Protección de datos Bancarios: entidades financieras y de crédito

Guía 2021

Los bancos y entidades financieras manejan habitualmente datos de carácter personal, razón por la cual son organizaciones que también deben cumplir con la LOPDGDD y el RGPD para asegurarse de que los datos de sus clientes no sean objeto de cesiones sin consentimiento y para garantizar su integridad. En esta guía explicamos los aspectos más importantes de la adaptación a la normativa de protección de datos de entidades financieras y de crédito.

¿Qué se entiende por datos bancarios?

Los datos bancarios de una persona son considerados datos de carácter personal, en tanto en cuanto pueden permitir identificar a esta a través de ellos.

En concreto, dentro de los tipos de datos personales, los datos bancarios pertenecen a los datos económicos, financieros y de seguros. Por lo tanto, están dentro de la categoría de datos generales, es decir, los datos bancarios no se consideran datos sensibles, por lo que su tratamiento está permitido, dentro de las limitaciones que se establecen en él, por el RGPD (Reglamento General de Protección de Datos).

Son datos económicos, financieros y de seguros los datos de:

  • Ingresos
  • Rentas
  • Inversiones
  • Bienes patrimoniales
  • Créditos
  • Préstamos
  • Avales
  • Datos bancarios
  • Planes de pensiones
  • Jubilación
  • Datos económicos de nómina
  • Datos deducciones impositivas o impuestos
  • Seguros
  • Hipotecas
  • Subsidios
  • Beneficios
  • Historial crediticio
  • Tarjetas de crédito

¿Qué es la protección de datos financieros?

La protección de datos financieros es la aplicación de la normativa de protección de datos en las organizaciones económicas y financieras, es decir, cómo los bancos y cualquier entidad financiera y/o de crédito, adapta y cumple con los requisitos del RGPD y la LOPDGDD en materia de protección de datos.

Se trata de la adopción de medidas técnicas y organizativas para garantizar la protección de los datos económicos, financieros y de seguros que hemos citado en el epígrafe anterior.

La confidencialidad de los datos bancarios

La confidencialidad de los datos bancarios se refiere al secreto bancario, mediante el cual, los bancos y otras organizaciones financieras protegen toda la información económica relativa a sus clientes. Es decir, es un tipo de secreto profesional mediante el cual se garantiza que este tipo de organizaciones no puedan compartir con terceros la información de sus clientes (número de cuenta, transferencias, saldo, depósitos, seguros, préstamos, etc.), siempre dentro de los límites y obligaciones que establece la ley y la colaboración con la justicia.

Hay que señalar que la confidencialidad de los datos bancarios abarca a todo tipo de clientes, tanto personas físicas como personas jurídicas, mientras que la ley de datos personales en bancos solo se aplica a personas físicas, en ese sentido, podemos decir que esta confidencialidad de los datos bancarios forma parte del derecho a la privacidad reconocido en nuestro ordenamiento jurídico.

Además, la violación de la confidencialidad de los datos bancarios, puede ser motivo de reclamaciones ante el Banco de España por parte de cualquier tipo de cliente.

¿Qué normativas regula la protección de datos bancarios?

Ya hemos establecido que los datos bancarios son datos personales y, por tanto, quedan protegidos por la normativa de protección de datos, en concreto por el RGPD y la LOPDGDD. Pero además de estas leyes, también son de aplicación:

  • LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
  • Ley 2/1962, de 14 de abril, sobre bases de ordenación del crédito y de la Banca
  • Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito

RGPD

El RGPD es el Reglamento de protección de datos europeo, de obligado cumplimiento en toda la UE, por lo que sus Estados miembros han tenido que adaptarlo e introducirlo en sus ordenamientos jurídicos.

Se trata de un marco general para regular el tratamiento de los datos personales en toda la Unión, incluido el Espacio Económico Europeo (EEE), de manera que todos los países sigan unas mismas directrices en protección de datos, que garanticen el respeto y la salvaguarda de los derechos y libertades de los ciudadanos.

El RGPD establece una serie de principios y obligaciones que toda organización (pública o privada) que opere en la UE debe contemplar y cumplir. Además, también establece un régimen sancionador para aquellas entidades que infrinjan el Reglamento.

