La nueva ley de datos finiquita la letra pequeña de los bancos
La nueva ley de protección de datos de la Unión Europea obliga a la banca a ser más transparente con los clientes
El sector financiero español se prepara estos días para la entrada en vigor, el 25 de mayo, de la nueva normativa europea que regulará de forma mucho más estricta la gestión y protección de los datos personales de sus clientes e incluirá elevadas sanciones para quien la incumpla.
Se trata del Reglamento General de Protección de Datos, de 2016, que se conoce como «RGPD» y que se aplicará en todos los países que forman parte de la Unión Europea, con el objetivo de reforzar la protección del consumidor y asegurarse de que sus datos más sensibles no estén a disposición de cualquiera que pague por ellos.
La norma sustituye a una directiva europea de 1995, antes de que Google, las redes sociales como Facebook y Twitter, y los smartphones cambiasen para siempre el mundo digital, así como la forma en que las empresas se relacionan con sus clientes.
A partir del 25 de mayo los bancos están obligados a detallar el uso que le dan a la información personal de sus clientes
De esta forma, a partir del próximo 25 de mayo, los bancos estarán obligados a dar a sus clientes muchos más detalles que hasta ahora acerca del uso que le van a dar a su información personal, además de comunicarles durante cuánto tiempo lo harán, con qué finalidad, y con qué base legal.
Asimismo, los clientes también podrán saber qué otras empresas, organismos o autoridades de supervisión van a poder acceder a sus datos, algunos de los cuales pueden hacerlo por obligación legal y otros sólo con el «consentimiento inequívoco» del interesado.
Con la nueva ley de protección de datos, los clientes pueden obtener una copia de los datos que los bancos usan
Según los expertos consultados por Economía Digital, el nuevo reglamento ofrecerá al cliente de banca un entorno «más seguro y protegido», al tiempo que reforzará al sector ante posibles ciberataques, una de las mayores «amenazas» para estas entidades.
Se introducen medidas «que brindan más control» al cliente respecto a su información personal al obtener una copia del tratamiento de sus datos.
Nuevos derechos digitales
Desde la aseguradora británica Hiscox apuntan que esta normativa incorpora nuevos derechos como el de rectificación. El cliente podrá negarse al uso comercial de la información sobre él y también podrá solicitar la supresión de dicha documentación.
La normativa establece que las entidades necesitarán un consentimiento «inequívoco» del cliente para destinar esos datos a fines comerciales o cederlos a terceros. Y ese consentimiento tendrá que ser «activo», mediante la firma de una solicitud.
La autorización puede ser digital, verbal o por escrito, pero obliga a los bancos a registrar todo el procedimiento, y tendrán que remitir al cliente otro formulario diferente, relativo a los datos obtenidos antes del 25 de mayo.
Fuera la «letra pequeña»
Respecto al lenguaje, el nuevo reglamento establece que las comunicaciones de las compañías para conseguir estos permisos serán «claras, específicas y sin ambigüedades» y no podrán incluir la llamada «letra pequeña».
La nueva política de protección de datos incluye como información personal las direcciones, información bancaria, identificadores online (como la dirección IP), nombre y apellidos, así como la ubicación.
Otra de las novedades es la creación de la figura del delegado de protección de datos en las entidades con más de 250 empleados para que medie entre banco y cliente.
Un mediador independiente representará los intereses del usuario y mediará entre éste y el banco
El director del área de protección de datos y nuevas tecnologías de la consultora Finreg, Javier Aparicio, señala que este mediador será «independiente» y deberá velar por los intereses del cliente ante un caso de violación de datos.
«Es una figura parecida al defensor del cliente, que representará los intereses del usuario y mediará entre éste y el banco», añade.
Ante un caso de violación, pérdida, o alteración de datos, la compañía tiene la obligación de notificarlo en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos (AEPD), así como a la persona afectada.
Sin complicaciones
El reglamento también incluye excepciones de «interés legítimo», como el blanqueo de capitales, en el que la entidad tendrá acceso a determinada información bancaria.
En caso de incumplimiento, las multas pueden alcanzar hasta el 4% del volumen de negocio del último ejercicio, aunque se espera que se adapte para las pequeñas y medianas entidades, según su capacidad financiera.
Por otra parte, desde el sector entienden que la banca «no tendrá muchas complicaciones» para adaptarse a la nueva ley, ya que en los años anteriores han adecuado sus políticas, plantillas, auditorías y programas formativos para brindar mayor control sobre los datos personales.