Protección de datos Bancarios y financieros

¿Los datos bancarios y financieros son datos personales? ¿Deben las entidades financieras y de crédito cumplir con la normativa de protección de datos? ¿El banco puede dar información de mi cuenta a otra persona? ¿O incluirnos en una lista de morosos? En esta guía repasamos los principales aspectos de la ley de protección de datos bancarios y financieros.

¿Deben las entidades financieras y de crédito cumplir con la Ley de Protección de Datos?

Sí, las entidades financieras y de crédito deben cumplir con la Ley de Protección de Datos, puesto que a través de los datos bancarios es posible identificar a una persona. Además, aunque los datos bancarios no tienen consideración de datos sensibles, estas entidades manejan grandes volúmenes de datos personales de manera sistemática, lo que va a implicar cumplir con algunas obligaciones más estrictas de la Ley de Protección de Datos para empresas.

Ley de protección de datos financieros y bancarios

La normativa de protección de datos personales bancarios la encontramos en las siguientes leyes:

• Reglamento RGPD; constituye el marco regulatorio europeo para la protección de datos en los Estados miembros de la UE y el Espacio Económico Europeo
• La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales; es la ley que adapta el RGPD al ordenamiento jurídico español, ampliando y profundizando algunos aspectos de este
• La Ley de Servicio de la Sociedad de la Información y Comercio Electrónico (LSSI-CE)
• Ley 2/1962 sobre bases de ordenación del crédito y de la Banca
• Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito

¿Cómo cumplir con ley de protección de datos bancarios?

Para garantizar el derecho a la privacidad y la protección de datos bancarios, las entidades financieras y de crédito deben cumplir con las obligaciones que establece la ley de protección de datos bancarios de personas físicas, así como la protección de datos de autónomos (quedarían fuera los datos bancarios de empresas o cualquier otro tipo de persona jurídica).

Estas obligaciones respecto a los datos bancarios y protección de datos son las siguientes:

– Legitimación, consentimiento e información:

La base legitimadora para el tratamiento de datos personales de las entidades financieras y de crédito está, por un lado, en el consentimiento expreso de sus clientes, que deberá recogerse al formalizar el contrato correspondiente (por ejemplo, al abrir una cuenta en el banco) mediante una cláusula de protección de datos o documento anexo que el cliente debe firmar (puesto que el consentimiento exige una acción positiva). Y, por otro lado, en el artículo 6, letras b, c, d, e y f del RGPD.

En cuanto a la información, incluso cuando para el tratamiento de datos personales no es necesario el consentimiento expreso del interesado, la entidad financiera o de crédito deberá informar a este de:

• La identidad del responsable del tratamiento (que es la propia entidad) y, en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
• Finalidad del tratamiento
• Base jurídica legitimadora
• Plazo de conservación de los datos
• Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento)

Solo se podrá recoger el consentimiento para una finalidad determinada, siendo necesario recabarlo para cada finalidad diferente o nueva finalidad para la que se quieran usar los datos personales de los clientes. Por ejemplo, si los datos se recabaron para abrir una cuenta y la entidad quiere usarlos para enviar comunicaciones comerciales al cliente, deberá recabar el consentimiento de este para ello.

– Registro de actividades de tratamiento:

Dado que las entidades financieras y de crédito tratan datos personales a gran escala y de manera sistemática (y en algunos casos emplean a más de 250 personas), están obligadas a llevar un registro de actividades de tratamiento. Se trata de un documento en el que se recoge toda la información relativa al uso y tratamiento de datos personales, siendo necesario llevar un registro por cada una de las actividades de tratamiento que realice la entidad (por ejemplo, cuentas bancarias de clientes, videovigilancia, nóminas de empleados, etc.).

Si bien, no es necesario inscribir el registro de actividades de tratamiento en ninguna autoridad de control, sí que es necesario mantenerlo por escrito y actualizado, puesto que es una información que puede solicitar la AEPD en el transcurso de una inspección.

En cuanto a la información que debe constar en el registro de actividades de tratamiento, depende de si la entidad opera como responsable del tratamiento (es ella la que decide el tratamiento y la finalidad) o como encargada del tratamiento (realizan el tratamiento de datos personales por encargo de otra entidad).

