CONSEJO DE EUROPA. (Adoptada por el Comité de Ministros el 18 de septiembre de 2002 durante la 808ª reunión de Delegados de Ministros)

14 

Loading....

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)

CONSEJO DE EUROPA COMITÉ DE MINISTROS

Recomendación (2002)9

Del Comité de Ministros a los Estados miembros sobre la protección de datos personales recogidos y tratados a efectos de seguros

(Adoptada por el Comité de Ministros el 18 de septiembre de 2002 durante la 808ª reunión de Delegados de Ministros)

Preámbulo

El Comité de Ministros, al amparo del Artículo 15.b del Estatuto del Consejo de Europa,

1. Considerando que la finalidad del Consejo de Europa es realizar una unión más estrecha entre sus miembros;

2. Reconociendo los Principios generales relacionados con la protección de datos del Convenio para la protección de personas respecto al tratamiento automatizado de datos de carácter personal (STE Nº 108), y en concreto el Artículo 6, que dispone que datos personales clasificados como sensibles no podrán ser objeto de tratamiento salvo que la legislación proporcione las garantías oportunas;

3. Teniendo en cuenta el hecho que el tratamiento automatizado de datos personales a efectos de seguros es cada día más extendido, no sólo para la elaboración, formalización, implantación y finalización de contratos de seguro sino también para facilitar la gestión racional y económica de seguros y luchar contra el fraude;

4. Teniendo en cuenta que el seguro se otorga por distintas entidades financieras, especialmente por compañías de seguros;

5. Convencidos de la importancia que la calidad, integridad y disponibilidad de sus datos personales suponen para los Asegurados;

6. Observando que prácticamente la población entera de los Estados miembros es objeto de uno o más contratos de seguro, y que por este motivo los profesionales de seguros disponen de un volumen importante de datos personales, algunos de los cuales son de categoría sensible;

7. Convencidos de la conveniencia de regular la recogida y tratamiento de datos personales a efectos de seguros, de garantizar su carácter confidencial, la seguridad de los datos y garantizar que el uso que se haga de los datos respete los derechos y las libertades fundamentales, en concreto el derecho a la intimidad;

(2)

8. Teniendo en cuenta que la movilidad de las personas y la globalización de mercados y actividades comerciales requieren una transferencia internacional de información también en el sector de seguros y requieren protección de datos equiparable en todos los Estados miembros del Consejo de Europa,

Recomienda a los Gobiernos de los Estados miembros que:

1. adopten las medidas necesarias para garantizar que los Principios contenidos en el Anexo de la presente Recomendación se reflejen en sus leyes y en la práctica;

2. difundan ampliamente los Principios contenidos en el anexo de esta Recomendación entre las personas, autoridades públicas y organismos públicos o privados que recogen y tratan datos personales a efectos de seguros así como entre los organismos competentes en materia de la protección de datos;

3. fomenten la aceptación e implantación de los Principios contenidos en el anexo de esta Recomendación, notablemente mediante la adopción de provisiones legales o el fomento de la redacción de un código deontológico.

Anexo a la Recomendación Rec(2002)9

1. Definiciones

A efectos de la presente Recomendación:

a. "Datos personales” significa toda información sobre una persona física

identificada o inidentificable ("el interesado".) La persona física no tendrá la consideración de "identificable" si la identificación requiere tiempo y labor irrazonables.

b. "Datos sensibles" significa datos que revelan la raza de origen, opiniones

políticas, creencias religiosas u otras creencias así como datos personales sobre la salud y vida sexual de la persona. Información sobre procedimientos penales y condenas y otra información definida como sensible según la legislación nacional tendrán también la consideración de datos sensibles.

c. “A efectos de seguros” comprende cualquier operación relacionada con la

recogida y tratamiento de datos personales requeridos para cubrir un riesgo, en concreto mediante una póliza o contrato de seguro.

d. "Tratamiento" significa cualquier operación o conjunto de operaciones

efectuadas parcial o totalmente mediante procedimientos automatizados y aplicadas a datos personales, como grabación, conservación, modificación, extracción, consulta, utilización, comunicación, cotejo o interconexión, así como su borrado o destrucción.

e. "Comunicación” significa la acción de poner datos personales a la disposición de

(3)

f. "Responsable del Tratamiento" significa la persona física o jurídica, autoridad

pública, servicio, o cualquier otro organismo que sólo o conjuntamente con otros, determine los fines y los medios utilizados en la recogida y tratamiento de datos personales.

g. “Encargado del Tratamiento” significa la persona física o jurídica, autoridad

pública, servicio, o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento.

