El seguro saca provecho del nuevo reglamento de protección de datos
Las aseguradoras prevén que la normativa eleve la litigiosidad entre empresas y usuarios Muchos contratos tradicionales no cubren este tipo de riesgos
El nuevo Reglamento General de Protección de Datos (RGPD) entra en vigor mañana. Para la mayoría de los ciudadanos no deja de ser un engorro momentáneo, puesto que están recibiendo en los últimos días decenas de correos electrónicos para que den su conformidad a las nuevas exigencias para las bases de datos. Pero para el sector asegurador está siendo una oportunidad de oro ya que les permite vender pólizas que cubren todos los riesgos que potencialmente podría generar esta nueva normativa.
“Hay que reconocer que la contratación de seguros que cubren las contingencias del RGPD están creciendo en relación con años anteriores”, explica Olivier Marcén Prieto, responsable de ciberriesgos de AIG Europa, uno de los líderes del sector. Un dato que comparte la responsable del Departamento de Cyber de Marsh España, Sara Muñoz, quien asegura que “con la nueva normativa se ha incrementado exponencialmente el interés en este tipo de coberturas”.
No lo ve así Kristof Vanooteghem, director de Negocio Empresas de Axa, quien afirma que todavía no se ha producido ese aumento de demanda. “La entrada en vigor del RGPD supone que empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos, y a día de hoy las empresas aún están en la ejecución y la adaptación de la nueva normativa”.
Aunque reconoce que los datos varían mucho según las fuentes, cuenta que parece que la mitad de las empresas no están totalmente preparadas para el RGPD. “Falta aún mucho asesoramiento y esto es siempre previo a la contratación de un seguro. Antes de asegurar un riesgo se debe poder evaluar el mismo para poder hablar de la transferencia de riesgo”, insiste.
En cualquier caso, el papel que pueden jugar las aseguradoras una vez que la nueva regulación sea de obligado cumplimiento va a ser crucial, pues entre otras cosas se prevé que pueda haber un aumento de los litigios por su incumplimiento. “Todo hace pensar que esto va a ser así, porque las empresas van a tener la obligatoriedad de hacer pública cualquier brecha de seguridad que afecte a los datos personales durante las primeras 72 horas, por lo que prevemos que aumentará el número de siniestros, tanto desde un punto de vista individual, en el que el titular de los datos reclama por un uso indebido de sus datos, como colectivo, ya que el propio reglamento incluye mecanismos que facilitan las reclamaciones colectivas ante un incidente que afecte a numerosos individuos”, explica Marcén Prieto.
Lo mismo opina Muñoz, quien asegura que aún es pronto para saber con certeza si se dispararán los litigios por este asunto, pero señala que la reforma normativa no solo impone nuevas obligaciones sino que está otorgando mayor información a las personas físicas sobre sus derechos y el ser conocedores de lo de los incidentes de privacidad, “con lo que entendemos que sí pueden verse incrementados los litigios, al igual que las investigaciones y las sanciones de la agencia en caso de incumplimiento de la norma”.
El RGPG incluye mecanismos que facilitan las reclamaciones colectivas ante un incidente que afecte a muchos individuos
Los expertos consultados explican que normalmente las pólizas de responsabilidad civil que tienen contratadas las empresas suelen excluir reclamaciones derivadas de fallos en la seguridad informática o por la fuga de datos. Tampoco incluyen coberturas específicas para reaccionar ante este tipo de incidente, por lo que los especialistas están recomendando contratar seguros específicos.
Entre las compañías implicadas hay varios especialistas internacionales, como la mencionada AIG, Marsh, Generali o XL Group (recién adquirida por la aseguradora francesa Axa). Todas las grandes firmas (Allianz, Mapfre, Zurich) tienen ya productos específicos para cubrir a las empresas ante los litigios que puedan surgir por la fuga de datos. Muñoz sostiene, no obstante, que pese a que ha crecido el interés en la cobertura, “no consideramos que la nueva normativa haya encarecido los precios de las pólizas.
