Pedir consentimientos, informar si hay brechas de seguridad... son muchas las nuevas exigencias a las que la banca debe plegarse con el nuevo RGPD
'Un gran poder conlleva una gran responsabilidad'. Nunca esta mítica frase del cómic Spiderman había cobrado tanto sentido como ahora. La próxima entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) ha obligado a los bancos a actualizarse para garantizar la correcta protección de los datos personales, que son el nuevo 'oro' de la era digital. Las entidades financieras deben tener mucho más cuidado al tratar esta información, y los clientes ya están exigiéndoles que pongan el mismo 'celo' en proteger sus datos que el que ponen en salvaguardar su dinero.
Esta nueva normativa, que será de obligada aplicación a partir del 25 de mayo, ha sido impulsada por la Comisión Europea para garantizar una mayor y mejor protección de los datos personales, y para que los consumidores no sólo puedan conocer con detalle el tratamiento que se hace de los mismos, sino que además tengan verdadero poder para decidir cómo pueden usar las empresas esa información. Porque los datos son, hoy por hoy, uno de los activos más importantes, si no el que más.
Los datos son, hoy por hoy, uno de los activos más importantes, si no el que más. Son el 'oro' de la era digital
Los bancos, como el resto de empresas, no han quedado al margen de esta normativa, y desde su entrada en vigor en mayo de 2016 (Bruselas decidió dar un plazo de dos años para que se pudiesen acometer los cambios necesarios) han ido introduciendo las modificaciones pertinentes para adaptarse a la norma. "Para los clientes bancarios el RGPD va a suponer mayor protección de sus datos", afirman desde la Organización de Consumidores y Usuarios (OCU).
Los datos se han convertido en un activo más, "tan importante como el resto" para la banca, señalan desde esta organización, por lo que las entidades financieras deben esforzarse por protegerlos. De momento, la RGPD introduce una serie de obligaciones para los bancos, entre las que destacan el nombramiento de un Delegado de Protección de Datos que haga preservar los derechos de clientes, y que mantendrá una relación directa con la Agencia Española de Protección de Datos (AEPD), o la obligación de recabar el consentimiento informado de los clientes para el tratamiento de esos datos. Es decir, a partir de ahora los bancos han de contar con consentimiento "libre e inequívoco, prestado a través de una clara acción afirmativa", para cualquier acción que quieran llevar a cabo con los datos de sus clientes, afirma la OCU.
Ya no cabe el silencio, inacción u omisión como consentimiento, que se venía aplicando hasta ahora en muchos casos. El consentimiento, además, no podrá ser tácito, ni se podrá proporcionar a través de casillas premarcadas. Y lo más importante, los bancos deben facilitar al cliente tanto la opción de prestarlo como de retirarlo. "Debe ser igual de fácil", remarcan desde la OCU.
INFORMAR DE BRECHAS EN LA SEGURIDAD
Aunque las obligaciones de los bancos van más allá. También tendrán que informar a sus clientes en un plazo máximo de 72 horas si se produce alguna 'brecha de seguridad' que haya puesto en peligro la privacidad de los datos, y dado que la 'privacidad por diseño' se ha convertido en requisito legal, deberán incluir la protección de datos desde el inicio del diseño de nuevos productos o servicios que vayan a ofertar.
Además, el RGPD establece otra novedad relevante: el principio de responsabilidad activa, más conocido como 'accountability' de las empresas, según el cual corresponde a éstas la implantación de procesos internos y recogida de evidencias que demuestren el cumplimiento de la norma. Es decir, que los bancos deben no sólo asegurarse de cumplir esta nueva normativa, sino que deben también demostrar que se está haciendo bien y que los derechos de sus clientes están totalmente garantizados.
José Luis Martínez Campuzano, portavoz de la Asociación Española de Banca (AEB), afirma que este nuevo reglamento supone un "importante cambio de enfoque" en la estrategia de cumplimiento de la protección de datos, ya que con él se establecen nuevas obligaciones específicas entre las que menciona la elaboración de un registro de actividades de tratamiento, teniendo en cuenta su finalidad y la base jurídica, el análisis de riesgos y el establecimiento de mecanismos y de un procedimiento de notificación de quiebras de seguridad.
"Sin duda, supone una mayor seguridad jurídica" para los clientes, remarca Campuzano. Sobre todo porque con el RGDP las entidades "incorporan mayores detalles en la información que debe proporcionarse al cliente sobre el tratamiento de sus datos personales", pero además "se amplían los derechos de los clientes", con la inclusión, por ejemplo, del derecho de supresión (más conocido como 'derecho al olvido'), que permite a cualquier persona reclamar la supresión de sus datos de los motores de búsqueda de Internet, o el derecho a la portabilidad, que permite al interesado obtener una copia de sus datos personales en formato electrónico, ya sea para uso personal o para ser cedidos a otra compañía.
Los clientes también pueden, y deben, hacer todo lo que esté en su mano para proteger sus datos personales
También se incluye el derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, que produzca efectos jurídicos en una persona o le afecte significativamente de modo similar. "El sector bancario ha otorgado siempre un alto nivel de protección a los datos de sus clientes y una plena garantía en el ejercicio de sus derechos", afirma el portavoz de la AEB, que recuerda que en los dos últimos años las entidades financieras han ido acometiendo las adecuaciones necesarias con "cambios de carácter relevante" que afectan a "mecanismos, procedimientos y formularios internos, entre otros aspectos".
Por su parte, Alejandro Negro, consejero de Cuatrecasas, señala que el sector de la banca es "uno de los que más se ha preocupado por adecuarse al RGPD desde el principio", y es de los que más rápido se ha actualizado desde que la normativa entrase en vigor hace dos años. No obstante, aunque la responsabilidad del cumplimiento es de las entidades financieras, el abogado señala que los clientes también pueden, y deben, hacer todo lo que esté en su mano para proteger su información personal. "Lo que pueden hacer los clientes es saber qué datos tiene el banco y para qué los está usando. No tiene derecho a saber qué medidas está utilizando la entidad para protegerlos, pero sí puede controlar qué hace con ellos y saber a quién los ha cedido y para qué", remarca Negro.
Los clientes pueden pedir al banco que les diga si tienen datos suyos, cuáles son y para qué los usa, aunque nunca podrán saber al 100% si la entidad cumple o no con el RGPD o si sus datos están totalmente protegidos, pese a que ese es el fin último de la normativa. De esta forma, si el cliente detecta cualquier problema, o algún incumplimiento, podrá denunciarlo ante la Agencia Española de Protección de Datos e incluso acudir a los tribunales. Desde la organización de consumidores Facua recuerdan que todos los bancos deben adaptarse a dicho cambio ya que, en caso contrario, "podrían ser objeto del inicio de un expediente sancionador por parte de la AEPD". "Si el consumidor piensa en algún momento que la entidad bancaria a la que acude no cumple el reglamento, deberá proceder a reclamar ante la empresa y a presentar denuncia ante la Agencia Española de Protección de Datos, para que este organismo pueda investigar lo ocurrido", concluye.