normativa espaÑola de proteccion de...
TRANSCRIPT
Página 2 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
OBJETIVO
El objetivo general de este curso es conocer la adecuada utilización y gestión
de los datos de personas que las Entidades tenemos de nuestros clientes y por
tanto, evitar que un uso incorrecto de los mismos pueda generar pérdida de
confianza, multas económicas y daño reputacional a nuestras Entidades.
Página 3 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
ÍNDICE
Unidad 0. Introducción Pág.: 4
Unidad 1: La protección de datos Pág.: 6
Unidad 2: El empleado y la protección de datos Pág.: 28
Unidad 3: Situaciones de negocio Pág.: 35
Página 4 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Unidad 0 Introducción
Página 5 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Este curso se estructura en dos partes muy definidas.
En la primera se explican unos conocimientos básicos sobre protección de datos,
se trata de conocer los conceptos básicos de la protección de datos.
En la segunda parte, se enumeran los comportamientos que debe tener el
empleado de una entidad bancaria para no incurrir en riesgos en materia de
protección de datos. Se trata de que el empleado conozca qué prácticas o
comportamientos de su actividad diaria no puede realizar y debe suprimir o
corregir.
Página 6 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Unidad 1 La protección de datos
Página 7 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
1.1 INTRODUCCIÓN A LA PROTECCIÓN DE DATOS
A finales de los años 90, comenzó a vislumbrarse que el progresivo desarrollo de las técnicas
de comunicación permitía guardar sin dificultades de espacio la información y que la
informática posibilitaba almacenar todos los datos que se obtenían a través de las
comunicaciones, pudiendo acceder a ellos en segundos.
El conocimiento ordenado de estos datos podía dibujar un determinado perfil de las personas,
cuya divulgación o tratamiento podía afectar a la esfera íntima o privada de las personas.
Los legisladores, pronto se percataron de que si no limitaban el uso de la informática en el
tratamiento de la información sobre las personas físicas, éste podía causar serios perjuicios a
las personas, por lo que empezaron a trabajar sobre la protección de datos de carácter
personal.
Hay un fuerte desconocimiento de la existencia y obligatoriedad de la normativa en Protección
de Datos entre las empresas que manejan datos personales. Todas las empresas que tienen
trabajadores o clientes directos, están afectadas.
La normativa considera dato de carácter personal a cualquier información concerniente a una
persona física identificada o identificable sin un esfuerzo desproporcionado. Por tanto,
cualquier empresa que trate datos personales, independientemente de lo que haga con ellos y
de la importancia objetiva de dicha información, deberá conocer y cumplir con esta legislación.
1.2 ¿POR QUÉ ES IMPORTANTE LA PROTECCIÓN DE DATOS PARA UNA ENTIDAD BANCARIA?
Los datos de carácter personal son la base del negocio de las entidades financieras, sin ellos
es virtualmente imposible la realización de acciones tales como dar servicio a un particular o
realizar una prospección comercial dirigida a un público específico.
Todo ello conlleva una gran entrada de nuevos datos, permanentemente actualizados y de un
importante valor añadido, pues aportan valoraciones acerca de posibilidades económicas,
actividades empresariales e incluso aportan perfiles familiares. Muchos de estos datos revelan
aspectos muy íntimos de sus titulares (datos patrimoniales, comisión de infracciones, salud,
origen racial o sexual).
El tratamiento de los datos de carácter personal incluye una serie de aspectos que no se
limitan únicamente a lo que es la seguridad que se aplica sobre el fichero, sino también a
cómo se utiliza y a quién se facilita la información.
Las deficiencias en la privacidad y la protección de datos pueden provocar daños irreparables
Página 8 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
en los estados financieros de las Entidades, sin mencionar en sus marcas, credibilidad y en la
confianza y relación con sus clientes.
En concreto para una entidad bancaria, una protección de datos deficiente puede provocar:
• Impacto económico: En 2007, piratas informáticos obtuvieron 94 millones de
datos sobre operaciones con tarjetas de crédito y débito de la cadena TJX (TK
Maxx). A TJX le supuso, hasta el momento, 320 millones de dólares entre juicios y
sanciones. Cuando se hace público que en una empresa se ha infiltrado
información confidencial, el precio de sus acciones suele sufrir una caída de un
5%. Informe Ponemon.
• Desconfianza del cliente y daño reputacional: "Más del 80% de las personas
encuestadas afirman que dejarían de tratar totalmente con una Entidad que haya
utilizado de forma incorrecta información de sus clientes." Periódico británico The
Guardian.
• Negativa a la utilización de datos personales: Un informe de la Oficina de
información del consumidor del Reino Unido revela que el 95% de las personas no
facilitarían información a una Entidad, si supiesen que ésta fuera a vender o pasar
sus datos a otra. El 30% de las personas dejarían de relacionarse con empresas
que les informaran de una filtración de sus datos personales
Veamos algún ejemplo de los errores en la gestión y protección de los datos de las entidades
bancarias:
• El Pais.com: Aparecen en la basura datos de clientes del Banco X. En
los documentos figuraban extractos y claves de las cuentas. Los documentos bancarios estaban tirados en un contenedor de la calle
Z…esparcidas por el suelo había cartas del banco a clientes, identificados con nombres, apellidos y dirección, en las que se les comunicaba "su pin [número secreto] …
• Diario de Mallorca: La Agencia de Protección de Datos ampara a un
mallorquín incluido irregularmente en un fichero de morosos…La Agencia de Protección de Datos (AEPD) ha impuesto sendas sanciones
de 120.000 euros a dos compañías de telefonía móvil que incluyeron, irregularmente, a un cliente palmesano en un fichero (listado) de
morosos…
• La Opinioncoruña.es: La Agencia Española de Protección de Datos
impuso una multa de 40.000 euros a un establecimiento comercial por
Página 9 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
instalar cámaras en el local que la multinacional tiene en el centro comercial…sin advertir a los transeúntes que estaban siendo grabados.
1.3 NORMATIVA DE PROTECCIÓN DE DATOS EN VIGOR
La normativa de protección de datos tiene por objeto garantizar y proteger, en lo que concierne
al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar.
Las normas principales que rigen la protección de datos personales, son las siguientes:
La constitución española de 1978, en su artículo 18 establece que:
1. Se garantiza el derecho al honor, la intimidad personal y familiar y a la propia imagen. La ley
limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio de sus derechos.
2. La directiva europea 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de
1995. Es el texto fundamental, en cuanto a la regulación de la protección de datos de los
países de la UE. En la actualidad esta directiva está en revisión.
3. La ley orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (
LOPD), que es la norma de referencia en el ordenamiento jurídico español, en lo que a
regulación de la protección de datos de carácter personal se refiere.
4. Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento que
desarrolla la LOPD ,y que entró en vigor el 21 de abril de 2008.
5. Otras fuentes de protección de datos a destacar son:
a) Instrucciones de la AEPD ( por ejemplo, la instrucción sobre video vigilancia)
b) Jurisprudencia de la Audiencia Nacional y Tribunal Supremo
La Ley Orgánica de Protección de Datos
La norma básica que regula la protección de datos de carácter personal en nuestro país, es la
Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (L.O.P.D.). Esta Ley da
cumplimiento al mandato constitucional y adapta a nuestro ordenamiento la normativa
comunitaria de 1995.
Página 10 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
El objeto de la L.O.P.D. es: “Garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales, a las personas físicas,
especialmente de su honor e intimidad personal y familiar.”
Así, esta Ley amplía el objeto de protección, reforzando los principios de consentimiento,
finalidad e información, pilares básicos de la protección de datos y, al mismo tiempo, cumple
las exigencias de la directiva comunitaria en cuanto a ficheros no automatizados.
