![](["https://s1.aebanca.es/wp-content/uploads/2018/05/data.jpg", "https://s1.aebanca.es/wp-content/uploads/2018/05/data-569x319.jpg"])
El tratamiento y la protección de los datos reviste para los bancos una importancia fundamental tanto desde la perspectiva de su responsabilidad, para evitar que los datos de sus clientes sean objeto de una cesión no consentida y garantizar su integridad, como de las repercusiones en su actividad, en la que sus clientes depositan su confianza.
El Reglamento Europeo de Protección de Datos (RGPD), publicado el 4 de mayo de 2016 y de plena aplicación a partir del próximo 25 de mayo de 2018, introduce un nuevo modelo global que conlleva no sólo una homogeneización de la normativa reguladora de esta materia en todos los Estados miembros de la UE, sino un importante cambio de enfoque en la estrategia de cumplimiento en materia de protección de datos de carácter personal.
Por un lado, introduce un cambio histórico en relación con el compromiso del responsable de tratamiento de datos a través del concepto de responsabilidad proactiva o “accountability”. Este principio, que constituye uno de los pilares sobre los que se sustenta la legislación, consiste en la obligación de prevenir daños por parte de las organizaciones que traten datos de carácter personal, por lo que deberán tomar las medidas que aseguren razonablemente que, a priori, están en condiciones de cumplir con los principios, garantías y derechos establecidos en el Reglamento.
Además, no sólo se tendrá que cumplir con lo establecido en el RGPD, sino también encontrarse en condiciones de acreditar que se cumple con el mismo, a fin de evitar cualquier tipo de riesgo para los derechos fundamentales de los usuarios.
Por otro lado, otorga una mayor seguridad jurídica, dado que, en aplicación del principio de transparencia, se obliga a las organizaciones a proporcionar mayores detalles al interesado sobre el tratamiento que se hace de sus datos personales. Así, cuando los datos se recaben de aquél, se le deberá facilitar determinada información como los fines y la base jurídica del tratamiento, los destinatarios o categorías de destinatarios de sus datos, las transferencias previstas de los mismos o el plazo de su conservación -entre otras- para que pueda tener, en su caso, un control efectivo sobre los mismos.
Asimismo, se modifica el régimen del consentimiento, dejando de ser válido el consentimiento tácito, se introduce la posibilidad de que el interés legítimo del responsable pueda constituir una base jurídica para el tratamiento -siempre que no prevalezcan los intereses o los derechos y libertades del interesado- y se amplían los derechos de este último, con la introducción del derecho al olvido, la posibilidad de limitar el tratamiento de sus datos o el derecho a su portabilidad.
El Reglamento también establece nuevas obligaciones específicas para los responsables de datos, entre las que destaca designar un delegado de Protección de Datos, obligatorio en el caso de los bancos al tener como actividad principal operaciones de tratamiento de datos que exigen un control periódico y sistemático a gran escala. También es obligatorio elaborar un registro de actividades de tratamiento teniendo en cuenta su finalidad y la base jurídica sobre la que se asienta, realizar un análisis de riesgos, revisar las medidas de seguridad a la luz de los resultados de dicho análisis, y establecer mecanismos y un procedimiento de notificación de quiebras de seguridad, o realizar, en su caso, una evaluación de impacto en la protección de datos.
Los bancos españoles, como responsables del tratamiento de datos, han adoptado, en el plazo de adaptación ofrecido por el texto europeo, todas las iniciativas necesarias, con la implantación de las medidas de carácter técnico, organizativo y de seguridad interna que afectan a sus mecanismos, procedimientos y formularios internos, teniendo en cuenta, para ello, las implicaciones que para sus clientes supone el tratamiento de sus datos.
No obstante, más allá de las nuevas exigencias impuestas por el RGPD (que se verá complementado a nivel nacional con la nueva Ley Orgánica de Protección de Datos que en estos momentos está debatiéndose en el Parlamento) no debe olvidarse que, dado el alto volumen de datos que maneja y la diversidad de servicios y operaciones que ofrece, el sector bancario español ha otorgado siempre un alto nivel de protección a los datos de sus clientes y una plena garantía en el ejercicio de sus derechos. Y es que el tratamiento y la protección de los datos reviste para los bancos una importancia fundamental tanto desde la perspectiva de su responsabilidad, para evitar que los datos de sus clientes sean objeto de una cesión no consentida y garantizar su integridad, como de las repercusiones en su actividad, en la que sus clientes depositan su confianza, ya que el impacto reputacional de un mal tratamiento de éstos puede conllevar consecuencias de enorme dimensión para un banco.
Por ello, los bancos españoles realizan y continuarán haciendo grandes esfuerzos y dedicando cuantiosos recursos, humanos y materiales, para implantar las medidas que, en cada momento, sean necesarias para cumplir con las disposiciones legales en esta materia, comprometidos con los fines de la normativa y con los supervisores.
Maria Peco, asesora legal de la Asociación Española de Banca