Tras la entrada en vigor del Reglamento General de Protección de Datos, las entidades financieras y de crédito tuvieron que adaptarse a la nueva normativa para asegurarse de que los datos de sus clientes no fueran objeto de cesiones sin consentimiento y para garantizar su integridad. En esta entrada explicamos los aspectos más importantes de la adaptación a la normativa de protección de datos de entidades financiera y de crédito.

¿Qué normativas regulas la Protección de Datos para entidades financieras y de crédito?

Bancos y otras entidades de crédito pueden encontrar las distintas normas que regulan la protección de datos en España y Europa en los siguientes reglamentos y leyes:

  • RGPD
  • LOPD
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
  • Ley 2/1962, de 14 de abril, sobre bases de ordenación del crédito y de la Banca.
  • Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

Imagen conceptual para protección datos entidades financieras

¿Cómo debe cumplir la banca el RGPD?

Tanto los bancos como otras entidades financieras y de crédito tienen la misma obligación de cumplir con la Ley de Protección de Datos para empresas, especialmente porque manejan una gran cantidad de datos personales de sus clientes; cada vez que una persona contrata un servicio financiero, abre una cuenta o pide un préstamos, está cediendo datos de carácter personal, que estas empresas tienen el deber de proteger.

Para cumplir con el RGPD y la LOPD (Ley Orgánica de Protección de Datos), bancos y entidades de crédito deben realizar estas actuaciones:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

A continuación detallaremos cada una de estas actuaciones, para que no te quede ninguna duda al respecto de su contenido.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las entidades financieras y de credito

1.Elaborar el registro de actividades de tratamiento

Como encargados del tratamiento los bancos deben confeccionar un documento denominado registro de actividades de tratamiento, con el que se podrá determinar tanto el tipo y cantidad de datos que se manejan, como el tipo de tratamiento que efectuará. Por lo tanto, este registro deberá incluir estos conceptos:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Es importante mantener actualizado el registro de actividades de tratamiento, porque será el documento que la Agencia Española de Protección de Datos (AEPD) nos pedirá en caso de inspección. Puede recogerse tanto en formato físico por escrito como en formato electrónico.

2. Análisis de riesgos

Para adelantarse a una posible vulneración de la protección de datos, la normativa exige llevar a cabo un análisis de riesgos por parte de las entidades financieras y de crédito, con el que se pueda valorar las posibles contingencias que se deriven de los tratamientos de datos personales.

Para realizar este análisis, de deben evaluar, entre otras, cuestiones como:

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado el análisis de riesgos se deben implementar las medidas de seguridad necesarias para prevenir posibles ataques en busca de robar datos personales de los clientes, explotando esas posibles vulnerabilidades que hayamos detectado.

3. Evaluación de impacto

De acuerdo con normativa de protección de datos, cuando existe un riesgo especialmente alto vinculado al tratamiento de datos personales, es necesario realizar una evaluación de impacto para evitar causar perjuicios respecto a las libertas o derechos de los interesados (los dueños de los datos personales, los clientes). Y al igual que en el punto anterior, en base a esa evaluación deben aplicar las medidas de seguridad adecuadas para prevenir problemas futuros.

Dado que las entidades financieras y de crédito son unas de las empresas que más han invertido en el análisis de grandes volúmenes de datos (Big Data) con la finalidad de tomar decisiones diseñar nuevos y mejores productos y servicios para los clientes. La tecnología hace que estas entidades puedan analizar información interna y externa para lograr predicciones estadísticas sobre el comportamiento de los asegurados, mejorando y personalizando las ofertas de las aseguradoras.

Por tanto, según la Ley de Protección de Datos personales en bancos y otras entidades financieras y de crédito, estas deben realizar una evaluación de impacto.

Firmando en protección datos entidades financieras

4. Contratos con terceros

Todas las empresas ceden en algún momento datos personales a otras empresas o profesionales, siempre que contratan un servicio con una entidad externa, existe la posibilidad de que esta tenga acceso a datos de clientes o empleados, por ejemplo, si el banco tiene contrata una empresa de prevención y vigilancia de la salud, una consultora informática o alguno de los servicios que comercializa son de una tercera empresa.

