Tratamiento de datos y medidas de seguridad en el sector bancario

El tratamiento de datos personales en una entidad bancaria atiende sin dudas a diferentes finalidades, y por tanto pueden ser objeto de la implantación de varios niveles de seguridad. La necesidad de apertura de líneas de negocio y productos ofertados por dichas entidades conlleva a que sea numerosa la información que de una persona se puede llegar a albergar. Los productos financieros y bancarios, seguros, así como el tratamiento de sus datos para la prevención de blanqueo de capitales y la propia gestión de ficheros de morosidad, además en la sociedad de la información se hace necesario llegar a los clientes actuales y potenciales para mostrarles los productos y nuevas oportunidades.

Además del nivel de seguridad que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y Reglamento de desarrollo, les aplica, se debe tener en cuenta un nivel de seguridad, social, que dicha información debe tener. Al margen de las finalidades y niveles de seguridad que desarrollaremos a continuación, determinada información que a los ojos del legislador puede tener un nivel básico, puede constituir un riesgo y gran perjuicio para el usuario, o puede influir socialmente tener conocimiento de determinadas transacciones.

Debe recordarse que además de la confidencialidad recogida en la citada Ley Orgánica, en el sector de la banca se debe aplicar el secreto bancario y la especial confidencialidad que se debe tener con respecto a los datos de los usuarios, que en la mayor parte de las entidades vienen desarrolladas en políticas de privacidad y compromisos específicos de confidencialidad.

Una correcta implantación de la Ley Orgánica 15/1999, conlleva por tanto, una mayor seguridad en el tratamiento de los datos de las personas, una mejor imagen con respecto a los usuarios actuales y potenciales, generación de mayor confianza, prevención del robo de datos e información y su utilización por otras entidades, una mayor trazabilidad de la información y por tanto una optimización de recursos, así como la delimitación de responsabilidades y posibles infracciones por el personal trabajador o colaborador de la entidad. Se debe recalcar por último el auge de denuncias en materia de protección de datos que se han producido en los últimos años, tal y como reflejan las diferentes memorias de la propia Agencia Española de Protección de Datos.

El Real Decreto 1560/1992, de 18 de diciembre, por el que se aprueba la clasificación nacional de actividades económicas, en el epígrafe J de su Anexo incluye la intermediación financiera, banca, cajas de ahorro, cooperativas de crédito, sociedades y fondos de capital riesgo, intermediación monetaria entre otras.

Del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, puede deducirse que acorde con dichas finalidades (solvencia patrimonial, operaciones financieras y de crédito) deberíamos aplicar las medidas de seguridad relativas al nivel medio.

De la Ley 30/1995, de 8 de noviembre, de ordenación y supervisión de los seguros privados, podemos deducir que la actividad aseguradora y sobre planes y fondos de pensiones, es de las más avanzadas en el sistema financiero. El incremento de las tasas de morosidad, así como el aseguramiento del pago de cuotas, créditos y otros productos por parte de las entidades bancarias, en una época de crisis económica, así como la aparición y prestación de nuevos servicios conllevan a que la mayor parte de dichas entidades presten este tipo de servicios, bien directamente, a través de empresas del grupo o de terceros.

A mayor abundamiento el artículo 8.4 de la Ley 13/1992, de 1 de junio, reguladora de los recursos propios y supervisión en base consolidada de las entidades financieras, incluía las Sociedades Gestoras de Fondos de Pensiones entre las entidades financieras que deberán incluirse en el grupo consolidable de entidades de crédito, tal y como recalcaba la propia Agencia Española de Protección de Datos en su informe de 1999.

En este sentido, aunque en el ámbito de seguros, la finalidad no es directamente el tratamiento de datos de salud, tal como sería aplicable por un centro sanitario, si que podemos obtener datos de nivel alto de seguridad, derivados de cuestionarios de salud, tramitación de partes o las mismas pólizas, que conllevaran la adopción de las medias de nivel alto de seguridad para los mismos.

