GDPR - General Data Protection Regulation

Reglament de la legislació de la UE sobre protecció de dades i privacitat per a totes les persones dins la Unió Europea

GDPREt mostrem alguns dubtes sobre la nova normativa de privacitat i seguretat que és aplicable des del 25 de maig del 2018, partint de preguntes que han fet els nostres propis treballadors i clients en el transcurs d'aquests darrers mesos.


Conceptes bàsics

1. Què és el GDPR?

El GDPR són les sigles en anglès de General Data Protection Regulation, és a dir, és el nou Reglament europeu de protecció de dades, que substitueix l'anterior Directiva europea, que datava del 1995 i, a diferència d'aquesta, com que es tracta d'un reglament, és d'aplicació directa, cosa que vol dir que no fa falta que hi hagi una llei local que el desplegui. El GDPR és la nostra llei en matèria de privacitat i la de totes les companyies europees o de la resta del món però que tractin dades a Europa.

La privacitat és un dret fonamental dels ciutadans i el GDPR pretén que el ciutadà, en una societat tan hiperconnectada i distribuïda, tingui més control sobre les seves dades i que sigui ell qui decideixi què es fa amb les seves dades. També permet igualar les regles del joc a Europa per afavorir l'intercanvi d'informació d'una manera més segura, ja que fins ara cada país havia anat fent les seves pròpies lleis de la Directiva del 95; per aquesta raó, el GDPR ens afecta a tots de la mateixa manera.

2. 10 drets fonamentals

  1. Deure de ser informat. Les empreses s'han d'identificar, dir-te què faran amb les teves dades i per què, a quines categories de destinataris les cediran, durant quant temps les conservaran i avisar-te dels drets següents…
  2. Accés a les dades (quines dades teniu de mi).
  3. Rectificació de dades (corregiu la base de dades i aviseu a qui els hàgiu cedit).
  4. Supressió de les dades (esborrament).
  5. Portabilitat de les dades bàsiques (envieu-me les dades a mi o a qui digui).
  6. Limitació del tractament (bloquejades).
  7. Oposició al tractament (sobretot a trucades telefòniques o correus electrònics).
  8. A no ser objecte de decisions només automàtiques que ens discriminin (vull persones).
  9. A presentar una reclamació a l'Agència de Protecció de Dades si ho has intentat i no obtens resposta o no hi estàs conforme.
  10. Que t'informem si l'empresa té una bretxa de seguretat en què hi pugui haver compromeses dades sobre tu que posin en perill la teva privacitat.

3. Què passa amb les LOPD?

El que es deroga és la directiva comunitària anterior. A Espanya, podem dir que la LOPD queda desplaçada pel GDPR, i, si hi ha algun control incompatible, predominarà sempre el GDPR, per bé que la LOPD es pot tenir en compte per donar suport a o dictar resolucions de les seves pròpies disposicions.

Sobre futures LOPD adaptades plenament al GDPR, Alemanya i Àustria han estat els primers països europeus a aprovar una nova Llei de protecció de dades d'acord amb el GDPR. Espanya ja té un avantprojecte de llei i la seva aprovació és imminent.

4. Els 5 principis

El GDPR té 5 principis que són la clau per entendre el seu enfocament de privacitat i seguretat:

  1. Transparència: Les empreses que gestionen dades personals tenen l'obligació d'informar els usuaris sobre com es processarà la informació en compliment de la normativa.
  2. Limitar-ne l'ús: Només podem utilitzar les dades per a les finalitats per a les quals informem els nostres clients, treballadors, proveïdors…
  3. Minimització de les dades: Demana només les dades imprescindibles per poder tractar les dades amb garanties (p. ex.: no seria correcte que una empresa et preguntés per les teves aficions o la teva professió per comprar un electrodomèstic)
  4. Qualitat de les dades. Les poques dades que tinguis en el teu sistema han de ser exactes i estar ben actualitzades. L'empresa ha de procurar tenir qualitat en les seves dades perquè, a més, si no la té, acabarà prenent decisions errònies que et podrien acabar perjudicant.
  5. Seguretat de la informació. Les empreses que gestionem dades hem de garantir un nivell adequat de seguretat que inclou la protecció davant del tractament sense autorització o il·legal, i davant de pèrdues, destrucció o danys accidentals.

5. Què és una dada personal

Una dada personal és qualsevol dada que t'identifiqui, o un conjunt de dades que et faci fàcilment identificable. 

