GDPR (General Data Protection Regulation)

Et detallem els dubtes més freqüents sobre protecció de dades i privacitat per a totes les persones dins la Unió Europea

Adhesió al Pacte Digital

DKV està adherit al Pacte Digital promogut per l'Agencia Española de Protección de Datos. Si has detectat contingut que pugui ser ofensiu o lesiu envers menors, col·lectius més desafavorits o grups en risc d'exclusió social, segueix aquest enllaç que et portarà fins al canal de denúncia; és gratuït i fas el bé per als altres i per a la societat.

Canviar els abusos a Internet és compromís de tots.

Dret a la privacitat

Quin dret a la privacitat tinc

Tens dret a saber i a rebre una resposta en el termini d'un mes sobre si tenim o no dades teves. Si en tenim, tens dret a saber com les hem obtingut, si no ets conscient d'haver estat tu qui ens les va proporcionar, per a què les tenim i durant quant temps les guardem o a quines categories de destinataris les cedim, així com si hi ha transferències internacionals i a quins països, si és fora de la Unió Europea.

També tens dret a saber totes les dades bàsiques o fruit de la teva activitat amb nosaltres que hi ha sobre tu, excepte les inferides a les nostres bases de dades, a rebre'n una còpia (tu mateix o que les enviem a qui tu ens diguis sota la teva responsabilitat), a rectificar-les, limitar-ne l'ús per a les finalitats que tu decideixis, oposar-te al tractament en segons quines condicions o a rebre avís de les conseqüències si et fem cas i a esborrar definitivament aquestes dades quan hagin prescrit els terminis.

Finalment, si hi hagués un incident de seguretat molt greu en què hi hagués dades sobre tu que poguessin afectar seriosament la teva privacitat, t'informarem d'aquest incident i de quines mesures estem prenent per resoldre'l amb la màxima diligència possible.

Com l'exerceixo

Per la teva seguretat, DKV et demanarà que t'acreditis amb garanties suficients, és a dir, sense el teu nom i cognoms i el DNI no podrem atendre la petició.

Podràs exercir tots aquests drets per totes les vies que et detallem a la política de privacitat que hi ha al peu del web, t'animem a utilitzar la teva àrea privada de client, en què hem introduït millores perquè tinguis tota la informació que necessites saber sobre cadascun dels teus drets.

Podràs adreçar-te al delegat de protecció de dades si no estàs conforme amb la resposta, i en darrera instància, a l'Agència Espanyola de Protecció de Dades, al carrer Jorge Juan, 6, 28001 de Madrid.

Cessió de dades

A qui cediran les meves dades

Les seves dades seran cedides amb finalitats administratives i de control de gestió a altres companyies del Grup DKV o del Grup Assegurador ERGO.  

El Grup DKV està format per:  

  • ERGO GENERALES SEGUROS Y REASEGUROS, SAU (en endavant, ERGO GENERALES) domiciliada a l'Avenida Concha Espina, 63 28016 Madrid, amb CIF a-28072940. Mentre DKV Seguros és l'expert en assegurances mèdiques. Està especialitzada en la gestió d'assegurances de la llar i decessos. 

  • ERGO VIDA SEGUROS Y REASEGUROS, SOCIEDAD ANÓNIMA (SOCIETAT UNIPERSONAL) coneguda com ERGO VIDA, domiciliada a la Torre DKV, Avenida María Zambrano 31, 50018 Zaragoza, amb CIF A-79420899.

  • UNIÓN MÉDICA LA FUENCISLA, SOCIEDAD ANÓNIMA, COMPAÑÍA DE SEGUROS (SOCIETAT UNIPERSONAL) (d’ara endavant, UNIÓN MÉDICA LA FUENCISLA), domiciliada a la Torre DKV, a l'av. María Zambrano, 31, 50018, de Zaragoza, amb CIF A-0816960.