1.4 CONCEPTOS BÁSICOS
La protección de datos es un derecho fundamental del ciudadano contra la utilización no
autorizada por terceros de sus datos personales. Será de aplicación a los datos de carácter
personal registrados en soporte físico (papel o informático) que los haga susceptibles de
tratamiento y a toda modalidad de uso posterior por los sectores público y privado.
Consentimiento.
Es toda manifestación de voluntad libre, inequívoca, específica e informada mediante la cual, el
interesado consiente el tratamiento de datos personales que le conciernen.
Fichero
Es todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos,
con arreglos a criterios determinados.
Hay tres tipos de ficheros:
• Ficheros automatizados, que son los que tienen un formato electrónico (base de
datos, aplicación, sistemas, etc.).
• Ficheros no automatizados, que son aquéllos que están disponibles en formato
papel.
• Ficheros que combinan ambos formatos, se denominan mixtos.
La entidad al ser responsable de multitud de datos personales, tiene declarados a la Agencia
Española de Protección de Datos varios ficheros (clientes, empleados, marketing, proveedores,
etc.).
Por ejemplo cuando preparamos una lista de morosos de nuestra oficina o
un cliente no entrega su documentación para que le estudiemos un préstamo estamos manejando datos personales.
Página 11 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Es importante que nos demos cuenta que en la actividad diaria de una entidad bancaria
manejamos multitud de ficheros aunque no reciban este nombre o tengan un formato de
archivo. Cualquier lista de clientes que incluya sus datos personales es un fichero.
Responsable del tratamiento.
Persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de datos
de carácter personal.
En nuestro caso, sería responsable la entidad bancaria.
Encargado del tratamiento:
Persona física o jurídica, que sólo o conjuntamente con otros trate los datos personales por
cuenta del responsable del tratamiento de datos de carácter personal.
Por ejemplo, una agencia de ventas, una empresa tecnológica que accede a
nuestros sistemas y por tanto tienen acceso a los datos de nuestros clientes aunque con esos datos vayan a realizar cualquier tipo de trabajo, servicio
para nuestra entidad
Tratamiento de datos:
Se considera tratamiento de datos: Cualquier operación o procedimiento técnico, sea o no
automatizado, que permita la recogida, grabación, conservación, elaboración, modificación,
consulta, utilización, bloqueo o supresión de datos personales, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y transferencias.
Cesión de datos:
Es el tratamiento de datos que supone su revelación a una persona distinta del afectado.
Fuentes de acceso públicas:
A efectos de la normativa de protección de datos española, sólo tendrán el carácter de fuentes
accesibles al público:
• El censo promocional.
• Las guías de servicios de comunicaciones electrónicas, en los términos previstos
en su normativa específica.
• Los diarios y boletines oficiales.
• Los medios de comunicación social.
Página 12 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Las listas de personas pertenecientes a grupos profesionales que contengan
únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección profesional e indicación de su pertenencia al grupo. La dirección
profesional podrá incluir los datos del domicilio postal completo, número telefónico,
número de fax y dirección electrónica. En el caso de Colegios profesionales,
podrán indicarse como datos de pertenencia al grupo los de número de colegiado,
fecha de incorporación y situación de ejercicio profesional
1.4.1 AMBITO DE APLICACION
Regla general de aplicación.
La normativa de protección de datos se aplica a los datos de carácter personal registrados en
soporte físico que les haga susceptibles de tratamiento (automatizado o no).
Están incluidos aquellos datos:
• Cuando el tratamiento de los mismos sea efectuado en territorio español por el
responsable de tratamiento de los datos, en el marco de las actividades de un establecimiento.
• Cuando el responsable de tratamiento de los datos no esté establecido en
territorio español pero le resulte aplicable la legislación española.
• Cuando el encargado de tratamiento de los datos no esté establecido en la Unión
Europea pero utilice medios para el tratamiento de datos que se encentren en
territorio español
Exclusiones más importantes.
Las exclusiones más importantes de la normativa son las siguientes:
• Tratamiento de datos referidos a Personas Jurídicas (empresas, sociedades, etc.)
• Ficheros de Personas físicas que prestan sus servicios a personas jurídicas, si se
refieren únicamente a nombre, apellidos, funciones o puestos de trabajo, dirección
postal o electrónica, teléfono y nº de fax profesional ( ejemplo: ficheros de contactos
profesionales y tarjetas de visita, siempre y cuando sean utilizados para fines
empresariales)
• Empresarios individuales, cuando hagan referencia a ellos en su calidad de
comerciantes, industriales o navieros.
Página 13 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Personas fallecidas ( no obstante, en determinados casos, se permite el derecho de
acceso y cancelación de datos del fallecido por parte de familiares)
• Tratamiento de datos de carácter personal realizado por personas físicas en el ejercicio
de actividades exclusivamente personales o domésticas ( ej: agendas de direcciones o
teléfonos de amigos y familiares).
1.5 PRINCIPIOS DE PROTECCION DE DATOS
1.5.1 DEBER DE INFORMACIÓN:
En el momento de la recogida de datos, ha de informarse al titular de los datos de forma clara y precisa:
• Para qué se están recogiendo los datos.
• Qué uso se va a hacer de dichos datos.
• Quienes serán los destinatarios de la información.
• La existencia de un fichero o tratamiento con dichos datos.
• En qué consistirá el tratamiento de los datos y cuándo terminará dicho tratamiento.
• La identidad y dirección del responsable del tratamiento, o en su caso de su
representante.
• La posibilidad de ejercitar los derechos que establece la LOPD ( derecho de acceso,
rectificación, cancelación y oposición).
Los titulares de datos obtenidos de terceros deben ser informados dentro de los tres meses
siguientes al registro de los datos salvo que hayan sido informados con anterioridad de esta
cesión, o cuando la información resulte imposible o exija un esfuerzo desproporcionado.
El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su
cumplimiento y deberá conservarse mientras persista el tratamiento de los datos.
El Responsable del tratamiento deberá conservar el soporte que asegure el cumplimiento del
deber de información (ficha, factura, contrato/...) pudiendo utilizar medios informáticos o
telemáticos (posibilidad de utilizar soportes en papel siempre que se garantice que en su
automatización no se alteran los datos).
Página 14 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
1.5.2 PRINCIPIO DE CALIDAD DE DATOS
De acuerdo con este principio, los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean:
• Adecuados
• Pertinentes
• No excesivos en relación con el ámbito y las finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido.
Así, en el caso de obtención de datos para la concesión de una tarjeta de crédito, parece razonable solicitar el nombre y apellidos y estado civil del
cliente, sin embargo, pedir la declaración de todos los bienes inmuebles de su propiedad, y la de sus parientes más próximos, por ejemplo, podría
considerarse excesivo, si tenemos en cuenta que es para concederle una tarjeta de crédito.
Un aspecto relevante del principio de calidad de datos, que deben cumplir los responsables de
los ficheros, es que los datos de carácter personal sean exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado.
Si los datos fueran recogidos directamente del afectado se considerarán exactos los datos
facilitados por éste.
Si los datos sometidos a tratamiento resultaran inexactos en todo o en parte o incompletos, el
responsable del Tratamiento deberá:
• Rectificarlos o cancelarlos en el menor plazo desde que tuvo conocimiento
• Notificar de la cancelación al cesionario (siempre que sea conocido) en el plazo de 10
días.
Otra consecuencia de extraordinaria, importancia que deriva del principio de calidad de datos,
es que los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Los datos podrán conservarse durante el tiempo en que pueda exigirse algún tipo de
responsabilidad derivada de la ejecución de un contrato o de la aplicación de medidas
precontractuales solicitadas por el interesado.