Pot ser: un nom, una foto, la data de naixement, una adreça de correu electrònic, dades bancàries, publicacions en llocs web de xarxes socials, informació mèdica o una adreça IP, una metadada, les cookies, fins a la resolució habitual de la pantalla … 

6. També hauré de complir amb el GDPR si soc una pime? On puc trobar més informació?

Segurament sí. El GDPR no distingeix per mida, sinó per risc de seguretat de les dades personals que s'estan tractant, sobretot si hi ha dades especialment protegides, com les de salut.  

Al web de la Agència Espanyola de Protecció de Dades (AEPD) podràs trobar un qüestionari en línia amb el nom FacilitaGDPR. Una eina per ajudar les empreses i professionals que tracten dades personals de baix risc a complir amb el GDPR. Amb aquesta eina, obtindràs format del registre d'activitats de tractament, clàusules tipus i altres documents mínims indispensables per al compliment. També ens sembla d'utilitat la guia del responsable del tractament, en què t'indiquen totes les mesures que has de tenir en compte.  

L'AEPD també s'està recolzant molt en el INCIBE (Institut Nacional de CIBERSEGURETAT) i és que el GDPR té molt a veure amb la seguretat, ja que si tenim una bretxa i hi ha un risc alt sobre la intimitat caldrà informar-ne els afectats. T'animem a consultar-ne el web perquè coneguis recursos que a més, en molts casos, són gratuïts: la conscienciació és fonamental.

7. L'accés amb empremta digital o l'enregistrament de trucades és com una dada de salut segons el GDPR?

Per a GDPR sí. Les dades biomètriques estan protegides especialment. Com que té un enfocament a risc, pensa en el que es pot arribar a fer amb les dades per mitjans tècnics avançats si cauen en males mans.

Les dades biomètriques són les que permeten identificar una persona o confirmar qui és mitjançant la realització de tractaments tècnics que recullen dades relatives a l'aspecte físic, corporals o conductuals, com la seva imatge facial, la videovigilància, l'empremta digital, la signatura electrònica o similars.

Si tenim dades biomètriques, com empremtes dactilars per accedir a un edifici, haurem de fer una avaluació d'impacte de privacitat pensant en si realment cal utilitzar aquest sistema d'accés o hi ha altres alternatives, haurem de veure quines mesures de seguretat té l'aplicació en què s'estan tractant, i haurem d'explicar als nostres treballadors o tercers amb quina finalitat s'agafen les empremtes, l'iris, o s'enregistra la veu, els terminis de conservació, quins tercers accedeixen a aquestes empremtes, etc.


Privacitat i seguretat a DKV

El que tinc dret a saber sobre la meva privacitat si soc o fos client de DKV.

8. Qui és el responsable del tractament?

El Grup DKV Seguros es compon d'una societat principal, que és DKV Seguros y Reaseguros, S.A.E., i les seves participades, que són quatre (Ergo Generales, Ergo Vida, Unión Médica la Fuencisla i DKV Servicios). També tenim la nostra Fundació DKV Integralia.

El responsable principal, doncs, n'és DKV Seguros i Reaseguros, S.A.E., domiciliada a la Torre DKV, a l'av. María Zambrano, 31,50018, de Zaragoza, amb CIF núm. A-50004209. És una empresa que comercialitza assegurances mèdiques per a particulars i empreses.

9. Amb quines finalitats es tractaran les dades?

El Grup DKV tractarà les dades per a diverses finalitats segons la vostra relació amb la companyia:

Si ens calguessin les vostres dades personals identificatives bàsiques per poder fer-vos una simulació del preu que pagaria amb nosaltres, en aquest cas ens legitima la relació precontractual i l'interès legítim.

Si hi esteu interessats, passaríem a la sol·licitud de la pòlissa on ja demanem dades economicofinanceres i si el producte té en compte cobertures mèdiques. A més, demanarem que ens complimenteu la declaració de salut, per tal de, partint de resultat, confeccionar el contracte de pòlissa, les condicions particulars i especials i donar-vos una prima el més ajustada possible, per a aquest tractament que contindrà dades especialment protegides (de salut). Les necessitem perquè, per obligació legal (Llei de contracte d'assegurança), hem de demanar-les a més de perquè hi haurà un contracte signat entre les parts.

Si, finalment, per algun motiu, no hi esteu interessat o el Grup DKV considera que no pot assegurar-vos i us rebutja, estudiarem si podem oferir-vos una alternativa que compleixi raonablement les vostres expectatives a través d'altres serveis compatibles; si no, guardarem les vostres dades cancel·lades amb motiu de gestió i prevenció del frau, per interès legítim.