LOPDGDD

La LOPDGDD o Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales es la ley que adapta el RGPD en España. Esta ley modificó en 2018 la antigua LOPD, introduciendo los nuevos elementos que aparecen el RGPD, como el consentimiento expreso, el registro de actividades de tratamiento, la evaluación de impacto o la figura del Delegado de Protección de Datos (que detallaremos más adelante).

La LOPDGDD, como el RGPD, es de obligado cumplimiento para cualquier entidad que trate con datos personales, lo que incluye a toda entidad financiera o de crédito. Al cumplir con una ley se cumple con la otra, puesto que la normativa española incluye las directrices del RGPD, remitiendo en muchos casos al Reglamento europeo, si bien es cierto que concreta aquellos puntos que este deja en manos de los legisladores de cada país.

Imagen conceptual para protección datos entidades financieras

¿Cómo deben cumplir las entidades financieras y de crédito con la Ley de protección de datos?

Para cumplir con la ley de protección de datos bancarios, las entidades financieras y de crédito deben realizar una serie de actuaciones de carácter obligatorio y que vamos a detallar en los siguientes puntos.

Aunque en general, bancos, entidades financieras y de crédito tienen las mismas obligaciones que recoge la Ley de Protección de Datos para empresas, hay algunas actuaciones que, por el volumen de datos que manejan, deben tener en cuenta.

pasos cumplir ley lopd rgpd datos bancarios

Elaborar el registro de actividades de tratamiento

Una de esas obligaciones que tienen las entidades financieras por el volumen de datos personales que manejan de manera sistemática, es la elaboración del registro de actividades de tratamiento.

Se trata de un documento que recoge información concisa, pero detallada sobre el tratamiento de datos personales que hace la entidad (de sus clientes y de sus empleados). Es necesario hacer un registro de actividad por cada tratamiento de datos personales que se lleve a cabo (por ejemplo, de las nóminas, de las cuentas corrientes de los clientes, de las cámaras de videovigilancia, etc.).

Cuando los bancos son los responsables del tratamiento (cuando son ellos quienes deciden los tratamientos y su finalidad), el registro debe contener la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento y, cuando proceda, del corresponsable, el encargado del tratamiento y el Delegado de Protección de Datos
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Descripción de las categorías de datos e interesados
  • Descripción de los destinatarios existentes o previstos (cesiones a terceros)
  • Toda la información relativa a transferencias internacionales de datos (si se producen o van a producir)
  • Descripción de las medidas de seguridad implantadas
  • Plazos de conservación de los datos

Cuando los bancos son los encargados del tratamiento (reciben el encargo de llevar a cabo un tratamiento de datos personales por parte de otro responsable del tratamiento, es decir, otra entidad), el registro de actividades de tratamiento deberá contener información relativa a:

  • Identificación y datos de contacto del encargado del tratamiento, del responsable por cuenta del cual actúe y del Delegado de Protección de Datos (si procede)
  • Descripción de las categorías de datos e interesados
  • Información relativa a las transferencias de datos internacionales (si procede)
  • Descripción de las medidas de seguridad implantadas

Análisis de riesgos

Antes de llevar a cabo ningún tratamiento de datos personales, es necesario que los bancos o entidades financieras lleven a cabo un análisis de riesgos, con el que se pueda determinar a qué amenazas están expuestos los datos personales por el hecho de llevar a cabo dicho tratamiento.

Cuando hablamos de amenazas, nos referimos a aquellas que pueden poner en riesgo los derechos y libertades de los interesados (los clientes de los bancos) si los datos llegan a quedar expuestos. Por ejemplo, si el banco almacena en una base de datos los datos financieros de sus clientes y estos están seudonimizados, en caso de un hackeo, es menos probable que a través de esos datos se pueda identificar a los clientes.

Por lo tanto, el análisis de riesgos debe servir para diseñar e implementar aquellas medidas de seguridad que garanticen la protección de los datos de los interesados, desde amenazas físicas hasta amenazas digitales.