Mismo nivel de seguridad deberá implantarse a los ficheros derivados de la aplicación de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En su artículo 32, la norma obliga a registra el Fichero correspondiente a las finalidades establecidas en la normativa de blanqueo de capitales, a la inclusión de los datos de carácter personal de los afectados, que quedarán exentos tanto del deber de información como del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

El Real Decreto 1720/2007, en su Título IV, Capítulo I hace referencia a los Ficheros de información sobre solvencia patrimonial y crédito, donde se desglosan los requisitos para la inclusión de datos en dichos ficheros, las medidas de seguridad y ejercicio de derechos entre otros.

En una sociedad global, en que las entidades no se circunscriben a un determinarlo territorio o país se debe tener en cuenta lo relativo a transferencias internacionales de datos y el nivel de seguridad aplicable según los criterios de la legislación española y europea y el criterio de la propia Agencia Española de Protección de Datos, en este sentido la prestación de servicios fuera de España, cobro o subrogación de deudas, compraventa inmobiliaria y créditos hipotecarios para bienes en terceros países, así como otros tantos.

En relación al tratamiento para actividades de publicidad y prospección comercial, habrá que tener en cuenta lo dispuesto en el Real Decreto 1720/2007,  que establece que para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre. En todo caso, los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad.

El propio artículo 5 de la Ley Orgánica 15/1999 establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de la existencia de un fichero, del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Debe por tanto tenerse en cuenta el ejercicio de derechos en materia de protección de datos (Instrucción 1/1998 de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación, cancelación, oposición), en especial el ejercicio del derecho de oposición y cancelación, así como lo establecido en la legislación vigente sobre el consentimiento para el tratamiento de datos con fines publicitarios. Esta es sin duda una de las mayores causas de denuncias en materia de protección de datos.

La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de  Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y  crédito, aplicable al caso, que establece que “la inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones  dinerarias deberá efectuarse solamente cuando concurran los siguientes requisitos: la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada y el requerimiento previo de pago a quien  corresponda, en su caso, el cumplimiento de la obligación.

El tratamiento de los datos por parte de las entidades bancarias y financieras, debe realizarse conforme al principio de calidad de los datos, es decir, deben ser adecuados, pertinentes y no excesivos con respecto a las finalidades para las que fueron recabados. Deben ser exactos y actualizados, e informarse al usuario de las posibles cesiones o comunicaciones de datos que pueden producirse, así como las finalidades de las mismas.

En caso de que el cliente haya solicitado la cancelación de sus datos, las entidades podrían mantener los mismos bloqueados, restringiendo su inclusión en futuras campañas comerciales, siempre que haya norma que me habilite para ello, deba custodiarlos a efectos judiciales o de pago de deudas.

El compromiso de las diferentes entidades bancarias y financieras en aras a una mayor transparencia e información, tanto sobre la recogida de los datos, como el consentimiento o al prevención de delitos informáticos, suplantaciones de identidad o fraudes, cada vez es mayor, ofreciendo información a través de las propias oficinas, Internet, telefónicamente, mediante medios entendibles por el ciudadano. Sírvase como ejemplo el artículo que hace tiempo escribí sobre las buenas prácticas en materia de información al usuario para prevención de fraudes, mejora de la privacidad y consejos que el Banco Pichincha ofrecía a través de su página web y perfiles sociales.

En relación a las medidas de seguridad, además de las especificadas, se debe tener en cuenta la aparición de nuevos servicios como la banca electrónica, a distancia, la contratación de productos telefónicamente o el telemarketing, en la que deberá asegurarse la prestación del consentimiento, tanto en materia de protección de datos, como en la propia contratación de productos con fines probatorios y en lo referido a lo establecido en la legislación vigente y en materia de defensa del consumidor. Debe hacerse especial hincapié en lo relativo a la identificación del usuario, mediante la inclusión de un código o clave telefónica, la autenticación como control de seguridad, así como la utilización de nuevas tecnologías como la firma electrónica, certificados digitales, entre otros. En todo caso, deberá estarse a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, legislación, instrucciones y recomendaciones específicas del sector y normativa europea.

Por último, se debe hacer una mención a las medidas de seguridad, avisos legales, cláusulas y políticas de privacidad y cookies con las que debe cumplir la entidad bancaria o financiera, recogidas en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.