La vídeo-peritación es una de las soluciones disruptivas para el sector de los seguros y aplica una tecnología que ha permitido la transformación de muchos de los procesos de negocio del sector asegurador. Por ello, queremos analizar algunos de las implicaciones en materia de protección de datos que conlleva dicha actividad.

Por todos es conocido, que el sector Insurtech y Fintech son la causa de la creación de muchas Start-ups que basan su modelo de negocio en la tecnología. En concreto, queremos poner el foco en una actividad que lleva un tiempo en el mercado tecnológico y que, en los últimos años, está potenciando su implementación en el sector asegurador; la video-peritación.

En este sentido, nos centraremos en algunas de las implicaciones en materia de protección de datos que puede conllevar esta modalidad de servicio.

En primer lugar, indicar que la video-peritación consiste en llevar a cabo el proceso de negocio por el cual se realiza la valoración requerida, bien por un perito, o mediante Inteligencia Artificial, a través de medios telemáticos.

El sector asegurador, aplica esta tecnología principalmente en dos procesos de negocio. Por una parte, a la hora de suscribir un seguro, por ejemplo, de automóvil, y, por otra, en la tramitación de siniestros, en especial, para la valoración del siniestro.

Debemos poner de relieve que la video-peritación trae beneficios para las dos partes ya que a la aseguradora le ahorra los costes de desplazamiento de los peritos, y a los tomadores/asegurados, les evita adaptar sus horarios a las visitas del perito. Además, si tenemos en cuenta la empresa que provee a la aseguradora la tecnología necesaria para ejecutar esta actividad, serían tres partes las beneficiadas en el proceso de video-peritación.

¿Qué implicaciones tiene en materia de protección de datos?

Como es habitual en nuestro blog, señalamos el deber de informar, recogido en el artículo 13 del Reglamento (UE) 2016/679. (en adelante, “RGPD”), como pilar fundamental para llevar a cabo el tratamiento de datos personales en cuestión.

En especial, y en el caso de que sea aplique la Inteligencia Artificial a la video-peritación, debe atenderse a la obligación de informar sobre el posible tratamiento de datos personales para la elaboración de perfiles, informando al interesado, si procede, de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, de acuerdo con lo previsto en el artículo 22 del RGPD.

Es cierto que, para determinados tipos de seguros, el perfilado podría no hacerse sobre datos que identifiquen directamente al interesado. En este sentido, hacemos referencia a los seguros de hogar ya que los resultados de los cálculos para la determinación de la prima se basan en datos de la vivienda, y no de una persona física. No obstante, para otro tipo de productos, tanto financieros, como de seguros, sí se podrían elaborar perfiles y decisiones automatizadas sobre datos personales que identifican directamente a una persona física.

Por otra parte, debe tenerse en cuenta que durante el proceso se llevarían a cabo captaciones imágenes algo, que no supondría un gran inconveniente para ciertos seguros, como por ejemplo el de autos, puesto que en principio no se captarían imágenes de personas físicas sino del objeto asegurado; el vehículo. Aunque, teniendo en mente los principios de protección de datos desde el diseño y protección de datos por defecto, así como el principio de minimización del tratamiento, el desarrollo de estas herramientas supone establecer ciertas medidas.

En primer lugar, debe evitarse la captación de imágenes que no sean las estrictamente necesarias para la ejecución del proceso de negocio. Es importante trasladar ciertas instrucciones a los clientes sobre la captura de imágenes o grabaciones de video, de forma que evitemos obtener datos que no son necesarios para la finalidad perseguida y que provoquen una elevación del riesgo sobre el tratamiento.

Generalmente, esta tecnología lleva aparejada la geolocalización, puesto que la situación geográfica es una de las variantes que se tienen en cuenta a la hora de realizar los cálculos para la determinación de la prima correspondiente. Debemos tener en cuenta que la geolocalización, es un tratamiento que requerirá de un análisis especifico y una valoración sobre la base legitimadora de aplicación.

Asimismo, se deben establecer ciertas garantías contractuales entre las partes intervinientes. En consecuencia, es esencial formar a los peritos que puedan realizar una video-peritación en tiempo real, así como capturar imágenes para su valoración, incluyendo las medidas de seguridad adecuadas en sus dispositivos. Adicionalmente se deberán suscribir los contratos de confidencialidad y protección de datos pertinentes, máxime sí se tratan de peritos o gabinetes periciales independientes.