Así, cuando la entidad financiera o de crédito es la responsable del tratamiento, el registro informará sobre:

• Identidad y datos de contacto del responsable del tratamiento y, cuando proceda, del encargado del tratamiento y el DPO
• Finalidad del tratamiento
• Licitud del tratamiento (base jurídica)
• Descripción de las categorías de datos e interesados
• Descripción de los destinatarios de los datos, tanto existentes como previstos
• Si procede, información relativa las transferencias internacionales de datos y sus garantías correspondientes
• Descripción de las medidas de seguridad implementadas
• Plazos de conservación de los datos

Y cuando la entidad financiera o de crédito opera como encargado del tratamiento, la información del registro contendrá:

• Identidad y de datos de contacto del encargado del tratamiento, del responsable por cuenta del que actúa y del DPO
• Descripción de las categorías de datos e interesados
• Si procede, información relativa las transferencias internacionales de datos y sus garantías correspondientes
• Descripción de las medidas de seguridad implementadas

– Análisis de riesgos y Evaluación de Impacto:

Como ocurre con cualquier otro tratamiento de datos personales, para poder garantizar de manera adecuada la protección de datos financieros y bancarios, la entidad financiera o de crédito deberá realizar, con carácter previo a cualquier tratamiento de datos, un análisis de riesgos RGPD para determinar a qué tipo de riesgos para los derechos y libertades de los interesados pueden derivarse de dicho tratamiento.

Es decir, se trata de determinar qué amenazas pueden afectar a los datos personales si se lleva a cabo un tratamiento de datos. Por ejemplo, si se elabora una base de datos de los clientes, los datos que esta contengan podrían verse amenazados por un ciberataque, que podría desde hacer públicos los datos personales de los clientes, hasta destruirlos.

Aparte del análisis de riesgos, dada la gran cantidad de datos que manejan las entidades financieras y de crédito y el riesgo potencialmente alto para los derechos y libertades de los interesados, estas también deben realizar un EIPD o evaluación de impacto en protección de datos. Que, entre otras cosas, servirá para determinar si un tratamiento de datos debe o no llevarse a cabo en función de los perjuicios que puedan derivarse de la materialización de las amenazas detectadas.

Tanto el análisis de riesgos como la EIPD servirán para definir las medidas de seguridad que será necesario implementar para reducir o mitigar los niveles de riesgo y evitar que las amenazas se materialicen y, si lo hacen, reducir el impacto negativo que tendrían sobre los derechos y libertades de los interesados.

– Cesión de datos a terceros:

Cuando la entidad financiera o de crédito ceda datos a terceros, como ocurre cuando se contrata o delega algún servicio en otra empresa o entidad (por ejemplo, una aseguradora o la gestoría que gestionar las nóminas de los empleados), la primera deberá firmar con la segunda un contrato de encargo del tratamiento.

En este contrato, el responsable del tratamiento (la entidad financiera) establece las condiciones para el tratamiento para el encargado (tercero al que se ceden los datos). Entre esas condiciones están qué datos se van a tratar, la finalidad del tratamiento, el plazo de conservación, qué hacer con los datos una vez cumplida la finalidad y la prohibición de usar dichos datos con fines diferentes a los acordados.

Como vimos más arriba, cuando se produzcan estas cesiones de datos a terceros, la ley de protección de datos para cuentas bancarias dice que se debe informar de ello a los clientes. Igual ocurre con los datos de los empleados, estos deben ser informados de quiénes, aparte de la entidad financiera, van a tratar sus datos por encargo de esta.

– Confidencialidad de los datos bancarios:

Los bancos y sus empleados están obligados a mantener el deber de confidencialidad respecto a los datos bancarios de sus clientes, tanto de personas físicas como de personas jurídicas, si bien, como ya indicamos, la ley de protección de datos personales en bancos solo se aplica para personas físicas.

Este deber de confidencialidad implica que ni la entidad ni sus empleados pueden usar los datos bancarios de sus clientes para otros fines que no sean los relacionados con la relación contractual que les vincula (siempre dentro los límites y obligaciones que establece la ley y la colaboración con la justicia y otros organismos de lucha contra el fraude).

En ese sentido, es importante que los empleados de la entidad conozcan y cumplan con las medidas del protocolo de protección de datos de la entidad y conozcan las consecuencias de no hacerlo.

