Protección de datos en el sector bancario

Los bancos y las entidades financieras procesan muchos datos personales. También están sujetos a los requisitos del GDPR. Estos requisitos deben cumplirse no sólo en la sucursal, sino también en la banca electrónica.

En consecuencia, el concepto de protección de datos de un banco debe funcionar tanto en línea como fuera de línea. La lucha contra la ciberdelincuencia ha cobrado aquí especial importancia. Además de la intervención de datos bancarios, como los números de las tarjetas de crédito, la lectura de datos sobre transacciones de pago individuales para determinar las preferencias de los clientes también resulta cada vez más económica.

Al final, el tratamiento responsable de los datos personales no sólo protege frente a posibles multas, sino que aumenta enormemente la confianza de los clientes.

Tratamiento de datos personales

Cada vez que se traten datos personales, esto debe basarse en un fundamento jurídico. En el caso de los bancos, esto puede basarse en el consentimiento del cliente (art. 6 I lit. a DSGVO), la ejecución de un contrato (art. 6 I lit. b DSGVO) o el cumplimiento de una obligación legal (art. 6 I lit. c DSGVO).

Los datos recogidos deben estar protegidos contra el acceso no autorizado en todas las fases del tratamiento. En particular, debe comprobarse la seguridad de los datos de todos los sistemas y aplicaciones utilizados.

Documentación y almacenamiento

El banco debe poder demostrar que los datos están suficientemente protegidos cuando se le solicite (responsabilidad, art. 5 II DSGVO). Por lo tanto, el banco debe documentar el tratamiento de los datos. En este contexto, deben tenerse en cuenta los periodos de conservación legales en función del tipo de datos. Si caducan, los datos deben borrarse inmediatamente y de forma segura.

Seguridad informática

El avance de la digitalización obliga a prestar mucha atención a la seguridad informática, especialmente en el sector financiero.

Todos los sistemas, soluciones de software y hardware, servicios en la nube y sitios web utilizados deben mantenerse siempre actualizados con las últimas tecnologías. Para ello, suele bastar con actualizar los sistemas utilizados en cuanto se dispone de una nueva actualización.

También debe señalarse siempre que se transfieren datos a terceros países.

Otros destinatarios

Además de los bancos tradicionales, todas las demás instituciones financieras y FinTechs (empresas de tecnología financiera) también están obligadas a cumplir con los requisitos del GDPR. Esto se debe a que los datos sensibles también se procesan aquí en una medida comparable a la del banco tradicional in situ en la ventanilla.

Cuanto mayores sean los riesgos para los datos y la necesidad de protegerlos, mayores serán los requisitos de las medidas de protección. En este sentido, es especialmente importante contar con una gestión/concepto de autorización adecuado, en el que las autorizaciones de acceso individuales queden patentes y, por tanto, el proceso de tratamiento de datos sea transparente.

Dependiendo de la empresa, también deben respetarse normativas especiales como las de la Ley del Mercado de Valores o la legislación fiscal aplicable.

Consecuencias de la infracción: multas

Si se infringen los requisitos del GDPR, puede imponerse una multa. Los bancos tampoco se libran: también se encuentran entre los más multados. Lo mismo ocurre con las 17 multas millonarias de 2020.

Para evitarlo y reforzar la confianza de los clientes, siempre es aconsejable recurrir a un asesoramiento profesional en el marco de la protección de datos y la seguridad informática.