normativa espaÑola de proteccion de...

NORMATIVA ESPAÑOLA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y FINANCIERO. Manual de Formación

de 42 Normativa Española de protección de datos de carácter personal y financiero

Manual de Formación

OBJETIVO

El objetivo general de este curso es conocer la adecuada utilización y gestión

de los datos de personas que las Entidades tenemos de nuestros clientes y por

tanto, evitar que un uso incorrecto de los mismos pueda generar pérdida de

confianza, multas económicas y daño reputacional a nuestras Entidades.



ÍNDICE

Unidad 0. Introducción Pág.: 4

Unidad 1: La protección de datos Pág.: 6

Unidad 2: El empleado y la protección de datos Pág.: 28

Unidad 3: Situaciones de negocio Pág.: 35



Unidad 0 Introducción



Este curso se estructura en dos partes muy definidas.

En la primera se explican unos conocimientos básicos sobre protección de datos,

se trata de conocer los conceptos básicos de la protección de datos.

En la segunda parte, se enumeran los comportamientos que debe tener el

empleado de una entidad bancaria para no incurrir en riesgos en materia de

protección de datos. Se trata de que el empleado conozca qué prácticas o

comportamientos de su actividad diaria no puede realizar y debe suprimir o

corregir.



Unidad 1 La protección de datos



1.1 INTRODUCCIÓN A LA PROTECCIÓN DE DATOS

A finales de los años 90, comenzó a vislumbrarse que el progresivo desarrollo de las técnicas

de comunicación permitía guardar sin dificultades de espacio la información y que la

informática posibilitaba almacenar todos los datos que se obtenían a través de las

comunicaciones, pudiendo acceder a ellos en segundos.

El conocimiento ordenado de estos datos podía dibujar un determinado perfil de las personas,

cuya divulgación o tratamiento podía afectar a la esfera íntima o privada de las personas.

Los legisladores, pronto se percataron de que si no limitaban el uso de la informática en el

tratamiento de la información sobre las personas físicas, éste podía causar serios perjuicios a

las personas, por lo que empezaron a trabajar sobre la protección de datos de carácter

personal.

Hay un fuerte desconocimiento de la existencia y obligatoriedad de la normativa en Protección

de Datos entre las empresas que manejan datos personales. Todas las empresas que tienen

trabajadores o clientes directos, están afectadas.

La normativa considera dato de carácter personal a cualquier información concerniente a una

persona física identificada o identificable sin un esfuerzo desproporcionado. Por tanto,

cualquier empresa que trate datos personales, independientemente de lo que haga con ellos y

de la importancia objetiva de dicha información, deberá conocer y cumplir con esta legislación.

1.2 ¿POR QUÉ ES IMPORTANTE LA PROTECCIÓN DE DATOS PARA UNA ENTIDAD BANCARIA?

Los datos de carácter personal son la base del negocio de las entidades financieras, sin ellos

es virtualmente imposible la realización de acciones tales como dar servicio a un particular o

realizar una prospección comercial dirigida a un público específico.

Todo ello conlleva una gran entrada de nuevos datos, permanentemente actualizados y de un

importante valor añadido, pues aportan valoraciones acerca de posibilidades económicas,

actividades empresariales e incluso aportan perfiles familiares. Muchos de estos datos revelan

aspectos muy íntimos de sus titulares (datos patrimoniales, comisión de infracciones, salud,

origen racial o sexual).

El tratamiento de los datos de carácter personal incluye una serie de aspectos que no se

limitan únicamente a lo que es la seguridad que se aplica sobre el fichero, sino también a

cómo se utiliza y a quién se facilita la información.

Las deficiencias en la privacidad y la protección de datos pueden provocar daños irreparables



en los estados financieros de las Entidades, sin mencionar en sus marcas, credibilidad y en la

confianza y relación con sus clientes.

En concreto para una entidad bancaria, una protección de datos deficiente puede provocar:

• Impacto económico: En 2007, piratas informáticos obtuvieron 94 millones de

datos sobre operaciones con tarjetas de crédito y débito de la cadena TJX (TK

Maxx). A TJX le supuso, hasta el momento, 320 millones de dólares entre juicios y

sanciones. Cuando se hace público que en una empresa se ha infiltrado

información confidencial, el precio de sus acciones suele sufrir una caída de un

5%. Informe Ponemon.

• Desconfianza del cliente y daño reputacional: "Más del 80% de las personas

encuestadas afirman que dejarían de tratar totalmente con una Entidad que haya

utilizado de forma incorrecta información de sus clientes." Periódico británico The

Guardian.

• Negativa a la utilización de datos personales: Un informe de la Oficina de

información del consumidor del Reino Unido revela que el 95% de las personas no

facilitarían información a una Entidad, si supiesen que ésta fuera a vender o pasar

sus datos a otra. El 30% de las personas dejarían de relacionarse con empresas

que les informaran de una filtración de sus datos personales

Veamos algún ejemplo de los errores en la gestión y protección de los datos de las entidades

bancarias:

• El Pais.com: Aparecen en la basura datos de clientes del Banco X. En

los documentos figuraban extractos y claves de las cuentas. Los documentos bancarios estaban tirados en un contenedor de la calle

Z…esparcidas por el suelo había cartas del banco a clientes, identificados con nombres, apellidos y dirección, en las que se les comunicaba "su pin [número secreto] …

• Diario de Mallorca: La Agencia de Protección de Datos ampara a un

mallorquín incluido irregularmente en un fichero de morosos…La Agencia de Protección de Datos (AEPD) ha impuesto sendas sanciones

de 120.000 euros a dos compañías de telefonía móvil que incluyeron, irregularmente, a un cliente palmesano en un fichero (listado) de

morosos…

• La Opinioncoruña.es: La Agencia Española de Protección de Datos

impuso una multa de 40.000 euros a un establecimiento comercial por



instalar cámaras en el local que la multinacional tiene en el centro comercial…sin advertir a los transeúntes que estaban siendo grabados.

1.3 NORMATIVA DE PROTECCIÓN DE DATOS EN VIGOR

La normativa de protección de datos tiene por objeto garantizar y proteger, en lo que concierne

al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las

personas físicas, y especialmente de su honor e intimidad personal y familiar.

Las normas principales que rigen la protección de datos personales, son las siguientes:

La constitución española de 1978, en su artículo 18 establece que:

1. Se garantiza el derecho al honor, la intimidad personal y familiar y a la propia imagen. La ley

limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar

de los ciudadanos y el pleno ejercicio de sus derechos.

2. La directiva europea 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de

1995. Es el texto fundamental, en cuanto a la regulación de la protección de datos de los

países de la UE. En la actualidad esta directiva está en revisión.

3. La ley orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (

LOPD), que es la norma de referencia en el ordenamiento jurídico español, en lo que a

regulación de la protección de datos de carácter personal se refiere.

4. Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento que

desarrolla la LOPD ,y que entró en vigor el 21 de abril de 2008.

5. Otras fuentes de protección de datos a destacar son:

a) Instrucciones de la AEPD ( por ejemplo, la instrucción sobre video vigilancia)

b) Jurisprudencia de la Audiencia Nacional y Tribunal Supremo

La Ley Orgánica de Protección de Datos

La norma básica que regula la protección de datos de carácter personal en nuestro país, es la

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (L.O.P.D.). Esta Ley da

cumplimiento al mandato constitucional y adapta a nuestro ordenamiento la normativa

comunitaria de 1995.



El objeto de la L.O.P.D. es: “Garantizar y proteger, en lo que concierne al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales, a las personas físicas,

especialmente de su honor e intimidad personal y familiar.”

