GDPR (General Data Protection Regulation)

Te detallamos las más dudas más frecuentes sobre protección de datos y privacidad para todas las personas dentro de la Unión Europea

go

Adhesión al Pacto Digital

DKV está adherido al Pacto Digital promovido por la Agencia Española de Protección de datos. Si has detectado contenido que pueda resultar ofensivo o lesivo hacia menores, colectivos más desfavorecidos o grupos en riesgo de exclusión social, sigue este enlace que te llevará hasta el Canal de denuncia, es gratuito y haces el bien por los demás y por la Sociedad.

Cambiar los abusos en Internet es compromiso de todos.

Derecho a la privacidad

Qué derecho a la privacidad tengo

Tienes derecho a saber y a que te contestemos en el plazo de un mes acerca de si tenemos datos de ti o no. De tenerlo, tienes derecho a saber cómo los hemos obtenido si no eres consciente de haber sido tú quien nos los proporcionó, para qué los tenemos y por cuánto los guardamos o a qué categorías de destinatarios los cedemos así como si hay transferencias internacionales y a qué países si es fuera de la Unión Europea.

También tienes derecho a saber todos los datos básicos o fruto de tu actividad con nosotros que hay sobre ti salvo los inferidos en nuestras bases de datos, a que te demos una copia de ellos bien a ti o se los enviemos a quien tú nos digas bajo tu responsabilidad, a rectificarlos, limitar su uso para los fines que tú decidas, oponerte a que los tratamos en según qué condiciones o a que te avisemos de las consecuencias si te hacemos caso y al borrado definitivo de estos cuando hayan prescrito los plazos.

Por último, si hubiera un incidente de seguridad muy grave donde hubiese datos sobre ti que pudieran afectarte seriamente a tu privacidad te informaremos de dicho incidente y de qué medidas estamos tomando para resolverlo a la mayor diligencia posible.

Cómo lo ejerzo

Por tu seguridad DKV te pedirá acreditarte con las suficientes garantías, es decir, sin tu nombre apellidos y DNI no podremos atender la petición.

Podrás ejercer todos estos derechos por todas las vías que te detallamos en la política de privacidad que hay al pie de la web, te animamos a que utilices tu área privada de cliente donde hemos introducido mejoras para que tengas toda la información que necesitas saber sobre cada uno de tus derechos.

Podrás dirigirte al Delegado de Protección de Datos si no estás conforme con la contestación y en última instancia a la Agencia Española de Protección de Datos en calle Jorge Juan 6, 28001 Madrid.

Cesión de datos

A quienes cederán mis datos

Sus datos serán cedidos con fines administrativos y de control de gestión a otras compañías del Grupo DKV o del Grupo Asegurador ERGO.  

El Grupo DKV está formado por:  

  • ERGO GENERALES SEGUROS Y REASEGUROS, SAU (en adelante ERGO GENERALES) domiciliada en Avenida Concha Espina, 63 28016 Madrid, con CIF A-28072940, Mientras DKV Seguros es el experto en seguros médicos. Está especializada en la gestión de seguros de hogar y decesos. 

  • ERGO VIDA SEGUROS Y REASEGUROS, SOCIEDAD ANÓNIMA (SOCIEDAD UNIPERSONAL) conocida como ERGO VIDA, domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-79420899.

  • UNIÓN MÉDICA LA FUENCISLA, SOCIEDAD ANÓNIMA, COMPAÑÍA DE SEGUROS (SOCIEDAD UNIPERSONAL) (en adelante UNIÓN MÉDICA LA FUENCISLA) domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-0816960.

  • También forma parte del Grupo DKV Seguros pero con un negocio distinto al asegurador, la compañía DKV SERVICIOS SA  domiciliada en Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, con CIF A-99007205 que constituyó DKV Seguros en 2004 y cuya meta,  en el ámbito nacional e internacional, es toda clase de operaciones y servicios relacionados con la salud digital y el bienestar, así como con la prestación de asistencia médica y sanitaria, a través de consultorios médicos, espacios de salud y clínicas para la atención de todo tipo de especialidades médicas.

  • Fundación DKV INTEGRALIA, con CIF G-62114798 y con domicilio en Carrer De la Constitució 3 – 1ª. 08960 Sant Just Desvern Barcelona. No podemos entender el Grupo DKV sin mencionar a nuestra fundación de contact center. Creada por DKV Seguros en 2002 para facilitar la integración social y laboral de personas con discapacidad, es la encargada de toda nuestra gestión telefónica con clientes de DKV y también ofrece estos servicios a otras compañías de otros clientes. 

En cuanto al Grupo ERGO le dejamos link a su web para que pueda entender mejor qué empresas lo conforman aquí www.ergo.com

Otras categorías de interesados:  

  • Si la póliza fue realizada a través de un mediador o un agente auxiliar de la compañía podremos cederle o tendrá acceso directo a los datos de la venta para el cobro de las comisiones oportunas y otras acciones de seguimiento y retención de su cartera de clientes.  

