RGPD y pólizas de D&O: ¿Cómo afecta la protección de datos al diseño de los seguros?

A largo de los últimos meses hemos hablado, y mucho, del nuevo RGPD. Sin embargo, nunca lo habíamos hecho desde la perspectiva del impacto que este cambio regulatorio tiene sobre las responsabilidades de directivos y demás figuras con capacidad de gestión en las compañías: ¿Cómo afectará al diseño de sus pólizas de D&O en cuanto a coberturas y personas aseguradas bajo la póliza?

RGPD y pólizas de D&O: ¿Cómo afecta a los seguros?

Las pólizas de D&O están diseñadas para dar cobertura amplia ante las reclamaciones que puedan recibir los directivos y administradores por actos realizados en su capacidad de gestión o supervisión. Son solo ciertas coberturas las que se ajustan a normativas específicas, mediante la mención de ciertos artículos de una ley o reglamento puntual (por ejemplo, la cobertura por responsabilidad tributaria o gastos de aval concursal).

En ese aspecto, el GDPR se presenta como una nueva normativa que directivos y administradores deberán hacer cumplir en sus organizaciones, pero del mismo modo que cualquier otra normativa que sea de aplicación.

En esta medida, la póliza de D&O responderá por reclamaciones en materia de protección de datos que se realicen contra un D&O, así como cualquier otra norma con carácter general que fuese aplicable.

¿Cómo asegurarme de que mi póliza de D&O se adapta al RGPD?

Desde la Unidad de Finex de Willis Towers Watson aconsejan la revisión de una serie de aspectos relativos a las coberturas y extensiones de la póliza de D&O para estar seguros de que ésta responde de manera adecuada ante potenciales reclamaciones derivadas de RGPD:

• Definición de “persona asegurada”: cada día, las definiciones de D&O son más amplias, incluyendo posiciones comunes dentro de la organización de la gran mayoría de empresas (CFO, Compliance Officer o Gerente de Riesgos). No obstante, la clave en toda definición de persona asegurada es la necesidad que la persona reclamada tenga capacidad de gestión o supervisión dentro de la compañía; siendo así, estará asimilado a la figura de un Administrador, Consejero o Directivo.

El nuevo Reglamento General de Protección de Datos exige la creación o inclusión de la figura del DPO –Delegado de Protección de Datos o Data Protection Officer en inglés– dentro de las organizaciones que gestionen gran cantidad de datos, para así velar por el cumplimiento de la normativa. En nuestra opinión, dicha figura quedaría cubierta automáticamente por la definición de Persona Asegurada si cumple lo anteriormente señalado, pero son varios los clientes que han optado por incluirlo expresamente, para así dar mayor tranquilidad y seguridad a las personas que vayan a ejercer dicha figura.

• Multas y Sanciones: en España ha existido un gran debate sobre la posibilidad de dar cobertura a multas y sanciones a través de pólizas de seguros. Superada esta discusión, hoy en día es común que las pólizas de D&O cubran multas y sanciones administrativas impuestas contra una Persona Asegurada, aunque solo aquellas de índole civil o administrativo.

Una de las cuestiones que más respeto ha causado de RGPD ha sido la posibilidad de imponer multas y sanciones, que pueden alcanzar el 4% del volumen de facturación anual del grupo, hasta un máximo de 20 millones de euros. Estas sanciones pueden ser impuestas tanto a la sociedad como personas físicas, por la incorrecta gestión de datos de terceros. Además, en el caso de ser impuestas contra una persona asegurada, consideramos que podrán ser cubiertas a través de la póliza de D&O, siempre y cuando el incumplimiento o filtración de datos no sea derivado de una actuación dolosa y sea un error de gestión o supervisión.

• Gestión de Crisis, Gastos de Publicidad y otras: se trata de las responsabilidades a las que se puedan enfrentar Directivos y Administradores no son solo en el ámbito legal, sino también empresarial. Son conocidos casos en los que una filtración de datos expone a los D&Os ante situaciones comprometedoras; Mark Zuckerberg tuvo que comparecer en abril ante el congreso de EEUU por el uso incorrecto de datos contenidos en Facebook. Noel Biderman, CEO de la web de citas Ashley Madison, tuvo que renunciar por la filtración de los datos personales de sus usuarios.

Este tipo de situaciones deben quedar bien cubiertas por la póliza, ofreciendo cobertura para gastos de gestión de crisis o gastos de publicidad para responder en caso de incidencia.