Así, esta Ley amplía el objeto de protección, reforzando los principios de consentimiento,

finalidad e información, pilares básicos de la protección de datos y, al mismo tiempo, cumple

las exigencias de la directiva comunitaria en cuanto a ficheros no automatizados.

1.4 CONCEPTOS BÁSICOS

La protección de datos es un derecho fundamental del ciudadano contra la utilización no

autorizada por terceros de sus datos personales. Será de aplicación a los datos de carácter

personal registrados en soporte físico (papel o informático) que los haga susceptibles de

tratamiento y a toda modalidad de uso posterior por los sectores público y privado.

Consentimiento.

Es toda manifestación de voluntad libre, inequívoca, específica e informada mediante la cual, el

interesado consiente el tratamiento de datos personales que le conciernen.

Fichero

Es todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos,

con arreglos a criterios determinados.

Hay tres tipos de ficheros:

• Ficheros automatizados, que son los que tienen un formato electrónico (base de

datos, aplicación, sistemas, etc.).

• Ficheros no automatizados, que son aquéllos que están disponibles en formato

papel.

• Ficheros que combinan ambos formatos, se denominan mixtos.

La entidad al ser responsable de multitud de datos personales, tiene declarados a la Agencia

Española de Protección de Datos varios ficheros (clientes, empleados, marketing, proveedores,

etc.).

Por ejemplo cuando preparamos una lista de morosos de nuestra oficina o

un cliente no entrega su documentación para que le estudiemos un préstamo estamos manejando datos personales.



Es importante que nos demos cuenta que en la actividad diaria de una entidad bancaria

manejamos multitud de ficheros aunque no reciban este nombre o tengan un formato de

archivo. Cualquier lista de clientes que incluya sus datos personales es un fichero.

Responsable del tratamiento.

Persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de datos

de carácter personal.

En nuestro caso, sería responsable la entidad bancaria.

Encargado del tratamiento:

Persona física o jurídica, que sólo o conjuntamente con otros trate los datos personales por

cuenta del responsable del tratamiento de datos de carácter personal.

Por ejemplo, una agencia de ventas, una empresa tecnológica que accede a

nuestros sistemas y por tanto tienen acceso a los datos de nuestros clientes aunque con esos datos vayan a realizar cualquier tipo de trabajo, servicio

para nuestra entidad

Tratamiento de datos:

Se considera tratamiento de datos: Cualquier operación o procedimiento técnico, sea o no

automatizado, que permita la recogida, grabación, conservación, elaboración, modificación,

consulta, utilización, bloqueo o supresión de datos personales, así como las cesiones de datos

que resulten de comunicaciones, consultas, interconexiones y transferencias.

Cesión de datos:

Es el tratamiento de datos que supone su revelación a una persona distinta del afectado.

Fuentes de acceso públicas:

A efectos de la normativa de protección de datos española, sólo tendrán el carácter de fuentes

accesibles al público:

• El censo promocional.

• Las guías de servicios de comunicaciones electrónicas, en los términos previstos

en su normativa específica.

• Los diarios y boletines oficiales.

• Los medios de comunicación social.



• Las listas de personas pertenecientes a grupos profesionales que contengan

únicamente los datos de nombre, título, profesión, actividad, grado académico,

dirección profesional e indicación de su pertenencia al grupo. La dirección

profesional podrá incluir los datos del domicilio postal completo, número telefónico,

número de fax y dirección electrónica. En el caso de Colegios profesionales,

podrán indicarse como datos de pertenencia al grupo los de número de colegiado,

fecha de incorporación y situación de ejercicio profesional

1.4.1 AMBITO DE APLICACION

Regla general de aplicación.

La normativa de protección de datos se aplica a los datos de carácter personal registrados en

soporte físico que les haga susceptibles de tratamiento (automatizado o no).

Están incluidos aquellos datos:

• Cuando el tratamiento de los mismos sea efectuado en territorio español por el

responsable de tratamiento de los datos, en el marco de las actividades de un establecimiento.

• Cuando el responsable de tratamiento de los datos no esté establecido en

territorio español pero le resulte aplicable la legislación española.

• Cuando el encargado de tratamiento de los datos no esté establecido en la Unión

Europea pero utilice medios para el tratamiento de datos que se encentren en

territorio español

Exclusiones más importantes.

Las exclusiones más importantes de la normativa son las siguientes:

• Tratamiento de datos referidos a Personas Jurídicas (empresas, sociedades, etc.)

• Ficheros de Personas físicas que prestan sus servicios a personas jurídicas, si se

refieren únicamente a nombre, apellidos, funciones o puestos de trabajo, dirección

postal o electrónica, teléfono y nº de fax profesional ( ejemplo: ficheros de contactos

profesionales y tarjetas de visita, siempre y cuando sean utilizados para fines

empresariales)

• Empresarios individuales, cuando hagan referencia a ellos en su calidad de

comerciantes, industriales o navieros.



• Personas fallecidas ( no obstante, en determinados casos, se permite el derecho de

acceso y cancelación de datos del fallecido por parte de familiares)

• Tratamiento de datos de carácter personal realizado por personas físicas en el ejercicio

de actividades exclusivamente personales o domésticas ( ej: agendas de direcciones o

teléfonos de amigos y familiares).

1.5 PRINCIPIOS DE PROTECCION DE DATOS

1.5.1 DEBER DE INFORMACIÓN:

En el momento de la recogida de datos, ha de informarse al titular de los datos de forma clara y precisa:

• Para qué se están recogiendo los datos.

• Qué uso se va a hacer de dichos datos.

• Quienes serán los destinatarios de la información.

• La existencia de un fichero o tratamiento con dichos datos.

• En qué consistirá el tratamiento de los datos y cuándo terminará dicho tratamiento.

• La identidad y dirección del responsable del tratamiento, o en su caso de su

representante.

• La posibilidad de ejercitar los derechos que establece la LOPD ( derecho de acceso,

rectificación, cancelación y oposición).

Los titulares de datos obtenidos de terceros deben ser informados dentro de los tres meses

siguientes al registro de los datos salvo que hayan sido informados con anterioridad de esta

cesión, o cuando la información resulte imposible o exija un esfuerzo desproporcionado.

El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su

cumplimiento y deberá conservarse mientras persista el tratamiento de los datos.

El Responsable del tratamiento deberá conservar el soporte que asegure el cumplimiento del

deber de información (ficha, factura, contrato/...) pudiendo utilizar medios informáticos o

telemáticos (posibilidad de utilizar soportes en papel siempre que se garantice que en su

automatización no se alteran los datos).



1.5.2 PRINCIPIO DE CALIDAD DE DATOS

De acuerdo con este principio, los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean:

• Adecuados

• Pertinentes

• No excesivos en relación con el ámbito y las finalidades determinadas, explícitas y

legítimas para las que se hayan obtenido.

Así, en el caso de obtención de datos para la concesión de una tarjeta de crédito, parece razonable solicitar el nombre y apellidos y estado civil del

cliente, sin embargo, pedir la declaración de todos los bienes inmuebles de su propiedad, y la de sus parientes más próximos, por ejemplo, podría

considerarse excesivo, si tenemos en cuenta que es para concederle una tarjeta de crédito.

Un aspecto relevante del principio de calidad de datos, que deben cumplir los responsables de

los ficheros, es que los datos de carácter personal sean exactos y puestos al día de forma que

respondan con veracidad a la situación actual del afectado.

Si los datos fueran recogidos directamente del afectado se considerarán exactos los datos

facilitados por éste.

Si los datos sometidos a tratamiento resultaran inexactos en todo o en parte o incompletos, el

responsable del Tratamiento deberá:

• Rectificarlos o cancelarlos en el menor plazo desde que tuvo conocimiento

• Notificar de la cancelación al cesionario (siempre que sea conocido) en el plazo de 10

días.