  • També forma part del Grup DKV Seguros, però amb un negoci diferent de l'assegurador, la companyia DKV SERVICIOS, SA, domiciliada a la Torre DKV, Avenida María Zambrano, 31, 50018 Zaragoza, amb CIF A-99007205, que va constituir DKV Seguros el 2004 i que treballa, en l'àmbit nacional i internacional, amb qualsevol tipus d'operacions i serveis relacionats amb la salut digital i el benestar, així com amb la prestació d'assistència mèdica i sanitària, a través de consultoris mèdics, espais de salut i clíniques per a l'atenció de tota mena d'especialitats mèdiques.

  • Fundació DKV INTEGRALIA, amb CIF G-62114798 i amb domicili al carrer de la Constitució, 3 – 1a 08960 Sant Just Desvern, Barcelona. No podem entendre el Grup DKV sense esmentar la nostra fundació de contact center. Creada per DKV Seguros el 2002 per facilitar la integració social i laboral de persones amb discapacitat, és l'encarregada de tota la nostra gestió telefònica amb clients de DKV i també ofereix aquests serveis a companyies d'altres clients. 

Pel que fa al Grup ERGO, li deixem aquí l'enllaç al seu web, perquè puguis entendre millor quines empreses el conformen www.ergo.com

Altres categories d'interessats:  

  • Si va fer la pòlissa un mediador o un agent auxiliar de la companyia, podrem cedir-li o tindrà accés directe a les dades de la venda per cobrar-ne les comissions corresponents i altres accions de seguiment i retenció de la seva cartera de clients.  

  • Tots els metges i grups hospitalaris que componen el nostre quadre mèdic o en productes amb possibilitat d'ús de mitjans aliens, altres persones i professionals mèdics podran tenir accés a les seves dades per fer la selecció del risc mèdic de la contractació, per fer la prestació o com a servei de segona opinió mèdica. 

  • Proveïdors generals: Si la seva petició és en un altre idioma diferent del castellà, podrem cedir les dades, incloses les de salut, de la declaració a empreses de traducció i a empreses de missatgeria per mantenir-lo informat sobre l'increment de prima, noves cobertures o cartes informatives en general. També tenim un proveïdor extern per a la gestió de l'arxiu físic de la teva documentació contractual. 

  • Tenim outsourcing en processos d'enregistrament de facturació hospitalària, i el nostre contact center a través de la Fundació DKV Integralia i Advance Medical també enregistra les seves trucades.  

  • Consultores i assessores especialitzades. La nostra plataforma de salut digital com "La meva salut al dia" ha estat desenvolupada per l'empresa malaguenya Salutic i altres companyies com Advance Medical o Mediktor. També tenim plataformes de tercers, líders en el sector, per a determinats serveis com oncologia, a través de Grup Bienzobas. 

  • Organismes públics com la Direcció General d'Assegurances i Fons de Pensions ens sol·licita informació habitualment, sempre amb una causa motivada. La teva informació també s'envia al Ministeri de Justícia si tens una pòlissa de vida contractada, per vetllar pels teus drets i perquè, si el dia de demà mors i no localitzem els teus familiars, ells sàpiguen que tenies una pòlissa amb nosaltres i puguin fer ús de les seves garanties. 

Les meves dades: on són i quant temps es conserven

On són 

Les teves dades són als nostres servidors de la Torre DKV a Saragossa, en un centre de dades (CPD) que ha estat dissenyat complint les normes més estrictes de seguretat de l'estàndard TIA-942 i en un edifici amb certificacions prestigioses, com la LEED, per la seva sostenibilitat, accessibilitat i garanties d'eficiència energètica.

El nostre CPD compta amb tecnologia RiMatrix de Rittal i ha aconseguit un estalvi energètic d'aproximadament un 30% respecte a una solució de CPD tradicional, amb un valor de PUE que oscil·la entre 1,20 i 1,35, això vol dir que, a més de segur, el nostre CPD és respectuós amb el medi ambient.  

Repliquem les teves dades per garantir-ne la disponibilitat en un altre centre de contingència situat a la distància suficient perquè no tingui el mateix risc de continuïtat de negoci que el primari, i alguns dels serveis principals també estan replicats al nostre proveïdor IPS, anomenat Arsys. També tenim dades teves a través del núvol privat de Microsoft Azure ubicat a la regió d'Europa Occidental, que està certificat per l'Agència Espanyola de Protecció de Dades com un núvol segur en termes de privacitat i seguretat i, també, en determinats projectes, en altres models del núvol, però sempre certificats com a GDPR Compliant a través de socis amb àmplia trajectòria i experiència. 