En cuanto a la relación con los proveedores de tecnología para la video-peritación, por lo general, tendrán la figura de encargados del tratamiento con respecto a las aseguradoras, y en cumplimiento del artículo 28 del RGPD, será necesario suscribir el acuerdo de encargo de tratamiento.

En lo referente a la elaboración de perfiles para la determinación de la prima en la suscripción del contrato de seguro (perfilados con fines actuariales y análisis de mercados objetivos) sostiene su base legitimadora en la obligación legal establecida en diferentes artículo de la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, como por ejemplo, el artículo 66.5, que exige el desarrollo de una función actuarial efectiva o el artículo 94.1 en relación a la cotización de las tarifas, que indica que “deberán fundamentarse en bases técnicas y en información estadística elaborada de acuerdo con lo dispuesto en esta Ley y en sus normas de desarrollo.” Y añade: “Deberán ser suficientes, según hipótesis actuariales razonables, para permitir a la entidad aseguradora satisfacer el conjunto de las obligaciones derivadas de los contratos de seguro y, en particular, constituir las provisiones técnicas adecuadas.”

Aunque la elaboración de perfiles en ciertos procesos de negocio de las aseguradoras, en este caso en la suscripción de seguros, pueda sustentar su base legitimadora en la legislación de aplicación, ello no supone que todos los tratamientos de datos personales que se puedan llevar a cabo a través de la video-peritación, puedan basarse en una habilitación legal, dado que la sensibilidad de los mismos, así como la tecnología aplicada, puede requerir el encaje en otras bases legitimadoras.

En conclusión, aunque a priori en determinados productos pueda no identificarse un tratamiento de datos personales de alto riesgo para los interesados, el proceso de video-peritación tiene múltiples aristas que deben ser analizadas en cada caso.

Vehículos inteligentes, conduciendo con nuestros datos

Tribuna de Javier Arnaiz, abogado de ECIJA, para The Law Clinic.

El incesante avance de los vehículos inteligentes o conectados plantea las mismas inquietudes legales que avances en la tecnología empleada.

Si hay algo que siempre se discute sobre cómo evolucionará la tecnología en 50 años, es el potencial avance en los vehículos de transporte. Vehículos voladores, conducción autónoma o tecnologías impensables son la base de mucha literatura y películas. La realidad es que, lejos de muchas de estas utopías, a día de hoy sí que se encuentran grandísimos avances en la tecnología empleada en los vehículos.

Si bien hablar de la innovación en los vehículos y del impacto legal en los mismos en un artículo de opinión puede resultar una materia demasiado amplia de cubrir, este artículo se va a ceñir en los puntos que más impacto tienen en los usuarios y ciudadanos (y en su privacidad), como pueden ser la geolocalización de los vehículos, la utilización de sistemas de tratamiento de información del vehículo y las cámaras a bordo.

Cuando se habla de geolocalización de los vehículos, los conductores plantean cuestiones que afectan directamente a su privacidad, como los usos de dicha geolocalización, la temporalidad o el contenido exacto de dicha información que aporta el vehículo.

La realidad es que la geolocalización no es un dato personal que sea considerado sensible por la normativa de protección de datos, aunque diferentes documentos sí que lo mencionan como un tratamiento con alto riesgo para la privacidad de los interesados.[1]

Para poder analizar este punto adecuadamente, hay que tener en cuenta que la geolocalización puede ser utilizada tanto para conductores individuales como para sistemas de gestión de flotas.

En ambos supuestos, cobra relevancia la finalidad del tratamiento, ya que, de cara a los usuarios, resulta fundamental que la información sea clara y transparente sobre todas las finalidades a realizar. Esta información sería altamente recomendable que fuera aportada dentro de los sistemas del vehículo, como puede ser en las pantallas a bordo donde el usuario pudiera ser consciente de la finalidad y límites de la geolocalización.

Con respecto a los usuarios, la geolocalización, debería estar basada en el consentimiento del conductor para poder activarla o no, a no ser que fuera necesaria para alguna funcionalidad del vehículo (como la asistencia remota) siendo en este caso, la geolocalización, necesaria para la ejecución de dicho servicio.

La geolocalización tiene un impacto mayor en la gestión de flotas, siendo este tratamiento en muchos casos fundamental para su gestión. Detección de malos usos, necesidad del cliente de identificar el uso hecho de la flota, localización de los vehículos para su recuperación, son algunos de los supuestos en los que la geolocalización sería necesaria para la ejecución de dicha relación (sin ser necesario un consentimiento), aunque incluso en este caso, la transparencia resulte fundamental de cara al conductor[2].