Otra consecuencia de extraordinaria, importancia que deriva del principio de calidad de datos,

es que los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Los datos podrán conservarse durante el tiempo en que pueda exigirse algún tipo de

responsabilidad derivada de la ejecución de un contrato o de la aplicación de medidas

precontractuales solicitadas por el interesado.

Esta cancelación, no significa un borrado o eliminación total, sino que los datos podrán

conservarse (bloqueados) y con acceso limitado, durante el tiempo en que pueda exigirse



algún tipo de responsabilidad civil derivada de la relación contractual o para la puesta a

disposición de jueces, tribunales o reguladores.

Así cuando un cliente cancela una tarjeta o préstamo sin deuda pendiente, o termina de pagar su producto de activo, no teniendo ningún otro producto

más contratado con nuestra entidad, sus datos personales sólo pueden ser accesibles a un número limitado de empleados para los fines comentados en

el párrafo anterior.

1.5.3 PRINCIPIO O DEBER DE CONSENTIMIENTO

Este es el principio general que preside toda la normativa local y europea de protección de

datos. Como norma general, tanto para el tratamiento de los datos de carácter personal, como

para su comunicación a un tercero, será necesario el consentimiento previo del afectado.

Esto es, habrá de manifestar su voluntad de que está de acuerdo con el tratamiento o

comunicación de los datos personales que le conciernen. Pero además, dicho consentimiento podrá ser revocado en cualquier momento por causa justificada, aunque no

se le podrán atribuir efectos retroactivos a dicha revocación.

No obstante, hay determinados casos, en los que podemos tratar datos personales, aun no

teniendo el consentimiento del afectado; he aquí algunos casos representativos:

• Cuando los datos se refieran a las partes de un contrato o precontrato de una relación

de negocios, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento.

• Cuando los datos figuren en fuentes accesibles al público.

• Cuando la cesión esté autorizada en una ley

• Cuando sea necesario para satisfacer el interés legítimo del responsable o encargado

del tratamiento y no vulnere los derechos y libertados fundamentales del sujeto

afectado ( exige una ponderación rigurosa, caso por caso, entre los derechos e

intereses en conflicto)

Por último, en lo que respecta a la forma de recabar el consentimiento durante el proceso de

formalización de un contrato, (separa finalidades que no guarden relación directa con el

mantenimiento, desarrollo o control de la relación contractual) deberá permitir al afectado que

manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de

una casilla claramente visible y que no se encuentre ya marcada en el documento que se le



entregue para la celebración del contrato.

La solicitud de consentimiento debe ir referida a un tratamiento o serie de tratamientos

concretos con delimitación de la finalidad y de las restantes condiciones que concurran e

indicar la finalidad para la que se destinaran los datos y el tipo de actividad que se va a realizar.

En esta comunicación se le informará de sus derechos y concediéndole un plazo de 30 días

para manifestar su negativa al tratamiento a través de un medio sencillo y que no implique

ningún tipo de ingreso.

El consentimiento se puede obtener con posterioridad a la recogida para otro tratamiento, o en

el marco de servicios de facturación periódica o en el marco de una relación contractual cuyos

fines no tienen que ver directamente con los datos objeto de tratamiento.

Debe existir un procedimiento de revocación del consentimiento sencillo y que haga efectiva la

revocación el plazo de 10 días desde la recepción y se comunique la revocación a los

cesionarios en este plazo

El Consentimiento de menores exige la obligación de solicitar el consentimiento inequívoco

de los representantes legales excepto para los menores emancipados.

En la práctica de nuestro negocio, esto implica que en las solicitudes de producto de nuestra entidad debemos darles la opción a los clientes para

que elijan si sus datos van a ser utilizados para ofrecerles productos que no se refieren al mantenimiento, desarrollo o control del contrato que está

firmando.

Así, por ejemplo, si se trata de una solicitud de tarjeta de crédito y el cliente

marca la casilla establecida al efecto, no debemos ofrecerle acciones comerciales de préstamos o un fondo de inversión, pero sin embargo, si es

posible contactar con él posteriormente para que active la tarjeta contratada, ya que consideramos que forma parte del mantenimiento de la propia

relación contractual

1.5.4 DATOS ESPECIALMENTE PROTEGIDOS

Los datos que hagan referencia al origen racial, salud y vida sexual, tienen un nivel de

garantías superior al resto de datos personales, y por ello se exige el consentimiento expreso del afectado:

Además debe obtenerse el consentimiento expreso y por escrito del afectado, cuando se trate

de datos que tienen que ver con:



• Afiliación Sindical

• Religión

• Creencias

• Ideología

1.5.5 DEBER DE SECRETO

El deber de secreto establece que el responsable del fichero, está obligado al secreto profesional de los mismos, incluso después de haber finalizado la relación con el titular del

fichero.

Pero también lo estarán, quienes intervengan en cualquier fase del tratamiento de los datos de

carácter personal, incluso después de haber finalizado su relación con el responsable del

fichero.

El empleado debe tener siempre presente que en ningún caso, debemos revelar datos

de clientes a ninguna persona fuera de la organización, ni tan siquiera a personas de

nuestra empresa que no lo necesiten para el desempeño de su actividad

1.5.6 SEGURIDAD DE LOS DATOS

El principio de seguridad de los datos establece que el responsable del fichero, y en su caso,

el encargado del tratamiento, deberán adoptar las medidas necesarias (que deberán ser

revisadas periódicamente) para mantener la seguridad de los datos personales, debiendo evitar

su alteración, pérdida y acceso no autorizado.

En este sentido, se prohíbe el registro de datos en ficheros que no reúnan las condiciones

reglamentariamente establecidas, en relación con la integridad y seguridad de los datos, así

como con las de los centros de tratamientos, locales, equipos, sistemas y programas.

Para abordar en profundidad el tema de la seguridad de los datos, se establece una serie de

medidas de seguridad de los ficheros automatizados y no automatizados de datos de carácter

personal, que analizaremos más adelante

1.6 DERECHO DE PROTECCION DE DATOS

1.6.1 INTRODUCCIÓN Y CARACTERÍSTICAS GENERALES:

Los derechos de los afectados relacionados con protección de datos, tienen un carácter

estrictamente personal, con carácter general, por lo que sólo pueden ejercitarse por parte del



interesado.

Estos derechos, conocidos como derechos ARCO, son los derechos de:

• Acceso

• Rectificación

• Cancelación

• Oposición.

Los responsables de los ficheros, deben conceder a la persona que ejercita sus derechos un medio sencillo y gratuito para poder realizar dicha acción. En ningún caso, el

ejercicio de estos derechos supondrá un ingreso adicional para el responsable del tratamiento.

Por ejemplo, no es posible establecer medios para el ejercicio de estos derechos, como:

• El envío de cartas certificadas

• Los números de teléfono que impliquen una tarificación adicional ( como números 902)

• También se admiten como medios válidos para el ejercicio de estos derechos, los

servicios que el responsable del fichero disponga de atención al público o de ejercicio

de reclamaciones relacionadas con el servicio o productos ofertados.

Una característica común a los derechos de acceso, rectificación, cancelación y oposición es,

que, en caso de denegación del derecho, el responsable del fichero informará al afectado de su

derecho a recabar la tutela de la Agencia Española de Protección de Datos, o en su caso, de

las autoridades de control de las Comunidades Autónomas

1.6.2 EL DERECHO DE ACCESO

El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de

carácter personal sometidos a tratamiento, del origen de dichos datos, así como las

comunicaciones realizadas

Los afectados pueden solicitar el ejercicio de sus derechos ante un encargado del tratamiento

(por ejemplo, una agencia de ventas); en este caso el encargado deberá dar traslado inmediato

de la solicitud al responsable, a fin de que se resuelva la petición,

en el plazo legalmente establecido de 10 días.