A més de la nostra infraestructura, apliquem controls d'accés a la informació, tenim polítiques de seguretat i contrasenyes que compleixen criteris de màxima complexitat, fem ciberauditories, tenim sistemes de protecció del perímetre, correlacionem esdeveniments per detectar amenaces i prevenir infeccions, hi ha procediments de gestió d'incidents, tenim entre els nostres empleats tècnics certificats en hacking ètic que comproven la robustesa dels nostres sistemes de seguretat, etc. 

Quant temps es conserven

El Grup DKV té una normativa general de conservació de les dades personals de set anys des que es cancel·la una pòlissa, i de deu, en el cas de les assegurances de vida. A partir d'aquest moment, tenim un programa d'esporgada de la informació tant electrònica com en paper en l'Arxiu físic que va eliminant la informació que ja no és rellevant. 

Qui n'és el responsable

El responsable principal és DKV Seguros y Reaseguros, SAE, domiciliada a la Torre DKV, Avenida María Zambrano, 31,50018 Zaragoza, amb CIF núm. A-50004209. És una empresa que comercialitza assegurances mèdiques per a particulars i empreses. 

El Grup DKV Seguros es compon d'una societat principal, que és DKV Seguros y Reaseguros, SAE, i les seves participades, que són quatre (Ergo Generales, Ergo Vida, Unión Médica la Fuencisla i DKV Servicios). També tenim la nostra Fundació DKV Integralia.  

Delegat de protecció de dades

A DKV disposem d'un Delegat de Protecció de Dades perquè tenim més de 250 empleats i, a més, tractem dades especialment protegides. Ha optat per tenir una persona interna, que té més de 10 anys d'experiència a la companyia, i que ha passat per departaments com el de Gestió de Qualitat o el de Sistemes d'Informació. En el passat va ser auditor de seguretat en una de les "big four".

Aquesta persona és una mena de defensor i assessor en matèria de privacitat per als nostres clients. Per a qualsevol dubte, el pot trobar per correu postal a l'adreça: Torre DKV, Avda. María Zambrano, 31, 50018, de Zaragoza o a l'adreça electrònica privacidad@dkvseguros.es

Finalitat de les dades

El Grup DKV tractarà les seves dades per a diferents finalitats, segons la seva relació amb la companyia:

Si ens calguessin les vostres dades personals identificatives bàsiques per poder fer-vos una simulació del preu que pagaria amb nosaltres, en aquest cas ens legitima la relació precontractual i l'interès legítim.  

Si hi està interessat, passarem a la Sol·licitud de la pòlissa, en què li demanarem dades econòmiques i financeres. Si el producte té en compte cobertures mèdiques, li demanarem, a més, que ens empleni la Declaració de Salut per confeccionar, amb el resultat, el seu contracte de pòlissa, les condicions particulars i especials i per donar-li una prima tan ajustada com sigui possible. Per a aquest tractament, que contindrà dades especialment protegides (salut), les necessitem perquè, per obligació legal (Llei de Contracte d'Assegurança), hem de demanar-la i perquè hi haurà un contracte signat entre les parts.  

Si per algun motiu finalment no hi està interessat o el Grup DKV considera que no pot assegurar-lo i és rebutjat, estudiarem si podem oferir-li una alternativa que compleixi raonablement les seves expectatives a través d'altres serveis compatibles i, si no, desarem les seves dades cancel·lades amb motiu de gestió i prevenció del frau, per interès legítim. 

Si es converteix en client, tractarem tota la seva informació personal durant tota la vida de la pòlissa per tal de poder gestionar les prestacions que hi hagi cobertes a les seves pòlisses i, en tots aquests casos, estarem autoritzats per la relació contractual.  