– Designar un Delegado de Protección de Datos:

Para las entidades financieras y de crédito el Delegado de Protección de Datos es obligatorio. Este profesional tiene entre sus funciones, supervisar los procesos y políticas de la entidad respecto a la protección de datos personales, asesorar y resolver dudas relacionadas con los tratamientos que esta lleve a cabo, realizar consultas con la AEPD y responder a las consultas de los clientes respecto al tratamiento de sus datos personales.

El DPO puede designarse de manera interna, es decir, nombrar un empleado de la entidad como tal o contratar los servicios de un DPO externo (normalmente, a través de una consultora especializada en protección de datos). En cualquier caso, el DPO debe tener formación en la materia y conocimientos detallados sobre la normativa.

– Página web de la entidad bancaria:

La página web de una entidad bancaria también debe contemplar una serie de obligaciones en materia de protección de datos, en concreto, debe incluir en ella los denominados textos legales, una información que debe ser comprensible y fácilmente accesible desde cualquier sección de la web (lo habitual es encontrarla en el footer).

Estos textos legales para páginas web de entidades financieras son:

• El aviso legal, en el que se aporta toda la información relativa al propietario de la página:
  • Razón social
  • CIF
  • Dirección
  • Email
  • N.º de inscripción en el Registro Mercantil
• La política de privacidad debe recoger toda la información relativa al uso y tratamiento de datos personales que se hace a través de la página web de la entidad (también de su aplicación si la tuviera). Al menos debe incluir:
  • Identidad del responsable del tratamiento
  • Finalidad del tratamiento
  • Legitimación del tratamiento
  • Cómo se gestionan los datos personales
  • Plazo de conservación de los datos
  • Cesión de datos a terceros
  • Vía para ejercer los derechos ARSULIPO
• La política de cookies y el aviso de cookies, donde se da a los usuarios toda la información relativa al uso de cookies de la web de la entidad y se recaba el consentimiento de estos para su instalación. Esta información comprende la finalidad, el titular de las cookies, la duración y el tipo de cookies.
• Los términos y condiciones de contratación, si a través de la página web de la entidad se puede llevar a cabo la contratación de un servicio financiero (como es el caso de los bancos online). La información que se debe suministrar en este texto es la siguiente:
  • Precios
  • Políticas del servicio
  • Métodos de pago
  • Condiciones particulares
  • Política de cancelación
  • Derecho de desistimiento

– Notificar brechas de seguridad:

Si se produjera un incidente de seguridad que pudiera poner en riesgo los datos bancarios de los clientes de la entidad o los datos personales de los empleados, la entidad deberá notificar la brecha de seguridad tanto a la AEPD como los propios interesados (clientes y/o empleados). Para ello dispone de un plazo máximo de 72 horas, a contar desde el momento en que se detectó la brecha de seguridad.

– Realizar auditorías periódicas:

Si bien ya no es una obligación recogida literalmente en el RGPD ni en la LOPDGDD, las entidades financieras y de crédito deberían realizar auditorías periódicas de protección de datos para evaluar su nivel de cumplimiento de la normativa y la efectividad de sus medidas de seguridad, mejorando aquellos aspectos donde los resultados no sean satisfactorios.

Además, los informes de estas auditorías servirán como prueba de que la entidad cumple con las obligaciones de protección de datos bancarios y de datos personales de sus empleados, en caso de una posible investigación de la AEPD.

Vulneración de la ley de protección de datos personales en bancos

Vulnerar la ley de protección de datos personales en bancos u otras entidades financieras es motivo de sanción para estas. Hablamos de cesión de datos sin el consentimiento de los interesados o sin haberlos informado previamente de ello, de no implementar las medidas de seguridad necesarias para garantizar la protección de datos financieros y bancarios, de tratar datos con otra finalidad diferente para la que fueron recabados, enviar comunicaciones comerciales sin el consentimiento de los clientes, no designar un DPO, etc.

La cuantía de estas sanciones dependerá la gravedad de la vulneración cometida, de la duración en el tiempo y del número de afectados. En cualquier caso, la LOPDGDD recoge la siguiente escala de infracciones y sanciones:

• Sanción de hasta 40.000 euros por infracciones leves (art. 74)
• Sanción de entre 40.001 y 300.000 euros por infracciones graves (art. 73)
• Sanción de entre 300.001 y 20 millones de euros o el 4% del volumen de la facturación anual por infracciones muy graves (art. 72)

¿Qué datos bancarios se pueden dar?