Evaluación de impacto

De la misma forma que las entidades financieras tienen la obligación de llevar un registro de actividades de tratamiento de datos, también están obligadas a realizar una EIPD (evaluación de impacto de datos personales), puesto que no solo manejan grandes cantidades de datos personales de forma sistemática, algunas de estas entidades emplean tecnologías como el Big Data para mejorar la toma de decisiones y ofrecer productos más personalizados a sus clientes.

La evaluación de impacto se lleva a cabo cuando el nivel de riesgo para los derechos y libertades de los interesados es especialmente alto y, por tanto, es necesario determinar si con la aplicación de medidas de seguridad adecuada, ese nivel de riesgo se puede reducir a uno tolerable o, de no ser así, descartar el tratamiento de datos personales que se planea llevar a cabo o rediseñarlo completamente.

Firmando en protección datos entidades financieras

Contratos con terceros

Las entidades financieras y los bancos también ceden los datos personales de sus clientes y empleados a terceros, esto ocurre cuando se contrata con otra empresa un determinado servicio, que para su gestión necesita los datos personales de los interesados (por ejemplo, el servicio de prevención de riesgos laborales y vigilancia de la salud o la plataforma en la nube que tenga contratada el banco para almacenar sus bases de datos).

Cuando se producen estas cesiones de datos a terceros, la normativa de protección de datos para bancos (y resto de empresas) establece la obligación de firmar un contrato de encargo de tratamiento entre el responsable del tratamiento (el bando) y el encargado del tratamiento (el tercero contratado).

En este contrato, el responsable del tratamiento incluirá las obligaciones que debe cumplir el encargado del tratamiento respecto al tratamiento de datos personales que se le ha encargado. El encargado no podrá usar los datos personales cedidos con otro fin que no sea el estipulado en el contrato y deberá implementar las medidas de seguridad necesarias que garanticen la protección de los datos.

Bajo esta premisa, el banco puede dar datos personales de sus clientes a terceras entidades, eso sí, debe informar de ello a los interesados, información que normalmente se suministra en el documento de consentimiento o en el contrato de un producto financiero.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Las páginas web de las entidades financieras

Actualmente, todos los bancos y entidades financieras ofrecen servicios de banca online y por tanto, cuentan con páginas web, en las que, aparte de asegurarse de que cumplen con todos los requisitos de seguridad y cifrado para la protección de datos de cuentas bancarias, también deben incluir los textos exigidos por la normativa y la LSSI-CE:

  • Aviso legal: Es el documento en el que debe aparecer todo lo relativo a la identidad del propietario de la página, en este caso el banco:
    • Razón social
    • CIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil
  • Política de privacidad: Aquí se debe recoger toda la información respecto al tratamiento de datos personales que se hace a través de la página web. Debe incluir al menos:
    • Identidad del responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación del tratamiento
    • Cómo se gestionan los datos personales
    • El plazo de conservación de los datos personales
    • Cesiones de datos personales a terceros, identificando a estos
    • La vía para que los interesados ejerzan sus derechos
  • Términos y condiciones de contratación: Si en la página del banco o entidad financiera se puede llevar a cabo la contratación de un servicio (como ocurre en la banca online), deberá incluirse un apartado en el que se especifiquen los términos y condiciones de contratación, información que debe incluir:
    • Precios
    • Políticas del servicio
    • Métodos de pago
    • Condiciones particulares
    • Política de cancelación
    • Derecho de desistimiento
  • Política de cookies: Incluso si la web del banco o entidad financiera solo genera cookies propias o técnicas, debe informar de ello a los interesados que visiten la página, para que estos puedan aceptarlas o no, así como configurarlas. Se debe dar información relativa a la finalidad, el titular de las cookies, su duración, etc., de acuerdo a como exige la ley de cookies.

Todos estos textos legales deben ser accesibles desde cualquier punto de la página web y estar redactados de forma clara y comprensible para cualquier tipo de usuario.

Se debe contar con el consentimiento de los clientes (en la web y en la oficina bancaria)

Ya lo comentamos al principio de esta guía; el RGPD introdujo la obligación de recabar siempre el consentimiento expreso de los interesados para poder proceder al tratamiento de sus datos personales.