Para asegurarse de que esas empresas o profesionales externos que van a tener acceso a los datos personales de sus clientes cumplen con la Ley de Protección de Datos, es necesario firmar con ellos un contrato de encargo de tratamiento. En este contrato se establecerán las obligaciones de las partes respecto a la protección de datos.

También es obligación del banco o la entidad financiera o de crédito de informar a sus clientes de que sus datos pueden ser tratados por terceros.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

5. Las páginas web de las entidades financieras

Actualmente, todos los bancos ofrecen servicios de banca online y por tanto, cuentan con páginas web, en las que, aparte de asegurarse de que cumplen con todos los requisitos de seguridad y cifrado para la protección de datos de cuentas bancarias, también deben incluir los textos exigidos por la normativa y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la entidad bancaria y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario habrá que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Se debe contar con el consentimiento de los clientes

Desde la entrada en vigor del RGPD en 2018, es obligatorio, para poder tratar los datos de los clientes, contar con su consentimiento expreso, de manera que estén completamente informados no solo de los datos que están cediendo, sino también del uso que se hará de ellos y quienes tendrán acceso a los mismos.

El consentimiento expreso puede obtenerse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la oficina

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

7. Derechos de los usuarios

De acuerdo al RGPD, los usuarios cuentan con una serie de derechos que pueden ejercer respecto a sus datos y el tratamiento de los mismos, y es obligación del banco, entidad financiera o de crédito proveer de los mecanismos necesarios para que puedan hacerlo. Además, estos mecanismos deben aparecer en el documento de consentimiento que firmen los clientes, así como en la política de privacidad de la web.

Estos son los derechos de los usuarios:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Imagen de cajero protección datos entidades financieras

8. ¿Deben los empleados cumplir con el RGPD?

Sí, los empleados de cualquier entidad financiera o de crédito tienen acceso a datos personales de los clientes, y eso implica que ellos también deben contemplar la normativa de protección de datos.

Así, aparte de asegurarnos de que cuentan con la formación necesaria sobre la materia y que conocen las medidas de seguridad que deben aplicar en todo momento, además de informarles sobre los métodos más habituales para intentar acceder a los sistemas del banco y robar datos, también deberán firmar un acuerdo de confidencialidad para que no revelen información a terceros no autorizados.

El acuerdo de confidencialidad puede sustituirse por cláusulas de confidencialidad en el propio contrato de trabajo. La cuestión es que los empleados no se conviertan en un punto vulnerable en cuanto a protección de datos.

Seguro que también tienes empleados en tu banco.

Pues esto te interesa.

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un banco, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Se deben notificar las brechas de seguridad

Si es necesario hacer una análisis de riesgo e implementar medidas de seguridad, es porque nunca se está cien por cien a salvo de ciberataques que puedan poner al descubierto o sustraer datos personales de los clientes, y en el caso de las entidades financieras o de crédito, los perjuicios que esto puede causar son importantes.

Por ello, si se produce una brecha de seguridad, el RGPD obliga a informar en un plazo no superior a 72 horas de la misma, tanto a los propios afectados como a la AEPD. Así que es recomendable contar con protocolos de actuación que acorten los tiempos de respuesta, tanto para enviar las notificaciones correspondientes, como para buscar la solución al problema o poner fin al ataque.

En cualquier caso, se pueden enfrentar sanciones, que se verán atenuadas si se demuestra que existían las medidas de seguridad necesarias para prevenir este tipo de ataques.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

10. Las entidades financieras deben nombrar un DPO

Es necesario que en la empresa financiera y de crédito, por el volumen de datos que tratas, designes a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPO).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPO y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Usando tarjeta para compra online protección datos entidades financieras

Preguntas frecuentes

¿Cómo puedo demostrar que mi entidad cumple el RGPD?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Estableciendo políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
  • Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Puedo incluir datos de clientes en una lista de morosos?

La inscripción en el fichero de impagados sólo podrá efectuarse cuando concurran los siguientes requisitos:

  • Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
  • Requerimiento previo de pago.
  • No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
  • Se efectuará una notificación al interesado por cada deuda concreta.
  • No podrán incluirse datos con más de seis años de antigüedad.

