo a llamadas telefónicas o emails).
  8. A no ser objeto de decisiones solo automáticas que nos discriminen (quiero personas).
  9. A presentar una reclamación ante la Agencia de Protección de Datos si lo has intentado y no obtienes respuesta o no estás conforme.
  10. A ser informado si la empresa sufre una brecha de seguridad donde puede haber comprometidos datos sobre ti que pongan en serio peligro tu privacidad.

3. Qué pasa con las LOPDs?

Lo que se deroga es la Directiva comunitaria anterior. En España La LOPD podemos decir que queda desplazada por el GDPR y si hay algún control incompatible predominará siempre GDPR si bien, la LOPD puede ser tenida en cuenta para apoyar o dictar resoluciones sus propias disposiciones.

Sobre futuras LOPDs adaptadas plenamente a GDPR, Alemania y Austria han sido los primeros países europeos en aprobar una nueva Ley de Protección de Datos acorde a GDPR. España tiene ya un anteproyecto de ley y su aprobación es ya inminente.

4. Los 5 principios

GDPR tiene 5 principios que son la clave para entender su enfoque de privacidad y seguridad:

  1. Transparencia: Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.
  2. Limitar el uso: Solo podemos usar los datos para los fines para los que informamos nuestros clientes, empleados, proveedores…
  3. Minimización del dato. Pide los mínimos datos imprescindibles que se necesiten para poder tratar tus datos con garantías (ej: no sería correcto que una empresa para comprar un electrodoméstico te preguntase sobre tus hobbies o tu profesión)
  4. Calidad del dato. Los pocos datos que tengas en tu sistema deben ser exactos y estar bien actualizados. La empresa debe procurar tener calidad en sus datos porque además si no la tiene acabará tomando decisiones erróneas que te podrían acabar perjudicando.
  5. Seguridad de la información. Las empresas que gestionamos datos debemos garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.

5. Qué es un dato personal

Un dato personal es todo aquel dato que te identifique, o un conjunto de datos que te hiciera fácilmente identificable. 

Puede ser:  un nombre, una foto, tu fecha de nacimiento, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP , un metadato, las cookies, hasta la resolución habitual de tu pantalla … 

6.¿También deberé cumplir con el GDPR si soy una PYME? ¿Dónde puedo encontrar más información?

Seguramente sí. El GDPR no distingue en tamaño sino en riesgo de seguridad de los datos personales que se están tratando, sobre todo si hay datos especialmente protegidos como los de salud.  

En la web de la Agencia Española de Protección de datos (AEPD) podrás encontrar un cuestionario online llamado FacilitaGDPR. Una herramienta para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el GDPR. Con esta herramienta obtendrás formato del registro de actividades de tratamiento, cláusulas tipo y otros documentos mínimos indispensables para el cumplimiento. También nos parece de utilidad como la guía del responsable del tratamiento donde te indican todas las medidas que debes tener en cuenta.  

La AEPD también se está apoyando mucho en el INCIBE (Instituto Nacional de CIBErseguridad) y es que GDPR tiene mucho que ver con la seguridad, pues si sufrimos una brecha y hay un riesgo alto sobre la intimidad habrá que informar a los afectados. Te animamos a consultar su web para que conozcas recursos que además en muchos casos son gratuitos, la concienciación es fundamental.

7. ¿El acceso con huella o la grabación de unas llamadas es como un dato de salud con GDPR?

Para GDPR sí. Los datos biométricos están especialmente protegidos. Como tiene un enfoque a riesgo, piensa en lo que se puede llegar a hacer con ellos por medios técnicos avanzados si caen en malas manos.  

Datos biométricos  son aquellos permitan identificar a una persona y/o confirmar quién es mediante la realización de tratamientos técnicos que recojan datos relativos al aspecto físico, corporales o conductuales, como su imagen facial , la videovigilancia, su huella digital, su firma electrónica o similar.

Si tenemos datos biométricos como huellas dactilares para acceder a un edificio deberemos realizar una Evaluación de Impacto de Privacidad pensando en si realmente es necesario usar ese sistema de acceso o habría otras alternativas y ver qué medidas de seguridad tiene la aplicación donde se están tratando y tendremos que explicar a nuestros empleados o terceros con qué finalidad se toman las huellas, el iris, o se graba su voz, plazos de conservación, qué terceros acceden a dichas huellas, etc...


Privacidad y seguridad en DKV

Lo que tengo derecho a saber sobre mi privacidad si soy o fuera cliente de DKV.

8. ¿Quién es el responsable del tratamiento?

El Grupo DKV Seguros está compuesto por una sociedad principal que es DKV Seguros y Reaseguros SAE y sus participadas, que son cuatro (Ergo Generales, Ergo Vida, Unión Médica la Fuencisla y DKV Servicios). También tenemos nuestra Fundación DKV Integralia.