2. Ámbito

2.1. La presente Recomendación será de aplicación a datos personales recogidos y tratados a efectos de seguros. No se aplica a la recogida y tratamiento de datos personales a efectos de la seguridad social.

2.2. Se recomienda a los Estados que amplíen el ámbito de la presente Recomendación al tratamiento no-automatizado de datos personales a efectos de seguros.

2.3. Se prohíbe el tratamiento de datos personales mediante medios no automatizados con el fin de no tener que aplicar los Principios de la presente Recomendación.

2.4. Los Estados miembros podrán ampliar la aplicación de los Principios establecidos en la presente Recomendación a la recogida y tratamiento de datos sobre grupos de personas, asociaciones, fundaciones, empresas, corporaciones y cualquier otra entidad formada directa o indirectamente de personas físicas, con independencia del carácter jurídico de tales entidades.

2.5. Los Estados miembros podrán ampliar la aplicación de los Principios establecidos en la presente Recomendación a la protección de datos personales utilizados a efectos de la seguridad social.

3. Respeto de la intimidad

3.1. El respeto de los derechos y de las libertades fundamentales, en concreto el derecho a la intimidad, tiene que ser garantizado en el momento de recoger y tratar datos personales a efectos de seguros.

3.2. Las personas con acceso a datos personales en el transcurso de una actividad de seguros tendrán que ser sujetas, de acuerdo con la legislación y la práctica nacionales, a las reglas de confidencialidad. Además, la recogida y el tratamiento de datos de carácter sanitario sólo podrán realizarse por profesionales sanitarios o de acuerdo con reglas de secreto equiparables a las de aplicación a los profesionales de la sanidad o con garantías igualmente eficaces establecidas por la legislación nacional.

(4)

4. Recogida y tratamiento de datos personales a efectos de seguros

Condiciones fundamentales para la recogida y tratamiento de datos personales

4.1. La recogida y tratamiento (incluyendo la comunicación) de datos personales tienen que realizarse de una forma legítima y honesta y con finalidades lícitas y concretas.

Los datos personales deberían ser:

– adecuados, pertinentes y no excesivos en relación con las finalidades para las que se hayan obtenido o para las que recibirán tratamiento adicional.

– exactos y en su caso puestos al día.

Fuentes de datos personales

4.2. Los datos personales recogidos y tratados a efectos de seguros, en principio, deberían ser obtenidos del interesado o de su representante legal.

Legalidad

4.3. Datos personales pueden ser recogidos y tratados a efectos de seguros:

a. cuando la Ley lo prevea;

b. para la formalización de un contrato de seguro del que el interesado es una parte

o parar la redacción de una póliza a solicitud del interesado;

c. cuando el interesado o su representante legal u otra persona u organismo

acorde con la Ley hayan dado su consentimiento según lo establecido en el apartado 6; o

d. cuando los datos sean necesarios para el desarrollo de los intereses legítimos

del responsable del tratamiento siempre que los intereses del afectado no prevalezcan sobre los del responsable del tratamiento.

Finalidad

4.4. Sujeto a las provisiones de los Principios 4.6 al 4.8, 8.1 y 13.1, los datos personales sólo pueden ser recogidos y tratados con la finalidad de:

a. la redacción y emisión de pólizas de seguro;

b. el cobro de primas y presentación de otras facturas;

(5)

d. el reaseguro; e. el coaseguro;

f. la prevención, detección y/o persecución del fraude en seguros; g. la justificación, persecución o defensa de una reclamación legal; h. el cumplimiento de otra obligación específica legal o contractual; i. la prospección de nuevos mercados de seguro;

j. le gestión interna; k. actividades actuariales.