  • Todos los médicos y grupos hospitalarios que componen nuestro cuadro médico o en productos con posibilidad de uso de medios ajenos, otras personas y profesionales médicos podrán tener acceso a sus datos para hacer la selección del riesgo médico en la contratación, para realizar la prestación o como servicio de segunda opinión médica. 

  • Proveedores Generales: Si su petición es en otro idioma distinto al castellano, podremos ceder sus datos incluidos los de salud en la declaración a empresas de traducción y a empresas de mensajería para mantenerle informado sobre su incremento de prima, nuevas coberturas o cartas informativas en general. También tenemos con un proveedor externo la gestión del archivo físico de su documentación contractual. 

  • Tenemos outsorucing en procesos de grabación de facturación hospitalaria y nuestro contact center a través de la Fundación DKV Integralia y Advance Medical también graba sus llamadas.  

  • Consultoras y Asesoras Especializadas. Nuestra plataforma de salud digital como “Mi Salud al Día” han sido desarrolladas por la empresa malagueña Salutic y otras compañías como Advance Medical o Mediktor. También tenemos plataformas de terceros líderes en el sector para determinados servicios como oncología a través de Grupo Bienzobas. 

  • Organismos públicos como la Dirección General de Seguros y Fondos de Pensiones nos solicita información habitualmente siempre por causa motivada. Tu información también se envía al Ministerio de Justicia si tienes una póliza de vida contratada para velar por tus derechos y que si el día de mañana falleces y no localizásemos a tus familiares, ellos sepan que tenías una póliza con nosotros y puedan hacer uso de sus garantías. 

Mis datos: dónde están y cuánto tiempo se conservan

Dónde están 

Tus datos están en nuestros servidores de Torre DKV en Zaragoza, en un centro de datos (CPD) que ha sido diseñado cumpliendo con las normas más estrictas de seguridad del standard TIA-942 y en un edificio con certificaciones prestigiosas como la LEED por su sostenibilidad, accesibilidad y garantías de eficiencia energética.

Nuestro CPD cuenta con tecnología RiMatrix de Rittal y ha conseguido un ahorro energético de aproximadamente un 30% respecto a una solución de CPD tradicional, con un valor de PUE que oscila entre 1’20 y 1,35, esto quiere decir, que además de seguro nuestro CPD es respetable con el medio ambiente.  

Replicamos sus datos para garantizar su disponibilidad en otro centro de contingencia situado a la distancia suficiente como para que no le aplique el mismo riesgo de continuidad de negocio que el primario y algunos de los servicios principales también están replicados en nuestro proveedor IPS llamado Arsys. También tenemos datos suyos a través de la nube privada de Microsoft Azure ubicados en la región de Europa Occidental, que está certificada por la Agencia Española de Protección de Datos como una nube segura en términos de privacidad y seguridad y también, en determinados en proyectos, en otros modelos cloud pero siempre certificados como GDPR Compliant a través de socios con amplia trayectoria y experiencia. 

Además de nuestra infraestructura, aplicamos controles de acceso a la información, tenemos políticas de seguridad y contraseñas que cumplen criterios de máxima complejidad, realizamos ciber-auditorías, tenemos sistemas de protección del perímetro, correlacionamos eventos para detectar amenazas  y prevenir infecciones, hay procedimientos de gestión de incidentes, tenemos entre nuestros empleados técnicos certificados en hacking ético que comprueban la robustez de nuestros sistemas de seguridad, etc.. 

Cuánto tiempo se conservan

El Grupo DKV tiene una normativa general de conservación de los datos personales que es de siete años desde que se cancela una póliza y de diez en Seguros de Vida. A partir de ese momento tenemos un programa de expurgo de la información tanto electrónica como en papel en el Archivo físico que va eliminando la información que ya no es relevante. 

Quién es su responsable

El responsable principal es DKV Seguros y Reaseguros SAE domiciliada en Torre DKV, Avenida María Zambrano 31,50018 Zaragoza, con CIF n° A-50004209 es una empresa que comercializa seguros médicos para particulares y empresas. 

El Grupo DKV Seguros está compuesto por una sociedad principal que es DKV Seguros y Reaseguros SAE y sus participadas, que son cuatro (Ergo Generales, Ergo Vida, Unión Médica la Fuencisla y DKV Servicios). También tenemos nuestra Fundación DKV Integralia.  

Delegado de Protección de datos

En DKV tenemos un delegado de Protección de Datos porque tenemos más de 250 empleados y además tratamos datos especialmente protegidos. Ha optado por contar con una persona interna, que lleva más de 10 años de experiencia en la compañía, y que ha pasado por departamentos como gestión de calidad y el departamento de Sistemas de Información. En el pasado fue auditor de seguridad en una de las big four.