Aquí cobra especial relevancia si existen terceros implicados (como pudiera ser la compañía de renting de vehículos) ya que la relación y el tratamiento de los datos derivados de la geolocalización tiene que estar bien delimitado tanto contractualmente como de cara a los usuarios finales. De nuevo, la transparencia de cara al usuario, es fundamental.

Pero no solo se trata la geolocalización como información asociada al vehículo, la tecnología actual y los sistemas de los vehículos pueden recoger desde usos de este, estado de los neumáticas, revisiones realizadas, tipo de conducción realizada por el conductor…

Toda esta información, puede convertirse fácilmente en datos personales al ser asociada con el conductor para determinar por ejemplo un perfil de conducción o la personalización de diferentes elementos del vehículo en función del uso realizado.

De nuevo, estos usos tienen que estar vinculados con la información que se aporte al conductor y las finalidades de dicho tratamiento. La problemática, surge, en muchos casos, por la falta de transparencia de cara al usuario y la dificultad de acceso a dichos textos informativos.

Un apartado concreto serían las cámaras de los vehículos utilizadas para la prevención de accidentes[3] o involucradas en sistemas de aprendizaje e inteligencia artificial.

La cuestión principal de estos tratamientos puede venir por el uso de dichas cámaras y el impacto con la privacidad de los sujetos potencialmente grabados. En este sentido, la Agencia Española de Protección de Datos ya cubrió dicha cuestión en un informe del año 2015.[4] Posicionándose “favorablemente” a dichas cámaras, aunque con algunas cuestiones que debían ser implementadas (como por ejemplo, que las cámaras únicamente se encendieran en caso de siniestro).

No obstante, estas nuevas tecnologías de grabación pueden suponer nuevos retos ya que no solo están encendidas en el momento de los accidentes, sino que proceden a grabar de manera continua el recorrido del conductor.

En este sentido, ya ha habido en España diversas acciones relacionadas con el uso de información relativa a vehículos conectados para realizar estudios[5]. De nuevo, aquí la cuestión es determinar si estos tratamientos son transparentes de cara al conductor, y en todo caso, compatibles con la normativa de protección de datos (y una base legal válida).

Con respecto a los posibles usos de la información de los vehículos para proyectos relacionados con la Inteligencia Artificial, cabe hacer especial referencia a la propuesta de Reglamento Europeo sobre Inteligencia Artificial.[6] A modo de resumen, si bien parece que los sistemas de IA de un vehículo no estarían dentro de las prohibiciones absolutas, el artículo 6 sí que parece que pudiera incluirlas el uso de IA en sistemas de seguridad del vehículo (los sistemas de IA que conlleven el riesgo de causar un perjuicio a la salud y la seguridad).

La evolución normativa de los vehículos conectados es incesante, e incluso desde la parte técnica ya se aportan recomendaciones de seguridad[7] e incluso a nivel privado se ha promovido una suerte de estándar de seguridad específico[8].

Es por esto que la información disponible en los vehículos resulta muy amplia y puede ser explotada con diversas finalidades. El marco legal actual puede resultar suficiente para cubrir la tecnología reciente, pero sí que es cierto que futuros desarrollos tecnológicos pueden necesitar de una normativa ad hoc debido al mayor impacto no solo en la privacidad, sino en la seguridad de las personas.

[1] La AEPD en la lista de tratamientos que requieren una evaluación de impacto y que entraña probablemente un alto riesgo incluye tratamientos de geolocalización sistemáticos y exhaustivos.

[2] https://noticias.juridicas.com/actualidad/noticias/15608-el-supremo-avala-la-geolocalizacion-por-gps-de-trabajadores-en-vehiculos-de-empresa-si-hay-aviso-previo/

[3] https://www.expansion.com/economia/2020/10/14/5f85e6c7e5fdea380c8b459a.html

[4] https://www.aepd.es/sites/default/files/2019-12/2015-0456.pdf

[5] https://movilidadelectrica.com/barcelona-autonomous-ready-spain/

[6] https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF

[7] https://www.enisa.europa.eu/publications/recommendations-for-the-security-of-cam/

[8] https://eurocybcar.com/en/

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Mes: octubre 2021

Vídeo-peritación retos en el tratamiento de datos personales