Esta cancelación, no significa un borrado o eliminación total, sino que los datos podrán
conservarse (bloqueados) y con acceso limitado, durante el tiempo en que pueda exigirse
Página 15 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
algún tipo de responsabilidad civil derivada de la relación contractual o para la puesta a
disposición de jueces, tribunales o reguladores.
Así cuando un cliente cancela una tarjeta o préstamo sin deuda pendiente, o termina de pagar su producto de activo, no teniendo ningún otro producto
más contratado con nuestra entidad, sus datos personales sólo pueden ser accesibles a un número limitado de empleados para los fines comentados en
el párrafo anterior.
1.5.3 PRINCIPIO O DEBER DE CONSENTIMIENTO
Este es el principio general que preside toda la normativa local y europea de protección de
datos. Como norma general, tanto para el tratamiento de los datos de carácter personal, como
para su comunicación a un tercero, será necesario el consentimiento previo del afectado.
Esto es, habrá de manifestar su voluntad de que está de acuerdo con el tratamiento o
comunicación de los datos personales que le conciernen. Pero además, dicho consentimiento podrá ser revocado en cualquier momento por causa justificada, aunque no
se le podrán atribuir efectos retroactivos a dicha revocación.
No obstante, hay determinados casos, en los que podemos tratar datos personales, aun no
teniendo el consentimiento del afectado; he aquí algunos casos representativos:
• Cuando los datos se refieran a las partes de un contrato o precontrato de una relación
de negocios, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
• Cuando los datos figuren en fuentes accesibles al público.
• Cuando la cesión esté autorizada en una ley
• Cuando sea necesario para satisfacer el interés legítimo del responsable o encargado
del tratamiento y no vulnere los derechos y libertados fundamentales del sujeto
afectado ( exige una ponderación rigurosa, caso por caso, entre los derechos e
intereses en conflicto)
Por último, en lo que respecta a la forma de recabar el consentimiento durante el proceso de
formalización de un contrato, (separa finalidades que no guarden relación directa con el
mantenimiento, desarrollo o control de la relación contractual) deberá permitir al afectado que
manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de
una casilla claramente visible y que no se encuentre ya marcada en el documento que se le
Página 16 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
entregue para la celebración del contrato.
La solicitud de consentimiento debe ir referida a un tratamiento o serie de tratamientos
concretos con delimitación de la finalidad y de las restantes condiciones que concurran e
indicar la finalidad para la que se destinaran los datos y el tipo de actividad que se va a realizar.
En esta comunicación se le informará de sus derechos y concediéndole un plazo de 30 días
para manifestar su negativa al tratamiento a través de un medio sencillo y que no implique
ningún tipo de ingreso.
El consentimiento se puede obtener con posterioridad a la recogida para otro tratamiento, o en
el marco de servicios de facturación periódica o en el marco de una relación contractual cuyos
fines no tienen que ver directamente con los datos objeto de tratamiento.
Debe existir un procedimiento de revocación del consentimiento sencillo y que haga efectiva la
revocación el plazo de 10 días desde la recepción y se comunique la revocación a los
cesionarios en este plazo
El Consentimiento de menores exige la obligación de solicitar el consentimiento inequívoco
de los representantes legales excepto para los menores emancipados.
En la práctica de nuestro negocio, esto implica que en las solicitudes de producto de nuestra entidad debemos darles la opción a los clientes para
que elijan si sus datos van a ser utilizados para ofrecerles productos que no se refieren al mantenimiento, desarrollo o control del contrato que está
firmando.
Así, por ejemplo, si se trata de una solicitud de tarjeta de crédito y el cliente
marca la casilla establecida al efecto, no debemos ofrecerle acciones comerciales de préstamos o un fondo de inversión, pero sin embargo, si es
posible contactar con él posteriormente para que active la tarjeta contratada, ya que consideramos que forma parte del mantenimiento de la propia
relación contractual
1.5.4 DATOS ESPECIALMENTE PROTEGIDOS
Los datos que hagan referencia al origen racial, salud y vida sexual, tienen un nivel de
garantías superior al resto de datos personales, y por ello se exige el consentimiento expreso del afectado:
Además debe obtenerse el consentimiento expreso y por escrito del afectado, cuando se trate
de datos que tienen que ver con:
Página 17 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Afiliación Sindical
• Religión
• Creencias
• Ideología
1.5.5 DEBER DE SECRETO
El deber de secreto establece que el responsable del fichero, está obligado al secreto profesional de los mismos, incluso después de haber finalizado la relación con el titular del
fichero.
Pero también lo estarán, quienes intervengan en cualquier fase del tratamiento de los datos de
carácter personal, incluso después de haber finalizado su relación con el responsable del
fichero.
El empleado debe tener siempre presente que en ningún caso, debemos revelar datos
de clientes a ninguna persona fuera de la organización, ni tan siquiera a personas de
nuestra empresa que no lo necesiten para el desempeño de su actividad
1.5.6 SEGURIDAD DE LOS DATOS
El principio de seguridad de los datos establece que el responsable del fichero, y en su caso,
el encargado del tratamiento, deberán adoptar las medidas necesarias (que deberán ser
revisadas periódicamente) para mantener la seguridad de los datos personales, debiendo evitar
su alteración, pérdida y acceso no autorizado.
En este sentido, se prohíbe el registro de datos en ficheros que no reúnan las condiciones
reglamentariamente establecidas, en relación con la integridad y seguridad de los datos, así
como con las de los centros de tratamientos, locales, equipos, sistemas y programas.
Para abordar en profundidad el tema de la seguridad de los datos, se establece una serie de
medidas de seguridad de los ficheros automatizados y no automatizados de datos de carácter
personal, que analizaremos más adelante
1.6 DERECHO DE PROTECCION DE DATOS
1.6.1 INTRODUCCIÓN Y CARACTERÍSTICAS GENERALES:
Los derechos de los afectados relacionados con protección de datos, tienen un carácter
estrictamente personal, con carácter general, por lo que sólo pueden ejercitarse por parte del
Página 18 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
interesado.
Estos derechos, conocidos como derechos ARCO, son los derechos de:
• Acceso
• Rectificación
• Cancelación
• Oposición.
Los responsables de los ficheros, deben conceder a la persona que ejercita sus derechos un medio sencillo y gratuito para poder realizar dicha acción. En ningún caso, el
ejercicio de estos derechos supondrá un ingreso adicional para el responsable del tratamiento.
Por ejemplo, no es posible establecer medios para el ejercicio de estos derechos, como:
• El envío de cartas certificadas
• Los números de teléfono que impliquen una tarificación adicional ( como números 902)
• También se admiten como medios válidos para el ejercicio de estos derechos, los
servicios que el responsable del fichero disponga de atención al público o de ejercicio
de reclamaciones relacionadas con el servicio o productos ofertados.
Una característica común a los derechos de acceso, rectificación, cancelación y oposición es,
que, en caso de denegación del derecho, el responsable del fichero informará al afectado de su
derecho a recabar la tutela de la Agencia Española de Protección de Datos, o en su caso, de
las autoridades de control de las Comunidades Autónomas
1.6.2 EL DERECHO DE ACCESO
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, del origen de dichos datos, así como las
comunicaciones realizadas
Los afectados pueden solicitar el ejercicio de sus derechos ante un encargado del tratamiento
(por ejemplo, una agencia de ventas); en este caso el encargado deberá dar traslado inmediato
de la solicitud al responsable, a fin de que se resuelva la petición,
en el plazo legalmente establecido de 10 días.
El interesado podrá ejercitar sus derechos de forma gratuita, mediante solicitud o petición
dirigida al responsable del fichero, y en la que deberá aparecer:
• La identificación del afectado ( DNI, pasaporte u otro medio equivalente)
Página 19 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Petición en que se concreta la solicitud.
• Dirección a efectos de notificaciones, fecha y firma del solicitante.
