Las entidades financieras deben cumplir con la Ley de Protección de Datos, ya que a través de los datos bancarios es posible identificar a una persona. Además, aunque los datos bancarios no se consideran datos sensibles, estas entidades manejan grandes volúmenes de datos personales de manera sistemática. Eso implica cumplir con algunas obligaciones más estrictas de la Ley de Protección de Datos para empresas.
Datos bancarios y obligaciones de las entidades bancarias
Algunas de las obligaciones son las siguientes:
Legitimación, consentimiento e información
Por un lado, la base legitimadora para el tratamiento de estos datos está en el consentimiento expreso de sus clientes. El consentimiento deberá recogerse al formalizar el contrato correspondiente mediante una cláusula de protección de datos o documento anexo que hay que firmar. Y, por otro lado, está en el artículo 6, letras b, c, d, e y f del RGPD.
Registro de actividades de tratamiento
Dado que las entidades financieras y de crédito tratan datos personales a gran escala y de manera sistemática, están obligadas a llevar un registro de actividades de tratamiento. Es un documento en el que se recoge toda la información relativa al uso y tratamiento de datos personales. Es necesario llevar un registro por cada uno de los tratamientos que realice la entidad como, por ejemplo, cuentas bancarias de clientes, videovigilancia, nóminas de empleados, etc.
Análisis de riesgos y Evaluación de Impacto
Para poder garantizar de manera adecuada la protección de estos datos, la entidad financiera deberá realizar, previo a tratamiento de datos, un análisis de riesgos RGPD. El objetivo es determinar a qué tipo de riesgos para los derechos y libertades de los interesados puede estar expuestos.
¿Puede una entidad bancaria dar información de mi cuenta a terceros?
El banco solo puede dar información de nuestra cuenta a terceros en el caso que esos terceros son autoridades judiciales. Por ejemplo, en el proceso de una investigación, o a Hacienda, cuando se producen movimientos de grandes cantidades de dinero con el objetivo de prevenir el fraude.
Datos bancarios y vulneración de los derechos
Vulnerar la ley de protección de datos personales por entidades financieras es motivo de sanción para estas. Muchos son las posibles vulneraciones de la política de protección de datos. Por ejemplo, cesión de datos sin el consentimiento de los interesados o sin información previa y adecuada, falta de implementar las medidas de seguridad necesarias para garantizar la protección de datos financieros, tratamientos de datos con otra finalidad diferente de la inicialmente recabada, envío de comunicaciones comerciales sin el consentimiento de los clientes, falta de un DPO, etc.
