Por Eduardo Martínez Herrero y Lucía Do Nascimento López, abogados de ECIJA

A día de hoy, es totalmente incuestionable el papel que ha ocupado y ocupa la tecnología para el adecuado y ejecutivo desarrollo de los diferentes sectores industriales. Concretamente, en el sector asegurador se ha venido denominando “insurtech” al fenómeno de startups que están aplicando la tecnología para optimizar y mejorar, fundamentalmente, el modelo de negocio de seguros actual.

A través de este artículo, analizaremos algunos retos legales en materia de protección de datos que derivan del uso de dispositivos digitales- los denominados Wearables– y el aprovechamiento que hacen las compañías aseguradoras respecto de los datos que se obtienen a través de estos medios.

El término Wearable hace referencia al conjunto de sistemas o dispositivos electrónicos que se incorporan en alguna parte del cuerpo y que, dependiendo de sus funciones, podrán interactuar con éste, así como con otros dispositivos, como el teléfono móvil. A tal efecto, estos aparatos permiten recabar y emitir datos de forma continua lo que supone, indudablemente, que el principal activo de la implementación de esta tecnología sean los datos de carácter personal.

Pues bien, el sector asegurador ha empezado a sacar partido a la información proporcionada por los usurarios de Wearables, desplegando nuevos modelos de negocio gracias a la ejecución de esta tecnología y, en particular, a través del seguro de Vida interactivo consistente en someter al cliente o asegurado a un seguimiento de estado de salud por medio de dispositivos digitales. En este punto, conviene destacar la labor realizada por la aseguradora John Hancok, pionera en esta rama, puesto que confeccionó un producto basado en una la póliza de Vida que, dependiendo de cómo el asegurado vaya mejorando sus datos de actividad física, procede al reembolso de dinero. Pero ¿cómo es posible obtener lícitamente estos datos de salud con wearables conectados?

La obtención de estos datos considerados, de conformidad con lo dispuesto en el artículo 9 del RGPD, especialmente protegidos, puede llegar a tener dos vertientes de opinión o perspectiva de los usuarios. Por un lado, nos encontramos ante asegurados que entienden que pueden obtener un beneficio y descuentos por lograr determinados hitos en sus dispositivos, de forma que el cálculo de la prima se ajusta realmente al riesgo asegurado. En otras palabras, el hecho de demostrar una condición física y de salud optima, puede conllevar a una reducción en el importe de la prima de seguro de Salud siendo esto una consecuencia directa del análisis que determina que el asegurado es menos propenso a sufrir determinadas enfermedades. 

Por otro, se encuentran aquellos que se oponen a la obtención de estos datos por diversos motivos y, entre ello, desconfianza sobre el alcance del uso que hará la asegurada, así como por la intromisión de las mercantiles en una esfera muy privada. Esta oposición se funda en la consideración que realizan respecto de su estilo de vida y ello porque no es el más óptimo para su salud lo que supone una desventaja en el cálculo de la prima de su póliza de salud.

A la vista de lo anterior, nos encontramos ante los siguientes retos que se plantean en materia de protección de datos:

Por una parte, la legitimación en cuanto al tratamiento de los datos personales de salud, considerados especialmente protegidos, recabados por los dispositivos.

La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras (en adelante, “LOSSEAR”), como regulación sectorial, contempla en su artículo 99 cierta habilitación legal para el tratamiento de los datos de salud sin el consentimiento del interesado para la “determinación de la asistencia sanitaria” y “el adecuado abono a los prestadores sanitarios o el reintegro al asegurado o sus beneficiarios de los gastos de asistencia sanitaria.”

Cabe resaltar que este encaje jurídico ha sido avalado por la por la Unión Española de Entidades Aseguradoras y Reaseguradoras (Unespa), ya que así lo recoge en su “Guía para el tratamiento de los datos personales por las entidades aseguradoras”

Es por ello que este nuevo tipo de seguros basados en datos obtenidos a través de Wereables deberá articular jurídicamente el tratamiento de dichos datos bien en el marco de una obligación legal sobre los supuestos anteriormente mencionados o bien deberá contar con el consentimiento del interesado.

No cabe duda que este es un momento idóneo para que todas aquellas entidades aseguradoras que se propongan instaurar la comercialización de este tipo de productos, inicien el proceso a través del ya tan conocido principio de la privacidad por defecto y desde el diseño, definiendo claramente:

• Qué datos son necesarios para cumplir con las finalidades buscadas. Es decir, los tratamientos a realizar para alcanzar la consecución del objetivo (elaboración de perfiles, monitorización sistemática), y cuáles de estos tratamientos encuentran su amparo en una base legitimadora válida.

En este punto, debe traerse a colación el cambio de dirección que han marcado las últimas sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) puesto que el citado organismo ha fijado con claridad que ya no vale con sacar el producto al mercado, recabar datos y luego ver para qué pueden servir, sino que el análisis debe realizarse de forma inversa. 

• Cuáles serán las tecnologías intervinientes en el proceso de recabado de datos especialmente protegidos. Por un lado, las tecnologías implementadas en el propio dispositivo, generalmente basadas en inteligencia artificial (IA) y por otro, las tecnologías aplicadas al tratamiento de datos personales (Big Data, elaboración de perfiles, monitorización sistemática).
• Recordemos que las autoridades europeas en materia de protección de datos están publicando, cada vez con más frecuencia, guías y directrices sobre el tratamiento de datos personales basadas en IA en diversos ámbitos.

En conclusión, serán cuestiones delicadas pero cruciales las relacionadas con el cumplimiento de los principios generales del RGPD, poniendo el foco sobre los planteamientos efectuados respecto de la minimización de los datos, así como las medidas de seguridad que deberán ser implementadas como resultado del análisis de riesgos y la evaluación del impacto realizada, y todo ello unido al cómo sopesarlo en beneficio de la entidad aseguradora sin vulnerar los derechos fundamentales del asegurado.