El responsable principal es pues DKV Seguros y Reaseguros SAE domiciliada en Torre DKV, Avenida María Zambrano 31,50018 Zaragoza, con CIF n° A-50004209 es una empresa que comercializa seguros médicos para particulares y empresas.

9. ¿Con qué finalidades tratarán los datos?

El Grupo DKV tratará sus datos por distintas finalidades según su relación con la compañía:

Si necesitaremos sus datos personales identificativos básicos para poderle hacer una simulación del precio que pagaría con nosotros, en este caso nos legitima la relación precontractual y el interés legítimo.

Si estuviera interesado, pasaríamos a la solicitud de la póliza donde ya te pediremos datos económicos-financieros y si el producto contempla coberturas médicas, le pediremos además que nos cumplimente la declaración de salud, para en base al resultado confeccionar su contrato de póliza, las condiciones particulares y especiales y darle una prima lo más ajustada posible, para este tratamiento que contendrá datos especialmente protegidos (salud) los necesitamos porque por obligación legal (Ley de Contrato de Seguro) debemos pedirla además de porque existirá un contrato firmado entre las partes.

Si por algún motivo no está interesado finalmente o el Grupo DKV considera que no puede asegurarle y es rechazado, estudiaremos si podemos ofrecerle una alternativa que cumpla razonablemente con sus expectativas a través de otros servicios compatibles y si no, guardaremos sus datos cancelados con motivo de gestión y prevención del fraude, por interés legítimo.

Si se convierte en cliente, trataremos toda su información personal durante toda la vida de la póliza con el fin de poder gestionar las prestaciones que haya cubiertas en sus pólizas, en todos estos casos, estaremos autorizados por la relación contractual. Mientras sea cliente nuestro, le enviaremos información sobre mejoras en los productos actualmente contratados y en otros productos o servicios similares con finalidades compatibles a la inicial, lo más personalizados posible a sus expectativas, en base al interés legítimo, siempre podrá oponerse gratuitamente a ello.

Si le enviamos información totalmente distinta al producto contratado le deberemos haber pedido el consentimiento expreso para ello. También por interés legítimo, considerando que también le beneficia, guardaremos sus datos para garantizar la seguridad informática, realizar encuestas de satisfacción post-siniestro o en momento neutro (cuando no esté usando el seguro para tener valores lo más objetivos posibles). Durante estas encuestas o cuando nos llame para usar su póliza a través de nuestro contact center su llamada podrá ser grabada y la utilizaremos para mejorar la calidad del servicio igualmente que hacemos a través de nuestras páginas web cuando estamos registrando cookies de navegación y seguridad, para hacer la página más clara y usable, de hecho observará que con ello la actualizamos periódicamente.

En el momento en que cancele su póliza con la compañía, intentaremos fidelizarle o conocer los motivos por los que nos deja en los próximos tres meses, a partir de ese momento pasaremos a cancelar sus datos, es decir limitaremos su tratamiento al mínimo imprescindible, no recibirá más comunicaciones comerciales por nuestra parte, y los guardaremos solo para atender posibles quejas y reclamaciones o por detección del fraude hasta los plazos de prescripción establecidos y dos años de cautela más, es decir, por siete años y en el caso de seguros de Vida, por motivos legales de prevención de blanqueo de capitales hasta diez años.

A partir de ese momento los datos serán borrados o anonimizados de tal forma que ya no haya modo de hacerle identificable, quedando para la finalidad de informes estadísticos, investigaciones científicas o de mercado, así como para generar modelos predictivos avanzados.

10. ¿A quiénes cederán mis datos?

Sus datos serán cedidos con fines administrativos y de control de gestión a otras compañías del Grupo DKV o del Grupo Asegurador ERGO.

El Grupo DKV está formado por:

  • ERGO GENERALES SEGUROS Y REASEGUROS, SAU (en adelante ERGO GENERALES) domiciliada en Avenida Concha Espina, 63 28016 Madrid, con CIF A-28072940,. Está especializada en la gestión de seguros de hogar y decesos.
  • ERGO VIDA SEGUROS Y REASEGUROS, SOCIEDAD ANÓNIMA (SOCIEDAD UNIPERSONAL) conocida como ERGO VIDA, domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-79420899.
  • UNIÓN MÉDICA LA FUENCISLA, SOCIEDAD ANÓNIMA, COMPAÑÍA DE SEGUROS (SOCIEDAD UNIPERSONAL) (en adelante UNIÓN MÉDICA LA FUENCISLA) domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-0816960.
  • DKV SERVICIOS SA domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-99007205 que constituyó DKV Seguros en 2004 y cuya meta, en el ámbito nacional e internacional, es toda clase de operaciones y servicios relacionados con la salud digital y el bienestar, así como con la prestación de asistencia médica y sanitaria, a través de consultorios médicos, espacios de salud y clínicas para la atención de todo tipo de especialidades médicas.
  • Fundación DKV INTEGRALIA, domiciliada en San Just (Barcelona), con CIF G62114798.