El interesado podrá ejercitar sus derechos de forma gratuita, mediante solicitud o petición

dirigida al responsable del fichero, y en la que deberá aparecer:

• La identificación del afectado ( DNI, pasaporte u otro medio equivalente)



• Petición en que se concreta la solicitud.

• Dirección a efectos de notificaciones, fecha y firma del solicitante.

• Documentos acreditativos de la petición que formula, en su caso.

1.6.3 ¿EN QUE CONSISTEN LOS DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN?

Estos derechos consisten en la facultad del afectado a instar al responsable del fichero,

cuando el tratamiento de los datos no se ajuste a la ley, a cumplir la obligación de mantener la

exactitud de los datos, rectificando o cancelando los datos de carácter personal, cuando:

• Resulten incompletos o inexactos

• Sean inadecuados o excesivos

La cancelación no significa la eliminación o el borrado de los datos, sino un bloqueo del tratamiento de los datos, conservándose únicamente a disposición de las administraciones

públicas, jueces y tribunales para la atención de posibles responsabilidades nacidas del

tratamiento de los mismos.

¿Qué debe hacer el responsable del fichero?

El responsable del fichero, resolverá sobre la solicitud de rectificación o cancelación en el

plazo de 10 días. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el

responsable deberá comunicar la rectificación o cancelación al encargado, también en el plazo

de 10 días contados desde la recepción de dicha comunicación, para que proceda asimismo a

rectificar o cancelar los datos.

1.6.4 ¿EN QUE CONSISTE EL DERECHO DE OPOSICIÓN?

Este derecho consiste en la facultad que se reconoce al afectado para negarse al tratamiento de sus datos de carácter personal o su cese en los mismos, en determinados

casos:

• Cuando se trate de ficheros relacionados con publicidad y prospección comercial.

• Cuando el tratamiento de datos tenga como fin la adopción de una decisión que se

base únicamente en un tratamiento automatizado (en los casos de rendimiento laboral,

crédito , fiabilidad o conducta)

• Cuando no sea necesario su consentimiento para el tratamiento de datos y existan

motivos fundados y legítimos para ello, referida a su concreta situación personal,



siempre que una ley disponga lo contrario.

¿Qué debe hacer el responsable del fichero?

El responsable del fichero, resolverá sobre la solicitud de rectificación o cancelación en el plazo

de 10 días

1.7 FICHEROS DE SOLVENCIA PATRIMONIAL Y CREDITO

La normativa de protección de datos regula de manera específica los ficheros de solvencia

patrimonial y de crédito ( ASNEF-EQUIFAX, EXPERIAN…), que por estar relacionados con la

actividad financiera pasamos a detallar a continuación.

Principio de información previa:

Existe la obligación de informar al afectado, antes de producirse la inclusión de datos

personales en los ficheros de solvencia patrimonial y de crédito. Así para cumplir con este

requisito, todas nuestras solicitudes de crédito o préstamo tienen una cláusula donde

informamos a nuestro cliente de que sus datos pueden ser incluidos en este tipo de ficheros.

Requisitos de inclusión de datos personales en los ficheros de solvencia patrimonial:

Además del deber de información previa, para incluir los datos personales de los clientes en los

ficheros de morosidad, deben cumplirse los siguientes requisitos:

· Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.

· Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la

deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de

vencimiento periódico.

Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

Tenemos que asegurarnos que la carta de requerimiento de pago llegue al

afectado, cumpliendo con los requisitos del deber de información, ya que el responsable del fichero debe conocer si la comunicación ha sido objeto de

devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado, y por tanto, no podemos

incluir los datos del cliente en ASNEF.

Es importante tener actualizada la deuda de nuestros clientes en los ficheros de ASNEF, ya que de no ser así se infringiría el principio de calidad de

datos, lo que puede derivar en un procedimiento sancionador de la AEPD y una posible multa que oscila entre 40.001€ y 300.000€.



Cuando la entidad financiera le ceda a otra empresa los datos personales de un cliente con el

propósito de reclamar impagos, o para realizar un scoring de su solvencia financiera, hay que

tener presente que habrá que sistematizar los supuestos que legitiman la cesión de datos, pues

el afectado no puede ser privado de conocer aquellos datos que puedan tener alguna

incidencia en sus derechos, y máxime si solicita acceso a los mismos al responsable del

fichero.

Así mismo, no cabe la inserción de datos en un fichero de morosos, a pesar de estar saldadas

las deudas, por lo que una vez cancelada la deuda, e inscrita la misma en escritura pública, “se

tendrá que observar una especial diligencia para mantener los datos al día”, para evitar el

menoscabo que para la imagen y el prestigio de la persona supone figurar indebidamente en

un fichero de solvencia patrimonial y crédito.

El responsable del fichero tiene la obligación de actualizar de oficio la información cuando

tenga conocimiento de su inexactitud bien directamente, bien atendiendo las solicitudes de

cancelación de los afectados.

1.8 TRATAMIENTOS COMERCIALES

Los Ficheros de Publicidad y Prospección Comercial son aquellos en los que una Entidad

realiza o encarga realizar una campaña comercial. En este caso, la Entidad que encargue la

realización de la campaña comercial (beneficiario de la campaña) deberá adoptar las medidas

necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo

con la ley de protección de datos.

En lo que respecta a la comercialización de los productos financieros, la normativa

establece que quienes se dediquen a la recopilación de las direcciones, reparto de

documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas,

así como quienes realicen estas actividades con el fin de comercializar sus propios productos o

servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de

carácter personal cuando los mismos se encuentren en alguno de los siguientes casos:

• Que figuren en alguna de las fuentes accesibles al público que establece la

normativa y el interesado no haya manifestado su negativa u oposición a que sus datos

sean tratados para fines publicitarios. Además, en cada comunicación deberá

informarse al afectado de que sus datos han sido obtenidos de fuentes accesibles al

público, de la identidad del responsable del tratamiento de los datos, así como de los

derechos que le asisten.



• Que hayan sido facilitados por los propios interesados u obtenidos con su

consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con

la actividad de publicidad o prospección comercial, habiéndose informado a los

interesados sobre los sectores específicos y concretos de la actividad respecto de los

que podrá recibir información o publicidad.

Cesión de datos a terceros para campañas comerciales:

Con la expresión “cesión” o “comunicación de datos” se hace referencia a cualquier revelación

de datos personales realizada a una persona distinta del interesado, comprendiendo desde la

obtención de los datos resultante de la consulta de un fichero hasta la interconexión con otros

ficheros distintos.

No se considerará comunicación o cesión de datos personales el acceso de un tercero a los

datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del

tratamiento.

Los datos de carácter personal solo podrán ser comunicados a un tercero para el cumplimiento

de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con

el previo consentimiento del afectado.

No es necesario este consentimiento si está autorizada en una ley, tenga por objeto datos

recogidos de fuentes accesibles al público o responda a la libre y legítima aceptación de una

relación jurídica que implique la cesión.

La principal consecuencia de la cesión de datos a un tercero es que ese tercero al que se le

ceden los datos pasa a tener la consideración de un nuevo responsable del tratamiento

debiendo asumir las obligaciones en materia de protección de datos.

El Responsable del Fichero en el momento en que efectúe la primera cesión de datos deberá

informar a los afectados de la cesión, finalidad, naturaleza de los datos cedidos y nombre del

cesionario.

Cesiones entre empresas del mismo grupo

La existencia de un grupo de empresas no impide que cada una de las sociedades

integradas en el mismo mantenga diferente personalidad, de modo que la comunicación de datos se produce entre dos personas jurídicas distintas.

No existe previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión por lo

que deberá realizarse de acuerdo con lo que se establece la LOPD.

