Guía completa para el cumplimiento de la LOPDGDD y el RGPD en entidades financieras

Autor: Dudatis.com

Guía completa para el cumplimiento de la LOPDGDD y el RGPD en entidades financieras

Los bancos y entidades financieras manejan habitualmente datos de carácter personal, razón por la cual son organizaciones que también deben cumplir con la LOPDGDD y el RGPD para asegurarse de que los datos de sus clientes no sean objeto de cesiones sin consentimiento y para garantizar su integridad. En esta guía explicamos los aspectos más importantes de la adaptación a esta normativa.

¿Qué normativas regulan estas entidades?

Principalmente, por la normativa de protección de datos, en concreto por el RGPD y la LOPDGDD. Pero además de estas leyes, también son de aplicación:

  • LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
  • Ley 2/1962, de 14 de abril, sobre bases de ordenación del crédito y de la Banca
  • Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito

¿Cómo deben cumplir estas entidades con la normativa actual?

La protección de datos bancarios se rige por una serie de actuaciones de carácter obligatorio y que vamos a detallar en los siguientes puntos.

Elaborar el registro de actividades de tratamiento

Una de esas obligaciones que tienen las entidades financieras por el volumen de datos personales que manejan de manera sistemática, es la elaboración del registro de actividades de tratamiento.

Se trata de un documento que recoge información concisa, pero detallada sobre el tratamiento de datos personales que hace la entidad (de sus clientes y de sus empleados). Es necesario hacer un registro de actividad por cada tratamiento de datos personales que se lleve a cabo.

El registro debe contener la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Descripción de las categorías de datos e interesados
  • Descripción de los destinatarios existentes o previstos (cesiones a terceros)
  • Información relativa a transferencias internacionales de datos
  • Descripción de las medidas de seguridad implantadas
  • Plazos de conservación de los datos

En caso de que las entidades actúen como encargados del tratamiento, el registro debe contener información relativa a:

  • Identificación y datos de contacto del encargado del tratamiento
  • Descripción de las categorías de datos e interesados
  • Información relativa a las transferencias de datos internacionales
  • Descripción de las medidas de seguridad implantadas

Análisis de riesgos

Antes de llevar a cabo ningún tratamiento de datos personales, es necesario llevar a cabo un análisis de riesgos, con el que se pueda determinar a qué amenazas están expuestos los datos personales por el hecho de llevar a cabo dicho tratamiento.

La evaluación de impacto se lleva a cabo cuando el nivel de riesgo para los derechos y libertades de los interesados es especialmente alto y, por tanto, es necesario determinar si con la aplicación de medidas de seguridad adecuada, ese nivel de riesgo se puede reducir a uno tolerable o, de no ser así, descartar el tratamiento de datos personales que se planea llevar a cabo o rediseñarlo completamente.

Evaluación de impacto

También se ha de elaborar una EIPD (evaluación de impacto), puesto que no solo manejan grandes cantidades de datos personales de forma sistemática, algunas de estas entidades emplean tecnologías como el Big Data para mejorar la toma de decisiones y ofrecer productos más personalizados a sus clientes.

Contratos con terceros

Estas entidades ceden los datos personales de sus clientes y empleados a terceros. Cuando se producen estas cesiones de datos a terceros, la normativa establece la obligación de firmar un contrato de encargo de tratamiento entre el responsable del tratamiento (el banco) y el encargado del tratamiento (el tercero contratado).

En este contrato, el responsable del tratamiento incluirá las obligaciones que debe cumplir el encargado del tratamiento respecto al tratamiento de datos personales que se le ha encargado.

Las páginas web

Actualmente, todas las entidades bancarias ofrecen servicios de banca online y por tanto, cuentan con páginas web.

En esas páginas web, aparte de asegurarse de que cumplen con todos los requisitos de seguridad y cifrado, también deben incluir los textos exigidos por la normativa y la LSSI-CE:

Aviso legal

Es el documento en el que debe aparecer todo lo relativo a la identidad del propietario de la página, en este caso el banco:

  • Razón social
  • CIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

Política de privacidad

Aquí se debe recoger toda la información respecto al tratamiento de datos personales que se hace a través de la página web. Debe incluir al menos:

  • Identidad del responsable del tratamiento
  • Finalidad del tratamiento
  • Legitimación del tratamiento
  • Cómo se gestionan los datos personales
  • El plazo de conservación de los datos personales
  • Cesiones de datos personales a terceros, identificando a estos
  • La vía para que los interesados ejerzan sus derechos

Términos y condiciones de contratación

Si en la página web se puede llevar a cabo la contratación de un servicio, deberá incluirse un apartado en el que se especifiquen los términos y condiciones de contratación, información que debe incluir:

  • Precios
  • Políticas del servicio
  • Métodos de pago
  • Condiciones particulares
  • Política de cancelación
  • Derecho de desistimiento

Política de cookies

Incluso si la web solo genera cookies propias o técnicas, debe informar de ello a los interesados que visiten la página, para que estos puedan aceptarlas o no, así como configurarlas. Se debe dar información relativa a la finalidad, el titular de las cookies, su duración, etc., de acuerdo a como exige la ley de cookies.

Todos estos textos legales deben ser accesibles desde cualquier punto de la página web y estar redactados de forma clara y comprensible para cualquier tipo de usuario.

¿Necesitas cumplir el RGPD? Solicita varios presupuestos

Si tu entidad financiera necesita adaptarse al RGPD y a la LOPDGDD, te recomendamos solicitar presupuestos a varias empresas especializadas en protección de datos para poder resolver todas tus dudas y asegurarte de cumplir con la normativa.

Las obligaciones de las entidades financieras

Se debe contar con el consentimiento de los clientes

El RGPD introdujo la obligación de recabar siempre el consentimiento expreso de los interesados para poder proceder al tratamiento de sus datos personales. Este consentimiento expreso puede recogerse a través de la página web o en la oficina al contratar un producto o servicio.

Tener en cuenta los derechos de los usuarios

Los usuarios tienen diferentes derechos reconocidos por el RGPD y la LOPDGDD, como el acceso, la rectificación, la supresión, la limitación del tratamiento, la portabilidad de los datos, la oposición y el derecho de no ser objeto de decisiones automatizadas.

Notificar las brechas de seguridad

Las entidades financieras deben notificar cualquier brecha de seguridad que ponga en riesgo los datos personales de sus clientes. Esta notificación debe hacerse a la autoridad de control competente en un plazo máximo de 72 horas y también se debe informar a los interesados cuyos datos hayan podido verse afectados.

Nombrar un DPO

Debido al volumen de datos personales que manejan, las entidades financieras deben designar o contratar a un Delegado de Protección de Datos (DPO) para supervisar los procesos y políticas internas del tratamiento de datos personales.

Sanciones al incumplir la normativa

El incumplimiento tanto del RGPD como de la LOPDGDD puede dar lugar a sanciones administrativas. Las sanciones varían en función de la gravedad y pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual.

¿Necesitas ayuda?

Si necesitas ayuda para adaptar tu entidad financiera a la normativa de protección de datos, te recomendamos contactar con una empresa especializada en la materia. Te ayudarán a resolver todas tus dudas y te proporcionarán los servicios necesarios para garantizar el cumplimiento de la normativa.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.