Si us convertiu en client, tractarem tota la vostra informació personal durant tota la vida de la pòlissa per poder gestionar les prestacions que hi hagi cobertes a les pòlisses. En tots aquests casos, estarem autoritzats per la relació contractual. Mentre sigueu client nostre, us enviarem informació sobre millores en els productes actualment contractats i en altres productes o serveis similars amb finalitats compatibles a la inicial, tan personalitzats com sigui possible a les vostres expectatives, partint d'interès legítim. Tot i això, sempre podreu oposar-vos-hi gratuïtament.

Si us enviem informació totalment diferent del producte contractat, us haurem d'haver demanat el consentiment exprés per fer-ho. També per interès legítim, considerant que també us beneficia, desarem les vostres dades per garantir la seguretat informàtica, fer enquestes de satisfacció postsinistre o en moment neutre (quan no estigui utilitzant l'assegurança per tenir valors el més objectius possibles). Durant aquestes enquestes, o quan ens truqueu per fer servir la pòlissa a través del nostre centre d'atenció, la trucada es podrà gravar, i la utilitzarem per millorar la qualitat del servei, igual que fem a través de les nostres pàgines web quan estem registrant cookies de navegació i seguretat, per fer la pàgina més clara i usable. De fet, veureu que amb això l'actualitzem periòdicament.

En el moment en què cancel·leu la pòlissa amb la companyia, intentarem fidelitzar-vos o conèixer els motius pels quals ens deixeu durant els tres mesos següents. A partir d'aquest moment, passarem a cancel·lar les vostres dades, és a dir, en limitarem el tractament al mínim imprescindible, no rebreu més comunicacions comercials per part nostra, i les desarem només per atendre possibles queixes i reclamacions o per a la detecció del frau fins als terminis de prescripció establerts i dos anys de cautela més, és a dir, durant set anys, i, en el cas d'assegurances de vida, per motius legals de prevenció de blanqueig de capitals, fins a deu anys.

A partir d'aquest moment, les dades s'esborraran o s'anonimitzaran perquè ja se't pugui fer identificable, i es mantindran per a la finalitat d'informes estadístics, recerques científiques o de mercat, així com per generar models predictius avançats.

10. A qui cediran les meves dades?

Les vostres dades se cediran amb finalitats administratives i de control de gestió a altres companyies del Grup DKV o del Grup Assegurador ERGO.

El Grup DKV està format per:

  • ERGO GENERALES SEGUROS Y REASEGUROS, S.A.U. (d’ara endavant, ERGO GENERALES), domiciliada a l'av. Concha Espina, 63, 28016, de Madrid, amb CIF A-28072940. Està especialitzada en la gestió d'assegurances de la llar i decessos.
  • ERGO VIDA SEGUROS Y REASEGUROS, S.A. (SOCIETAT UNIPERSONAL), coneguda com a ERGO VIDA, domiciliada a la Torre DKV, a l'av. María Zambrano, 31, 50018, de Zaragoza, amb CIF A-79420899.
  • UNIÓN MÉDICA LA FUENCISLA, SOCIEDAD ANÓNIMA, COMPAÑÍA DE SEGUROS (SOCIETAT UNIPERSONAL) (d’ara endavant, UNIÓN MÉDICA LA FUENCISLA), domiciliada a la Torre DKV, a l'av. María Zambrano, 31, 50018, de Zaragoza, amb CIF A-0816960.
  • DKV SERVICIOS, S.A., domiciliada a la Torre DKV, av. María Zambrano, 31, 50018, de Zaragoza, amb CIF A-99007205, que va constituir DKV Seguros el 2004 i la meta de la qual, en l'àmbit nacional i internacional, és qualsevol classe d'operacions i serveis relacionats amb la salut digital i el benestar, així com amb la prestació d'assistència mèdica i sanitària, a través de consultoris mèdics, espais de salut i clíniques per a l'atenció de tota mena d'especialitats mèdiques.
  • Fundació DKV INTEGRALIA, domiciliada a Sant Just (Barcelona), amb CIF G62114798.