Para la directiva de Marsh, en el contexto actual las empresas deberían tener cubiertos ciertos riesgos como el asesoramiento para la notificación de las brechas de privacidad, los gastos de la propia notificación (“siendo de especial relevancia en el caso de que haya que notificar de manera fehaciente a los afectados”), los gastos de defensa ante las posibles investigaciones de la Agencia Española de Protección de Datos (AEPD), los gastos de restitución de los datos y la posible responsabilidad civil que cubra reclamaciones de los terceros afectados. Muñoz añade, además, que las sanciones administrativas en materia de protección de datos a día de hoy son objeto de cobertura en España, “con lo que es una extensión que también debería recogerse dentro del contrato de seguro”.
Las empresas deberán reportar en 72 horas las fugas de datos, lo que podría elevar las demandas de clientes
Para Vanooteghem, entre los cambios de mayor impacto está el tema de las sanciones que se pueden imponer, pero advierte que la legislación española ya era muy exigente en materia de protección de datos y ya contemplaba unas sanciones administrativas de cuantías muy significativas, pudiendo, en algún caso, poner en riesgo la continuidad de una pyme. “Nuestros productos ya contemplaban estos supuestos y existía ya una cobertura para las sanciones administrativas”, apunta el responsable de Axa.
Este añade que, aunque actualmente, las sanciones pueden llegar a 20 millones de euros como máximo o a una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, “lo cierto es que en un mercado de pymes como es el nuestro, para muchas empresas no necesariamente supone mayores sanciones de las que había ya en el ordenamiento español donde las multas ya podían llegar a los 600.000 euros. Eso conlleva”, dice, “que realmente para empresas de hasta 15 millones de facturación la sanción máxima no ha variado. No así para empresas más grandes donde desde luego sí hay un fuerte impacto del cambio del importe de las sanciones”.
Las empresas españolas van a gastar 488 millones de entre 2018 y 2021 para adaptarse al RGPD
Más allá de si las empresas necesitan reforzar las coberturas de sus seguros ante un posible robo de datos de clientes o ante un potencial uso indebido de los mismos, lo cierto es que el reloj corre. Falta un día para que el nuevo reglamento sea obligatorio y aún hay muchas empresas que no están preparadas. El dato exacto no se conoce. Ayer, Emilio Castellote, analista de IDC, recordó que según un estudio elaborado a principios de año por la consultora, el 35% de las empresas cumplían ya el RGPD o tenían un compromiso fuerte de hacerlo para el 25 de mayo, mientras que un 45% tenía previsto gestionarlo este año y un 15% estaba a la espera de más información.
Castellote también destacó otro dato: las empresas en España van a gastar 488 millones en el periodo 2018-2021 para adaptarse a las exigencias del nuevo reglamento. “Claramente es una prioridad no solo para este año, sino para los siguientes”, dijo. Por ejercicios, IDC prevé que el gasto en 2018 sea de 140,7 millones, de 127,4 millones en 2019, de 116,1 millones en 2020 y de 103,6 millones en 2021. Los volúmenes se han elevado frente a los 19,5 millones de 2015, los 35,2 millones de 2016 (cuando entró en vigor la norma, aunque su cumplimiento obligatorio se retrasó dos años), y los 97,4 millones de 2017. Castellote resaltó que entre las prioridades de inversión está revisar y mejorar la gestión de identidades, la identificación de aplicaciones de usan datos privados sensibles (como la salud), la formación y la documentación del proceso.
Nuevas reglas y algunos requisitos ineludibles
El nuevo RGPD cambia las reglas de juego de las empresas respecto a cómo deberán recabar y procesar los datos personales de sus usuarios en Europa para garantizar una mayor privacidad. Según la empresa Sizmek, hay cinco claves para que las compañías cumplan con la normativa.
En primer lugar, deben determinar una base legal (el interés legítimo y el consentimiento, entre otros) para el procesado de datos y documentarla por escrito; identificar al controlador y al procesador de los datos sensibles. Además, deben tener capacidad de respuesta a las solicitudes de derechos (como el de acceso, revisión, corrección y eliminación de cualquiera de los datos personales recopilados). También del derecho a revocar el consentimiento dado previamente para recopilar y procesar sus datos.
Igualmente, deben asignar un delegado de protección de datos si es necesario. Éste es obligatorio en todos los organismos públicos y para las entidades que tratan datos a gran escala o tratan datos especialmente sensibles. Y asegurarse de que los datos están seguros. Es decir, comprobar que las medidas implementadas para ello no pueden ser sorteadas por ciberdelincuentes u otros interesados en acceder de forma ilegal a la información). Por último, deben incorporar la privacidad desde el diseño en los productos y servicios.