EL CONTROL DEL FRAUDE EN EL SEGURO Y LA LEY 25.326. (*)

Introducción

De acuerdo a estudios realizados a nivel mundial, entre el dos y el tres por ciento del primaje de seguros se destina anualmente al pago de siniestros que no deberían ser indemnizados[1], por lo que, no cabe duda, el fraude es uno de los temas más urgentes en la agenda del sector asegurador.

Si bien existen diferentes formas de prevenirlo y contrarrestarlo, diversos especialistas consideran que compartir datos entre los diferentes actores de la industria aparece como una importante herramienta para combatirlo[2].

En este sentido, en un artículo publicado en el Nº 58 de la Revista Estrategas, Fabián Pons, Gerente General de CESVI Argentina, decía que “desde que el Directorio de CESVI Argentina tomó la decisión de empezar a trabajar sobre el tema “fraudes”, observamos que uno de los factores primordiales que obstaculizaban esta ya de por si dificultosa tarea, era la falta de datos e información necesaria para desenmascarar a los fraudulentos”[3] y que, para lograrlo, se requieren bases de datos conjuntas de las distintas compañías de seguro que permitan cruzar información y realizar análisis.

Sobre la base de esta idea, en los últimos años vieron la luz distintos emprendimientos públicos y privados tendientes a crear bases de datos con información relacionada con siniestros de robo y recupero de automóviles, daños materiales y pérdida total de automóviles y personas involucradas en siniestros que hayan sufrido lesiones o muerte, que permiten cruzar dicha información y descubrir indicadores de posibles fraudes.

Teniendo en cuenta que desde el mes de noviembre del año 2000 rige en nuestro país la Ley 25.326 de Protección de Datos Personales[4] que, como regla general, exige que para almacenar, tratar y ceder datos personales a terceros debe obtenerse previamente el consentimiento libre, expreso, escrito e informado del titular de los datos, a través del presente trabajo se pretende reflexionar en torno a si la creación, desarrollo y mantenimiento de ese tipo de bases de datos se ajusta a los requisitos exigidos por la legislación vigente o si es necesario realizar una reforma legal que permita expresamente la creación de bases de datos interconectadas en la industria del seguro, cuya finalidad sea combatir el flagelo del fraude en el mercado asegurador.

La Ley 25.326 de Protección de Datos Personales

La Ley 25.326 de Protección de Datos Personales tiene por objeto la protección integral de cualquier tipo de información referida a personas físicas o jurídicas, determinadas o determinables, que se encuentre asentada en archivos, registros, bases, bancos de datos, u otros medios técnicos de tratamiento de datos, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43º, párrafo tercero de la Constitución Nacional.

De la definición que trae el artículo 2º de la Ley citada, se desprende que dentro del concepto “Tratamiento de Datos” se incluyen todas aquellas operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

Como se ve, cualquier intento de compartir datos personales de terceros entre empresas o con organismos del Estado queda incluido dentro de los conceptos de “tratamiento” y “cesión” de datos”, razón por la cual, es necesario analizar cómo impacta la normativa vigente en materia de protección de datos personales cada vez que una aseguradora cede datos personales de clientes y/o terceros a los efectos de incluirlos en las bases de datos comunes creadas con el fin de prevenir fraudes, ya sea a través del Sistema IRIS de Control de Fraude de Automotores implementado por la Superintendencia de Seguros de la Nación (SSN) o utilizando los servicios ofrecidos por cualquier empresa privada que realice una actividad similar.

Cesión de datos personales a terceros

Como regla general, de acuerdo a lo establecido por el artículo 5º de la Ley 25.326, el tratamiento de datos personales es ilícito si el titular de los datos no hubiera prestado previamente su consentimiento libre, expreso e informado, el que debe constar por escrito o por otro medio equiparable. Sin embargo, y por aplicación de las excepciones previstas por dicha norma, este principio general no se aplica cuando los datos derivan de una relación contractual entre el responsable de la base de datos y el titular del dato o cuando los datos recolectados se limitan al nombre, DNI, CUIT, CUIL, ocupación, fecha de nacimiento y domicilio.