El quant al Grup ERGO, en aquest enllaç podreu veure tota la informació

Altres categories d'interessats:

  • Si va fer la pòlissa un mediador o un agent auxiliar de la companyia, podrem cedir-li o tindrà accés directe a les dades de la venda per cobrar-ne les comissions corresponents i altres accions de seguiment i retenció de la seva cartera de clients.
  • Tots els metges i grups hospitalaris que componen el nostre quadre mèdic o en productes amb possibilitat d'ús de mitjans aliens, altres persones i professionals mèdics podran tenir accés a les vostres dades per fer la selecció del risc mèdic de la contractació, per fer la prestació o com a servei de segona opinió mèdica.
  • Proveïdors generals: Si la vostra petició és en un altre idioma diferent del castellà, podrem cedir les dades, incloses les de salut, de la declaració a empreses de traducció i a empreses de missatgeria per mantenir-vos informat sobre l'increment de prima, noves cobertures o cartes informatives en general. També tenim un proveïdor extern la gestió de l'arxiu físic de la documentació contractual.
  • Tenim externalització en processos d'enregistrament de facturació hospitalària i el nostre contact center a través de la Fundació DKV Integralia i Advance Medical també grava les trucades.
  • Consultores i assessores especialitzades: les nostres plataformes de salut digital, com Mi salud al día, les han desenvolupat l'empresa malaguenya Salutic i altres companyies com Advance Medical o Mediktor. També tenim plataformes de tercers, líders en el sector, per a determinats serveis com oncologia, a través de Grup Bienzobas.
  • Organismes públics com la Direcció General d'Assegurances i Fons de Pensions ens sol·licita informació habitualment, sempre amb una causa motivada. La teva informació també s'envia al Ministeri de Justícia si tens una pòlissa de vida contractada, per vetllar pels teus drets i perquè, si el dia de demà mors i no localitzem els teus familiars, ells sàpiguen que tenies una pòlissa amb nosaltres i puguin fer ús de les seves garanties.

11. On són les meves dades? Hi ha mesures de seguretat?

Les teves dades estan en els nostres servidors de la Torre DKV a Zaragoza, en un centre de dades (CPD) que s'ha dissenyat complint amb les normes més estrictes de seguretat de la norma TIA-942 i en un edifici amb certificacions prestigioses com la LEED per la seva sostenibilitat, accessibilitat i garanties d'eficiència energètica. 

El nostre CPD compta amb tecnologia RiMatrix de Rittal i ha aconseguit un estalvi energètic d'aproximadament un 30% respecte a una solució de CPD tradicional, amb un valor de PUE que oscil·la entre 1,20 i 1,35, això vol dir que, a més de segur, el nostre CPD és respectuós amb el medi ambient.  

Repliquem les teves dades per garantir-ne la disponibilitat en un altre centre de contingència situat a la distància suficient perquè no tingui el mateix risc de continuïtat de negoci que el primari, i alguns dels serveis principals també estan replicats al nostre proveïdor IPS, anomenat Arsys.

També tenim dades teves a través del núvol privat de Microsoft Azure ubicat a la regió d'Europa Occidental, que està certificat per l'Agència Espanyola de Protecció de Dades com un núvol segur en termes de privacitat i seguretat i, també, en determinats projectes, en altres models del núvol, però sempre certificats com a GDPR Compliant a través de socis amb àmplia trajectòria i experiència. 

A més de la nostra infraestructura, apliquem controls d'accés a la informació, tenim polítiques de seguretat i contrasenyes que compleixen criteris de màxima complexitat, fem ciberauditories, tenim sistemes de protecció del perímetre, correlacionem esdeveniments per detectar amenaces i prevenir infeccions, hi ha procediments de gestió d'incidents, tenim entre els nostres treballadors tècnics certificats en hacking ètic que comproven la robustesa dels nostres sistemes de seguretat, etc. 

 

12. Quant temps conserven les meves dades?

El Grup DKV té una normativa general de conservació de les dades personals de set anys des que es cancel·la una pòlissa, i de deu, en el cas de les assegurances de vida. A partir d'aquest moment tenim un programa d'expurgació de la informació, tant electrònica com en paper a l'arxiu físic, que va eliminant la informació que ja no és rellevant.

13. Quins drets sobre privacitat tinc?

Tens dret a saber i a rebre una resposta en el termini d'un mes sobre si tenim o no dades teves.

Si en tenim, tens dret a saber com les hem obtingut, si no ets conscient d'haver estat tu qui ens les va proporcionar, per a què les tenim i durant quant temps les guardem o a quines categories de destinataris les cedim, així com si hi ha transferències internacionals i a quins països, si és fora de la Unió Europea.