Los datos no podrán recibir tratamiento adicional con finalidades incompatibles con el motivo original de su recogida.

Hijos sin nacer

4.5. Los datos personales concernientes hijos sin nacer deberían gozar de una protección equiparable a la de los datos personales de un menor.

Siempre que la legislación nacional no disponga lo contrario el titular de las responsabilidades de tutela puede actuar como la personal legalmente facultada para actuar en nombre del hijo sin nacer, con éste teniendo la consideración de un interesado.

Datos sensibles

4.6. La recogida y tratamiento de datos sensibles deberían estar prohibidos salvo que se realicen para una de las finalidades expuestas en los Principios 4.4, 4.8, 8.1 y 13.1, y:

a. el interesado o su representante legal u otra persona u organismo acorde con la

Ley hayan dado su consentimiento según lo establecido en el apartado 6; o

b. estén permitidos por la Ley y

i. sujeto a las garantías oportunas el tratamiento sea necesario para que el responsable del tratamiento cumpla con sus otras obligaciones legales o contractuales; o

ii. el tratamiento sea necesario para justificar, perseguir o defender una reclamación legal; o

iii. cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

c. se permiten la recogida y tratamiento, sujeto a las garantías oportunas, cuando

sean necesarios para la salvaguarda de un interés público importante y la Ley lo prevea o en virtud de una decisión de una autoridad acorde con lo previsto en el Principio 15.1.

(6)

Datos penales

4.7. En derogación parcial del Principio 4.6, la recogida y tratamiento de datos concernientes procedimientos penales y condenas podrán realizarse a efectos de seguros sólo cuando la legislación nacional establezca garantías especificas y adecuadas y los datos sean necesarios para combatir el fraude en el seguro, dar cobertura de seguro, o liquidar un siniestro o realizar otra prestación del seguro.

Marketing Directo

4.8. Siempre que el interesado haya sido informado y no haya presentado objeción, el responsable del tratamiento podrá utilizar, a efectos de marketing y promoción de su gama de servicios, los datos recogidos y tratados a efectos de seguros. No obstante, si el tratamiento concierne datos sensibles se requerirá el consentimiento explícito del interesado siempre que esto no sea contrario a la legislación nacional.

El interesado debería ser informado del hecho de que si deniegue su consentimiento o presente objeción a la utilización de sus datos a efectos de marketing, tal circunstancia no afectará a la decisión sobre la prestación o no de cobertura de seguro o la continuidad de cobertura ya vigente.

5. Información a disposición del interesado

5.1. Los interesados tendrán que ser informados de lo siguiente:

a. la finalidad o las finalidades con que los datos se tratan o se tratarán; b. la identidad del responsable del tratamiento;

c. cualquier otra información necesaria para garantizar que el tratamiento sea justo,

como:

– las categorías de los datos recogidos o a recoger;

– las categorías de las personas u organismos que puedan recibir los datos y las finalidades de la comunicación

– la posibilidad, si existe, de denegación de consentimiento o la retirada de consentimiento por parte del interesado y las consecuencias de tal retirada; – las condiciones en que los derechos de acceso y rectificación pueden ejercerse; – las personas naturales u organismos de los que se recogen o se recogerán los

(7)

– el carácter obligatorio o voluntario de la contestación a las preguntas objeto de la recogida y las consecuencias de una respuesta incorrecta en relación con la persona.

5.2. Cuando los datos personales se obtienen del interesado el responsable del tratamiento debería facilitar al interesado la información relacionada en el Principio 5.1 anterior, al más tardar en el momento de la recogida, salvo que el interesado ya haya sido informado.

5.3. Cuando los datos personales no se obtienen del interesado el responsable del tratamiento debería facilitar al interesado la información relacionada en el Principio 5.1 en el momento de su registro, o si está prevista la comunicación de los datos a un tercero, al más tardar en el momento en que los datos se comuniquen por primera vez.