Va de suyo entonces que, tratándose de una relación contractual, no es necesario que al contratar una póliza de seguro el asegurado preste su consentimiento para que el asegurador pueda tratar sus datos personales, ya que su tratamiento resulta indispensable para el desarrollo de la relación contractual. Sin embargo, no ocurre lo mismo cuando el responsable de la base de datos pretende ceder a terceros la información recolectada a los fines del contrato, excepto que se trate únicamente de los datos enumerados en el párrafo anterior.

No obstante lo manifestado en el párrafo anterior, resulta importante señalar que por aplicación del artículo 11º de la Ley 25.326, los datos personales objeto de tratamiento sólo pueden ser cedidos a terceros para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, y con el previo consentimiento del titular de los datos, al que se le debe informar previamente, en forma expresa y clara, sobre la finalidad de la cesión, identificando al cesionario o los elementos que permitan hacerlo.

Estos requisitos también presentan excepciones, que en el caso del articulo analizado contemplan la posibilidad de ceder datos a terceros sin el consentimiento del titular del dato cuando la cesión involucre solamente los datos identificatorios mencionados precedentemente o cuando la cesión de datos resulte necesaria para el desarrollo o cumplimiento del contrato.

Como en el caso de cesión de datos a bases de datos de control de fraude, los datos cedidos no se limitan a los mencionados precedentemente y, por lo tanto, no pueden cederse sin el consentimiento de su titular, para determinar si la cesión de datos sin el consentimiento del titular es posible, habrá que analizar si la cesión es necesaria para el desarrollo o cumplimiento del contrato de seguro celebrado con el titular de los datos que se pretenden ceder o si, como ocurre en uno de los casos que se analizarán posteriormente, se verifica otra de la excepciones previstas por el artículo 11º de la Ley 25.326, esto es, si los datos se recaban para el ejercicio de las funciones propias de los poderes del estado o en virtud de una obligación legal.

A poco que se indaga sobre el tipo de información que las aseguradoras ceden a este tipo de bases de datos, surge con claridad que no siempre la cesión de datos a bancos centralizados de prevención del fraude en el seguro estará exenta del consentimiento previo del titular del dato, ya que además de no ser cierto que la cesión de datos resulte necesaria para el desarrollo o cumplimiento del contrato entre la aseguradora cedente y el titular del dato, existen otros supuestos, como por ejemplo el de la cesión de datos de terceros damnificados no contratantes, en los que la excepción al principio del consentimiento nunca operará. 

Bases de datos interconectadas de carácter público

Motivada por la gran cantidad de fraudes detectados en un estudio en el que se analizaron aproximadamente 420.000 siniestros denunciados durante el 2º semestre del año 2002[5], en el año 2003 la SSN creó el Sistema IRIS de Control de Fraude de Automotores[6].

Dicho sistema, en funcionamiento desde el 1 de enero de 2004, pretende detectar denuncias de siniestro que puedan encuadrarse como posibles fraudes y exige que cada aseguradora esté conectada on line con la SSN, a los efectos de permitir el envio de información, la realización de consultas, el acceso a la historia de un vehículo antes de darle cobertura, e incluso tomar conocimiento del nombre del titular de un vehículo en el momento de ocurrido un siniestro[7].

La finalidad que tuvo la SSN al implementar este Sistema es clara y no merece discusión, pero cabe preguntarse  si las aseguradoras pueden ceder los datos requeridos por la SSN sin que ello implique correr el riesgo de violar la Ley de Protección de Datos.