També tens dret a saber totes les dades bàsiques o fruit de la teva activitat amb nosaltres que hi ha sobre tu, excepte les inferides a les nostres bases de dades, a rebre'n una còpia (tu mateix o que les enviem a qui tu ens diguis sota la teva responsabilitat), a rectificar-les, limitar-ne l'ús per a les finalitats que tu decideixis, oposar-te al tractament en segons quines condicions o a rebre avís de les conseqüències si et fem cas i a esborrar definitivament aquestes dades quan hagin prescrit els terminis.

Finalment, si hi hagués un incident de seguretat molt greu en què hi hagués dades sobre tu que poguessin afectar seriosament la teva privacitat, t'informarem d'aquest incident i de quines mesures estem prenent per resoldre'l amb la màxima diligència possible.

Per la teva seguretat, DKV et demanarà que t'acreditis amb garanties suficients, és a dir, sense el teu nom i cognoms i el DNI no podrem atendre la petició.

14. Com puc exercir els meus drets de privacitat?

Es poden exercir tots aquests drets per totes les vies que es detallen a la política de privacitat que hi ha al peu del web.

També a l'àrea privada de client, en què hem introduït millores perquè tinguis tota la informació que necessites saber sobre cadascun dels teus drets.

Podràs adreçar-te al delegat de protecció de dades si no estàs conforme amb la resposta, i en darrera instància, a l'Agència Espanyola de Protecció de Dades, al carrer Jorge Juan, 6, 28001 de Madrid.

15. DKV em cobrarà per atendre els meus drets d'informació?

DKV no et cobrarà per atendre't ni per gestionar-los. Aquests drets són sempre gratuïts i per això, per evitar els típics costos d'establiment de trucada, evitem el canal telefònic, també perquè és un dret personalíssim i, per telèfon, no tenim prou garanties per saber si ets tu o algú altre que actua en el teu nom.

Només et cobraríem un cànon pel cost administratiu que comporta la gestió d'aquests drets, si exerceixes el mateix dret de manera recurrent i sense cap motiu aparent; en aquest cas, t'avisaríem prèviament.

Aquests drets no estan renyits entre si, és a dir, puc demanar un dret d'accés a la meva informació, i a continuació, després de detectar que hi ha errades en alguna dada, sol·licitar-ne la rectificació. També puc oposar-me a l'enviament de comunicacions comercials, etc.

16. DKV té un delegat de protecció de dades?

Sí, DKV ha nomenat un delegat de protecció de dades perquè té més de 250 treballadors i, a més, tractem dades especialment protegides. Una persona amb més de 10 anys d'experiència a la companyia, i que ha passat per departaments com el de Gestió de Qualitat i el de Sistemes d'Informació. En el passat va ser auditor de seguretat en una de les "big four".

Aquesta persona és des d'aquest moment, per als nostres clients, una cosa així com el seu defensor i assessor en matèria de privacitat. Per a qualsevol dubte, el pot trobar per correu postal a l'adreça: Torre DKV, Avda. María Zambrano, 31, 50018, de Zaragoza o a l'adreça electrònica privacidad@dkvseguros.es

17. Quins drets tenen els menors d'edat que hi ha a les pòlisses?

Els menors d'edat (14 anys) no poden exercir els seus drets d'informació. En aquest cas, és el prenedor o qui en tingui la pàtria potestat o en sigui el tutor legal qui ho podrà fer. A DKV, per defecte, si no ens indiques el contrari, també t'enviarem aquesta informació sobre menors a la teva pòlissa. També t'enviarem les dades de salut fins a la data, perquè tens l'obligació de saber-les, d'acord amb l'article 154 del Codi civil. Se suposa que als 16 anys ja es recull la figura de l'emancipat, un menor d'edat que ja té facultats i maduresa suficient. En aquests casos, DKV podria no donar-te la informació sobre salut del menor. Al grup DKV, elevem aquesta edat fins als 18 anys. A partir d'aquesta edat, llevat que ells ens donin una autorització perquè puguem cedir-te'n les dades, DKV no podrà proporcionar-te-les, perquè es consideraria una cessió il·legal de dades de salut.


Alguna pregunta més?

Podeu enviar els dubtes al delegat de protecció de dades, que us atendrà al més aviat possible, i els publicarà en aquest mateix portal web per compartir-los amb tota la comunitat. Les heu de dirigir, per escrit, a Torre DKV, av. María Zambrano, 31, 50018 de Zaragoza o bé a la bústia privacidad@dkvseguros.es

Consulta la Agència de Protecció de Dades altres preguntes i respostes publicades.