El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente a la entidad. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

En este caso, debemos distinguir dos supuestos:

  • Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
  • Las llamadas en las que interviene una persona son legales a menos que el abonado haya manifestado su deseo expreso de no recibirlas.

El titular de los datos puede ejercitar su derecho a cancelarlos o rectificarlos solicitándolo directamente a la entidad financiera o de crédito. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.

En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el cliente.

¿Es legal que la empresa de crédito ceda datos personales de sus clientes a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?

Las empresas de gestión de recobros se consideran “encargadas del tratamiento” por lo que será necesario que entre la empresa titular del crédito (aquella con la que el particular contrató y a la que realmente le debe alguna cantidad) y la de recobro exista un contrato cuyo objeto esté constituido o comprenda la realización de un servicio de gestión de recuperaciones de deuda en los asuntos que le sean atribuidos.

La empresa de crédito para estar facultada para comunicar los datos a una empresa de recobro, primero debe asegurarse de que cuenta con el consentimiento del afectado para el tratamiento de sus datos personales.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu entidad financiera a la normativa de Protección de Datos.

Sanciones

El incumplimiento del RGPD, bien porque se haya producido un incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria, lo que supone para las empresas una importante inversión de tiempo y recursos.

Las compañías se exponen, además, a una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.

A continuación puedes ver algunas de las sanciones impuestas por la AEPD a entidades bancarias.

No facilitar la información necesaria a los clientes

La obligación que impone la normativa de protección de datos es la de informar al afectado en el momento de la recogida de datos, pues solo así queda garantizado el derecho del mismo a tener una apropiada información y a consentir o no el tratamiento, en función de aquella. Resolución AEPD R/01427/2018

Inclusión indebida en fichero de morosos

Los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas la medidas necesarias para que se supriman o rectifiquen sin dilación los datos que sean inexactos con respecto a los fines para los se tratan. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos. Resolución AEPD R/01222/2018

Y tu entidad bancaria, ¿ya está adaptada al nuevo RGPD? ¿Cumples todos los requisitos?

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. hola queria saber , los bancos con los que he hecho alguna deuda con antiguedad de mas de 7 años ahora an resurgidos ,, en empresas de recobros , estando metida en los ficheros,, por dichas deudas ,sin tener mi consentimiento para hacer uso de mis datos .. es legal de parte del banco o finacieras pasar mis datos sin mi consentimiento ….donde puedo dirigirme para recibir mas informacion … un saludo

    1. Buenos días Iris Yovanny, los bancos sí pueden transferir deudas a empresas de cobros con las que trabajen. Esto es legal siempre que cumplan la normativa de Protección de datos

    1. Buenas tardes Fausto, las empresas no están sometidas a la ley de Protección de datos, solamente las personas físicas.

  2. hola,tengo la sospecha que un empleado de Caixabank, entidad en la que tengo mi cuenta corriente, ha accedido sin mi autorización a mi perfil y ha revelado información confidencial mía a terceros. ya he escrito a Caixabank solicitando un listado de los empleados de Caixabank que en 2019 y 2020 hayan accedido a mi perfil, pero no me lo dan. podrías ayudarme e indicarme cómo puedo acceder a esta información y si realmente tengo derecho a disponer de la misma? muchas gracias

    1. Buenos días Julia, el banco no está obligado a facilitarte los datos de acceso de sus empleados. En todo caso deberías denunciar a la entidad bancaria por tratamiento indebido de tus datos.

  3. Estoy empezando con un servicio de procesamiento de pagos y me gustaría saber, que debo tener en cuenta al almacenar cuentas bancarias.

    Obviamente irá todo cifrado, pero me gustaría saber que leyes debo tener en cuenta.

    Muchas gracias,
    Un saludo,

    1. Buenos días Albert, tendrías que cumplir la ley de Protección de datos. Para adaptarte a esta normativa tienes una herramienta gratuita de la AEPD, te dejo el enlace: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDI0MzkxMjExNTczMTI1MTA4OTMx?updated=true
      También, si lo deseas, puedes solicitar hasta cuatro presupuestos de empresas especializadas que te ayuden con esa adaptación a través del siguiente enlace: https://ayudaleyprotecciondatos.es/empresas