Entiendo que la respuesta a este interrogante debe ser afirmativa, ya que por aplicación de los artículos 68º, 69º y 70º de la Ley 20.091 de Entidades de Seguro y su Control, en el ejercicio de sus funciones, la SSN puede requerir que los aseguradores le suministren información relacionada con sus operaciones que juzgue necesarias para ejercer sus funciones, razón por la cual resulta de aplicación una de las excepciones previstas por el artículo 11º de la Ley 25.326 antes comentada.

Sin perjuicio de ello, no queda del todo claro qué ocurre una vez que los datos se encuentran en poder de la SSN y si la posibilidad que el Sistema IRIS le brinda a las restantes aseguradoras de acceder a los datos proporcionados por las demás, se ajusta a lo establecido por la Ley de Protección de Datos, máxime cuando la herramienta de búsqueda permite consultar la historia siniestral de vehículos y personas[8].

En efecto, si bien hemos visto que la cesión de datos se encuentra justificada en la facultad de control por parte de la SSN, el Sistema IRIS, al permitir que los aseguradores puedan realizar consultas sobre datos enviados por otros aseguradores, podría exceder la función propia del poder del Estado para recabar información, poniendo en riesgo la intimidad de los personas. Ello, principalmente porque el Sistema sólo puede ser consultado por las personas autorizadas a tal efecto por las respectivas aseguradoras, y porque, además, no está previsto que los ciudadanos puedan acceder a la información relacionada con su persona que se encuentre almacenada en las bases de datos que componen el Sistema IRIS, para luego poder ejercer los restantes derechos que le reconoce la Ley 25.326, tal como ocurre, por ejemplo, en el caso de la Central de Deudores del Sistema Financiero a cargo del Banco Central de la República Argentina.

Cabe destacar al respecto, que el artículo 16º del Decreto 1558/01 establece que en el caso de archivos o bases de datos públicas conformados por cesión de información suministrada por entidades aseguradoras, de conformidad con el artículo 5º, inciso 2 de la Ley 25.326, si una persona necesita ejercer sus derechos de rectificación, actualización, supresión o confidencialidad, debe ejercerlos ante la entidad cedente que sea parte de la relación jurídica a que se refiere el dato impugnado, quien, en caso de que procediera el reclamo, luego deberá solicitar a la SSN que sean practicadas las modificaciones necesarias en su base de datos.

Va de suyo entonces, que si la base de datos que respalda el Sistema IRIS no es de pública consulta, sino que sólo permite que sea consultada por los usuarios registrados por cada aseguradora, los titulares de los datos almacenados en dicho Sistema no podrán ejercer ninguno de los derechos que le reconoce la Ley 25.326, ni siquiera el de acceso, derecho esencial previsto por el artículo 43º de la Constitución Nacional y pilar básico del sistema de tutela a la intimidad, honor y dignidad de las personas establecido por la Ley de Protección de Datos Personales.

Luego de analizar el contenido de las normas dictadas por la SSN relacionadas con el Sistema IRIS surge que al momento de ponerlo en funcionamiento no se reparó en las cuestiones reguladas por la Ley 25.326 y su Decreto reglamentario tendientes a asegurar que en el tratamiento de datos personales se respeten los derechos de las personas. Ello, aún cuando la SSN forma parte del Consejo Consultivo asesor de la Dirección Nacional de Protección de Datos Personales[9] y las normas mencionadas fueron dictadas antes de la creación del Sistema IRIS.

Resulta necesario destacar al respecto, que el artículo 4º, inciso 6 de la Ley 25.326 establece que los responsables de archivos, registros, bases o bancos de datos deben almacenar la información de modo que permitan el ejercicio del derecho de acceso de su titular; que el inciso 7 del mencionado artículo exige que los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados; y que el artículo 22º de la norma citada enumera los requisitos que debe cumplimentar una base de datos pública para su funcionamiento, exigiendo que la base de datos sea creada a través de una norma publicada en el Boletín Oficial y que dicha norma de creación debe indicar lo siguiente: a) Características y finalidad del archivo; b) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas; c) Procedimiento de obtención y actualización de los datos; d) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán; e) Las cesiones, transferencias o interconexiones previstas; f) Organos responsables del archivo, precisando dependencia jerárquica en su caso; y, g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión.