El reglamento LOPD admite la figura de la subcontratación, pero con carácter general, para ello

es necesario la autorización del responsable del tratamiento.



1.9 FICHEROS DE EXCLUSIÓN

Con el objetivo de no recibir publicidad no deseada, se han de promover los ficheros de

exclusión, a los que podrán incorporarse voluntariamente los clientes que no deseen que sus datos bancarios sean cedidos a otras empresas del grupo, o terceras empresas con

fines comerciales, o simplemente para verificar o confirmar datos de un cliente, que

supuestamente es cliente común.

Los ficheros de exclusión del envío de comunicaciones comerciales, lo constituyen los

llamados clientes “ Robinson”.

Son aquéllos que han manifestado su derecho de oposición al tratamiento de sus datos para

fines comerciales, o bien, que piden la cancelación de sus datos en los listados de marketing.

El ejercicio de derechos en los ficheros de exclusión de envío de comunicaciones comerciales,

es especialmente importante, y una de las fuentes principales de sanciones de la AEPD.

En este sentido se estima conveniente introducir una casilla en el propio contrato que permita

la posibilidad de oponerse a dicha cesión.

De esta manera, siempre que un cliente solicite, con las formalidades exigidas por la normativa,

no recibir acciones comerciales, debemos de hacer efectivo este derecho en el plazo de 10

días, e informar expresamente al cliente en idéntico plazo. Si nuestra entidad, o cualquiera de

las agencias que trata datos personales de nuestros clientes, envía cualquier tipo de

publicidad, después de los 10 días, supondrían un incumplimiento de la normativa de

protección de datos, con el consiguiente riesgo de imposición de sanción.

1.10 TRANSFERENCIA INTERNACIONAL DE DATOS

La transferencia internacional de datos es el tratamiento de datos que supone una transmisión

de los mismos fuera del Espacio Económico Europeo.

Como regla general, cuando la transferencia se realiza a un país que no ofrece un nivel

equiparable al de la Unión Europea, es necesario la autorización del Director de la AEPD, a no

ser que el afectado haya prestado su consentimiento inequívoco a la transferencia prevista ,o la

transferencia se encuentre recogida en algunos de los supuestos de la LOPD.

Estos son algunos de los países respecto de los cuales la AEPD ha declarado que presentan

un nivel de garantías de protección de datos adecuado:

• Espacio Económico Europeo ( Unión Europea + Islandia + Liechtenstein +Noruega)



• Suiza

• Argentina

• Empresas de EEUU que se hallan adheridas al Convenio de Puerto Seguro (Safe

Harbor Agreement).

La participación de los empleados es fundamental para asegurar que las transferencias

internacionales de datos que afectan a datos personales están aprobadas por el Director de la

AEPD, o cuentan con el consentimiento del afectado.

1.11 MEDIDAS DE SEGURIDAD

La normativa de protección de datos impone a los responsables de los datos la obligación de cumplir con una serie de medidas de seguridad para los ficheros automatizados, que

varían de nivel, según la naturaleza del fichero. Se trata de medidas técnicas y organizativas destinadas a garantizar la seguridad de los datos de carácter personal y evitar su alteración,

pérdida o acceso no autorizado. Se refieren tanto a ficheros automátizados como no

automatizados.

Las medidas de seguridad que se establecen para la creación de un fichero, son: diseño de un

sistema de seguridad, puesta en producción del fichero, registro del mismo en el Registro

General de Protección de Datos.

Niveles de seguridad

• Básico: todos los ficheros

• Intermedio: ficheros que contienen datos que permiten obtener una evaluación de

personalidad. Ficheros que contienen datos relativos a infracciones penales,

administrativas, Hacienda pública, servicios financieros o solvencia

• Alto: Ficheros que contienen datos relativos a ideología, creencias, origen racial,

saludo, vida sexual o datos policiales.

Así, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las

medidas de seguridad calificadas de nivel básico.

Además de las medidas de nivel básico, es necesario establecer medidas de nivel medio en

aquellos ficheros o tratamientos de datos que indica la LOPD, entre los que se encuentran

aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas

con la prestación de servicios financieros.

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los



ficheros o tratamientos de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial , salud o vida sexual.

Además, de acuerdo con la Ley Española de Prevención de Blanqueo de Capitales,

también se aplicarán a los sistemas y los tratamientos de información relacionadas con la

prevención de blanqueo de capitales.

1.12 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos es un Ente de Derecho público, con personalidad

jurídica propia y plena capacidad pública y privada, que actúa con independencia de las

Administraciones Públicas en el ejercicio de sus funciones. Se relaciona con el gobierno a

través del Ministerio de Justicia.

Funciones

• Velar por el cumplimiento de la legislación sobre protección de datos y controlar su

aplicación. En especial, en lo relativo a los derechos de información acceso,

rectificación, oposición y cancelación de datos

• Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

Atender las peticiones y reclamaciones formuladas por los afectados.

• Proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de datos de carácter personal,

• Ejercer la potestad sancionadora

• Redactar una memoria anual y remitirla al Ministerio de justicia.

1.12.1 EL REGISTRO DE PROTECCIÓN DE DATOS

El Registro General de Protección de Datos es un órgano integrado en la Agencia Española de

Protección de Datos. Son objeto de inscripción en este registro:

• Los ficheros titularidad de las Administraciones Publicas

• Ficheros de titularidad privada.

• Las autorizaciones a que se refiere la LOPD.

• Los Códigos Tipo.



1.12.2 INFRACCIONES

A continuación enumeramos los comportamientos que pueden ser sancionados por la Agencia

de Protección de Datos, se trata básicamente de que el empleado tome conciencia del coste

tan alto por sanciones que puede suponer para la entidad bancaria incurrir en prácticas

irregulares en materia de protección de datos.

Son infracciones leves, entre otras:

• No solicitar la inscripción del fichero de datos de carácter personal en el Registro

General de Protección de Datos de la AEPD ( cuando no sea constitutivo de infracción

grave)

• Proceder a la recogida de datos de los afectados sin proporcionarles la información

que señala el art.5 de la LOPD.

• Incumplir el deber de secreto ( cuando no es constitutivo de infracción grave)

La cuantía de las sanciones leves varía de 400 a 40.000 €.

Son infracciones graves, entre otras:

• Crear ficheros o iniciar la recogida de datos personales con finalidades distintas a las

que constituyen el objeto legítimo de la empresa o entidad.

• Proceder a la recogida de datos personales sin recabar el consentimiento expreso

cuando así sea exigible.

• Mantener datos personales inexactos o no efectuar las rectificaciones o cancelaciones

de los mismos que legalmente procedan, cuando resulten afectados los de las

personas amparadas por la LOPD.

• Vulnerar el deber de guardar secreto sobre los datos personales incorporados a

ficheros que contengan datos relativos a servicios financieros o prestación de servicios

de solvencia patrimonial y crédito.

La cuantía de las sanciones graves varía de 40.001 a 300.000€.

Son infracciones muy graves, entre otras:

• La recogida de datos de forma engañosa y fraudulenta.

• Recabar y tratar los datos de carácter personal especialmente protegidos, sin el

consentimiento expreso del afectado y éste sea necesario.

• Transferir temporal o definitivamente datos de carácter personal con destino a países

que no proporcionen un nivel de protección equiparable a la existente en España, sin la



autorización del Director de la AEPD.

• No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,

rectificación, cancelación u oposición.

La cuantía de las sanciones muy graves varía de 300.001 a 600.000€.



Unidad 2 El empleado y la protección de

datos



2.1 ¿QUE DEBE HACER Y QUE NO DEBE HACER?