• Documentos acreditativos de la petición que formula, en su caso.
1.6.3 ¿EN QUE CONSISTEN LOS DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN?
Estos derechos consisten en la facultad del afectado a instar al responsable del fichero,
cuando el tratamiento de los datos no se ajuste a la ley, a cumplir la obligación de mantener la
exactitud de los datos, rectificando o cancelando los datos de carácter personal, cuando:
• Resulten incompletos o inexactos
• Sean inadecuados o excesivos
La cancelación no significa la eliminación o el borrado de los datos, sino un bloqueo del tratamiento de los datos, conservándose únicamente a disposición de las administraciones
públicas, jueces y tribunales para la atención de posibles responsabilidades nacidas del
tratamiento de los mismos.
¿Qué debe hacer el responsable del fichero?
El responsable del fichero, resolverá sobre la solicitud de rectificación o cancelación en el
plazo de 10 días. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable deberá comunicar la rectificación o cancelación al encargado, también en el plazo
de 10 días contados desde la recepción de dicha comunicación, para que proceda asimismo a
rectificar o cancelar los datos.
1.6.4 ¿EN QUE CONSISTE EL DERECHO DE OPOSICIÓN?
Este derecho consiste en la facultad que se reconoce al afectado para negarse al tratamiento de sus datos de carácter personal o su cese en los mismos, en determinados
casos:
• Cuando se trate de ficheros relacionados con publicidad y prospección comercial.
• Cuando el tratamiento de datos tenga como fin la adopción de una decisión que se
base únicamente en un tratamiento automatizado (en los casos de rendimiento laboral,
crédito , fiabilidad o conducta)
• Cuando no sea necesario su consentimiento para el tratamiento de datos y existan
motivos fundados y legítimos para ello, referida a su concreta situación personal,
Página 20 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
siempre que una ley disponga lo contrario.
¿Qué debe hacer el responsable del fichero?
El responsable del fichero, resolverá sobre la solicitud de rectificación o cancelación en el plazo
de 10 días
1.7 FICHEROS DE SOLVENCIA PATRIMONIAL Y CREDITO
La normativa de protección de datos regula de manera específica los ficheros de solvencia
patrimonial y de crédito ( ASNEF-EQUIFAX, EXPERIAN…), que por estar relacionados con la
actividad financiera pasamos a detallar a continuación.
Principio de información previa:
Existe la obligación de informar al afectado, antes de producirse la inclusión de datos
personales en los ficheros de solvencia patrimonial y de crédito. Así para cumplir con este
requisito, todas nuestras solicitudes de crédito o préstamo tienen una cláusula donde
informamos a nuestro cliente de que sus datos pueden ser incluidos en este tipo de ficheros.
Requisitos de inclusión de datos personales en los ficheros de solvencia patrimonial:
Además del deber de información previa, para incluir los datos personales de los clientes en los
ficheros de morosidad, deben cumplirse los siguientes requisitos:
· Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.
· Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la
deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de
vencimiento periódico.
Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
Tenemos que asegurarnos que la carta de requerimiento de pago llegue al
afectado, cumpliendo con los requisitos del deber de información, ya que el responsable del fichero debe conocer si la comunicación ha sido objeto de
devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado, y por tanto, no podemos
incluir los datos del cliente en ASNEF.
Es importante tener actualizada la deuda de nuestros clientes en los ficheros de ASNEF, ya que de no ser así se infringiría el principio de calidad de
datos, lo que puede derivar en un procedimiento sancionador de la AEPD y una posible multa que oscila entre 40.001€ y 300.000€.
Página 21 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Cuando la entidad financiera le ceda a otra empresa los datos personales de un cliente con el
propósito de reclamar impagos, o para realizar un scoring de su solvencia financiera, hay que
tener presente que habrá que sistematizar los supuestos que legitiman la cesión de datos, pues
el afectado no puede ser privado de conocer aquellos datos que puedan tener alguna
incidencia en sus derechos, y máxime si solicita acceso a los mismos al responsable del
fichero.
Así mismo, no cabe la inserción de datos en un fichero de morosos, a pesar de estar saldadas
las deudas, por lo que una vez cancelada la deuda, e inscrita la misma en escritura pública, “se
tendrá que observar una especial diligencia para mantener los datos al día”, para evitar el
menoscabo que para la imagen y el prestigio de la persona supone figurar indebidamente en
un fichero de solvencia patrimonial y crédito.
El responsable del fichero tiene la obligación de actualizar de oficio la información cuando
tenga conocimiento de su inexactitud bien directamente, bien atendiendo las solicitudes de
cancelación de los afectados.
1.8 TRATAMIENTOS COMERCIALES
Los Ficheros de Publicidad y Prospección Comercial son aquellos en los que una Entidad
realiza o encarga realizar una campaña comercial. En este caso, la Entidad que encargue la
realización de la campaña comercial (beneficiario de la campaña) deberá adoptar las medidas
necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo
con la ley de protección de datos.
En lo que respecta a la comercialización de los productos financieros, la normativa
establece que quienes se dediquen a la recopilación de las direcciones, reparto de
documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas,
así como quienes realicen estas actividades con el fin de comercializar sus propios productos o
servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de
carácter personal cuando los mismos se encuentren en alguno de los siguientes casos:
• Que figuren en alguna de las fuentes accesibles al público que establece la
normativa y el interesado no haya manifestado su negativa u oposición a que sus datos
sean tratados para fines publicitarios. Además, en cada comunicación deberá
informarse al afectado de que sus datos han sido obtenidos de fuentes accesibles al
público, de la identidad del responsable del tratamiento de los datos, así como de los
derechos que le asisten.
Página 22 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Que hayan sido facilitados por los propios interesados u obtenidos con su
consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con
la actividad de publicidad o prospección comercial, habiéndose informado a los
interesados sobre los sectores específicos y concretos de la actividad respecto de los
que podrá recibir información o publicidad.
Cesión de datos a terceros para campañas comerciales:
Con la expresión “cesión” o “comunicación de datos” se hace referencia a cualquier revelación
de datos personales realizada a una persona distinta del interesado, comprendiendo desde la
obtención de los datos resultante de la consulta de un fichero hasta la interconexión con otros
ficheros distintos.
No se considerará comunicación o cesión de datos personales el acceso de un tercero a los
datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del
tratamiento.
Los datos de carácter personal solo podrán ser comunicados a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con
el previo consentimiento del afectado.
No es necesario este consentimiento si está autorizada en una ley, tenga por objeto datos
recogidos de fuentes accesibles al público o responda a la libre y legítima aceptación de una
relación jurídica que implique la cesión.
La principal consecuencia de la cesión de datos a un tercero es que ese tercero al que se le
ceden los datos pasa a tener la consideración de un nuevo responsable del tratamiento
debiendo asumir las obligaciones en materia de protección de datos.
El Responsable del Fichero en el momento en que efectúe la primera cesión de datos deberá
informar a los afectados de la cesión, finalidad, naturaleza de los datos cedidos y nombre del
cesionario.
Cesiones entre empresas del mismo grupo
La existencia de un grupo de empresas no impide que cada una de las sociedades
integradas en el mismo mantenga diferente personalidad, de modo que la comunicación de datos se produce entre dos personas jurídicas distintas.
No existe previsión legal que flexibilice los requisitos para la legitimidad de dicha cesión por lo
que deberá realizarse de acuerdo con lo que se establece la LOPD.
El reglamento LOPD admite la figura de la subcontratación, pero con carácter general, para ello
es necesario la autorización del responsable del tratamiento.
Página 23 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
1.9 FICHEROS DE EXCLUSIÓN
Con el objetivo de no recibir publicidad no deseada, se han de promover los ficheros de
exclusión, a los que podrán incorporarse voluntariamente los clientes que no deseen que sus datos bancarios sean cedidos a otras empresas del grupo, o terceras empresas con
fines comerciales, o simplemente para verificar o confirmar datos de un cliente, que
supuestamente es cliente común.
