Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Banca Act. 27 oct 2016

La protección de datos

candado recurso bbva

En este post vamos a desarrollar el tema de los niveles de seguridad que marca la LOPD según el nivel de riesgo que considera que tiene el tratamiento de los datos. En él, haremos especial mención a los datos de nivel medio y concretamente a los de los clientes tratados por las entidades financieras.

El derecho de protección de datos se configura como un derecho fundamental de las personas, y los datos, pertenecen a su titular. Hay que tener muy en cuenta que los datos de carácter personal sólo se podrán captar para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explicitas y legítimas para las que se hayan obtenido.

Básicamente se busca limitar al máximo la información personal que tratan las empresas y condicionar este tratamiento a una finalidad adecuada y explícita. Para ello, debemos saber en todo momento qué datos poseen de nosotros las empresas y para qué finalidad.

Niveles de seguridad

La regulación en materia de protección de datos establece tres niveles distintos de seguridad, recogido en el artículo 80 y siguientes del Real Decreto 1720/2007 de 31 de diciembre, y unas medidas de seguridad de los datos automatizados según el nivel, plasmados en el Real Decreto 994/1999 de 11 de junio:

  • Nivel básico
    • Para los ficheros y tratamientos que no se consideren de un nivel superior.
  • Nivel medio
    • Infracciones administrativas o penales.
    • Prestación de servicios de información sobre solvencia patrimonial y crédito.
    • Los datos relacionados con las potestades tributarias en manos de la Administración.
    • Los datos relacionados con los servicios financieros de las entidades financieras.
    • Aquellos datos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social, así como las mutuas de accidentes de trabajo y enfermedades profesionales, y se relacionen con el ejercicio de sus competencias.
    • Conjunto de información personal que permita obtener un perfil profesional, educativo y personal.
  • Nivel alto:
    • Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
    • Datos recabados para fines policiales sin consentimiento de las personas afectadas.
    • Ficheros con datos derivados de actos de violencia de género.

En esta ocasión nos centraremos en los datos de nivel medio y, concretamente, en los utilizados por las entidades financieras para la prestación de servicios.

La Agencia delimita el concepto de “servicios financieros” en su informe jurídico emitido en 1999. Cita a todas las entidades que considera que prestan estos servicios, incluyendo a las aseguradoras y a las sociedades gestoras de fondos de pensiones, entre otras.

En cuanto a las medidas de seguridad, que deben establecerse y estar debidamente recogidas en el manual de seguridad de las entidades financieras, se han de cumplir las correspondientes al nivel básico más las específicas del nivel medio. Estas medidas consisten básicamente en las siguientes coberturas:

  • Nombrar un responsable de seguridad, encargado de custodiar y administrar los dispositivos de seguridad física y lógica.
  • Debe existir un control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.
  • Se deberá instaurar en los sistemas informáticos un límite de intentos reiterados de accesos no autorizados.
  • Se exige una auditoria bianual de los procesos de protección de datos.

Se puede consultar el resto de medidas de seguridad que se tienen que considerar en el canal de documentación de la AGPD. Dichas medidas buscan garantizar y proteger la calidad e integridad de los datos y los derechos ARCO de los clientes bancarios. Algunos ejemplos de ejercicio de los derechos ARCO ante una entidad financiera serían:

  • El derecho de acceso se puede ejercer por escrito en una sucursal del banco, que remitirá nuestra petición de información sobre los datos personales que tienen de nosotros a su central. Tienen un mes para contestarnos por escrito e informarnos de todos y cada uno de los datos que tratan.
  • El derecho de rectificación se podría utilizar, por ejemplo, para exigir a una financiera que nos remitiera el próximo recibo a una nueva cuenta, para lo que la financiera tiene 10 días hábiles. Si desoye nuestra demanda realizada por escrito y nos vuelve a enviar un recibo a la cuenta antigua, podremos denunciar este hecho a la AGPD, que se encargará de comprobar la infracción y sancionar a la financiera.
  • El derecho de cancelación podríamos ejercerlo en el caso de que la entidad financiera llamara a nuestra oficina para reclamar el cobro de una cuota de préstamo pendiente. El teléfono de nuestro trabajo no es un dato que tenga que tener la entidad financiera, por lo que tenemos todo el derecho a solicitar su cancelación.
  • En el caso del derecho de oposición, hay que tener en cuenta que la legislación obliga a las entidades financieras a almacenar una serie de datos durante un plazo determinado. Si dejásemos de ser clientes de la entidad, podríamos exigir el bloqueo de los datos, para evitar su tratamiento, pero no su supresión total hasta que venza el plazo que marque la legislación aplicable en cada caso.

La legislación en protección de datos se encuentra en continua evolución, ya que regula una realidad muy extensa (datos en papel, ficheros automatizados, vídeo, audio, información biométrica, etc). Por lo tanto, cada sector deberá aceptar la normativa general y específica y estar atento a todas las actualizaciones y cambios.

Otras historias interesantes