Existe una cierta incertidumbre con respecto a las posibles demandas que puedan ocasionar una protección ineficiente de los datos personales, lo cual lleva a 3 posibles soluciones en forma de pólizas de RC, D&O, y Ciber Riesgos.
En el entorno empresarial, la preocupación por las reclamaciones relacionadas con la protección de datos personales es cada vez mayor. Estas pueden originarse tanto por responsabilidad civil frente a terceros como por sanciones impuestas por la Agencia Española de Protección de Datos (A.E.P.D.).
En este contexto, es importante destacar la utilidad de la cobertura de Responsabilidad Civil por Protección de Datos y Sanciones, que puede incluirse en ciertas pólizas de seguros, como las de Responsabilidad Civil General o Profesional, Responsabilidad Civil de Administradores y Directivos (D&O) y Ciber Riesgo. Estas coberturas tienen como principal finalidad proporcionar defensa jurídica, ya sea en un procedimiento judicial o administrativo, y cubrir posibles indemnizaciones y/o sanciones impuestas por la A.E.P.D.
Cada uno de estos seguros trata la cobertura de protección de datos desde una perspectiva distinta, por lo que es importante diferenciar su aplicación en cada ramo. Aunque las compañías aseguradoras pueden estructurar esta cobertura de diferentes maneras, existen ciertos elementos comunes sobre los que se basa este análisis.
Hemos de recordar que, para que la cobertura de Responsabilidad Civil por protección de datos y sanciones se active, el asegurado debe haber implementado sistemas y recursos internos que garanticen el cumplimiento de la normativa en esta materia. Sin embargo, el riesgo de cometer errores siempre está presente, ya sea por factores internos o externos, lo que puede derivar en responsabilidades legales y/o sanciones administrativas.
Con frecuencia, los profesionales, las sociedades mercantiles y los administradores societarios perciben que la mayor probabilidad de que se produzca una reclamación relativa a protección de datos o sanciones proviene de la actividad profesional o de explotación habitual y, es cierto, que pueden ser los casos más habituales, sin embargo, las reclamaciones por incidente cibernético están subiendo exponencialmente y, respecto a los Administradores y Directivos, no están libres de una posible sanción administrativa por esta cuestión.
En este sentido, resumimos brevemente las características, respecto a la protección de datos y sanciones, de cada uno de los productos mencionados:
Cobertura en RC General o Profesional
En las pólizas de Responsabilidad Civil General o Profesional, la cobertura se activa cuando los errores cometidos en la actividad de explotación o en el ejercicio profesional afectan a la protección de datos. No obstante, se excluyen expresamente aquellos daños ocasionados por una gestión incorrecta (que correspondería a la póliza de D&O) o por incidentes cibernéticos (cubiertos por la póliza de Ciber Riesgos).
En términos generales, estas pólizas suelen cubrir:
- Daños morales causados a terceros.
- Perjuicios económicos demostrables ocasionados a terceros.
- Sanciones asegurables impuestas por la A.E.P.D.
- Gastos derivados de la restitución de la imagen del tercero perjudicado.
Cobertura en Seguros D&O
Las pólizas de D&O, en el ámbito de la protección de datos, se centran en la cobertura de multas administrativas impuestas a administradores y directivos debido a actos de gestión incorrectos. Sin embargo, excluyen expresamente reclamaciones relacionadas con el ejercicio profesional, la actividad de explotación y los incidentes cibernéticos.
Es importante recalcar que estas pólizas no cubren reclamaciones por daños a terceros, ya sean morales o patrimoniales, por cuestión de la actividad de explotación o profesional que puedan afectar a la sociedad. En la práctica, su alcance se limita, principalmente, a la defensa en el procedimiento administrativo y posible sanción que pueda recaer sobre el administrador o directivo por errores en su gestión, desde el punto de vista puramente mercantil.
Cobertura en Pólizas de Ciber Riesgos
Las pólizas de Ciber Riesgos incluyen lo que algunas aseguradoras denominan “Responsabilidad Tecnológica”. En este caso, se cubren las responsabilidades derivadas de daños a terceros en materia de protección de datos, así como las sanciones administrativas que puedan surgir como consecuencia de un incidente cibernético, pues esta póliza excluye todas aquellas reclamaciones que provengan de la actividad profesional o de explotación y de cualquier acto de gestión incorrecto.
Estas coberturas amparan tanto a la empresa como a sus administradores y directivos, siempre que, insistimos, la reclamación provenga de un incidente cibernético.
Conclusión
Como podemos ver, las coberturas ofrecidas por estas tres pólizas en el ámbito de la protección de datos son complementarias y no se solapan entre sí, de hecho, los tres productos recogen exclusiones que afectan a los otros dos.
Por tanto, para una gestión adecuada de los riesgos relacionados con la protección de datos y sanciones, resulta fundamental considerar la contratación de los tres productos, garantizando así una cobertura integral y efectiva en este ámbito.
Artículo publicado el 08/05/2025