Como empleado de una entidad bancaria tienes acceso y utilizas datos personales en tu

trabajo diario. Por lo tanto, es importante que conozcas los aspectos de las normas sobre

Protección de Datos que pueden afectar a tu trabajo.

También estás obligado, a cumplir con los requisitos de protección de datos y de las políticas

internas, y a proteger la información confidencial y de carácter personal.

Cualquier empleado se enfrentará a un expediente disciplinario, incluso al despido, si utiliza

datos personales de forma no autorizada.

En este capítulo concretamos algunas medidas de protección de datos y privacidad, que te

ayudarán como empleado a mantener seguros los datos personales

A continuación se enumeran una serie de actuaciones, comportamientos o medidas que los

empleados de las entidades bancarias deben incorporar a su día a día para evitar los riesgos

derivados de la utilización de datos de clientes:

1. Bloquea tu pantalla siempre que te levantes de tu sitio.

Cuando un empleado se levanta de su mesa en la pantalla de su ordenador puede

tener información sobre clientes o incluso información sensible o privilegiada relativa a

operaciones de clientes de la propia entidad. Especialmente en la red de sucursales,

un gran número de personas externas (clientes, personas de limpieza, mantenimiento)

pueden tener acceso visual a nuestra pantalla y poder acceder a datos personales de

nuestros clientes.

2. No reveles tus contraseñas. No las compartas con nadie.

Un empleado por error para facilitar una consulta puntual de su correo por un

compañero o por cualquier otro motivo puede facilitar a un tercero las claves de acceso

a su ordenador. Con este error en nuestro comportamiento toda la información sobre

nuestros clientes permite el acceso de un tercero, que, aunque sea un empleado,

puede que no deba acceder a esa información.

3. Nunca dejes datos personales a la vista. Guárdalos bajo llave cuando no los estés utilizando.

Al igual que sucede con las pantallas del puesto de trabajo, alrededor de las mesas y

archivos pueden situarse un gran número de personas externas. Si en nuestro

escritorio dejamos documentación confidencial o que contenga datos personales de

nuestros clientes cualquier persona que se encuentre en ese momento situada cerca

de nuestra mesa puede acceder y copiar esos datos.



4. Destruye de forma segura los papeles que contengan datos personales cuando termines de

trabajar con ellos: utiliza las papeleras específicas para papeles confidenciales.

Hemos leído en multitud de ocasiones en los periódicos que en la basura se han

encontrado datos personales de clientes. Como principio general no podemos tirar a la

basura ningún documento que contenga datos personales de los clientes de una

entidad bancaria o de la propia entidad.

Siempre debemos utilizar los destructores de papel para deshacernos de los

documentos de trabajo, es la única forma que tenemos de asegurarnos de que esa

información nunca llegará a terceros.

5. No saques fuera de las instalaciones datos personales, nunca hables de ellos fuera de la

oficina.

Las reuniones fuera de la sucursal con clientes, o comidas con empleados, pueden ser

origen de pérdida de datos para una entidad financiera. Los empleados pueden incurrir

en un riesgo muy importante en materia de protección de datos ya que a las reuniones

se suele acudir con propuestas, documentos que contienen datos personales. Existe el

riesgo de que el empleado olvide documentos en restaurantes, salas de reuniones y

que la información contenida en esos documentos sea accesible a terceros.

Los empleados de la entidad bancaria deben extremar el cuidado de los documentos

cuando tengan reuniones fuera de la sucursal y por supuesto en comidas, cenas o

eventos a los que acudan con los clientes.

6. Utiliza sólo sistemas de correo electrónico seguros o cifra los datos personales antes de

enviarlos por correo electrónico ya que pueden interceptarse y no es seguro.

Por desgracia es bastante habitual que un empleado distribuya por error un correo a

personas a las que no quería enviárselo, ya sea por error o confusión; o simplemente

por error responda a todos los destinatarios de un correo electrónico cuando solo uno

de ellos debe recibir la información.

La única forma de evitar el riesgo en materia de protección de datos es que el

empleado siempre que vaya a enviar información sensible o que contenga datos

personales utilice un sistema de protección o correo seguros que son ya habituales en

todas las entidades financieras.

7. Envía sólo correos electrónicos internamente a personas que realmente necesitan recibirlos

y evita copiar a gente innecesaria. Utiliza la copia oculta en tus correos si te diriges a

diferentes personas fuera de la organización.



Como hemos comentado en el punto anterior los correos electrónicos son una de las

fuentes de riesgos en materia de protección de datos.

Otro error muy habitual es el envío de un correo sobre un determinado asunto,

problema, a clientes, a otros empleados o personas externas que no necesitan esa

información en su trabajo. La inclusión de remitentes innecesarios en los correos puede

llevar a que un empleado comparta información sensible o datos personales con

personas que no deberían tener acceso a la misma.

Una práctica responsable que evita errores es la remisión a grupos a través de la

opción con copia oculta, de esta forma se evita que otro empleado responda a todos y

no valore si es correcto o no el envío de esa información

8. Protege con contraseña los archivos almacenados en discos compartidos y elimínalos

cuando ya no los necesites.

Cuando una la información o los datos personales se encuentran accesibles a un gran

número de personas, una práctica muy recomendable es proteger o limitar el acceso al

archivo o carpeta a través de una contraseña.

Es fundamental en el entorno de protección de datos extremar el cuidado de las

contraseñas, tanto su almacenamiento como el número de personas que tienen acceso

a ellas ya que una vez protegemos un archivo corremos el riesgo de pensar que solo

tienen acceso un número determinado de personas cuando puede ser que el número

sea mayor por un manejo erróneo de las contraseñas.

9. Asegúrate de que los visitantes se registran a la entrada y salida y acompáñalos en las

zonas que normalmente están restringidas a empleados.

Cuando recibimos la visita de terceros en las oficinas de la entidad que van a tener

acceso a mesas, salas de reunión, que han sido utilizados previamente y en las que

pueden conocer información restringida o datos personales de clientes.

Es fundamental que cuando terceros accedan a nuestras oficinas por nuestra invitación

estemos pendientes de su acceso, les acompañemos en todo momento, de tal forma

que no estén solos en ningún momento y no puedan acceder a dicha información.

10. Coloca las pantallas de los ordenadores de forma que no pueda provocarse divulgaciones

accidentales de datos personales.

Ya se comentó en el primer punto que las pantallas de ordenador son una fuente de

riesgos en materia de protección de datos y que por este motivo se debe extremar el

cuidado con su colocación de forma que no facilitemos la visión de datos personales a



terceros no autorizados para conocerlos

11. No debe guardarse ni sacarse de la oficina información en medios informáticos (CD-ROM,

discos, cintas, lápiz USB, memorias, etc.) sin el consentimiento del responsable de seguridad

de la información.

Una de las fuentes de incumplimiento de las políticas de protección de datos es el

archivo de información en fuentes externas. Con los medios actuales en cualquiera de

ellos podemos archivar una gran cantidad de información, una vez nos encontremos

fuera de la oficina o la sucursal puede ocurrir la pérdida o robo de estos medios

electrónicos lo que provocaría el acceso a la información grabada de terceros que

pueden dar un uso ilegal a esta información y provocar un gran daño a nuestra entidad.

Es fundamental que cuando vayamos a sacar información de la entidad bancaria nos

pongamos en contacto con el departamento de seguridad de forma que nos faciliten la

forma en que podemos protegerla e impedir su divulgación a terceros en caso de

pérdida.

12. Cuando realices llamadas telefónicas debes seguir los procedimientos para verificar la

identidad de la persona que llama y que garantizan que puedes revelarles información.

Recuerda que las personas que llaman pueden intentarlo y engañarte para que les reveles

información.