Mentre sigui client nostre, li enviarem informació sobre millores en els productes actualment contractats i en altres productes o serveis similars amb finalitats compatibles a la inicial, tan personalitzats com sigui possible a les seves expectatives, partint d'interès legítim. Tot i això, sempre podrà oposar-s'hi gratuïtament.  

Si li enviem informació totalment diferent del producte contractat, li haurem d'haver demanat el consentiment exprés per fer-ho. També per interès legítim, considerant que també el beneficia, guardarem les seves dades per garantir la seguretat informàtica, fer enquestes de satisfacció postsinistre o en un moment neutre (quan no estigui utilitzant l'assegurança, per tenir valors tan objectius com sigui possible). Durant aquestes enquestes, o quan ens truqui per fer servir la seva pòlissa a través del nostre contact center, la seva trucada podrà ser gravada i la utilitzarem per millorar la qualitat del servei, igual que fem a través de les nostres pàgines web quan estem registrant cookies de navegació i seguretat, per fer la pàgina més clara i usable. De fet, observarà que amb això l'actualitzem periòdicament. 

En el moment en què cancel·lis la teva pòlissa amb la companyia, t'intentarem fidelitzar o conèixer els motius pels quals ens deixes durant els tres mesos següents; a partir d'aquest moment cancel·larem les teves dades, és a dir, en limitarem el tractament al mínim imprescindible, no rebràs més comunicacions comercials per part nostra, i les guardarem només per atendre possibles queixes i reclamacions o per detecció del frau fins als terminis de prescripció establerts i dos anys de cautela més, és a dir, fins a set anys, i en el cas d'assegurances de vida, per motius legals de prevenció de blanqueig de capitals, fins a deu anys. A partir d'aquest moment, les dades s'esborraran o s'anonimitzaran perquè ja se't pugui fer identificable, i es mantindran per a la finalitat d'informes estadístics, recerques científiques o de mercat, així com per generar models predictius avançats.

Conceptes bàsics

Què és el GDPR

El GDPR són les sigles en anglès de General Data Protection Regulation, és a dir, és el nou Reglament europeu de protecció de dades, que substitueix l'anterior Directiva europea, que datava del 1995 i, a diferència d'aquesta, com que es tracta d'un reglament, és d'aplicació directa, cosa que vol dir que no fa falta que hi hagi una llei local que el desplegui. El GDPR és la nostra llei en matèria de privacitat i la de totes les companyies europees o de la resta del món però que tractin dades a Europa.

La privacitat és un dret fonamental dels ciutadans, i el GDPR pretén que el ciutadà, en una societat tan hiperconnectada i distribuïda, tingui més control sobre les seves dades i sigui ell qui decideixi què se'n fa. També permet igualar les regles del joc a Europa per afavorir l'intercanvi d'informació d'una manera més segura, ja que fins ara cada país havia anat fent les seves pròpies lleis de la Directiva del 95; per aquesta raó, el GDPR ens afecta a tots de la mateixa manera.

 

Quins drets em dona com a ciutadà

Tens 10 drets fonamentals que t'assisteixen amb el GDPR:

  1. Deure ser informat. Les empreses s'han d'identificar, dir-te què faran amb les teves dades i per què, a quines categories de destinataris les cediran, durant quant temps les conservaran i avisar-te dels drets següents…

  2. Accés a les dades (quines dades tens de mi)

  3. Rectificació de dades (corregeix ara la teva base de dades i avisa a qui les hagis cedides)

  4. Supressió de les dades (esborra'm)

  5. Portabilitat de les dades bàsiques (envia'm les dades a mi o a qui digui)

  6. Limitació del tractament (mantingues-les bloquejades)

  7. Oposició al tractament (sobretot a trucades telefòniques o correus electrònics)

  8. A no ser objecte de decisions només automàtiques que ens discriminin (vull persones)

  9. A presentar una reclamació a l'Agència de Protecció de Dades si ho has intentat i no obtens resposta o no hi estàs conforme.

  10. Que t'informem si l'empresa té una bretxa de seguretat en què hi pugui haver compromeses dades sobre tu que posin en perill la teva privacitat.

