La banca es uno de los sectores más relevantes de cualquier país. España, lógicamente, no es una excepción. Sus entidades no solo manejan el dinero de millones de españoles, sino también sus datos personales.
Ambos recursos merecen la máxima protección, así que vale la pena que conozcas cómo se articula esta. Este texto se centrará en la protección de datos y en cómo le han afectado las nuevas normativas relevantes que han entrado en vigor recientemente.
¿Por qué es tan importante que, precisamente, estas entidades pongan el máximo celo en estas protecciones? A continuación podrás saber la respuesta. Sigue leyendo.
Los bancos también se adaptan a la nueva LOPD
Efectivamente, ya que, además, se trata de organizaciones que manejan datos con un nivel de riesgo medio o alto. Realizan tratamientos masivos y sistemáticos, lo que exige que tengan que adoptar unas medidas de seguridad especiales. Estas, aparte, serán especialmente controladas por autoridades como la Agencia Española de Protección de Datos (AEPD) y, de forma interna, por el departamento de cumplimiento o la ClickDatos a cargo.
Aunque en los últimos años ya se habían aplicado las primeras leyes de protección de datos personales en España, ha sido el Reglamento Europeo de Protección de Datos (RGPD) el que va a servir para incrementar sus garantías. Al ser de aplicación directa, no requiere transposición, pero sí resulta interesante que las normativas nacionales se adapten a la armonización inspirada desde el ámbito comunitario.
La nueva LOPD, también conocida como Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) representa este esfuerzo de adaptación. Está en vigor desde diciembre de 2018 y, lógicamente, ha tenido consecuencias en el sector bancario enfocadas a mejorar los sistemas de protección de datos personales.
Las claves de la protección de datos en los bancos españoles
Respecto a estas entidades, has de saber que, por la especial sensibilidad de los datos que tratan, siempre se han caracterizado por establecer protocolos de seguridad estrictos acerca de ellos.
De hecho, la inmensa mayoría contaba, ya antes de la vigencia de determinadas normativas de protección de datos, con certificados expedidos por autoridades competentes que homologaban la fiabilidad de sus sistemas de seguridad.
En las siguientes líneas podrás comprobar cómo la promulgación de las nuevas leyes de protección de datos ha ampliado estas coberturas. Presta atención a las obligaciones que han de cumplir los bancos.
Registro de las actividades de tratamiento
Habrá de estar convenientemente actualizados, puesto que lo puede revisar la AEPD. Contendrá información acerca de la clase y cantidad de datos que se manejan y cómo se almacenan; la finalidad y los medios del tratamiento; y su cesión y transferencia al extranjero.
Análisis de los riesgos
Este análisis evaluará cómo se realiza el tratamiento, es decir, su almacenamiento, duración y equipo. Asimismo, si se lleva a cabo en una base de datos o un fichero, también se constatarán el tipo de datos (bancarios, identificativos, financieros, etc.) y a cuántos interesados afectan. Finalmente, se tomarán medidas que impidan ataques al sistema, supervisando que estas no se hayan quedado obsoletas.
Evaluación de impacto
Se trata de revisar las medidas de seguridad que se van a implantar en relación con las libertades de los afectados. Ten en cuenta que, por ejemplo, que las prospecciones propias del Big Data inciden en el manejo masivo de datos y pueden conllevar diversos riesgos.
Contratos con terceros
Cuando una organización encarga trabajos a empresas, acaba cediendo, de una u otra manera, a datos personales. Por consiguiente, supone una obligación de esta organización asegurarse de que estas empresas con las que ha contactado van a cumplir con los requisitos exigidos por la ley respecto a la protección de datos personales. Así que las entidades financieras repasarán la lista de empresas externas colaboradoras (marketing, informática, etc.) e, incluso, deberán garantizar que los softwares que utilizan, algunos de ellos en la nube, tampoco suponen riesgos para la privacidad.
Página web
Es fundamental asegurar la privacidad de los datos en este espacio y, además, demostrarlo, lo que proporcionará seguridad a sus visitantes. Serán tenidas en cuenta tanto la nueva LOPD como la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE). Existirá, por tanto, un aviso legal visible mediante un enlace, en el que aparecerán los datos identificativos del propietario. Cuando se pidan los datos de un visitante, se le informará pormenorizadamente de todos los fines y condiciones de su tratamiento. En cuanto a las cookies, esos pequeños archivos que se almacenan en el navegador del visitante por motivos publicitarios o analíticos, las claves de su uso le serán notificadas.
Consentimiento
Es uno de los cambios más relevantes que introduce el RGPD. Para utilizar los datos del usuario ya no va a bastar un consentimiento tácito: ahora se va a exigir uno suficientemente explícito. Por ejemplo, señalar una casilla desmarcada en una página web. Asimismo, en formato papel se pueden firmar contratos que constaten este consentimiento explícito, además de otorgar la posibilidad de ejercer los derechos ARCO.
Derechos de los usuarios
Cuenta con una ampliación de los ya citados derechos ARCO. Entre los que podrán defender los interesados, destacan los de acceso, supresión, limitación, rectificación, oposición y portabilidad.
Contratos de los empleados
Además de que firmarán uno de confidencialidad, habrán de recibir formación regularmente sobre protección de datos. De esta manera, entre otras ventajas, aprenderán a neutralizar las técnicas de ingeniería social, como el phishing, mediante las que pretenden robarles información (por ejemplo, en los correos electrónicos).
Notificación de las brechas de seguridad
Cuando se haya producido una incidencia, como un ciberataque, ha de ser notificada a los interesados y a la AEPD en menos de 72 horas. Resulta fundamental contar con un plan de respuesta ante estos incidentes.
Designar un DPD
Finalmente, es obligatorio, por la cantidad y el tipo de datos que se tratan, que los bancos recurran a un Delegado de Protección de Datos que cuente con la cualificación oportuna para supervisar y corregir los tratamientos de datos. Este actuará como interlocutor ante la AEPD.
En definitiva, la banca, por la relevancia de sus datos y operaciones, es un sector que requiere de una adaptación estricta a la nueva LOPD.