Esta persona es algo así como el defensor y asesor en materia de privacidad para nuestros clientes. Para cualquier duda lo pueden encontrar bien por correo postal a la dirección Torre DKV Avda María Zambrano 31, 50018 Zaragoza o bien a través de correo electrónico en la cuenta privacidad@dkvseguros.es

Finalidad de los datos

El Grupo DKV tratará sus datos por distintas finalidades según su relación con la compañía:

Si necesitaremos sus datos personales identificativos básicos para poderle hacer una simulación del precio que pagaría con nosotros, en este caso nos legitima la relación precontractual y el interés legítimo.  

Si estuviera interesado, pasaríamos a la Solicitud de la póliza donde ya te pediremos datos económicos-financieros y si el producto contempla coberturas médicas, le pediremos además que nos cumplimente la Declaración de Salud, para en base al resultado confeccionar su contrato de póliza, las condiciones particulares y especiales y darle una prima lo más ajustada posible, para este tratamiento que contendrá datos especialmente protegidos (salud) los necesitamos porque por obligación legal (Ley de Contrato de Seguro) debemos pedirla además de porque existirá un contrato firmado entre las partes.  

Si por algún motivo no está interesado finalmente o el Grupo DKV considera que no puede asegurarle y es rechazado, estudiaremos si podemos ofrecerle una alternativa que cumpla razonablemente con sus expectativas a través de otros servicios compatibles y si no,  guardaremos sus datos cancelados con motivo de gestión y prevención del fraude, por interés legítimo. 

Si se convierte en cliente, trataremos toda su información personal durante toda la vida de la póliza con el fin de poder gestionar  las prestaciones que haya cubiertas en sus pólizas, en todos estos casos, estaremos autorizados por la relación contractual.  

Mientras sea cliente nuestro, le enviaremos información sobre mejoras en los productos actualmente contratados y en otros productos o servicios similares con finalidades compatibles a la inicial, lo más personalizados posible a sus expectativas, en base al interés legítimo, siempre podrá oponerse gratuitamente a ello.  

Si le enviamos información totalmente distinta al producto contratado le deberemos haber pedido el consentimiento expreso para ello. También por interés legítimo, considerando que también le beneficia, guardaremos sus datos para garantizar la seguridad informática, realizar encuestas de satisfacción post-siniestro o en momento neutro (cuando no esté usando el seguro para tener valores lo más objetivos posibles). Durante estas encuestas o cuando nos llame para usar su póliza a través de nuestro contact center su llamada podrá ser grabada y la utilizaremos para mejorar la calidad del servicio igualmente que hacemos a través de nuestras páginas web cuando estamos registrando cookies de navegación y seguridad, para hacer la página más clara y usable, de hecho observará que con ello la actualizamos periódicamente. 

En el momento en que cancele su póliza con la compañía, intentaremos fidelizarle o conocer los motivos por los que nos deja en los próximos tres meses, a partir de ese momento pasaremos a cancelar sus datos, es decir limitaremos su tratamiento al mínimo imprescindible, no recibirá más comunicaciones comerciales por nuestra parte, y los guardaremos solo para atender posibles quejas y reclamaciones o por detección del fraude hasta los plazos de prescripción establecidos y dos años de cautela más, es decir, por siete años y en el caso de seguros de Vida, por motivos legales de prevención de blanqueo de capitales hasta diez años. A partir de ese momento los datos serán borrados o anonimizados de tal forma que ya no haya modo de hacerle identificable, quedando para la finalidad de informes estadísticos, investigaciones científicas o de mercado, así como para generar modelos predictivos avanzados.

Conceptos básicos

Qué es GDPR

GDPR son la siglas en inglés de General Data Protection Regulation, es decir, es el nuevo Reglamento Europeo de Protección de Datos, sustituye a la anterior Directiva Europea que databa del 1995 y a diferencia de ésta, al ser un Reglamento es de directa aplicación, lo que quiere decir que no hace falta que haya una ley local que lo desarrolle. GDPR es nuestra ley en materia de privacidad y la de todas las compañías europeas o del resto del mundo pero que traten datos en Europa.

La privacidad es un derecho fundamental de los ciudadanos y el GDPR lo que busca es que el ciudadano, en una sociedad tan hiperconectada y distribuida, tenga mayor control sobre sus datos y sea él quien decida qué se hace con sus datos. También permite igualar las reglas del juego en Europa para favorece el intercambio de información de un modo más seguro, ya que hasta ahora cada país había ido haciendo sus propias leyes de a la Directiva del 95, con esto, GDPR nos afecta a todos por igual.

