Seguro de protección de datos
Descripción y objetivo
El objetivo de este elemento es el de poner a disposición de los Responsables de Tratamiento (RT) un seguro específico para la gestión de riesgos de privacidad y seguridad existentes. El seguro dispondría de las coberturas necesarias en caso de contingencia respecto del tratamiento de los datos personales de los interesados afectados, a efectos de mitigar las posibles consecuencias derivadas de sanciones o incidentes cuya responsabilidad recaiga sobre los Responsables de Tratamiento.
Buena práctica
Pese a que se realice un cumplimiento completo y exhaustivo de la normativa de protección de datos, siempre existe el riesgo de que ocurra algún error o violación que pueda comprometer datos de carácter personal. Por ello, de manera complementaria al cumplimiento riguroso, es recomendable establecer estrategias de transferencia del riesgo mediante la contratación de un seguro especializado que cubra este tipo de contingencias. No obstante, a la hora del análisis y contratación de un seguro de protección de datos (también conocido como seguro de ciberriesgos), sería necesario tener en cuenta los siguientes requisitos:
- Definir adecuadamente el alcance, fijando claramente quienes serán los asegurados cubiertos por el seguro, el ámbito territorial del mismo y los límites temporales del seguro (desde y hasta cuando es de aplicación, y si cubre la retroactividad de eventos ocurridos antes de contratar la póliza que pudieran desembocar en un siniestro futuro).
- Definir adecuadamente las coberturas en caso de siniestro, teniendo en cuenta, como mínimo, las siguientes: daños propios o pérdidas (gastos incurridos en recuperación / restitución, errores humanos, incidentes, extorsión cibérnetica, indisponibilidad…), reclamaciones de terceros (RC, indemnizaciones, sanciones de protección de datos, fianzas), asistencia jurídica y técnica (contención de la crisis, análisis forense, gastos legales, restitución de imagen).
- Definir y analizar las exclusiones, ya que como mínimo se deberán valorar los esfuerzos en base al riesgo para implementar las medidas que ayuden a prevenir la ocurrencia de los eventos excluidos.
- Asegurar que los límites económicos cubiertos y las franquicias establecidas, cubran adecuadamente los impactos organizativos y sanciones más probables.
- Analizar que la prima anual del seguro se encuentre equilibrada en relación al coste de las medidas implantadas y al límite cubierto en caso de siniestro.
- Revisar todos los criterios anteriores de forma anual, para alinearlos con la realidad de los RT.
- Cubrir el Servicio centralizado por el seguro, siempre y cuando su relación con los RT conlleve el tratamiento de sus datos.
Ejemplos de implantación
Como ejemplo de implementación de esta buena práctica, desde el Servicio centralizado se podría negociar un contrato con aseguradoras en base a los criterios anteriores, partiendo de la base de que todos los tratamientos que se realizan por los RT son homogéneos y con los límites y coberturas aprobadas por los Órganos de Gobierno. Una vez negociado, se podría contratar el seguro en base a dos modelos diferentes: un modelo de contrato de seguro marco donde cada RT que esté interesado contactara con la aseguradora para adherirse individualmente, o bien un modelo por el cual desde el Servicio centralizado se contratara la póliza y se cubriera a todos los RT adheridos.