El cuanto al Grupo ERGO, en este enlace podrá ver toda la información

Otras categorías de interesados:

  • Si la póliza fue realizada a través de un mediador o un agente auxiliar de la compañía podremos cederle o tendrá acceso directo a los datos de la venta para el cobro de las comisiones oportunas y otras acciones de seguimiento y retención de su cartera de clientes.
  • Todos los médicos y grupos hospitalarios que componen nuestro cuadro médico o en productos con posibilidad de uso de medios ajenos, otras personas y profesionales médicos podrán tener acceso a sus datos para hacer la selección del riesgo médico en la contratación, para realizar la prestación o como servicio de segunda opinión médica.
  • Proveedores generales: Si su petición es en otro idioma distinto al castellano, podremos ceder sus datos incluidos los de salud en la declaración a empresas de traducción y a empresas de mensajería para mantenerle informado sobre su incremento de prima, nuevas coberturas o cartas informativas en general. También tenemos con un proveedor externo la gestión del archivo físico de su documentación contractual.
  • Tenemos outsorucing en procesos de grabación de facturación hospitalaria y nuestro contact center a través de la Fundación DKV Integralia y Advance Medical también graba sus llamadas.
  • Consultoras y asesoras especializadas: nuestra plataforma de salud digital como “Mi Salud al Día” han sido desarrolladas por la empresa malagueña Salutic y otras compañías como Advance Medical o Mediktor. También tenemos plataformas de terceros líderes en el sector para determinados servicios como oncología a través de Grupo Bienzobas.
  • Organismos públicos como la Dirección General de Seguros y Fondos de Pensiones nos solicita información habitualmente siempre por causa motivada. Tu información también se envía al Ministerio de Justicia si tienes una póliza de vida contratada para velar por tus derechos y que si el día de mañana falleces y no localizásemos a tus familiares, ellos sepan que tenías una póliza con nosotros y puedan hacer uso de sus garantías.

11. ¿Dónde están mis datos?¿Cuentan con medidas de seguridad?

Tus datos están en nuestros servidores de Torre DKV en Zaragoza, en un centro de datos (CPD) que ha sido diseñado cumpliendo con las normas más estrictas de seguridad del standard TIA-942 y en un edificio con certificaciones prestigiosas como la LEED por su sostenibilidad, accesibilidad y garantías de eficiencia energética. 

Nuestro CPD cuenta con tecnología RiMatrix de Rittal y ha conseguido un ahorro energético de aproximadamente un 30% respecto a una solución de CPD tradicional, con un valor de PUE que oscila entre 1’20 y 1,35, esto quiere decir, que además de seguro nuestro CPD es respetable con el medio ambiente.  

Replicamos sus datos para garantizar su disponibilidad en otro centro de contingencia situado a la distancia suficiente como para que no le aplique el mismo riesgo de continuidad de negocio que el primario y algunos de los servicios principales también están replicados en nuestro proveedor IPS llamado Arsys.

También tenemos datos suyos a través de la nube privada de Microsoft Azure ubicados en la región de Europa Occidental, que está certificada por la Agencia Española de Protección de Datos como una nube segura en términos de privacidad y seguridad y también, en determinados en proyectos, en otros modelos cloud pero siempre certificados como GDPR Compliant a través de socios con amplia trayectoria y experiencia. 

Además de nuestra infraestructura, aplicamos controles de acceso a la información, tenemos políticas de seguridad y contraseñas que cumplen criterios de máxima complejidad, realizamos ciber-auditorías, tenemos sistemas de protección del perímetro, correlacionamos eventos para detectar amenazas  y prevenir infecciones, hay procedimientos de gestión de incidentes, tenemos entre nuestros empleados técnicos certificados en hacking ético que comprueban la robustez de nuestros sistemas de seguridad, etc.. 

 

12. ¿Cuánto conservan mis datos?

El Grupo DKV tiene una normativa general de conservación de los datos personales que es de siete años desde que se cancela una póliza y de diez en Seguros de Vida. A partir de ese momento tenemos un programa de expurgo de la información tanto electrónica como en papel en el archivo físico que va eliminando la información que ya no es relevante.

13.¿Qué derechos sobre privacidad tengo?

Tienes derecho a saber y a que te contestemos en el plazo de un mes acerca de si tenemos datos de ti o no.