(8)

La obligación de informar al interesado no es de aplicación cuando:

a. el interesado ya haya sido informado;

b. resulte imposible facilitar la información o supondría esfuerzos

desproporcionados;

c. el tratamiento o comunicación de datos a efectos de seguros estén

explícitamente previstos en la legislación nacional.

En los casos planteados en b y c, las garantías oportunas tendrán que ser

establecidas.

5.4. La información para el interesado tiene que ser procedente y adaptada a las circunstancias.

5.5. Si los interesados no tienen capacidad legal y no pueden tomar sus propias decisiones libremente, y si las normas nacionales no permiten que actúen en nombre propio, la información tiene que ser facilitada a las personas legalmente capacitadas para actuar en nombre de dichos interesados.

5.6. La provisión de datos a los interesados podrá ser restringida si la ley lo permite y si la restricción es necesaria para la prevención, investigación o juicio de un delito o para garantizar los derechos y las libertades de otras personas.

6. Consentimiento

6.1. Cuando se solicita el consentimiento a los interesados su consentimiento tendrá que ser prestado de una manera libre, específica e informada. Además tendrá que ser inequívoco, o en el caso de datos sensibles, explícito.

No obstante pueden existir circunstancias en que las normas nacionales no permiten que el consentimiento se considere suficiente justificación de la legalidad de la recogida o tratamiento.

6.2. Cuando los datos personales corresponden a personas que no tienen capacidad legal y la legislación no permite que el interesado actúe en nombre propio, el consentimiento de su representante legal o una autoridad u otra persona u organismo designado por ley será requerido.

6.3. Si, de acuerdo con el Principio 5.5 anterior, los interesados sin capacidad legal han sido informados del propósito de recoger y tratar datos sobre sus personas, sus deseos deberían ser tenidos en cuenta, siempre que no sea contrario a la legislación nacional.

(9)

7.1. Según las disposiciones de las normas nacionales los responsables del tratamiento podrán contratar la recogida y tratamiento de datos personales para una finalidad determinada, en la medida en que estén autorizados a recoger y tratar estos datos, y con la condición que el encargado de tratamiento se compromete a actuar exclusivamente de acuerdo con las instrucciones del responsable de tratamiento y a respetar las disposiciones de las normas nacionales que implantan el Capítulo11del anexo de la presente Recomendación.

7.2. Los responsables del tratamiento tendrán que elegir encargados del tratamiento que ofrecen suficientes garantías en lo que se refiere a los aspectos técnicos y organizativos del tratamiento a realizar. Tendrán que vigilar el cumplimiento de las garantías y en concreto que el tratamiento se realice acorde con sus instrucciones. 7.3. La recogida y tratamiento de datos personales por encargados del tratamiento deberían regirse mediante un contrato o instrumento legal que vincule el encargado al responsable, estipulando que el encargado sólo actuará dentro del marco de referencia establecido por el responsable y las disposiciones de las normas nacionales que rigen las obligaciones de encargados.

8. Comunicación de datos para otros fines

8.1. Los datos personales sólo podrán comunicarse para fines distintos de los establecidos en el apartado 4.4 cuando:

a. la legislación nacional así lo permita y constituya una medida necesaria en una

sociedad democrática destinada a la prevención, investigación y juicio de delitos o para garantizar otro interés público de importancia, o

b. los interesados o sus representantes legales o una autoridad u otra persona u

organismo competente hayan prestado su consentimiento en los términos previstos en el apartado 6; o

c. la comunicación se realice a efectos de marketing directo, siempre que el

interesado haya sido informado y no se haya opuesto. No obstante, el consentimiento explícito del interesado debería exigirse si los datos son de carácter sensible según lo previsto en el apartado 6; o

d. los datos sean necesarios para el desarrollo de los intereses legítimos del

responsable del tratamiento, siempre que los intereses del interesado no prevalezcan sobre los mismos. No obstante, el consentimiento explícito del interesado debería exigirse si los datos son de carácter sensible según lo previsto en el apartado 6.