Al reparar en las exigencias legales mencionadas y compararlas con el texto de las diferentes Comunicaciones dictadas por la SSN relacionadas con el Sistema IRIS surge con claridad que varios de los requisitos exigidos por la Ley 25.326 no han sido debidamente cumplimentados ya que, por ejemplo, no se ha contemplado el procedimiento establecido para que los titulares de los datos almacenados en el Sistema puede ejercer sus derechos, ni el plazo durante el cual la información estará disponible para ser consultado por los usuarios, entre otras omisiones.

La inobservancia a varias de las exigencias previstas por la Ley 25.326 y su Decreto Reglamentario motivó que, simultáneamente a la publicación de la primera “Carta Compromiso con el Ciudadano” de la SSN[10] en la que se asumió el compromiso de respetar el derecho de los ciudadanos a que sus datos sean tratados en forma confidencial, en el año 2004 se presentara en el Congreso de la Nación un Proyecto de Comunicación tendiente a lograr que el Poder Ejecutivo, a través de la Dirección Nacional de Protección de Datos Personales le exigiera a diferentes organismos oficiales, entre ellos la SSN, el cumplimiento de la Ley[11].

A la fecha, no existen indicios que demuestren que el Sistema IRIS cumpla las normas vigentes en la materia.

Bases de datos interconectadas de carácter privado

Como hemos visto, si bien es necesario que la SSN adecue el funcionamiento del Sistema IRIS a los requisitos exigidos por las normas vigentes en materia de protección de datos personales, no existe impedimento legal alguno para que dicho organismo de control, respetando lo establecido por la Ley 25.326 y sus normas de desarrollo, administre una base centralizada de siniestros y permita, al igual que ocurre con la Central de Deudores del Sistema Financiero del Banco Central de la República Argentina, que los datos en ella contenidos sean puestos al alcance del público en general.

Sin embargo, ello no ocurre cuando quien decide implementar un sistema de esas características es una empresa privada o una Cámara o Asociación de empresas del sector, ya que a ellas no le son de aplicación ninguna de las excepciones previstas por los artículos 5º y 11º de la Ley 25.326 y su Decreto Reglamentario antes comentadas.

A mayor abundamiento, puede mencionarse como argumento para fundar la imposibilidad legal de crear y administrar una base de datos privada con esa finalidad, que se estaría vulnerando el principio de finalidad establecido por el artículo 4º inciso 3 de la Ley de Protección de Datos Personales, que establece que los datos personales no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

Resulta claro que la finalidad que persigue una aseguradora cuando recaba datos personales de sus clientes es la de poder concretar y cumplir la relación contractual. Pero no resulta tan claro que la cesión de esos datos a bases de datos centralizadas de control de fraude sea necesaria para el desarrollo o cumplimiento del contrato. Es por ello que para compartir información siniestral que con otros aseguradores que involucre datos personales de los asegurados, las empresas deberán siempre obtener el consentimiento previo de los titulares de los datos que se pretenden ceder, en las condiciones exigidas por la Ley 25.326.

De todo lo hasta aquí expuesto se desprende que las bases de datos que centralizan información relativa a siniestros e incluyen datos personales suministrados por diferentes entidades aseguradoras, y las aseguradoras que le proporcionan la información, corren el riesgo de violar las disposiciones de la Ley 25.326 si quienes suministran la información no toman los recaudos necesarios para obtener el consentimiento previo de los titulares de los datos a ceder, o si quienes administran esas bases de datos no adecuan dichos tratamientos a los requisitos legales, permitiendo además que los titulares de los datos personales allí almacenados puedan ejercer los derechos de acceso, actualización, rectificación o supresión de los datos reconocidos por la normativa legal analizada.