De tenerlo, tienes derecho a saber cómo los hemos obtenido si no eres consciente de haber sido tú quien nos los proporcionó, para qué los tenemos y por cuánto los guardamos o a qué categorías de destinatarios los cedemos así como si hay transferencias internacionales y a qué países si es fuera de la Unión Europea.

También tienes derecho a saber todos los datos básicos o fruto de tu actividad con nosotros que hay sobre ti salvo los inferidos en nuestras bases de datos, a que te demos una copia de ellos bien a ti o se los enviemos a quien tú nos digas bajo tu responsabilidad, a rectificarlos, limitar su uso para los fines que tú decidas, oponerte a que los tratamos en según qué condiciones o a que te avisemos de las consecuencias si te hacemos caso y al borrado definitivo de estos cuando hayan prescrito los plazos.

Por último, si hubiera un incidente de seguridad muy grave donde hubiese datos sobre ti que pudieran afectarte seriamente a tu privacidad te informaremos de dicho incidente y de qué medidas estamos tomando para resolverlo a la mayor diligencia posible.

Por tu seguridad DKV te pedirá acreditarte con las suficientes garantías, es decir, sin tu nombre apellidos y DNI no podremos atender la petición.

14.¿Cómo puedo ejercer mis derechos de privacidad?

Podrás ejercer todos estos derechos por todas las vías que te detallamos en la política de privacidad que hay al pie de la web.

También en el  área privada de cliente donde hemos introducido mejoras para que tengas toda la información que necesitas saber sobre cada uno de tus derechos.

Podrás dirigirte al Delegado de Protección de Datos si no estás conforme con la contestación y en última instancia a la Agencia Española de Protección de Datos en calle Jorge Juan 6, 28001 Madrid.

15.¿Me cobrará DKV por atender mis derechos de información?

DKV no te cobrará por atenderte ni por gestionarlos. Estos derechos son siempre gratuitos y por esto que para evitar los típicos costes de establecimiento de llamada, evitamos el canal telefónico, además de que es un derecho personalísimo y por teléfono no tenemos garantías suficientes de saber si eres quien tú o alguien que actúa en tu nombre.

Solo te cobraríamos un canon por el coste administrativo que lleva la gestión de estos derechos si realizas el mismo derecho de formar recurrente y sin ningún motivo aparente, te avisaríamos de ello previamente.

Estos derechos no están reñidos entre sí, es decir, puedo pedir un derecho de acceso a mi información, a continuación tras detectar que había fallos en algún dato solicitar rectificarlos y también puedo pedir oposición a que me envíen comunicaciones comerciales, etc..

16.¿Tiene DKV un Delegado de Protección de Datos?

Si, DKV ha nombrado un Delegado de Protección de Datos porque tiene más de 250 empleados y además tratamos datos especialmente protegidos. Una persona con más de 10 años de experiencia en la compañía, y que ha pasado por departamentos como gestión de calidad y el departamento de Sistemas de Información. En el pasado fue auditor de seguridad en una de las big four.

Esta persona es en adelante para nuestros clientes algo así como su Defensor y Asesor en materia de privacidad. Para cualquier duda lo pueden encontrar bien por correo postal a la dirección Torre DKV Avda María Zambrano 31, 50018 Zaragoza o bien a través de correo electrónico en la cuenta privacidad@dkvseguros.es

17.¿Qué derechos tienen los menores de edad que hay en las pólizas?

Los menores de edad (14 años) no pueden ejercer sus derechos de información, en este caso es el tomador o quien tenga la patria potestad o tutor legal el que podrá hacerlo. En DKV por defecto, si no nos indicas lo contrario, te enviaremos también esta información sobre menores en tu póliza. También te enviaremos sus datos de salud hasta esa fecha porque tienes obligación de saberlos en base al artículo 154 del Código Civil. Se supone que a los 16 ya se recoge la figura del emancipado, como aquel menor de edad pero que ya tiene facultades y madurez suficiente. En estos casos DKV podría no darte la información sobre salud del menor. En el grupo DKV elevamos esta edad hasta los 18 años. A partir de esa edad, salvo que ellos nos den una autorización para que podamos cederte sus datos, DKV no podrá proporcionártelos, porque se consideraría una cesión ilegal de datos de salud.


¿Más preguntas?

Puede enviar tus dudas al Delegado de Protección de Datos quien las atenderá lo antes posible y las publicará en este mismo portal web para compartirlas con toda la comunidad, diríjalas por escrito a Torre DKV Avenida Maria Zambrano 31 50018 Zaragoza o bien al buzón privacidad@dkvseguros.es

Consulta en la Agencia de Protección de Datos otras preguntas y respuestas publicadas.