En el caso de bancos y entidades financieras, este consentimiento expreso, que siempre debe ser una acción afirmativa por parte del interesado, puede recogerse tanto en la web o aplicación del banco online, recurriendo para ello a la típica casilla desmarcada de «acepto política de privacidad», teniendo esta un enlace a dicha política. O recogerse en la oficina cuando se contrata un servicio o producto bancario.

En ese segundo caso, lo habitual es que se incluya como una cláusula más en el contrato, que el interesado/cliente debe aceptar, o mediante un documento de consentimiento aparte, que el interesado/cliente debe firmar. En cualquier caso, siempre debe figurar la siguiente información:

  • Identidad del responsable del tratamiento
  • Finalidad para la que se usarán los datos personales recogidos
  • Si habrá cesiones a terceros
  • Las vías que tienen los interesados para ejercer sus derechos

Tener en cuenta los derechos de los usuarios

Los derechos de los usuarios los hemos citado ya en varios puntos; estos derechos son los anteriormente conocidos como derechos ARCO, que tanto el RGPD como la LOPDGDD reconocen a los interesados, para que estos puedan tener un mayor control sobre los datos personales que ceden a las organizaciones.

Es obligación del banco, entidad financiera o de crédito proveer de los mecanismos necesarios para que los interesados puedan ejercer sus derechos sobre sus propios datos y, como hemos visto, esta información debe aparecer en el documento de consentimiento y en la política de privacidad de la web. Entorpecer o no responder a las solicitudes de estos derechos es motivo de sanción.

Estos derechos son:

  • Acceso
  • Rectificación
  • Supresión (o derecho al olvido)
  • Limitación del tratamiento
  • Portabilidad de los datos
  • Oposición
  • No ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles

Imagen de cajero protección datos entidades financieras

Notificar las brechas de seguridad

Otra de las obligaciones de protección de datos que bancos y entidades financieras no pueden descuidar, es la obligación de notificar aquellas brechas de seguridad que puedan poner en riesgo los datos personales de sus clientes, especialmente cuando supone un riesgo para sus derechos y libertades.

El RGPD establece que se debe informar a la autoridad de control competente; de acuerdo a la LOPDGDD, esa autoridad competente es la AEPD (Agencia Española de Protección de Datos). La notificación debe hacerse en un plazo máximo de 72 horas. Además, también se debe informar a los interesados cuyos datos personales hayan podido verse afectados.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Nombrar un DPO

Dado el volumen de datos personales que manejan, los bancos, entidades financieras y de crédito deben designar o contratar a un Delegado de Protección de Datos (DPO).

El DPO es un profesional que cuenta con los conocimientos necesarios en materia de protección de datos para supervisar los procesos y políticas internas del tratamiento de datos personales en la entidad financiera o banco.

Entre sus funciones está asesorar al responsable del tratamiento y ejercer como intermediario entre este y la AEPD.

El DPO puede ser designado dentro de la empresa, contratado como profesional externo o a través de una empresa que ofrezca este servicio.

Modelos de ayuda

A continuación podéis encontrar todos los documentos que un banco o una entidad financiera necesita para en materia de protección de datos.

modelos proteccion de datos

Sanciones al incumplir la normativa

Incumplir tanto el RGPD como la LOPDGDD es motivo de la imposición de sanciones administrativas. La AEPD es el organismo encargado de llevar a cabo las inspecciones e investigaciones ante posibles denuncias de incumplimiento y quien impone estas sanciones, en función de la gravedad, el número de personas afectadas, la existencia o no de medidas de seguridad o la intencionalidad, entre otros factores.

Si bien, el RGPD establece un régimen sancionador, este es poco concreto y tenemos que irnos a la LOPDGDD para ver un mayor detalle, si bien las infracciones son prácticamente las mismas en una y otra normativa.

Así tenemos que para:

  • Infracciones muy graves (artículo 72 de la LOPDGDD) las sanciones pueden ser de entre 300.000 y 20 millones de euros o el 4% de la facturación anual (la cuantía que sea más elevada)
  • Infracciones graves (artículo 73 de la LOPDGDD) las sanciones pueden ser de entre 40.000 y 300.000 euros
  • Infracciones leves (artículo 74 de la LOPDGDD) las sanciones pueden ser de hasta 40.000 euros

Ejemplo

Como ejemplo de sanción a un banco por incumplimiento de la normativa de protección de datos, tenemos esta resolución de la AEPD sobre una denuncia hecha a Novo Banco por no informar del tratamiento de datos a un cliente ni recabar el consentimiento para el mismo. Resolución AEPD R/01427/2018.