Como se ha señalado, los datos bancarios son datos personales y para que nos los soliciten, debe existir una finalidad que lo justifique. En la mayoría de los casos, esta finalidad será la realización de un contrato de un servicio o la compra de un producto, ya sea físicamente o a través de internet. También se solicitan datos bancarios para celebrar el contrato de trabajo o realizar pagos domiciliados o la solicitud de un crédito.

En general, los datos bancarios que nos pedirán en estos casos son el número de cuenta o el número de la tarjeta de débito o crédito, y, en el caso de los contratos, también el DNI. Para las solicitudes de créditos o pagos a plazos, se nos puede solicitar un extracto bancario.

Cuando estamos realizando estas acciones con proveedor o vendedor de confianza, podemos dar estos datos.

Esto no significa que no debemos ser precavidos, puesto que muchos intentos de phishing para hacerse con nuestros datos bancarios, se harán pasar por la entidad bancaria. Si en un email o SMS, nuestro supuesto banco nos pide que ingresemos nuestro usuario o DNI y contraseña (o nuestro número de tarjeta y su código de seguridad) siguiendo un enlace que nos proporcionan, no debemos hacerlo, porque se trata de un intento de robo de datos. Los bancos nunca nos van a pedir estos datos a través de un email o un SMS.

¿Quién puede ver tus movimientos bancarios?

Los movimientos bancarios de tu cuenta solo los puedes ver tú; la ley de protección de datos personales en bancos nos dice que las entidades financieras deben respetar y mantener la confidencialidad de nuestros datos personales y financieros. Sin embargo, esto no quiere decir que no haya excepciones y el banco se vea obligado a facilitar la información sobre algún movimiento.

En concreto, ante movimientos sospechosos, es decir, ingresos o egresos de grandes sumas de dinero no habituales en la cuenta, el banco está obligado a informar a Hacienda de ello. Estos movimientos en la cuenta inusuales de los que banco debe informar son:

• Ingresos o egresos vía transferencia de 100.000 o más euros.
• Ingreso de billetes de 500 euros.
• Ingresos en efectivo de más de 3.000 euros.
• Tener créditos por cantidades superiores a los 6.000 euros.
• Realizar gastos por más de 10.000 euros.

Preguntas frecuentes

¿Puede un banco dar información de mi cuenta a terceros?

El banco solo puede dar información de nuestra cuenta a terceros cuando esos terceros son autoridades judiciales, en el proceso de una investigación, o, como ya hemos indicado más arriba, a Hacienda, cuando se producen movimientos de grandes cantidades de dinero (así lo establece la Ley contra el blanqueo de capitales y lucha contra el fraude).

En cualquier otro caso, un banco no puede dar información de mi cuenta bancaria a otra persona o entidad que no esté autorizada para ello.

¿Puede incluirme el banco en una lista de morosos?

Los bancos o entidades financieras solo pueden inscribirnos en una lista de morosos al cumplirse estos requisitos:

• Existencia de una deuda cierta, vencida y exigible, que esté impagada
• Un requerimiento de pago previo
• No podrán incluirse datos con más de 6 años de antigüedad
• Se notificará al interesado por cada deuda concreta
• Si existen pruebas documentales que contradigan los dos primeros requisitos, no se podrá incluir al interesado en el fichero de morosos

¿Pueden las entidades financieras o de crédito ceder datos personales a una empresa de gestión de cobro de deudas?

Para que una entidad financiera pueda ceder datos personales de un cliente a una empresa de gestión de cobro debe, por un lado, existir un contrato de encargo del tratamiento entre la primera y la segunda, y, por otro lado, se debe haber informado al cliente y contar con su consentimiento para ello.

¿Necesita tu entidad cumplir con la LOPDGDD y el RGPD? Contacta con expertos

Cualquier entidad financiera o de crédito debe cumplir con la LOPDGDD y el RGPD, de no hacerlo, podría estar expuesta a importantes sanciones. La complejidad de algunas de las obligaciones de la normativa, hace muy recomendable contratar los servicios de una consultoría especializada en protección de datos, como lo es Grupo Atico34. Nuestro equipo de expertos ofrecen un asesoramiento y ayuda personalizados 24/7, que garantizarán que tu entidad cumple con todas las exigencias de la normativa.