Es muy habitual que en el AVE o en un restaurante, un tercero mantiene una

conversación telefónica en un tono de voz alto o muy alto y que en esta conversación

hable de terceros o comente situaciones o informaciones que podríamos considerar

delicadas.

Los empleados de una entidad bancaria deben extremar el cuidado cuando hablen por

teléfono sobre operaciones, clientes, de forma que no comenten datos personales o si

lo tienen que hacer lo hagan de forma que otras personas no puedan oír esta

información.

13. Cuando envíes cartas u otros documentos a clientes o terceros debes prestar atención para

no incluir accidentalmente datos personales de otro cliente.

Como hemos comentado en el caso de los correos electrónicos el envío de cartas a

clientes es otra de las actividades que pueden generar riesgos en materia de

protección de datos. En muchas ocasiones estos envíos se realizan de forma

simultánea o no se les presta la suficiente atención cuando son situaciones de riesgo

ya que podemos confundir la información o documentos de un cliente con los de otro.



Es fundamental tanto en el momento como en la forma que estos procesos se realicen

con el cuidado necesario para evitar errores y que si se confían a becarios o personal

externo se hagan con la supervisión adecuada.

14. Utiliza los servicios de mensajería si es necesario para enviar grandes volúmenes de datos

personales en formato papel. Para transferir o transportar por medios electrónicos (CD, cintas,

discos, etc.) es necesario el asesoramiento y la aprobación del responsable de seguridad de la

información.

Como continuación del punto anterior cuando los envíos son de una gran cantidad de

documentación es fundamental que acudamos a los servicios de mensajería que tienen

contratado nuestra entidad bajo la supervisión del responsable de seguridad. De esta

forma estaremos cubiertos tanto por los procedimientos de seguridad como por su

experiencia y evitemos correr riesgos innecesarios en el envío de la documentación.

15. Si terceros solicitan datos personales, asegúrate de que tienes autorización del cliente para

hacerlo o bien que las leyes de tu país permiten su divulgación.

En las entidades bancarias es muy habitual que utilicemos en nuestro trabajo la

colaboración de asesores externos (bufetes, auditores, analistas,….) y que

compartamos con ellos una gran cantidad de información sensible. Lo normal es que

esta información sea necesaria para realizar su trabajo por lo que la actuación correcta

no es limitarles la documentación sino asegurarnos de que la cesión se realiza con las

autorizaciones pertinentes y, por supuesto, dentro de la legalidad.

2.2 EL RIESGO DE INTERNET Y LOS CORREOS ELECTRONICOS DAÑINOS (TROYANOS)

En torno a los delitos económicos en internet, día a día las prácticas para robar datos bancarios

en la red son más sofisticadas.

El phishing (correos engañosos y servidores fraudulentos para conseguir las claves de acceso

a cuentas, o el número de la tarjeta de crédito) cede terreno a los troyanos (programas

camuflados dentro de otros aparentemente útiles e inofensivos) que se instalan en el ordenador

del afectado para capturar sus datos.

Así los empleados deben tener siempre en cuenta estos consejos de seguridad:

1º) No abrir correos electrónicos supuestamente enviados por una entidad financiera,

incluso de las que no se es cliente.

2º) No abrir archivos adjuntos que tienen un origen desconocido.

3º) No utilizar claves fácilmente deducibles, como nombre o fecha de nacimiento.



4º) No responder a mensajes que pidan información inmediata ante el cese de

actividades financieras.

5º) No dar datos personales ni códigos de acceso nunca.

6º) No confiar en supuestas campañas promocionales.

7º) Tener instaladas las oportunas actualizaciones del sistema operativo y del

navegador.

8º) Informarse sobre la seguridad en el uso de internet.

9º) Instalar programas antivirus y antiespías, y que estos cortafuegos estén

continuamente actualizados.

10º) No entrar en la web del banco mediante enlaces de otras webs.

11º) No apuntar claves de acceso, firmas electrónicas o similar en ningún sitio, sino que

conviene memorizarlas.

12º) No atender correos electrónicos en idiomas que el usuario no hable.

13º) Usar un proveedor de acceso a internet que implemente tecnologías y políticas anti-

spam y anti-phising.

14º) No llevar a cabo transacciones financieras en lugares públicos con acceso a

internet.



Unidad 3 Situaciones de negocio



SITUACION 1

Juan Muñoz es el director de la sucursal de la entidad XXXX en Getafe, esta sucursal está

especializada en banca de empresas. Ha quedado a comer con uno de sus clientes Empresas

El Tomate en el Restaurante “La Tostada”, el motivo de la reunión es hacerle una presentación

de los nuevos fondos de tesorería que acaba de lanzar la entidad y que creemos pueden ser

una buena opción para rentabilizar sus saldos en cuenta corriente

El cliente es una de las mayores empresas de la zona y dura negociadora por lo que ha

pensado entregarle la presentación que preparó la semana pasada para otra empresa vecina,

Empresas El Mueble. De esa forma puede mostrarle a la empresa que otros clientes que ya

han contratado ese mismo producto.

Por desgracia, la reunión no finaliza de forma adecuada ya que nuestro cliente está molesto

con la entidad por un tema de comisiones. La comida finaliza de forma abrupta y el cliente se

queda tanto con su presentación como la que entregamos al otro cliente.

A los pocos días recibe una llamada del director financiero de Empresas El Muebleque nos

pide la cancelación de todas sus cuentas y la cancelación de todos sus datos en posesión de la

entidad

Conteste a las siguientes preguntas en relación con la actuación del director de la sucursal en

materia de protección de datos

1. ¿Puede el director comentar información sobre productos contratados por otros clientes?

a. No, el director no puede comentar datos de otros clientes sin su autorización. CORRECTA. En esta situación el director de la sucursal cometió un grave

incumplimiento de la Ley de Protección de Datos y de las medidas de protección de

datos. Esta absolutamente prohibido entregar a un cliente información de otro

cliente. El director aunque no hubiese entregado la documentación corrió un riesgo

al llevar a una reunión información de otro cliente, ya que como se ha comprobado

existe el peligro de perder esa documentación y como consecuencia de esta

perdida, perder también al cliente.

b. Si el cliente ha dado los datos al banco y puede utilizarlos en sus campañas

comerciales

c. El cliente nos cedió sus datos únicamente para campañas comerciales

d. No hay ningún tipo de limitación



2. ¿Qué deberá hacer el director con la solicitud de cancelación de utilización de datos

personales de la empresa El Mueble?

a. El director informara de la revocación del consentimiento para que la solicitud se resuelva en 10 días. CORRECTO. Cuando se recibe una solicitud de

cancelación es muy importante su inmediata transmisión al departamento

encargado de la protección de datos ya que existe u periodo de 10 días para que el

responsable realice la tramitación

b. El director informara de la revocación del consentimiento para que la solicitud se

resuelva en 30días

c. El director informara de la revocación del consentimiento para que la solicitud se

resuelva en 1 año

d. No es necesario que haga nada

3. Una vez recibida la solicitud de cancelación de los datos ¿Tendrá la entidad que borrar para

cualquier uso los datos del cliente?

a. Sí, es lo que ha pedido

b. No, solo es un bloqueo del tratamiento de los datos, se conservan para Administraciones públicas, jueces o tribunales. CORRECTO. La cancelación

de la autorización no significa que la entidad puede borrar los datos y pueda

olvidarse de ello. Tiene que mantener los datos para atender las solicitudes de la

Administración y tribunales para la atención de posibles responsabilidades nacidas

del tratamiento de los mismos

c. No, solo tendrá que volver a preguntarle si puede utilizarlas en otra ocasión.

d. Sí, pero únicamente tiene que eliminar los datos que el cliente haya indicado

expresamente



SITUACION 2

Juan González es un empleado de la sucursal de banca personal de la calle Gamazo de

Valladolid. Hace media hora ha recibido la visita de uno de sus mejores clientes Andrés Pérez,

el cliente está muy enfadado con nuestra entidad porque no ha podido cambiar de compañía

de teléfono al estar incluido en el Asnef por una deuda que tiene con la entidad.

