Entidades financieras y de crédito
Los bancos y entidades financieras manejan habitualmente datos de carácter personal, razón por la cual son organizaciones que también deben cumplir con la LOPDGDD y el RGPD para asegurarse de que los datos de sus clientes no sean objeto de cesiones sin consentimiento y para garantizar su integridad. En esta guía explicamos los aspectos más importantes de la adaptación a esta normativa.
¿Qué normativas regulan estas entidades?
Principalmente, por la normativa de protección de datos, en concreto por el RGPD y la LOPDGDD. Pero además de estas leyes, también son de aplicación:
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
- Ley 2/1962, de 14 de abril, sobre bases de ordenación del crédito y de la Banca
- Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito
¿Cómo deben cumplir estas entidades con la normativa actual?
La protección de datos bancarios se rige por una serie de actuaciones de carácter obligatorio y que vamos a detallar en los siguientes puntos.
Elaborar el registro de actividades de tratamiento
Una de esas obligaciones que tienen las entidades financieras por el volumen de datos personales que manejan de manera sistemática, es la elaboración del registro de actividades de tratamiento.
Se trata de un documento que recoge información concisa, pero detallada sobre el tratamiento de datos personales que hace la entidad (de sus clientes y de sus empleados). Es necesario hacer un registro de actividad por cada tratamiento de datos personales que se lleve a cabo (por ejemplo, de las nóminas, de las cuentas corrientes de los clientes, de las cámaras de videovigilancia, etc.).
El registro debe contener la siguiente información:
- Identificación y datos de contacto del responsable del tratamiento y, cuando proceda, del corresponsable, el encargado del tratamiento y el Delegado de Protección de Datos
- Legitimación del tratamiento
- Finalidad del tratamiento
- Descripción de las categorías de datos e interesados
- Descripción de los destinatarios existentes o previstos (cesiones a terceros)
- Toda la información relativa a transferencias internacionales de datos (si se producen o van a producir)
- Descripción de las medidas de seguridad implantadas
- Plazos de conservación de los datos
En casi de que las entidades actúen como encargados del tratamiento (reciben el encargo de llevar a cabo un tratamiento de datos personales por parte de otro responsable del tratamiento, es decir, otra entidad), el registro de actividades de tratamiento deberá contener información relativa a:
- Identificación y datos de contacto del encargado del tratamiento, del responsable por cuenta del cual actúe y del Delegado de Protección de Datos (si procede)
- Descripción de las categorías de datos e interesados
- Información relativa a las transferencias de datos internacionales (si procede)
- Descripción de las medidas de seguridad implantadas
Análisis de riesgos
Antes de llevar a cabo ningún tratamiento de datos personales, es necesario llevar a cabo un análisis de riesgos, con el que se pueda determinar a qué amenazas están expuestos los datos personales por el hecho de llevar a cabo dicho tratamiento.
Cuando hablamos de amenazas, nos referimos a aquellas que pueden poner en riesgo los derechos y libertades de los interesados si los datos llegan a quedar expuestos.
Por lo tanto, el análisis de riesgos debe servir para diseñar e implementar aquellas medidas de seguridad que garanticen la protección de los datos de los interesados, desde amenazas físicas hasta amenazas digitales.
Evaluación de impacto
También se ha de elaborar una EIPD (evaluación de impacto), puesto que no solo manejan grandes cantidades de datos personales de forma sistemática, algunas de estas entidades emplean tecnologías como el Big Data para mejorar la toma de decisiones y ofrecer productos más personalizados a sus clientes.
La evaluación de impacto se lleva a cabo cuando el nivel de riesgo para los derechos y libertades de los interesados es especialmente alto y, por tanto, es necesario determinar si con la aplicación de medidas de seguridad adecuada, ese nivel de riesgo se puede reducir a uno tolerable o, de no ser así, descartar el tratamiento de datos personales que se planea llevar a cabo o rediseñarlo completamente.
Contratos con terceros
Estas entidades ceden los datos personales de sus clientes y empleados a terceros, por ejemplo, cuando se contrata con otra empresa un determinado servicio, que para su gestión necesita los datos personales de los interesados (por ejemplo, el servicio de prevención de riesgos laborales y vigilancia de la salud o la plataforma en la nube que tenga contratada el banco para almacenar sus bases de datos).
Cuando se producen estas cesiones de datos a terceros, la normativa establece la obligación de firmar un contrato de encargo de tratamiento entre el responsable del tratamiento (el bando) y el encargado del tratamiento (el tercero contratado).
En este contrato, el responsable del tratamiento incluirá las obligaciones que debe cumplir el encargado del tratamiento respecto al tratamiento de datos personales que se le ha encargado. El encargado no podrá usar los datos personales cedidos con otro fin que no sea el estipulado en el contrato y deberá implementar las medidas de seguridad necesarias que garanticen la protección de los datos.
¿Necesitas cumplir el RGPD?