Los ficheros de exclusión del envío de comunicaciones comerciales, lo constituyen los
llamados clientes “ Robinson”.
Son aquéllos que han manifestado su derecho de oposición al tratamiento de sus datos para
fines comerciales, o bien, que piden la cancelación de sus datos en los listados de marketing.
El ejercicio de derechos en los ficheros de exclusión de envío de comunicaciones comerciales,
es especialmente importante, y una de las fuentes principales de sanciones de la AEPD.
En este sentido se estima conveniente introducir una casilla en el propio contrato que permita
la posibilidad de oponerse a dicha cesión.
De esta manera, siempre que un cliente solicite, con las formalidades exigidas por la normativa,
no recibir acciones comerciales, debemos de hacer efectivo este derecho en el plazo de 10
días, e informar expresamente al cliente en idéntico plazo. Si nuestra entidad, o cualquiera de
las agencias que trata datos personales de nuestros clientes, envía cualquier tipo de
publicidad, después de los 10 días, supondrían un incumplimiento de la normativa de
protección de datos, con el consiguiente riesgo de imposición de sanción.
1.10 TRANSFERENCIA INTERNACIONAL DE DATOS
La transferencia internacional de datos es el tratamiento de datos que supone una transmisión
de los mismos fuera del Espacio Económico Europeo.
Como regla general, cuando la transferencia se realiza a un país que no ofrece un nivel
equiparable al de la Unión Europea, es necesario la autorización del Director de la AEPD, a no
ser que el afectado haya prestado su consentimiento inequívoco a la transferencia prevista ,o la
transferencia se encuentre recogida en algunos de los supuestos de la LOPD.
Estos son algunos de los países respecto de los cuales la AEPD ha declarado que presentan
un nivel de garantías de protección de datos adecuado:
• Espacio Económico Europeo ( Unión Europea + Islandia + Liechtenstein +Noruega)
Página 24 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
• Suiza
• Argentina
• Empresas de EEUU que se hallan adheridas al Convenio de Puerto Seguro (Safe
Harbor Agreement).
La participación de los empleados es fundamental para asegurar que las transferencias
internacionales de datos que afectan a datos personales están aprobadas por el Director de la
AEPD, o cuentan con el consentimiento del afectado.
1.11 MEDIDAS DE SEGURIDAD
La normativa de protección de datos impone a los responsables de los datos la obligación de cumplir con una serie de medidas de seguridad para los ficheros automatizados, que
varían de nivel, según la naturaleza del fichero. Se trata de medidas técnicas y organizativas destinadas a garantizar la seguridad de los datos de carácter personal y evitar su alteración,
pérdida o acceso no autorizado. Se refieren tanto a ficheros automátizados como no
automatizados.
Las medidas de seguridad que se establecen para la creación de un fichero, son: diseño de un
sistema de seguridad, puesta en producción del fichero, registro del mismo en el Registro
General de Protección de Datos.
Niveles de seguridad
• Básico: todos los ficheros
• Intermedio: ficheros que contienen datos que permiten obtener una evaluación de
personalidad. Ficheros que contienen datos relativos a infracciones penales,
administrativas, Hacienda pública, servicios financieros o solvencia
• Alto: Ficheros que contienen datos relativos a ideología, creencias, origen racial,
saludo, vida sexual o datos policiales.
Así, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las
medidas de seguridad calificadas de nivel básico.
Además de las medidas de nivel básico, es necesario establecer medidas de nivel medio en
aquellos ficheros o tratamientos de datos que indica la LOPD, entre los que se encuentran
aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas
con la prestación de servicios financieros.
Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los
Página 25 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
ficheros o tratamientos de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial , salud o vida sexual.
Además, de acuerdo con la Ley Española de Prevención de Blanqueo de Capitales,
también se aplicarán a los sistemas y los tratamientos de información relacionadas con la
prevención de blanqueo de capitales.
1.12 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
La Agencia Española de Protección de Datos es un Ente de Derecho público, con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con independencia de las
Administraciones Públicas en el ejercicio de sus funciones. Se relaciona con el gobierno a
través del Ministerio de Justicia.
Funciones
• Velar por el cumplimiento de la legislación sobre protección de datos y controlar su
aplicación. En especial, en lo relativo a los derechos de información acceso,
rectificación, oposición y cancelación de datos
• Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
Atender las peticiones y reclamaciones formuladas por los afectados.
• Proporcionar información a las personas acerca de sus derechos en materia de
tratamiento de datos de carácter personal,
• Ejercer la potestad sancionadora
• Redactar una memoria anual y remitirla al Ministerio de justicia.
1.12.1 EL REGISTRO DE PROTECCIÓN DE DATOS
El Registro General de Protección de Datos es un órgano integrado en la Agencia Española de
Protección de Datos. Son objeto de inscripción en este registro:
• Los ficheros titularidad de las Administraciones Publicas
• Ficheros de titularidad privada.
• Las autorizaciones a que se refiere la LOPD.
• Los Códigos Tipo.
Página 26 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
1.12.2 INFRACCIONES
A continuación enumeramos los comportamientos que pueden ser sancionados por la Agencia
de Protección de Datos, se trata básicamente de que el empleado tome conciencia del coste
tan alto por sanciones que puede suponer para la entidad bancaria incurrir en prácticas
irregulares en materia de protección de datos.
Son infracciones leves, entre otras:
• No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos de la AEPD ( cuando no sea constitutivo de infracción
grave)
• Proceder a la recogida de datos de los afectados sin proporcionarles la información
que señala el art.5 de la LOPD.
• Incumplir el deber de secreto ( cuando no es constitutivo de infracción grave)
La cuantía de las sanciones leves varía de 400 a 40.000 €.
Son infracciones graves, entre otras:
• Crear ficheros o iniciar la recogida de datos personales con finalidades distintas a las
que constituyen el objeto legítimo de la empresa o entidad.
• Proceder a la recogida de datos personales sin recabar el consentimiento expreso
cuando así sea exigible.
• Mantener datos personales inexactos o no efectuar las rectificaciones o cancelaciones
de los mismos que legalmente procedan, cuando resulten afectados los de las
personas amparadas por la LOPD.
• Vulnerar el deber de guardar secreto sobre los datos personales incorporados a
ficheros que contengan datos relativos a servicios financieros o prestación de servicios
de solvencia patrimonial y crédito.
La cuantía de las sanciones graves varía de 40.001 a 300.000€.
Son infracciones muy graves, entre otras:
• La recogida de datos de forma engañosa y fraudulenta.
• Recabar y tratar los datos de carácter personal especialmente protegidos, sin el
consentimiento expreso del afectado y éste sea necesario.
• Transferir temporal o definitivamente datos de carácter personal con destino a países
que no proporcionen un nivel de protección equiparable a la existente en España, sin la
Página 27 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
autorización del Director de la AEPD.
• No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,
rectificación, cancelación u oposición.
La cuantía de las sanciones muy graves varía de 300.001 a 600.000€.
Página 28 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Unidad 2 El empleado y la protección de
datos
Página 29 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
2.1 ¿QUE DEBE HACER Y QUE NO DEBE HACER?
Como empleado de una entidad bancaria tienes acceso y utilizas datos personales en tu
trabajo diario. Por lo tanto, es importante que conozcas los aspectos de las normas sobre
Protección de Datos que pueden afectar a tu trabajo.
También estás obligado, a cumplir con los requisitos de protección de datos y de las políticas
internas, y a proteger la información confidencial y de carácter personal.
Cualquier empleado se enfrentará a un expediente disciplinario, incluso al despido, si utiliza
datos personales de forma no autorizada.