En ese entendimiento, y con el objeto de evitar que el desarrollo de este tipo de bases de datos atente contra los derechos y garantías reconocidas a los ciudadanos por la Ley de Protección de Datos Personales, en España, al aprobarse el Reglamento de Ordenación y Supervisión de los Seguros Privados, se introdujeron excepciones legales específicamente relacionadas con el mercado asegurador, que facilitan la conformación de bases de datos interconectadas cuando la finalidad es combatir el fraude.

Es por ello que en dicho país, cuya legislación de protección de datos ha sido fuente de inspiración para nuestros legisladores, las entidades aseguradoras están legalmente autorizadas a establecer bases de datos comunes que incluyan información relacionada con los contratos de seguro integrantes de sus carteras, que faciliten la prevención del fraude en la selección de riesgos y en la liquidación de siniestros, asi como también bases de datos comunes que contengan datos personales relativos a los siniestros producidos, clasificados de acuerdo a la categorías de riesgos[12], sin requerir previamente el consentimiento de los asegurados, siempre y cuando se les informe al momento de contratar, no sólo de la posible cesión de sus datos con esta finalidad, sino también del derecho que les asiste a tomar conocimiento de los datos referidos a su persona que se registren en dicha base y a exigir su rectificación, actualización o supresión en caso de ser necesario[13].

Conclusiones. Necesidad de reforma de la Ley.

Es indudable que deben extremarse las medidas tendientes a evitar el fraude y que el trabajo conjunto de todo el sector asegurador permitirá alcanzar dicho objetivo. Pero las medidas que se adopten deben hacerse dentro de un marco de legalidad.

Para ello, será necesario incorporar a la Ley 25.326 una norma específica que, funcionando como excepción al principio del consentimiento informado que debe regir todo tratamiento leal de datos personales, permita que las entidades aseguradoras desarrollen y mantengan archivos, registros, bases o bancos de datos comunes con información relacionada con el comportamiento siniestral a los efectos de permitir el control del fraude, la liquidación de siniestros y la colaboración estadístico actuarial con fines de tarifación, selección de riesgos y elaboración de estudios de técnica aseguradora.

Asimismo, en cumplimiento de lo establecido por el artículo 6 de la Ley 25.326, en el texto de las pólizas deben incorporarse apartados especiales que informen que los datos personales que se necesiten tratar a los efectos de cumplir con el contrato de seguro podrán incorporarse en bases de datos comunes del sector asegurador, con indicación de sus responsables, de su finalidad y del procedimiento para ejercer los derechos reconocidos por la Ley de Protección de Datos Personales. Lo mismo, en todos aquellos formularios a través de los cuales una aseguradora recolecte datos personales relacionados con el acaecimiento de un siniestro, para lo cual será necesario reformar la Resolución 30.506/2005 de la SSN que establece cuál es el texto que las entidades aseguradoras deben incluir en los formularios de denuncia de siniestro.

Finalmente, se recomienda que, en el marco de lo establecido por el artículo 30 de la Ley 25.326, las entidades aseguradoras autorizadas para operar en la República Argentina que deseen compartir datos con otras, por sí o a través de las cámaras y asociaciones que las nuclean, suscriban un Código de Conducta que establezca pautas para el tratamiento de datos personales y asegure que las condiciones de operación de sus sistemas cumplirán los principios establecidos por la referida Ley.

Estas medidas, además de cumplir la legislación vigente, contribuirán a promover la transparencia en el mercado del seguro y la aplicación equitativa y suficiente de las tarifas a cada riesgo asegurado, respetando los derechos de los ciudadanos.

Gustavo D. Tanús

(*) Artículo ganador del Premio del Seguro 2007 organizado por la Revista Estrategas (www.revistaestrategas.com.ar/0prem07.htm). Publicado en la edición del mes de Enero de 2008.