Solicita varios presupuestos
Las páginas web
Actualmente, todas las entidades bancarias ofrecen servicios de banca online y por tanto, cuentan con páginas web, en las que, aparte de asegurarse de que cumplen con todos los requisitos de seguridad y cifrado. También deben incluir los textos exigidos por la normativa y la LSSI-CE:
- Aviso legal: Es el documento en el que debe aparecer todo lo relativo a la identidad del propietario de la página, en este caso el banco:
- Razón social
- CIF
- Dirección
- Nº de inscripción en el Registro Mercantil
- Política de privacidad: Aquí se debe recoger toda la información respecto al tratamiento de datos personales que se hace a través de la página web. Debe incluir al menos:
- Identidad del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación del tratamiento
- Cómo se gestionan los datos personales
- El plazo de conservación de los datos personales
- Cesiones de datos personales a terceros, identificando a estos
- La vía para que los interesados ejerzan sus derechos
- Términos y condiciones de contratación: Si en la página web se puede llevar a cabo la contratación de un servicio, deberá incluirse un apartado en el que se especifiquen los términos y condiciones de contratación, información que debe incluir:
- Precios
- Políticas del servicio
- Métodos de pago
- Condiciones particulares
- Política de cancelación
- Derecho de desistimiento
- Política de cookies: Incluso si la web solo genera cookies propias o técnicas, debe informar de ello a los interesados que visiten la página, para que estos puedan aceptarlas o no, así como configurarlas. Se debe dar información relativa a la finalidad, el titular de las cookies, su duración, etc., de acuerdo a como exige la ley de cookies.
Todos estos textos legales deben ser accesibles desde cualquier punto de la página web y estar redactados de forma clara y comprensible para cualquier tipo de usuario.
Se debe contar con el consentimiento de los clientes
Ya lo comentamos al principio de esta guía; el RGPD introdujo la obligación de recabar siempre el consentimiento expreso de los interesados para poder proceder al tratamiento de sus datos personales.
Este consentimiento expreso, que siempre debe ser una acción afirmativa por parte del interesado, puede recogerse en la web, recurriendo para ello a la típica casilla desmarcada de «acepto política de privacidad», teniendo esta un enlace a dicha política. O recogerse en la oficina cuando se contrata un producto o servicio.
En ese segundo caso, lo habitual es que se incluya como una cláusula más en el contrato, que el interesado/cliente debe aceptar, o mediante un documento de consentimiento aparte, que el interesado/cliente debe firmar. En cualquier caso, siempre debe figurar la siguiente información:
- Identidad del responsable del tratamiento
- Finalidad para la que se usarán los datos personales recogidos
- Si habrá cesiones a terceros
- Las vías que tienen los interesados para ejercer sus derechos
Tener en cuenta los derechos de los usuarios
Los derechos de los usuarios los hemos citado ya en varios puntos; estos derechos son los anteriormente conocidos como derechos ARCO, que tanto el RGPD como la LOPDGDD reconocen a los interesados, para que estos puedan tener un mayor control sobre los datos personales que ceden a las organizaciones.
Estos derechos son:
- Acceso
- Rectificación
- Supresión (o derecho al olvido)
- Limitación del tratamiento
- Portabilidad de los datos
- Oposición
- No ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles
Notificar las brechas de seguridad
Otra de las obligaciones es la de notificar aquellas brechas de seguridad que puedan poner en riesgo los datos personales de sus clientes, especialmente cuando supone un riesgo para sus derechos y libertades.
El RGPD establece que se debe informar a la autoridad de control competente; de acuerdo a la LOPDGDD, esa autoridad competente es la AEPD (Agencia Española de Protección de Datos). La notificación debe hacerse en un plazo máximo de 72 horas. Además, también se debe informar a los interesados cuyos datos personales hayan podido verse afectados.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Nombrar un DPO
Dado el volumen de datos personales que manejan, deben designar o contratar a un Delegado de Protección de Datos (DPO).
El DPO es un profesional que cuenta con los conocimientos necesarios en materia de protección de datos para supervisar los procesos y políticas internas del tratamiento de datos personales en la entidad financiera o banco.
El DPO puede ser designado dentro de la empresa, contratado como profesional externo o a través de una empresa que ofrezca este servicio.
Modelos de ayuda
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones al incumplir la normativa
Incumplir tanto el RGPD como la LOPDGDD es motivo de la imposición de sanciones administrativas. La AEPD es el organismo encargado de llevar a cabo las inspecciones e investigaciones ante posibles denuncias de incumplimiento y quien impone estas sanciones, en función de la gravedad, el número de personas afectadas, la existencia o no de medidas de seguridad o la intencionalidad, entre otros factores.
Si bien, el RGPD establece un régimen sancionador, este es poco concreto y tenemos que irnos a la LOPDGDD para ver un mayor detalle, si bien las infracciones son prácticamente las mismas en una y otra normativa.
Así tenemos que para:
- Infracciones muy graves (artículo 72 de la LOPDGDD) las sanciones pueden ser de entre 300.000 y 20 millones de euros o el 4% de la facturación anual (la cuantía que sea más elevada)
- Infracciones graves (artículo 73 de la LOPDGDD) las sanciones pueden ser de entre 40.000 y 300.000 euros
- Infracciones leves (artículo 74 de la LOPDGDD) las sanciones pueden ser de hasta 40.000 euros
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.