En este capítulo concretamos algunas medidas de protección de datos y privacidad, que te
ayudarán como empleado a mantener seguros los datos personales
A continuación se enumeran una serie de actuaciones, comportamientos o medidas que los
empleados de las entidades bancarias deben incorporar a su día a día para evitar los riesgos
derivados de la utilización de datos de clientes:
1. Bloquea tu pantalla siempre que te levantes de tu sitio.
Cuando un empleado se levanta de su mesa en la pantalla de su ordenador puede
tener información sobre clientes o incluso información sensible o privilegiada relativa a
operaciones de clientes de la propia entidad. Especialmente en la red de sucursales,
un gran número de personas externas (clientes, personas de limpieza, mantenimiento)
pueden tener acceso visual a nuestra pantalla y poder acceder a datos personales de
nuestros clientes.
2. No reveles tus contraseñas. No las compartas con nadie.
Un empleado por error para facilitar una consulta puntual de su correo por un
compañero o por cualquier otro motivo puede facilitar a un tercero las claves de acceso
a su ordenador. Con este error en nuestro comportamiento toda la información sobre
nuestros clientes permite el acceso de un tercero, que, aunque sea un empleado,
puede que no deba acceder a esa información.
3. Nunca dejes datos personales a la vista. Guárdalos bajo llave cuando no los estés utilizando.
Al igual que sucede con las pantallas del puesto de trabajo, alrededor de las mesas y
archivos pueden situarse un gran número de personas externas. Si en nuestro
escritorio dejamos documentación confidencial o que contenga datos personales de
nuestros clientes cualquier persona que se encuentre en ese momento situada cerca
de nuestra mesa puede acceder y copiar esos datos.
Página 30 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
4. Destruye de forma segura los papeles que contengan datos personales cuando termines de
trabajar con ellos: utiliza las papeleras específicas para papeles confidenciales.
Hemos leído en multitud de ocasiones en los periódicos que en la basura se han
encontrado datos personales de clientes. Como principio general no podemos tirar a la
basura ningún documento que contenga datos personales de los clientes de una
entidad bancaria o de la propia entidad.
Siempre debemos utilizar los destructores de papel para deshacernos de los
documentos de trabajo, es la única forma que tenemos de asegurarnos de que esa
información nunca llegará a terceros.
5. No saques fuera de las instalaciones datos personales, nunca hables de ellos fuera de la
oficina.
Las reuniones fuera de la sucursal con clientes, o comidas con empleados, pueden ser
origen de pérdida de datos para una entidad financiera. Los empleados pueden incurrir
en un riesgo muy importante en materia de protección de datos ya que a las reuniones
se suele acudir con propuestas, documentos que contienen datos personales. Existe el
riesgo de que el empleado olvide documentos en restaurantes, salas de reuniones y
que la información contenida en esos documentos sea accesible a terceros.
Los empleados de la entidad bancaria deben extremar el cuidado de los documentos
cuando tengan reuniones fuera de la sucursal y por supuesto en comidas, cenas o
eventos a los que acudan con los clientes.
6. Utiliza sólo sistemas de correo electrónico seguros o cifra los datos personales antes de
enviarlos por correo electrónico ya que pueden interceptarse y no es seguro.
Por desgracia es bastante habitual que un empleado distribuya por error un correo a
personas a las que no quería enviárselo, ya sea por error o confusión; o simplemente
por error responda a todos los destinatarios de un correo electrónico cuando solo uno
de ellos debe recibir la información.
La única forma de evitar el riesgo en materia de protección de datos es que el
empleado siempre que vaya a enviar información sensible o que contenga datos
personales utilice un sistema de protección o correo seguros que son ya habituales en
todas las entidades financieras.
7. Envía sólo correos electrónicos internamente a personas que realmente necesitan recibirlos
y evita copiar a gente innecesaria. Utiliza la copia oculta en tus correos si te diriges a
diferentes personas fuera de la organización.
Página 31 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Como hemos comentado en el punto anterior los correos electrónicos son una de las
fuentes de riesgos en materia de protección de datos.
Otro error muy habitual es el envío de un correo sobre un determinado asunto,
problema, a clientes, a otros empleados o personas externas que no necesitan esa
información en su trabajo. La inclusión de remitentes innecesarios en los correos puede
llevar a que un empleado comparta información sensible o datos personales con
personas que no deberían tener acceso a la misma.
Una práctica responsable que evita errores es la remisión a grupos a través de la
opción con copia oculta, de esta forma se evita que otro empleado responda a todos y
no valore si es correcto o no el envío de esa información
8. Protege con contraseña los archivos almacenados en discos compartidos y elimínalos
cuando ya no los necesites.
Cuando una la información o los datos personales se encuentran accesibles a un gran
número de personas, una práctica muy recomendable es proteger o limitar el acceso al
archivo o carpeta a través de una contraseña.
Es fundamental en el entorno de protección de datos extremar el cuidado de las
contraseñas, tanto su almacenamiento como el número de personas que tienen acceso
a ellas ya que una vez protegemos un archivo corremos el riesgo de pensar que solo
tienen acceso un número determinado de personas cuando puede ser que el número
sea mayor por un manejo erróneo de las contraseñas.
9. Asegúrate de que los visitantes se registran a la entrada y salida y acompáñalos en las
zonas que normalmente están restringidas a empleados.
Cuando recibimos la visita de terceros en las oficinas de la entidad que van a tener
acceso a mesas, salas de reunión, que han sido utilizados previamente y en las que
pueden conocer información restringida o datos personales de clientes.
Es fundamental que cuando terceros accedan a nuestras oficinas por nuestra invitación
estemos pendientes de su acceso, les acompañemos en todo momento, de tal forma
que no estén solos en ningún momento y no puedan acceder a dicha información.
10. Coloca las pantallas de los ordenadores de forma que no pueda provocarse divulgaciones
accidentales de datos personales.
Ya se comentó en el primer punto que las pantallas de ordenador son una fuente de
riesgos en materia de protección de datos y que por este motivo se debe extremar el
cuidado con su colocación de forma que no facilitemos la visión de datos personales a
Página 32 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
terceros no autorizados para conocerlos
11. No debe guardarse ni sacarse de la oficina información en medios informáticos (CD-ROM,
discos, cintas, lápiz USB, memorias, etc.) sin el consentimiento del responsable de seguridad
de la información.
Una de las fuentes de incumplimiento de las políticas de protección de datos es el
archivo de información en fuentes externas. Con los medios actuales en cualquiera de
ellos podemos archivar una gran cantidad de información, una vez nos encontremos
fuera de la oficina o la sucursal puede ocurrir la pérdida o robo de estos medios
electrónicos lo que provocaría el acceso a la información grabada de terceros que
pueden dar un uso ilegal a esta información y provocar un gran daño a nuestra entidad.
Es fundamental que cuando vayamos a sacar información de la entidad bancaria nos
pongamos en contacto con el departamento de seguridad de forma que nos faciliten la
forma en que podemos protegerla e impedir su divulgación a terceros en caso de
pérdida.
12. Cuando realices llamadas telefónicas debes seguir los procedimientos para verificar la
identidad de la persona que llama y que garantizan que puedes revelarles información.
Recuerda que las personas que llaman pueden intentarlo y engañarte para que les reveles
información.
Es muy habitual que en el AVE o en un restaurante, un tercero mantiene una
conversación telefónica en un tono de voz alto o muy alto y que en esta conversación
hable de terceros o comente situaciones o informaciones que podríamos considerar
delicadas.
Los empleados de una entidad bancaria deben extremar el cuidado cuando hablen por
teléfono sobre operaciones, clientes, de forma que no comenten datos personales o si
lo tienen que hacer lo hagan de forma que otras personas no puedan oír esta
información.
