Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?

Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?

Tribuna de Eduardo Martínez, abogado de ECIJA.

Desde la experiencia que los profesionales de ECIJA hemos podido adquirir por trabajar día a día con clientes del sector asegurador, hemos observado que hay una consulta que se viene repitiendo desde la entrada en vigor del RGPD.

Las empresas, colegios profesionales y organismos público, entre otros, suelen consultar cómo deben proceder a la hora de facilitar datos personales de sus empleados o colegiados a la compañía aseguradora con la que tienen suscrito una póliza colectiva.

Un gran número de estas entidades suelen considerar que las compañías aseguradoras tienen la condición de encargados del tratamiento, ya que son terceros que al prestar un “servicio” a la compañía, deben de acceder a datos personales de sus empleados. Asimismo, desde el sector asegurador se reciben múltiples solicitudes de firma de un acuerdo de encargo de tratamiento tras la firma de una póliza colectiva. Es más, en las propias licitaciones públicas y privadas se vienen incluyendo cláusulas de encargo de tratamiento en los propios pliegos y condiciones de la licitación.

Pero, lo cierto es que difícilmente la compañía aseguradora, puede ostentar la figura de un encargado del tratamiento en el marco de una póliza colectiva. Entonces, ¿puedo ceder los datos de los trabajadores a la compañía aseguradora?

Anteriormente a la aplicación del RGPD, la Agencia Española de Protección de Datos (AEPD) se ya se había pronunciado en diferentes ocasiones sobre las figuras que ostentan las compañías aseguradoras y los tomadores de pólizas colectivas. En este sentido, la AEPD consideraba que, dado que la empresa aseguradora realiza diversos tratamientos de los datos de los trabajadores asegurados, decidiendo el contenido, uso y finalidad de los mismos al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los trabajadores, se concluye que estamos en un supuesto sometido a las normas reguladoras de la cesión de datos.

Cabe decir, que desde la aplicación del RGPD no había demasiadas publicaciones oficiales contemplando este supuesto, más allá de las propias guía y códigos de conducta del sector asegurador, entre otros UNESPA (Unión Española de Entidades Aseguradoras y Reaseguradoras).  Pero a través de la reciente Guía sobre protección de datos y relaciones laborales publicada en mayo de 2021 por la propia AEPD, ha convenido incluir este aspecto y lo cierto es, que aclara muchas dudas al respecto que nos gustaría resaltar.

En primer lugar, la AEPD aclara que el flujo de datos entre la compañía como tomador de una póliza colectiva y la compañía aseguradora, corresponde a una comunicación de datos personales.

Entonces, si es una cesión de datos ¿qué bases legitimadoras entran en juego?

Por una parte, la compañía aseguradora tiene una habilitación legal contemplada en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, comúnmente conocida como “LOSSEAR”.

En su artículo 99 establece que “Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo”

En cuanto a la compañía tomadora de un seguro colectivo, la AEPD aclara que la base de legitimación podrá depender, al menos, de dos aspectos:

  • Pacto entre empleador y la persona trabajadora por el que aquél se comprometa a esa contratación.
  • La obligación que derive de un convenio colectivo, en cuyo caso, el consentimiento no es necesario para este tratamiento de datos

Ahora bien, al contemplar bases legitimadoras que puedan habilitar la comunicación de los datos a la compañía aseguradora, no podemos perder de vista el cumplimiento del deber de informar. Esto es, informar previamente al empleado de la cesión de sus datos personales a la entidad aseguradora con la finalidad claramente establecida y demás aspectos contemplados en la normativa en materia de protección de datos.

En segundo lugar, la guía también canaliza las distintas casuísticas en cuanto al flujo de datos entre sendos responsables del tratamiento. Pero algo a destacar, es la necesidad de establecer un “procedimiento para la captación y tratamiento de los datos personales”.

La recomendación de la mencionada autoridad de control, es que la compañía tomadora, facilite únicamente los datos de los asegurados, para que la aseguradora sea quien les contacte y establezca la relación directa entre asegurado-aseguradora, con las implicaciones en materia de protección de datos que esto conlleva.

No obstante, caben otras alternativas que si bien pueden ser “más garantistas” pueden conllevan al fin y al cabo una mínima comunicación de datos personales entre ambas entidades.

Por ejemplo, se podría poner a disposición de los empleados, que puedan beneficiarse de la póliza, unos formularios con datos de contacto de la aseguradora para que sea el propio empleado quien solicite la adhesión a la póliza colectiva. Pero como avanzábamos, seguramente sería necesaria una comunicación de datos entre la compañía aseguradora y la tomadora para que al menos, se pueda cotejar que efectivamente esa persona puede beneficiarse de la póliza colectiva.

