¿Pueden las aseguradoras utilizar nuestros datos?
Por Alfonso Ortega Giménez, profesor contratado doctor de Derecho Internacional Privado, Universidad Miguel Hernández:
El uso de los datos permite a las aseguradoras crear coberturas a medida para adaptarse a un mercado cada vez más personalizado y heterogéneo, además de otorgar los medios necesarios para la prevención del fraude. Pero esta personalización del producto es una hoja de doble filo, puesto que el big data es utilizado para la elaboración de perfiles de los usuarios.
Esto puede traer graves efectos colaterales para otros posibles clientes, puesto que la elaboración de perfiles prejuzga las características personales de un individuo con el fin de tomar una decisión sobre si llevar a cabo tal negocio jurídico.
Además, el uso del big data, en tanto en cuanto se nutre de esa información personal, presenta serios retos relacionados con la protección de datos. El uso constante de categorías especiales de datos (de salud o ideológicos, por ejemplo) en estos servicios pone en grave peligro la privacidad de los sujetos.
En el caso de los datos sobre geolocalización, el nuevo Reglamento General de Protección de Datos (RGPD) sigue la misma senda que la anterior Directiva 95/46/CE, al entender que no revelan información sensible.
No obstante, dos documentos técnicos publicados este mismo año por la Agencia Española de Protección de Datos (y presentados ante el Comité Europeo de Protección de Datos) demuestran que la geolocalización puede revelar datos sensibles como tendencias ideológicas y sexuales, o relacionados con la salud. Debido a que la ley sigue sin corregirlo, es necesario que la jurisprudencia adopte una nueva perspectiva para que individuos recuperen el control de sus datos.
Pero el big data no solo afecta jurídicamente a la protección de datos. A lo largo de nuestro trabajo, recogido en el libro Las aplicaciones del big data en el ámbito asegurador y el tratamiento legal de sus datos, hemos constatado que las implicaciones legales también afectan a otros dos aspectos del análisis de datos:
- Por un lado, a los mecanismos aplicados a los datos para obtener un resultado: los algoritmos. El secreto comercial ha demostrado ser el mejor medio para su defensa, en detrimento de la propiedad industrial y propiedad intelectual.
- Por otro lado, a las bases de datos creadas por las empresas aseguradoras, cuya defensa jurídica se basa en el derecho de propiedad intelectual.
El RGPD ha normativizado por completo las transferencias internacionales de datos con el objetivo de homogeneizar la regulación en los Estados miembros.
Podemos destacar en concreto la prerrogativa de la Comisión Europea de estipular mediante una decisión de ejecución determinados procedimientos respecto de las Normas Corporativas Vinculantes. Como consecuencia, las instituciones europeas eliminan la ya de por sí reducida autonomía de la que disfrutaban las empresas, para asemejarse más al modelo de las cláusulas contractuales tipo para la transferencia de datos personales, que se rigen fundamentalmente de las decisiones de la Comisión.
En el pasado, el avance de nuevas tecnologías como el big data, el cloud computing o la internet de las cosas, cuyas tendencias están marcadas por la deslocalización del tratamiento de los datos, suponía problemas para aplicar la ley de protección de datos según los supuestos planteados en la Directiva 95/46. El nuevo artículo 4 del RGPD trata este fenómeno de manera que es obligatorio aplicar la legislación europea cuando los datos tratados en terceros países involucren a residentes de la Unión, además de contemplar un supuesto específico dedicado al big data en el apartado 4.2 b).
Con este nuevo artículo, se asegura que los datos de los ciudadanos de la Unión estén protegidos incluso más allá del territorio y se protegen los tratamientos de datos que controlen el comportamiento, objeto del big data. Sin embargo, no entendemos la exclusión que se realiza en cuanto a la aplicación de este supuesto a los productos o servicios diferentes a los servicios de internet.
La doctrina tiene asumida que la expresión “datos que controlen el comportamiento” solamente hace referencia al uso de archivos o programas informáticos que almacenan y permiten acceso al dispositivo de usuario (cookies), y excluye por lo tanto el ofrecimiento de productos o servicios. Sin embargo, también podría aplicarse a los productos ofertados mediante el uso del big data ya que, al fin y al cabo, este consiste en monitorizar el comportamiento del ser humano.
La aprobación de la Decisión de Ejecución 2016/1250 con arreglo a la Directiva 95/46/CE, que establecía el denominado Privacy Shield o escudo de la privacidad UE-EE. UU., que regula la transferencia de datos con los Estados Unidos, ha comportado un aumento de la protección de las transferencias internacionales de información con dicho país.
Sin embargo, tal aumento de protección no ha resultado ser tan convincente como se esperaba, y más con la entrada de la nueva Administración estadounidense y las reformas emprendidas por ella para limitar el ámbito de aplicación de la ley de protección de datos estadounidense. El último ataque al escudo ha provenido del Parlamento Europeo, que ha cuestionado en una resolución la adecuación de la protección conferida por la Decisión de Privacy Shield y ha instado a su derogación. Los ataques bidireccionales al escudo no hacen más que debilitarlo y mostrar las carencias que protege.
Aunque las cláusulas contractuales tipo para la transferencia de datos personales a terceros países hayan ascendido como alternativa frente a la derogación de la Decisión del Safe Harbour (predecesor del Privacy Shield), la propia sentencia del Tribunal de Justicia que derogó este último cuestionaba también su legalidad. Debido a ello, la Comisión Europea reformó las decisiones relativas a tales cláusulas con el fin de evitar la posible derogación que busca la autoridad irlandesa de protección de datos y Max Schrems en un litigio contra Facebook en Irlanda. Las hipotéticas derogaciones de las decisiones de ejecución de las cláusulas supondrían la ruptura de otro de los pilares que sustentan las transferencias internacionales de datos.
En el nuevo RGPD, el esquema para otorgar el consentimiento se ha endurecido para no dar lugar al consentimiento tácito. La inclusión en la redacción de nuevas fórmulas busca disipar las dudas respecto al consentimiento afirmativo del afectado al tratamiento de sus datos, más cuando en un contrato de seguro intervienen datos relacionados con la salud, los cuales están bajo el máximo nivel de protección.
Aunque las palabras que se han usado para redefinir el concepto de consentimiento no resuelvan con toda firmeza esta cuestión. Ello se demuestra en las condiciones para el tratamiento ulterior de datos para fines diferentes a los indicados en su recopilación. De producirse este tratamiento posterior, el delegado de protección de datos debe proporcionar al interesado información sobre los nuevos objetivos y sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, se proporcionará información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas para el usuario.