13. Cuando envíes cartas u otros documentos a clientes o terceros debes prestar atención para
no incluir accidentalmente datos personales de otro cliente.
Como hemos comentado en el caso de los correos electrónicos el envío de cartas a
clientes es otra de las actividades que pueden generar riesgos en materia de
protección de datos. En muchas ocasiones estos envíos se realizan de forma
simultánea o no se les presta la suficiente atención cuando son situaciones de riesgo
ya que podemos confundir la información o documentos de un cliente con los de otro.
Página 33 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Es fundamental tanto en el momento como en la forma que estos procesos se realicen
con el cuidado necesario para evitar errores y que si se confían a becarios o personal
externo se hagan con la supervisión adecuada.
14. Utiliza los servicios de mensajería si es necesario para enviar grandes volúmenes de datos
personales en formato papel. Para transferir o transportar por medios electrónicos (CD, cintas,
discos, etc.) es necesario el asesoramiento y la aprobación del responsable de seguridad de la
información.
Como continuación del punto anterior cuando los envíos son de una gran cantidad de
documentación es fundamental que acudamos a los servicios de mensajería que tienen
contratado nuestra entidad bajo la supervisión del responsable de seguridad. De esta
forma estaremos cubiertos tanto por los procedimientos de seguridad como por su
experiencia y evitemos correr riesgos innecesarios en el envío de la documentación.
15. Si terceros solicitan datos personales, asegúrate de que tienes autorización del cliente para
hacerlo o bien que las leyes de tu país permiten su divulgación.
En las entidades bancarias es muy habitual que utilicemos en nuestro trabajo la
colaboración de asesores externos (bufetes, auditores, analistas,….) y que
compartamos con ellos una gran cantidad de información sensible. Lo normal es que
esta información sea necesaria para realizar su trabajo por lo que la actuación correcta
no es limitarles la documentación sino asegurarnos de que la cesión se realiza con las
autorizaciones pertinentes y, por supuesto, dentro de la legalidad.
2.2 EL RIESGO DE INTERNET Y LOS CORREOS ELECTRONICOS DAÑINOS (TROYANOS)
En torno a los delitos económicos en internet, día a día las prácticas para robar datos bancarios
en la red son más sofisticadas.
El phishing (correos engañosos y servidores fraudulentos para conseguir las claves de acceso
a cuentas, o el número de la tarjeta de crédito) cede terreno a los troyanos (programas
camuflados dentro de otros aparentemente útiles e inofensivos) que se instalan en el ordenador
del afectado para capturar sus datos.
Así los empleados deben tener siempre en cuenta estos consejos de seguridad:
1º) No abrir correos electrónicos supuestamente enviados por una entidad financiera,
incluso de las que no se es cliente.
2º) No abrir archivos adjuntos que tienen un origen desconocido.
3º) No utilizar claves fácilmente deducibles, como nombre o fecha de nacimiento.
Página 34 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
4º) No responder a mensajes que pidan información inmediata ante el cese de
actividades financieras.
5º) No dar datos personales ni códigos de acceso nunca.
6º) No confiar en supuestas campañas promocionales.
7º) Tener instaladas las oportunas actualizaciones del sistema operativo y del
navegador.
8º) Informarse sobre la seguridad en el uso de internet.
9º) Instalar programas antivirus y antiespías, y que estos cortafuegos estén
continuamente actualizados.
10º) No entrar en la web del banco mediante enlaces de otras webs.
11º) No apuntar claves de acceso, firmas electrónicas o similar en ningún sitio, sino que
conviene memorizarlas.
12º) No atender correos electrónicos en idiomas que el usuario no hable.
13º) Usar un proveedor de acceso a internet que implemente tecnologías y políticas anti-
spam y anti-phising.
14º) No llevar a cabo transacciones financieras en lugares públicos con acceso a
internet.
Página 35 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
Unidad 3 Situaciones de negocio
Página 36 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
SITUACION 1
Juan Muñoz es el director de la sucursal de la entidad XXXX en Getafe, esta sucursal está
especializada en banca de empresas. Ha quedado a comer con uno de sus clientes Empresas
El Tomate en el Restaurante “La Tostada”, el motivo de la reunión es hacerle una presentación
de los nuevos fondos de tesorería que acaba de lanzar la entidad y que creemos pueden ser
una buena opción para rentabilizar sus saldos en cuenta corriente
El cliente es una de las mayores empresas de la zona y dura negociadora por lo que ha
pensado entregarle la presentación que preparó la semana pasada para otra empresa vecina,
Empresas El Mueble. De esa forma puede mostrarle a la empresa que otros clientes que ya
han contratado ese mismo producto.
Por desgracia, la reunión no finaliza de forma adecuada ya que nuestro cliente está molesto
con la entidad por un tema de comisiones. La comida finaliza de forma abrupta y el cliente se
queda tanto con su presentación como la que entregamos al otro cliente.
A los pocos días recibe una llamada del director financiero de Empresas El Muebleque nos
pide la cancelación de todas sus cuentas y la cancelación de todos sus datos en posesión de la
entidad
Conteste a las siguientes preguntas en relación con la actuación del director de la sucursal en
materia de protección de datos
1. ¿Puede el director comentar información sobre productos contratados por otros clientes?
a. No, el director no puede comentar datos de otros clientes sin su autorización. CORRECTA. En esta situación el director de la sucursal cometió un grave
incumplimiento de la Ley de Protección de Datos y de las medidas de protección de
datos. Esta absolutamente prohibido entregar a un cliente información de otro
cliente. El director aunque no hubiese entregado la documentación corrió un riesgo
al llevar a una reunión información de otro cliente, ya que como se ha comprobado
existe el peligro de perder esa documentación y como consecuencia de esta
perdida, perder también al cliente.
b. Si el cliente ha dado los datos al banco y puede utilizarlos en sus campañas
comerciales
c. El cliente nos cedió sus datos únicamente para campañas comerciales
d. No hay ningún tipo de limitación
Página 37 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
2. ¿Qué deberá hacer el director con la solicitud de cancelación de utilización de datos
personales de la empresa El Mueble?
a. El director informara de la revocación del consentimiento para que la solicitud se resuelva en 10 días. CORRECTO. Cuando se recibe una solicitud de
cancelación es muy importante su inmediata transmisión al departamento
encargado de la protección de datos ya que existe u periodo de 10 días para que el
responsable realice la tramitación
b. El director informara de la revocación del consentimiento para que la solicitud se
resuelva en 30días
c. El director informara de la revocación del consentimiento para que la solicitud se
resuelva en 1 año
d. No es necesario que haga nada
3. Una vez recibida la solicitud de cancelación de los datos ¿Tendrá la entidad que borrar para
cualquier uso los datos del cliente?
a. Sí, es lo que ha pedido
b. No, solo es un bloqueo del tratamiento de los datos, se conservan para Administraciones públicas, jueces o tribunales. CORRECTO. La cancelación
de la autorización no significa que la entidad puede borrar los datos y pueda
olvidarse de ello. Tiene que mantener los datos para atender las solicitudes de la
Administración y tribunales para la atención de posibles responsabilidades nacidas
del tratamiento de los mismos
c. No, solo tendrá que volver a preguntarle si puede utilizarlas en otra ocasión.
d. Sí, pero únicamente tiene que eliminar los datos que el cliente haya indicado
expresamente
Página 38 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
SITUACION 2
Juan González es un empleado de la sucursal de banca personal de la calle Gamazo de
Valladolid. Hace media hora ha recibido la visita de uno de sus mejores clientes Andrés Pérez,
el cliente está muy enfadado con nuestra entidad porque no ha podido cambiar de compañía
de teléfono al estar incluido en el Asnef por una deuda que tiene con la entidad.