(10)

9.1. Las decisiones de seguros que tengan una influencia legal sobre los interesados o les afecten de forma significativa, no deberían tomarse exclusivamente en función del tratamiento automatizado de datos destinado a valorar ciertos aspectos personales de las personas según criterios previamente establecidos o resultados de la estadística. 9.2. No obstante, tales decisiones sí pueden tomarse si satisfacen una solicitud realizada por los interesados con vistas a la formalización o ejecución de un contrato de seguro, o si los interesados tienen la facultad de presentar su punto de vista con el fin de garantizar la protección de sus intereses legítimos. Tales decisiones también pueden tomarse si están permitidas por una ley que protege los intereses legítimos del interesado.

10. Derechos de acceso y rectificación

10.1. Todos los interesados deberían poder solicitar confirmación sobre si sus datos se procesan o no, y recibir en un formato legible todos los datos concernientes su persona, así como, como mínimo, información sobre las finalidades del tratamiento, las categorías de los datos que se traten, los destinatarios o categorías de destinatarios a los que se comunicarán los datos y la fuente de los datos. Además, deberían ser informados, previa solicitud, de la lógica subyacente del tratamiento automatizado de datos que les conciernen, al menos en el caso de decisiones individuales automatizadas.

10.2. Los derechos de los interesados de obtener datos sobre sus personas no serán restringidos salvo que la ley lo permita y la restricción sea necesaria para:

a. la prevención, investigación o juicio de un delito;

b. garantizar los derechos y libertades de los interesados o de otras personas.

En todo caso el derecho de acceso sólo podrá ser restringido mientras el motivo de la restricción siga vigente.

10.3. Los interesados deberían tener el derecho de poder hacer modificar, bloquear o suprimir sus datos según procede cuando dichos datos hayan sido recogidos o tratados en violación de las normas nacionales que incorporan los Principios de la presente Recomendación, y en concreto cuando los datos resulten ser inexactos, excesivos o impertinentes.

10.4. Los motivos de la restricción de derechos de acceso, rectificación, bloqueo o supresión tendrán que comunicarse por escrito. Cuando se restringen los derechos del interesado de acceso, rectificación, bloqueo o supresión, el interesado tendrá que ser informado de su derecho de solicitar a la autoridad competente verificación de la legalidad del tratamiento.

(11)

10.5. Terceras personas que hayan recibido datos personales tendrán que ser informadas de la rectificación, borrado o bloqueo salvo que esto resulte claramente irrazonable o inviable.

10.6. Los responsables del tratamiento deberían comunicar a intervalos razonables y sin demora o coste excesivos a las personas quienes ejercen el derecho de acceso a datos personales referentes a ellas, así como cualquier información mencionada en el Principio 10.1 a la que se solicita acceso.

11. Seguridad de datos

11.1. Las medidas oportunas de índole técnico y organizativo deberían adoptarse para proteger datos personales - de acuerdo con las provisiones de la legislación nacional que implantan los Principios de esta Recomendación - contra la destrucción accidental o ilícita, pérdida accidental, así como contra el acceso no autorizado, modificación o comunicación o cualquier otra forma de tratamiento ilícito.

Dichas medidas deberían garantizar un nivel adecuado de seguridad, teniendo en cuenta por un lado el estado técnico del arte y por otro lado la naturaleza sensible de datos recogidos y tratados a efectos de seguros y la valoración de riesgos potenciales. Estas medidas deberían ser revisadas periódicamente.

11.2. Para garantizar especialmente la confidencialidad, integridad y disponibilidad de datos tratados así como la protección de los interesados el responsable del tratamiento debería adoptar las medidas oportunas para:

a. evitar el acceso de cualquier persona no autorizada a las instalaciones utilizadas

para el tratamiento de datos personales (control en la entrada de las instalaciones);

b. evitar que personas no autorizadas lean, copien, modifiquen o retiren medios de

datos (control de medios de datos);

c. evitar la entrada no autorizada de datos en el sistema informático así como

cualquier consulta, modificación o supresión no autorizadas de datos personales memorizados (control de memoria);

d. evitar que personas no autorizadas utilicen sistemas automatizados de

tratamiento de datos mediante equipos de transmisión de datos (control de utilización);

e. con vistas a, por un lado, acceso selectivo a datos, y por otro lado, la seguridad

de los datos personales, garantizar que como regla general el diseño del tratamiento permita la diferenciación entre:

– medios de identificación y datos referentes a la identidad de personas, – datos administrativos,

(12)

f. garantizar la posibilidad de conocer y verificar las personas u organismos que

pueda recibir datos personales a través de equipos de transmisión de datos (control de comunicación);

g. garantizar que sea posible verificar e identificar, a posteriori, las personas que

hayan tenido acceso al sistema, los datos introducidos en el sistema informático así como las fechas de tal acceso o introducción de datos (control de introducción de datos);

h. evitar la lectura, reproducción, modificación o supresión no autorizadas de datos

personales durante la comunicación de datos personales y el transporte de medios de datos (control de transporte);

i. salvaguardar datos mediante la realización de copias de seguridad (control de

disponibilidad).

11.3. Los responsables del tratamiento, de acuerdo con las normas nacionales, deberían establecer un reglamento interno adecuado que respeta los Principios correspondientes de esta Recomendación.

11.4. Cuando procede los responsables del tratamiento deberían designar una persona independiente responsable de la seguridad de los sistemas informáticos y protección de datos capacitada para asesorar sobre estas materias.

12. Transferencia internacional de datos

12.1. Los Principios de esta Recomendación son de aplicación a la transmisión entre países de datos personales recogidos y tratados a efectos de seguros.

12.2. La transmisión internacional de datos personales a un Estado que haya ratificado el Convenio para la protección de personas respecto al tratamiento automatizado de datos de carácter personal (STE No. 108), y cuya legislación establezca al menos protección de datos equiparable no debería ser sometida a condiciones especiales en relación con la protección de la intimidad.

12.3. No debería imponerse restricción sobre la transmisión internacional de datos a un Estado que no haya ratificado el Convenio pero cuya legislación sí garantice un nivel adecuado de protección.

12.4. Salvo que las normas nacionales establezcan lo contrario la transmisión internacional de datos a un Estado que no garantice un nivel adecuado de protección no debería realizarse, excepto cuando:

a. el interesado haya prestado su consentimiento según lo previsto en el apartado

(13)

b. se hayan adoptado medidas, incluidas las de carácter contractual, necesarias

para respetar las disposiciones de las normas nacionales que implantan los Principios del Convenio y de esta Recomendación y el interesado tenga la facultad de presentar objeción a la transmisión.

13. Conservación de datos

13.1. Cuando los datos personales ya no sean necesarios para la consecución de las finalidades para las que se recogieron y se trataron deberían ser borrados. Este principio es de aplicación también al caso de una decisión de denegar cobertura de seguro. No obstante si los datos debiesen ser conservados a efectos de investigación científica o la estadística u otros fines previstos por la Ley, deberían ser conservados separadamente y accesibles sólo para dichos fines y sujetos a las garantías oportunas. 13.2. En el momento de establecer la duración del período de conservación de datos se tendrán en cuenta especialmente la necesidad de guardar datos durante el tiempo requerido a efectos de defensa en procedimientos legales o prueba de una transacción o justificación de una decisión negativa ante una solicitud de seguro.

14. Recursos

La legislación nacional debería establecer las sanciones y los recursos oportunos en caso de infracción de las disposiciones que incorporan los Principios establecidos en la presente Recomendación.

15. Garantía de respeto de los Principios

15.1. Los Estados miembros deberían conceder a una autoridad o más la responsabilidad de garantizar la aplicación imparcial e independiente de las normas nacionales que incorporen los Principios establecidos en la presente Recomendación.

15.2. La información siguiente debería publicarse oportunamente y estar a disposición de todos los interesados:

a. el nombre y domicilio del responsable de tratamiento y de su representante en

su caso;

b. el motivo o los motivos del tratamiento;

c. la categoría o las categorías del interesado y de los datos;

d. el destinatario o categoría de destinatarios a los que los datos puedan revelarse e. cualquier transferencia propuesta de datos a otros países

(14)

Figure

Actualización...

Referencias

Actualización...

Related subjects :