Filosofia i principis bàsics

El GDPR té 5 principis que són la clau per entendre el seu enfocament de privacitat i seguretat:

  1. Transparència: Les empreses que gestionin dades personals tenen l'obligació d'informar els usuaris sobre com es processarà la seva informació en compliment amb la normativa.

  2. Limitar-ne l'ús: Només podem utilitzar les dades per a les finalitats per a què informem els nostres clients, empleats, proveïdors…

  3. Minimització de la dada. Demana només les dades imprescindibles per poder tractar les dades amb garanties (p. ex.: no seria correcte que una empresa et preguntés per les teves aficions o la teva professió per comprar un electrodomèstic)

  4. Qualitat de la dada. Les poques dades que tinguis en el teu sistema han de ser exactes i estar ben actualitzades. L'empresa ha de procurar tenir qualitat en les seves dades perquè, a més, si no la té, acabarà prenent decisions errònies que et podrien acabar perjudicant.

  5. Seguretat de la informació. Les empreses que gestionem dades hem de garantir un nivell adequat de seguretat que inclou la protecció en cas de tractament sense autorització o il·legal, i davant pèrdues, destrucció o danys accidentals.

Què és una dada personal

Una dada personal és tot allò que et fa identificable; pot ser un nom, una foto, data de naixement, correu electrònic, IP, etc.

Dades biomètriques també són dades personals, per tant estan especialment protegides. Com que té un enfocament a risc, pensa en el que s'hi pot arribar a fer per mitjans tècnics avançats si cauen en males mans. 

Una dada biomètrica és aquella que permet identificar una persona i/o confirmar qui és mitjançant la realització de tractaments tècnics que recullin dades relatives a l'aspecte físic, corporals o conductuals, com la imatge facial, la videovigilància, la petjada digital, la signatura electrònica o similar.  

Si tenim dades biomètriques, com empremtes dactilars per accedir a un edifici, haurem de fer una Avaluació d'Impacte de Privacitat pensant en si és realment necessari utilitzar aquest sistema d'accés o hi ha altres alternatives, haurem de veure quines mesures de seguretat té l'aplicació en què s'estan tractant, i haurem d'explicar als nostres empleats o tercers amb quina finalitat es prenen les empremtes, l'iris, o s'enregistra la seva veu, els terminis de conservació, quins tercers accedeixen a aquestes empremtes, etc.  

Custòdia i seguretat

 

On es desen les dades

Les teves dades són als nostres servidors de la Torre DKV a Saragossa, en un centre de dades (CPD) que ha estat dissenyat complint les normes més estrictes de seguretat de l'estàndard TIA-942 i en un edifici amb certificacions prestigioses, com la LEED, per la seva sostenibilitat, accessibilitat i garanties d'eficiència energètica. El nostre CPD té tecnologia RiMatrix de Rittal i ha aconseguit un estalvi energètic d'aproximadament un 30% respecte d'una solució de CPD tradicional, amb un valor de PUE que oscil·la entre 1’20 i 1,35, això vol dir que a més de segur el nostre CPD és respectuós amb el medi ambient.  

Repliquem les teves dades per garantir-ne la disponibilitat en un altre centre de contingència situat a la distància suficient perquè no tingui el mateix risc de continuïtat de negoci que el primari, i alguns dels serveis principals també estan replicats al nostre proveïdor IPS, anomenat Arsys. També tenim dades teves a través del núvol privat de Microsoft Azure ubicat a la regió d'Europa Occidental, que està certificat per l'Agència Espanyola de Protecció de Dades com un núvol segur en termes de privacitat i seguretat i, també, en determinats projectes, en altres models del núvol, però sempre certificats com a GDPR Compliant a través de socis amb àmplia trajectòria i experiència. 

A més de la nostra infraestructura, apliquem controls d'accés a la informació, tenim polítiques de seguretat i contrasenyes que compleixen criteris de màxima complexitat, fem ciberauditories, tenim sistemes de protecció del perímetre, correlacionem esdeveniments per detectar amenaces i prevenir infeccions, hi ha procediments de gestió d'incidents, tenim entre els nostres empleats tècnics certificats en hacking ètic que comproven la robustesa dels nostres sistemes de seguretat, etc.