Le ha pedido disculpas pero cuando hemos visto la información en los sistemas sobre el cliente
ves que la deuda corresponde a una tarjeta de crédito que por error se le solicitó y que el
cliente nunca llego a retirar. Por otro error la tarjeta se activado y ha generado una deuda por
las comisiones de cancelación de la tarjeta. Al no haberse pagado esta deuda se ha incluido el
nombre del cliente en un fichero de morosos
Nuestro cliente nos pide que inmediatamente le saquemos de este fichero
Conteste a las siguientes preguntas en relación con la actuación del director de la sucursal en
materia de protección de datos
1. ¿Tiene el banco derecho a incluirle en un fichero de solvencia patrimonial?
a) Si siempre que la deuda sea cierta, vencida, exigible y haya resultado impagado
CORRECTA. La gestión de los ficheros de solvencia patrimonial es una parte
fundamental de la gestión de datos. Son datos muy sensibles en los que cualquier
error en su manejo puede tener importantes consecuencias en el prestigio de la
entidad.
En el Reglamento que desarrolla la Ley Orgánica de Protección de Datos permite a
las entidades la inclusión de los datos de los clientes con deudas pendientes de
pago con la Entidad. Establece la obligación de informar al afectado antes de
proceder a su inclusión en el fichero y asegurarnos que la deuda efectivamente
existe
El coste en material reputacional y en perdida de un posible cliente al ser calificado
como moroso de forma pública de forma incorrecta es enorme y este riesgo nos
obliga a ser extremadamente cuidadosos en la gestión de estos datos
b) No el banco no puede incluir esta información un fichero de solvencia patrimonial
c) Si, independientemente del tiempo pasado
d) Si siempre que lo considere oportuno
Página 39 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
2. ¿Qué tipo de medidas puede tomar el banco para poder incluirle en un fichero de solvencia
patrimonial?
a) La entidad pude incluir en sus solicitudes de crédito o préstamo que sus datos
pueden incluirse en este tipo de ficheros CORRECTA. Como se ha comentado
antes el cliente tiene que ser informado antes de ser incluido en estos ficheros, las
entidades para asegurarse que cumplen con esta obligación advierten al cliente en
la solicitud del préstamo que firma el cliente.
Esta obligación no depende del tiempo que lleva pendiente la deuda ni necesitan
una comunicación propia por parte del cliente de que conoce esta situación.
b) No de ninguna manera
c) Solamente para deudas que sean superiores a los 10 años
d) Solamente si el cliente nos lo autoriza en una comunicación
3. ¿Qué plazo máximo de tiempo existe desde que hubo de procederse al pago de la deuda?
a. Un año
b. Dos años
c. Cinco años
d. Seis años CORRECTA. El plazo que tienen las entidades no esta
indeterminado, no pueden transcurrir mas de seis años desde que el cliente
incumplió con su obligación de pago para que la entidad pueda incluirle en
estos ficheros. Existe una caducidad en la utilización por parte de las entidades
de esta información.
4. ¿En qué consiste el derecho de rectificación y cancelación?
a) La facilidad del afectado a solicitar la cancelación de los datos cuando
resulten, incompletos o inexactos CORRECTA. Uno de los derechos más
importantes asociados al tratamiento de los datos por una entidad bancaria
que es el cliente siempre tiene derecho de rectificación y cancelación. El
cliente siempre va a poder retirar la autorización que dio cuando los datos
que se van a utilizar no son correctos. La entidad al recibir esta
comunicación del cliente debe abstenerse de utilizarlos cuando el cliente lo
solicite La gestión de los ficheros de solvencia patrimonial, es una parte
Página 40 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
fundamental de la gestión de datos. Son datos muy sensibles en los que
cualquier error en su manejo puede tener importantes consecuencias en el
prestigio de la entidad.
b) El afectado puede solicitar a la entidad que le envíe una carta de disculpas
cuando sus datos sean erróneos
c) La facilidad que tiene el afectado para pedir una compensación económica
por el mal uso de sus datos
d) El derecho que tiene el afectado a que sus datos siempre se mantengan
invariables y en ningún momento actualizados
Página 41 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
SITUACION 3
Juan González es un nuevo becario que va a trabajar en la sucursal que tiene nuestra entidad
en Arévalo. El primer día el director de la oficina le encargue prepare una serie de visitas
comerciales a profesionales de la zona.
Como Juan quiere realizar una gran campaña ha llamado a un amigo que trabaja en una
entidad de la compañía quien le facilita el nombre de todos los corredores de seguros de la
provincia a los que reenvía el correo pidiéndoles una entrevista.
A los pocos días uno de los corredores llama indignado a la sucursal pidiendo hablar con el
director y amenazando con acudir a la Agencia Española de Protección de Datos. El director
consigue calmar a este corredor prometiéndole que ese mismo día quedara incluido en la lista
de Robinson del banco.
Conteste a las siguientes preguntas en relación con la actuación del director de la sucursal en
materia de protección de datos
1. ¿Qué debe hacerse con los titulares de datos obtenidos de terceros?
a. Informarles de que se dispone de esos datos antes de haber transcurrido un
periodo de tres meses CORRECTA. Entre los principios que nos encontramos en la
normativa sobre protección de datos esta el deber de información que obliga a
informar al titular de los datos de su utilización. Además si estos datos proceden de
una fuente externa o de un tercero es necesario informar a titular en los tres meses
siguientes al registro de los datos
b. Nada la obligación es de la empresa que obtuvo esos datos
c. Informarle en caso de que plantee una reclamación
d. Informarle a través de la página web del banco
2. ¿De qué otras fuentes podía haber obtenido información para preparar sus reuniones?
a. Lista de personas pertenecientes a grupos o colegios profesionales CORRECTA.
Otro origen de los datos que se van a utilizar son lo que se denomina fuentes
publicas. Entre las fuentes públicas se encuentran las listas de personas
pertenecientes a grupos profesionales que contengan únicamente los datos de
nombre, título, profesión, actividad, grado académico, dirección profesional e
indicación de su pertenencia al grupo. En el caso de Colegios profesionales,
Página 42 de 42 Normativa Española de protección de datos de carácter personal y financiero
Manual de Formación
podrán indicarse como datos de pertenencia al grupo los de número de colegiado,
fecha de incorporación y situación de ejercicio profesional
b. No hay fuentes de datos de acceso publico
c. Únicamente de las bases de datos de la entidad
d. De la agenda del director de la oficina
3. ¿Qué se entiende por una lista de Robinson?
a. Un fichero de exclusión de comunicaciones comerciales CORRECTA. El otro tema
más sensible junto con los ficheros de solvencia patrimonial son los ficheros de
exclusión de comunicaciones comerciales o más conocidos como listas de
Robinson. De nuevo el riesgo de pérdida de clientes o de pérdida de reputación es
muy grande, hay clientes que se pueden sentir muy molestos al recibir publicidad,
llamadas de teléfonos que les ofrezcan nuevos productos del banco.
Si un cliente está dispuesto a realizar las gestiones necesarias para ser incluido en
esta lista, significa que es un tema importante para él y que no le costara realizar
otro tipo de gestiones para dejar de ser cliente de esa entidad que no ha atendido
sus peticiones.
b. Un fichero de clientes molestos con el banco
c. Un fichero de empleados que pueden manejar datos de clientes
d. Un fichero de reclamaciones del banco
4. ¿Qué plazo tiene la entidad para hacer efectivo el derecho a no recibir acciones
comerciales?
a. 10 días CORRECTA. Es fundamental que cualquier petición que recibamos en este
sentido sea gestionada de forma adecuada y nunca considerada como un tema
menor. El plazo que se concede en la ley para la tramitación en este caso es de 10
días.
b. 1 mes
c. 3 meses
d. Un año