Usando tarjeta para compra online protección datos entidades financieras

Preguntas frecuentes

¿Quién puede ver tus movimientos bancarios?

Es una de las preguntas que quizás se haga bastante gente, «¿quién puede ver tus movimientos bancarios?».

En principio, solo tú puedes ver tus movimientos bancarios (solo tú como titular o autorizado en una cuenta), ya que es una información sobre la que el banco está obligado a mantener la confidencialidad. Sin embargo, y para evitar el fraude fiscal, en operaciones o movimientos que impliquen grandes cantidades dinero, el banco puede compartir esta información con Hacienda (hablamos de cantidades que superen los 100.000 euros dentro de España).

¿El banco puede dar información de mi cuenta?

No, el banco no puede dar información de mi cuenta a nadie que no esté autorizado en o sea cotitular de la cuenta. Como ya dijimos, esta información es confidencial.

Ahora, en procesos de investigaciones judiciales, es posible que en su colaboración con la justicia, el banco o la entidad financiera sí pueda revelar la información de la cuenta de un cliente. Y, como hemos visto en la respuesta anterior, Hacienda vigila los movimientos de grandes cantidades de dinero.

Pero en ningún caso, el banco puede dar información de mi cuenta a otra persona (por ejemplo, mi casero o un familiar).

¿Puedo incluir datos de clientes en una lista de morosos?

La inscripción en el fichero de impagados solo podrá efectuarse cuando concurran los siguientes requisitos:

  • Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
  • Requerimiento previo de pago.
  • No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
  • Se efectuará una notificación al interesado por cada deuda concreta.
  • No podrán incluirse datos con más de seis años de antigüedad.

El titular de los datos puede ejercer el derecho a cancelarlos o rectificarlos solicitándolo directamente a la entidad. Si en el plazo de 10 días no recibe contestación o esta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPDGDD y, en particular, cuando tales datos resulten inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

Es legal recibir publicidad telefónica, por correo electrónico o en el móvil, siempre que el interesado haya dado su consentimiento expreso para recibirla.

Cabe señalar que este consentimiento no es necesario en las llamadas de publicidad en las que interviene una persona, salvo que el abonado haya manifestado su deseo expreso de no recibirla.

¿Es legal que la empresa de crédito ceda datos personales de sus clientes a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?

Las empresas de gestión de recobros se consideran «encargadas del tratamiento», por lo que será necesario que entre la empresa titular del crédito (aquella con la que el particular contrató y a la que realmente le debe alguna cantidad) y la de recobro exista un contrato cuyo objeto esté constituido o comprenda la realización de un servicio de gestión de recuperaciones de deuda en los asuntos que le sean atribuidos.

La empresa de crédito para estar facultada para comunicar los datos a una empresa de recobro, primero debe asegurarse de que cuenta con el consentimiento del afectado para el tratamiento de sus datos personales.

¿Deben los empleados del banco cumplir con el RGPD/LOPDGDD?

Sí, los empleados de cualquier entidad financiera o de crédito tienen acceso a datos personales de los clientes, y eso implica que ellos también deben contemplar la normativa de protección de datos.

Así, aparte de asegurarnos de que cuentan con la formación necesaria sobre la materia y que conocen las medidas de seguridad que deben aplicar en todo momento, además de informarles sobre los métodos más habituales para intentar acceder a los sistemas del banco y robar datos, también deberán firmar un acuerdo de confidencialidad para que no revelen información a terceros no autorizados.

El acuerdo de confidencialidad puede sustituirse por cláusulas de confidencialidad en el propio contrato de trabajo. La cuestión es que los empleados no se conviertan en un punto vulnerable en cuanto a protección de datos.

Y tu entidad bancaria, ¿ya está adaptada al nuevo RGPD? ¿Cumples todos los requisitos?

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.