Por último, queríamos resaltar un aspecto que realmente es útil para los responsables del tratamiento. Lo relativo al tratamiento de datos personales de personas relacionadas con el empleado, generalmente familiares, que pueden ser beneficiarios u optar de alguna forma a beneficiarse de la póliza contratada.

En este sentido, la AEPD recuerda que cuando la relación jurídica es formalizada por un afectado en beneficio de un tercero, el tratamiento de los datos de éste, que resulta necesario para la adecuada formalización de la mencionada relación, podría considerarse amparado por la legislación de protección de datos. Por lo que no sería necesario recabar el consentimiento de este beneficiario para el tratamiento de sus datos personales, en el marco de la formalización de una póliza.

En resumidas cuentas, las empresas que ostenten la figura del tomador de una póliza colectiva en la que sus empleados son asegurados, deberán en primer lugar, revisar en qué supuesto de los descritos se encuentran. Es decir, si la póliza colectiva se contrata derivado de  un Convenio Colectivo, a un pacto con el empleado etc. Asimismo, deberán revisar qué categorías de datos y mediante qué procedimiento se facilitan datos personales de los empleados a la aseguradora, siempre llevando el principio de minimización por bandera.  Y todo ello, con el estricto cumplimiento del deber de informar con respecto a estos empleados, en los términos descritos.

El ICO como impulsor del ecosistema emprendedor en España

El ICO como impulsor del ecosistema emprendedor en España

En 2020 se lanzó la mayor convocatoria de Fond ICO Global tanto en importe (€430 millones) como en número de fondos en los que pudo invertir (16)

La decimotercera convocatoria que lanzó el año pasado AXIS, la sociedad de capital riesgo del Grupo ICO, fue la mayor desde la creación de Fond Ico Global y contribuyó significativamente a la recuperación y transformación de la economía española en torno a ejes estratégicos como la sostenibilidad, la digitalización y la innovación.

Los datos muestran que, mediante la colaboración público-privada, los 329 millones de euros invertidos por AXIS en 15 fondos, permitieron canalizar 1.220 millones de euros a empresas españolas en 2020. Así, podemos afirmar que Fond ICO Global tiene un papel protagonista como dinamizador del sector del capital riesgo en España y contribuye directamente a impulsar vías de financiación complementarias. Los fondos en los que participa Fond ICO Global realizan inversiones en empresas en todas sus fases de desarrollo, prestando especial atención a las inversiones en primeros estadios e innovación.

La diversificación en las vías de financiación supone que las compañías tengan un crecimiento más sólido y sean más competitivas. Por eso, la financiación de proyectos que combinan innovación y emprendimiento fue uno de los pilares de la anterior convocatoria y la base para asentar la recuperación económica y la creación de empleo. En este sentido, 9 de los 15 fondos que recibieron la inversión de Fond ICO Global el año pasado, se encuadraron en las categorías de incubación, transferencia tecnológica y venture capital.

En las trece convocatorias de Fond-ICO Global realizadas, se han seleccionado 108 fondos privados que habrán invertido hasta 8.892 millones euros en empresas españolas. Por su versatilidad, se ajusta a las necesidades del ecosistema emprendedor en cada momento, este instrumento se ha convertido para las gestoras de fondos en una de las principales alternativas a la hora conseguir financiación para constituir nuevos fondos.

La convocatoria que se espera para el verano de 2021, se estima que sea igual o incluso más ambiciosa que la anterior. El desempeño del ecosistema emprendedor y los fondos orientados a invertir en etapas tempranas en el último año ha sido notable y AXIS va a fomentar sin duda un mayor dinamismo y crecimiento del sector con su próxima convocatoria.

Artículo de ECIJA Advisory.

 

El canal de denuncias: un elemento esencial de la cultura de cumplimiento en España

El canal de denuncias: un elemento esencial de la cultura de cumplimiento en España

Artículo de Marta Guzmán, abogada de ECIJA.