Le ha pedido disculpas pero cuando hemos visto la información en los sistemas sobre el cliente

ves que la deuda corresponde a una tarjeta de crédito que por error se le solicitó y que el

cliente nunca llego a retirar. Por otro error la tarjeta se activado y ha generado una deuda por

las comisiones de cancelación de la tarjeta. Al no haberse pagado esta deuda se ha incluido el

nombre del cliente en un fichero de morosos

Nuestro cliente nos pide que inmediatamente le saquemos de este fichero



1. ¿Tiene el banco derecho a incluirle en un fichero de solvencia patrimonial?

a) Si siempre que la deuda sea cierta, vencida, exigible y haya resultado impagado

CORRECTA. La gestión de los ficheros de solvencia patrimonial es una parte

fundamental de la gestión de datos. Son datos muy sensibles en los que cualquier

error en su manejo puede tener importantes consecuencias en el prestigio de la

entidad.

En el Reglamento que desarrolla la Ley Orgánica de Protección de Datos permite a

las entidades la inclusión de los datos de los clientes con deudas pendientes de

pago con la Entidad. Establece la obligación de informar al afectado antes de

proceder a su inclusión en el fichero y asegurarnos que la deuda efectivamente

existe

El coste en material reputacional y en perdida de un posible cliente al ser calificado

como moroso de forma pública de forma incorrecta es enorme y este riesgo nos

obliga a ser extremadamente cuidadosos en la gestión de estos datos

b) No el banco no puede incluir esta información un fichero de solvencia patrimonial

c) Si, independientemente del tiempo pasado

d) Si siempre que lo considere oportuno



2. ¿Qué tipo de medidas puede tomar el banco para poder incluirle en un fichero de solvencia

patrimonial?

a) La entidad pude incluir en sus solicitudes de crédito o préstamo que sus datos

pueden incluirse en este tipo de ficheros CORRECTA. Como se ha comentado

antes el cliente tiene que ser informado antes de ser incluido en estos ficheros, las

entidades para asegurarse que cumplen con esta obligación advierten al cliente en

la solicitud del préstamo que firma el cliente.

Esta obligación no depende del tiempo que lleva pendiente la deuda ni necesitan

una comunicación propia por parte del cliente de que conoce esta situación.

b) No de ninguna manera

c) Solamente para deudas que sean superiores a los 10 años

d) Solamente si el cliente nos lo autoriza en una comunicación

3. ¿Qué plazo máximo de tiempo existe desde que hubo de procederse al pago de la deuda?

a. Un año

b. Dos años

c. Cinco años

d. Seis años CORRECTA. El plazo que tienen las entidades no esta

indeterminado, no pueden transcurrir mas de seis años desde que el cliente

incumplió con su obligación de pago para que la entidad pueda incluirle en

estos ficheros. Existe una caducidad en la utilización por parte de las entidades

de esta información.

4. ¿En qué consiste el derecho de rectificación y cancelación?

a) La facilidad del afectado a solicitar la cancelación de los datos cuando

resulten, incompletos o inexactos CORRECTA. Uno de los derechos más

importantes asociados al tratamiento de los datos por una entidad bancaria

que es el cliente siempre tiene derecho de rectificación y cancelación. El

cliente siempre va a poder retirar la autorización que dio cuando los datos

que se van a utilizar no son correctos. La entidad al recibir esta

comunicación del cliente debe abstenerse de utilizarlos cuando el cliente lo

solicite La gestión de los ficheros de solvencia patrimonial, es una parte



fundamental de la gestión de datos. Son datos muy sensibles en los que

cualquier error en su manejo puede tener importantes consecuencias en el

prestigio de la entidad.

b) El afectado puede solicitar a la entidad que le envíe una carta de disculpas

cuando sus datos sean erróneos

c) La facilidad que tiene el afectado para pedir una compensación económica

por el mal uso de sus datos

d) El derecho que tiene el afectado a que sus datos siempre se mantengan

invariables y en ningún momento actualizados



SITUACION 3

Juan González es un nuevo becario que va a trabajar en la sucursal que tiene nuestra entidad

en Arévalo. El primer día el director de la oficina le encargue prepare una serie de visitas

comerciales a profesionales de la zona.

Como Juan quiere realizar una gran campaña ha llamado a un amigo que trabaja en una

entidad de la compañía quien le facilita el nombre de todos los corredores de seguros de la

provincia a los que reenvía el correo pidiéndoles una entrevista.

A los pocos días uno de los corredores llama indignado a la sucursal pidiendo hablar con el

director y amenazando con acudir a la Agencia Española de Protección de Datos. El director

consigue calmar a este corredor prometiéndole que ese mismo día quedara incluido en la lista

de Robinson del banco.



1. ¿Qué debe hacerse con los titulares de datos obtenidos de terceros?

a. Informarles de que se dispone de esos datos antes de haber transcurrido un

periodo de tres meses CORRECTA. Entre los principios que nos encontramos en la

normativa sobre protección de datos esta el deber de información que obliga a

informar al titular de los datos de su utilización. Además si estos datos proceden de

una fuente externa o de un tercero es necesario informar a titular en los tres meses

siguientes al registro de los datos

b. Nada la obligación es de la empresa que obtuvo esos datos

c. Informarle en caso de que plantee una reclamación

d. Informarle a través de la página web del banco

2. ¿De qué otras fuentes podía haber obtenido información para preparar sus reuniones?

a. Lista de personas pertenecientes a grupos o colegios profesionales CORRECTA.

Otro origen de los datos que se van a utilizar son lo que se denomina fuentes

publicas. Entre las fuentes públicas se encuentran las listas de personas

pertenecientes a grupos profesionales que contengan únicamente los datos de

nombre, título, profesión, actividad, grado académico, dirección profesional e

indicación de su pertenencia al grupo. En el caso de Colegios profesionales,



podrán indicarse como datos de pertenencia al grupo los de número de colegiado,

fecha de incorporación y situación de ejercicio profesional

b. No hay fuentes de datos de acceso publico

c. Únicamente de las bases de datos de la entidad

d. De la agenda del director de la oficina

3. ¿Qué se entiende por una lista de Robinson?

a. Un fichero de exclusión de comunicaciones comerciales CORRECTA. El otro tema

más sensible junto con los ficheros de solvencia patrimonial son los ficheros de

exclusión de comunicaciones comerciales o más conocidos como listas de

Robinson. De nuevo el riesgo de pérdida de clientes o de pérdida de reputación es

muy grande, hay clientes que se pueden sentir muy molestos al recibir publicidad,

llamadas de teléfonos que les ofrezcan nuevos productos del banco.

Si un cliente está dispuesto a realizar las gestiones necesarias para ser incluido en

esta lista, significa que es un tema importante para él y que no le costara realizar

otro tipo de gestiones para dejar de ser cliente de esa entidad que no ha atendido

sus peticiones.

b. Un fichero de clientes molestos con el banco

c. Un fichero de empleados que pueden manejar datos de clientes

d. Un fichero de reclamaciones del banco

4. ¿Qué plazo tiene la entidad para hacer efectivo el derecho a no recibir acciones

comerciales?

a. 10 días CORRECTA. Es fundamental que cualquier petición que recibamos en este

sentido sea gestionada de forma adecuada y nunca considerada como un tema

menor. El plazo que se concede en la ley para la tramitación en este caso es de 10

días.

b. 1 mes

c. 3 meses

d. Un año

normativa espaÑola de proteccion de...

Documents