 

Qué derechos me da como ciudadano

Tienes 10 derechos fundamentales que te asisten con GDPR:

  1. Deber de ser Informado. Las empresas deben identificarse, decirte qué van a hacer con tus datos y por qué, a qué categorías de destinatarios los van a ceder, por cuanto tiempo los conservarán y avisarte de los siguientes derechos…

  2. Acceso a los datos (qué datos tienes de mí)

  3. Rectificación de datos (corrige ya tu base de datos y avisa a quienes los hayas cedido)

  4. Supresión de los datos (bórrame)

  5. Portabilidad de los datos básicos (envíame los datos a mí o a quien diga)

  6. Limitación del tratamiento (mantelos bloqueados)

  7. Oposición al tratamiento (sobre todo a llamadas telefónicas o emails)

  8. A no ser objeto de decisiones solo automáticas que nos discriminen (quiero personas)

  9. A presentar una reclamación ante la Agencia de Protección de Datos si lo has intentado y no obtienes respuesta o no estás conforme.

  10. A ser informado si la empresa sufre una brecha de seguridad donde puede haber comprometidos datos sobre ti que pongan en serio peligro tu privacidad.

Filosofía y principios básicos

GDPR tiene 5 principios que son la clave para entender su enfoque de privacidad y seguridad:

  1. Transparencia: Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.

  2. Limitar el Uso: Solo podemos usar los datos para los fines para los que informamos nuestros clientes, empleados, proveedores…

  3. Minimización del Dato. Pide los mínimos datos imprescindibles que se necesiten para poder tratar tus datos con garantías (ej: no sería correcto que una empresa para comprar un electrodoméstico te preguntase sobre tus hobbies o tu profesión)

  4. Calidad del Dato. Los pocos datos que tengas en tu sistema deben ser exactos y estar bien actualizados. La empresa debe procurar tener calidad en sus datos porque además si no la tiene acabará tomando decisiones erróneas que te podrían acabar perjudicando.

  5. Seguridad de la Información. Las empresas que gestionamos datos debemos garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.

Qué es un dato personal

Un dato personal es todo aquello que te hace identificable, puede ser un nombre, una foto, fecha de nacimiento, correo electrónico, IP, etc...

Datos biométricos también son datos personales, por lo tanto están especialmente protegidos. Como tiene un enfoque a riesgo, piensa en lo que se puede llegar a hacer con ellos por medios técnicos avanzados si caen en malas manos. 

Un dato biométrico es aquel que permite identificar a una persona y/o confirmar quién es mediante la realización de tratamientos técnicos que recojan datos relativos al aspecto físico, corporales o conductuales, como su imagen facial , la videovigilancia, su huella digital, su firma electrónica o similar.  

Si tenemos datos biométricos como huellas dactilares para acceder a un edificio deberemos realizar una Evaluación de Impacto de Privacidad pensando en si realmente es necesario usar ese sistema de acceso o habría otras alternativas y ver qué medidas de seguridad tiene la aplicación donde se están tratando y tendremos que explicar a nuestros empleados o terceros con qué finalidad se toman las huellas, el iris, o se graba su voz, plazos de conservación, qué terceros acceden a dichas huellas, etc..  

Custodia y Seguridad

 

Dónde se guardan los datos

Tus datos están en nuestros servidores de Torre DKV en Zaragoza, en un centro de datos (CPD) que ha sido diseñado cumpliendo con las normas más estrictas de seguridad del standard TIA-942 y en un edificio con certificaciones prestigiosas como la LEED por su sostenibilidad, accesibilidad y garantías de eficiencia energética. Nuestro CPD cuenta con tecnología RiMatrix de Rittal y ha conseguido un ahorro energético de aproximadamente un 30% respecto a una solución de CPD tradicional, con un valor de PUE que oscila entre 1’20 y 1,35, esto quiere decir, que además de seguro nuestro CPD es respetable con el medio ambiente.  

Replicamos sus datos para garantizar su disponibilidad en otro centro de contingencia situado a la distancia suficiente como para que no le aplique el mismo riesgo de continuidad de negocio que el primario y algunos de los servicios principales también están replicados en nuestro proveedor IPS llamado Arsys. También tenemos datos suyos a través de la nube privada de Microsoft Azure ubicados en la región de Europa Occidental, que está certificada por la Agencia Española de Protección de Datos como una nube segura en términos de privacidad y seguridad y también, en determinados en proyectos, en otros modelos cloud pero siempre certificados como GDPR Compliant a través de socios con amplia trayectoria y experiencia. 

Además de nuestra infraestructura, aplicamos controles de acceso a la información, tenemos políticas de seguridad y contraseñas que cumplen criterios de máxima complejidad, realizamos ciber-auditorías, tenemos sistemas de protección del perímetro, correlacionamos eventos para detectar amenazas  y prevenir infecciones, hay procedimientos de gestión de incidentes, tenemos entre nuestros empleados técnicos certificados en hacking ético que comprueban la robustez de nuestros sistemas de seguridad, etc..