Se tiene la convicción de que las reformas del Código Penal de los años 2010 y 2015 introdujeron en España todas las medidas que hoy conocemos en materia de responsabilidad penal de la persona jurídica, como el Canal de Denuncias. Pero, lo cierto es que podemos encontrar referencias a la necesidad de implementar en las organizaciones herramientas o medios, que permitiesen a los empleados informar sobre posibles incumplimientos, anteriores a dichas reformas. Concretamente, la primera referencia data del año 2006, cuando la Comisión Nacional del Mercado de Valores, en su artículo 50 del Código de Bueno Gobierno de Sociedades Cotizadas, indicaba la necesidad de “establecer y supervisar un mecanismo que permita a los empleados comunicar, de forma confidencial y, si se considera apropiado, anónima las irregularidades de potencial trascendencia, especialmente financieras y contables, que se adviertan en el seno de la empresa”. Desde ese momento, la importancia y esencialidad de la implementación de canales de denuncias, no ha parado de crecer, de hecho, hoy en nuestra jurisdicción encontramos normas de gran calado que refieren dichos canales. Las más relevantes son la Circular 1/2016 de la Fiscalía General del Estado sobre la Responsabilidad Penal de las Personas Jurídicas y la reciente Directiva 2019/1937 relativa a la protección de las personas que informen sobre las infracciones del derecho de la unión.

Dentro de este marco jurídico, debemos hacernos la pregunta más evidente; ¿Cuál es el objetivo de un Canal de Denuncias? El objetivo de los Canales de Denuncias debiera ser el alcanzar una verdadera cultura ética en el seno de las organizaciones. Ello, mediante la puesta a disposición de los empleados, de una herramienta que les permita informar de cualquier mala práctica o vulneración de la normativa interna o de la legalidad vigente. Asimismo, y para que dicha herramienta sea puesta en valor y genere esa cultura de cumplimiento, debe ser promovida por parte de la organización, de tal forma que vaya calando en sus empleados la importancia de los valores y principios corporativos, rechazando cualquier actuación o situación que se encuentre fuera de estos valores y principios. Por lo que implementar en una compañía un Canal de Denuncias debe verse como un valor añadido frente a sus propios empleados y frente a terceros, evidenciando la intención de la misma de rechazar actuaciones fuera de lo establecido internamente.

En esta línea, la Circular 1/2016, aunque tiene un mero valor orientativo y no es de obligado cumplimiento, establece que el modelo de organización y gestión debe posibilitar la detección de cualquier conducta criminal que pudiera nacer en el seno la compañía. Recalcando la importancia de la existencia de un Canal de Denuncias de incumplimientos internos o de actividad ilícitas, considerando esta parte fundamental en un modelo de prevención.

Establecido lo anterior, otra pregunta que debemos hacernos es, ¿qué elementos precisa un Canal de Denuncias para ser efectivo y cumplir su objetivo? En este sentido, la Fiscalía pone de manifiesto la relevancia de regular y supervisar esta herramienta con la ayuda de un tercero ajeno a la organización, ofreciendo así mayor objetividad al tratamiento de las comunicaciones recibidas. Asimismo, resalta la importancia de establecer todas las garantías, para proteger específicamente a los denunciantes de buena fe, pudiendo garantizar la confidencialidad de las comunicaciones recibidas, sin que el denunciante pueda sentir riesgo a sufrir represalias por parte la compañía.

De esta forma, la organización da un paso al frente y se dota de un mecanismo de prevención y detección frente a las malas prácticas que puedan darse dentro de la misma. Dado que la Fiscalía del Estado concede especial valor al descubrimiento de los delitos por parte de la propia corporación, en caso de que la organización detectar motu proprio la comisión de un delito, se podrá solicitar la exención de la pena aparejada a la persona jurídica, al dejar patente la existencia de mecanismos efectivos de prevención, que han generado una cultura de cumplimiento normativa en la compañía.

Así las cosas, y en línea con la ya manifestada importancia de los Canales de Denuncia, debemos detenernos en la novedosa Directiva 2019/1937 o comúnmente conocida como Directiva Whistleblower, que nace para reforzar la aplicación del Derecho y de las políticas de la Unión. Por ello, establece normas mínimas para los Estados Miembros proporcionando principalmente protección a los denunciantes. Aún no se ha traspuesto dicha Directiva a nuestro ordenamiento jurídico, teniendo que hacerse antes de finalizar el año 2021. Ello supone novedades en materia de protección de los denunciantes.

Principalmente, la Directiva Whistleblower define su ámbito de actuación, teniendo incidencia tanto en el plano privado como en el público. Asimismo, protege tanto a los trabajadores de la organización como aquellos que comuniquen infracciones en el marco de una relación laboral ya finalizada. La nueva regulación va más allá y protege no solo al denunciante, sino a la figura del facilitador, entendiéndose como terceros que están relacionados con el denunciante y con aquellas entidades jurídicas implicadas. Es fundamental la oportunidad que se otorga a realizar la comunicación de modo anónimo.

