La protección de datos y los datos bancarios (II)

En la anterior ocasión hablamos de la normativa de protección de datos de carácter personal y sus generalidades. Intentamos aclarar qué es un dato de carácter personal, la función de la Agencia Española de Protección de Datos (AGPD) y en que consisten los derechos ARCO (acceso, rectificación, cancelación y oposición).

Aprovecharemos esta nueva ocasión para desarrollar el tema de los niveles de seguridad que marca la LOPD según el nivel de riesgo que considera que tiene el tratamiento de los datos y haremos especial mención a los datos de nivel medio y concretamente a los de los clientes tratados por las entidades financieras.

El derecho de protección de datos se configura como un derecho fundamental de las personas y los datos pertenecen a su titular. Hay que tener muy en cuenta que los datos de carácter personal sólo se podrán captar para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explicitas y legítimas para las que se hayan obtenido. Básicamente se busca limitar al máximo la información personal que tratan las empresas y condicionar este tratamiento a una finalidad adecuada y explícita; debemos poder saber en todo momento que datos poseen de nosotros las empresas y para que finalidad los tienen.

Niveles de seguridad

La regulación en materia de protección de datos establece tres niveles distintos de seguridad, recogido en el artículo 80 y siguientes del Real Decreto 1720/2007 de 31 de diciembre y unas medidas de seguridad de los datos automatizados según el nivel, plasmados de en Real Decreto 994/1999 de 11 de junio.

Nivel básico

• Para los ficheros y tratamientos que no se consideren de un nivel superior.

Nivel medio

Nivel alto:

• Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

• Datos recabados para fines policiales sin consentimiento de las personas afectadas.

• Ficheros con datos derivados de actos de violencia de género.

En esta ocasión nos centraremos en los datos de nivel medio y concretamente en los utilizados por las entidades financieras para la prestación de servicios.

La Agencia delimita el concepto de "servicios financieros" en su informe jurídico emitido en 1999. Cita todas las entidades que se considera que prestan estos servicios, incluyendo las aseguradoras y las sociedades gestoras de fondos de pensiones, entre otras.

En cuanto a las medidas de seguridad, que deben establecerse y estar debidamente recogidas en el manual de seguridad de las entidades financieras, decir que se han de cumplir las correspondientes al nivel básico más las específicas del nivel medio. Estas medidas consisten básicamente en las siguientes coberturas:

• Nombrar un responsable de seguridad, encargado de custodiar y administrar los dispositivos de seguridad física y lógica.

• Debe existir un control de acceso físico a los locales dónde se encuentren ubicados los sistemas de información.

• Se deberá instaurar en los sistemas informáticos un límite de intentos reiterados de accesos no autorizados.

• Se exige una auditoria bianual de los procesos de protección de datos.

Podemos consultar el resto de medidas de seguridad que se tienen que considerar en el canal de documentación de la AGPD. Dichas medidas buscan garantizar y proteger la calidad e integridad de los datos y los derechos ARCO de los clientes bancarios. Algunos ejemplos de ejercicio de los derechos ARCO ante una entidad financiera serían:

• El derecho de acceso se puede ejercer por escrito en una sucursal del banco, que remitirá nuestra petición de información sobre los datos personales que tienen de nosotros a su central. Tienen un mes para contestarnos por escrito e informándonos de todos y cada uno de los datos que tratan.

• El derecho de rectificación se podría utilizar, por ejemplo, para exigir a una financiera que nos remitiera el próximo recibo a una nueva cuenta; para este cambio la financiera tiene 10 días hábiles. Si desoye nuestra demanda realizada por escrito y nos vuelve a enviar un recibo a la cuenta antigua, podremos denunciar este hecho a la AGPD, que se encargará de comprobar la infracción y sancionar a la financiera.

• El derecho de cancelación lo podríamos ejercer en el caso de que la entidad financiera llamara a nuestra oficina para reclamar el cobro de una cuota de préstamo pendiente. El teléfono de nuestro trabajo no es un dato que tenga por que tener la entidad financiera, por lo que tenemos todo el derecho a solicitar su cancelación.

• En el caso del derecho de oposición, hay que tener en cuenta que la legislación obliga a las entidades financieras a almacenar una serie de datos durante un plazo determinado. Si dejásemos de ser clientes de la entidad, podríamos exigir el bloqueo de los datos, para evitar su tratamiento, pero no su supresión total hasta que venza el plazo determinado según marque la legislación aplicable en cada caso.

La legislación en protección de datos está en continua evolución, ya que regula una realidad muy extensa (datos en papel, ficheros automatizados, vídeo, audio, información biométrica, etc) y en constante evolución; cada sector deberá empaparse de la normativa general y específica y estar atento a todas las actualizaciones y cambios de ella. Como referencias más ampliadas sobre todas las normativas que versan sobre la materia tenemos la Guía 2008 de Seguridad de Datos (PDF) y la Guía del Responsable de Ficheros (PDF) editadas por la AGPD para ampliar y complementar toda la información.

No debemos olvidar que por muy compleja y cambiante que sea esta normativa el desconocimiento de la ley no exime de su cumplimiento.

Más Información | Guía de Seguridad de Datos,
En Actibva | La protección de datos y los datos bancarios (I)
Imagen | Stinging Eyes, Flickr

Pau A. Monserrat, editor de Futur Finances