Resulta esencial implementar los nuevos deberes de confidencialidad, entre los que se exige la no revelación de la identidad del denunciante sin el consentimiento expreso del mismo. Salvo que se trate de una obligación necesaria y proporcionada. En este mismo sentido, se enumeran medidas que pudieran tomar a modo de represalia contra los denunciantes, quedando todas ellas prohibidas de cualquier modo la ejecución de las mismas.

Otro de los aspectos fundamentales que se proponen en la nueva regulación es el seguimiento de la denuncia recibida a través de los canales habilitados para ello. Se puede destacar la novedad de informar al denunciante del acuse de recibo en un plazo de siete días a partir de la recepción de la denuncia. La comunicación se seguirá de modo diligente y dará respuesta a las mismas en un plazo razonable; que no podrá excederse tres meses desde el acuse de recibo. Para que el procedimiento cumpla con todas las garantías es necesario que la información sea clara y fácilmente accesible.

En definitiva, el canal de denuncias se evidencia como uno de los elementos esenciales de cualquier sistema de gestión de compliance. Se debe entender como una herramienta que, aporta valor añadido en la cultura ética de la compañía, de la que se pueden hacer valer sus empleados y que le permite conocer de pleno las actividades que se realizan en el seno de la misma. No hay que olvidar la importancia de la protección al denunciante, que como se ha venido manifestando en los últimos tiempos ha adquirido un papel de especial trascendencia. Desde ECIJA creemos que implementar un Canal de Denuncias da a conocer el compromiso con las buenas prácticas de cualquier compañía que cuente con este Canal, además de facilitar la gestión y comunicación con los miembros de la misma e incluso con otros terceros, otorgando así un alto valor añadido y un impacto reputacional positivo.

 

Cyborgs e IA: retos hacia una nueva realidad

Cyborgs e IA: retos hacia una nueva realidad

¿Cuántas veces hemos escuchado la frase: “me estoy quedando sin batería”? Seguramente cientos, y no parece que haya nada de extraño en ella, pero ¿acaso nos pasa esto a nosotros o a los dispositivos que utilizamos a diario? Según Neil Harbisson, un artista cyborg, este pensamiento es una señal de la unión psicológica entre la tecnología y nosotros, empezando a perder la diferencia entre ambas cosas. En su caso, al ver todo en escala de grises desde su nacimiento esto le empujó a investigar sobre las frecuencias de colores y ahora tiene una antena implantada en su cabeza, que le hace escuchar esas frecuencias mediante un software, llegando incluso a distinguir los infrarrojos y ultravioleta. Todo ello lleva a la creación de los sentidos artificiales (no inteligencia artificial) como proyectos de futuro. Ahora bien, esto no está exento de dificultades a nivel de bioética, seguridad en caso de hackeo o la aceptación por la propia sociedad.

 

El desarrollo de IA es otro de los temas que pone en manos de los expertos un inmenso abanico de posibilidades y, al mismo tiempo, preocupaciones. Elon Musk, CEO de Tesla y SpaceX, defiende la postura de integrarnos con la inteligencia artificial para evitar que ésta nos supere en el futuro. Con ese objetivo está desarrollando el proyecto llamado Neuralink, con el que aspira lograr una mejora humana (transhumanismo) a largo plazo. Sin embargo, queda mucho recorrido todavía y por eso entre los objetivos a corto plazo está crear las interfaces cerebro-computadora para ayudar, entre otras cosas, a las personas incapacitadas físcamente a controlar teléfonos, ordenadores, prótesis robóticas y sintetizadores del habla, además de curar el autismo o la pérdida de memoria.

 

Habrá que esperar para ver si estos proyectos formarán parte de nuestras vidas o quizás simplemente se queden en la ciencia ficción, y no como ya están siendo, por ejemplo, las predicciones con IA en el campo de medicina a través del análisis de radiografías de rayos X para calcular la probabilidad de desarrollar una enfermedad.

 

Lo cierto es que vivimos en una época de cambios y transformaciones. De una forma u otra, todas estas iniciativas nos van a llevar a que se produzca un mayor desarrollo e impulso en campos como la salud, la medicina, la ciencia y la tecnología, llegando a evolucionar hasta tal punto en el que sea bastante difícil distinguirlos y separarlos. Todo ello sin dejar de tener en cuenta la repercusión que estos hechos tendrán más allá de lo puramente médico, ya que conllevarán cambios regulatorios, legislativos, éticos, de seguridad…

 

Olena Steblynska

Data Analyst ECIJA Advisory