Cuando se habla de consultoría de protección de datos y de derecho de las nuevas tecnologías, especialmente de las leyes LOPD y LSSICE, siempre se tiende a asociar estos conceptos con el mundo online. En realidad, esta normativa de protección de datos debe aplicarse a todas aquellas empresas e instituciones que trabajen con datos personales de sus usuarios, como es el caso de los bancos.
La verdad es que la relación entre la ley de protección de datos que existe en España y la actividad de las entidades bancarias aun no está perfectamente definida y , de hecho, se pueden detectar muchas lagunas en el tratamiento de los datos de los usuarios que hacen muchos bancos.
El peligro de la ciberdelincuencia
Aunque se supone que la legislación existente sobre la protección de datos debe mejorar el respeto a las libertades y derechos de los individuos, las entidades financieras deben aplicar esta normativa teniendo en cuenta un problema que les afecta directamente: la ciberdelincuencia.
La actitud que deben tomar los bancos ante una posible amenaza a los ahorros y los datos personales de sus clientes no está definida claramente en la actualidad y, de hecho, cada entidad financiera reacciona de manera distinta cuando un ladrón digital logra acceder a las cuentas de sus usuarios.
Muchas entidades financieras optan por solamente comunicar el ataque a una cuenta bancaria cuando se pone en riesgo la seguridad del propio banco y del cliente, no simplemente porque se haya producido el acto delictivo en sí. Muchos expertos avalan esta supuesta desinformación al cliente amparándose en la idea de que los ataques cibernéticos son mucho más frecuentes de lo que parece y, por lo tanto, informar de cada intento de vulneración de una cuenta sería crear una alarma no necesaria. Pese a ello , muchos usuarios siguen creyendo que tienen derecho a conocer los ataques que recibe su entidad bancaria y, especialmente, del punto de compromiso al que llega la seguridad de su cuenta bancaria. Realmente, a nivel legal es difícil dar la razón a una de las dos partes, ya que existe una especie de limbo en la ley de protección de datos acerca de estas situaciones.
Lo que dice la normativa de protección de datos
De acuerdo con el artículo 86 del nuevo Reglamento Europeo de Protección de Datos “El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias”. Y esta comunicación deberá realizarse con un lenguaje claro y sencillo, para que no haya un problema de incorrectas interpretaciones. Hasta aquí, parece muy sencilla la aplicación de la normativa, pero la misma normativa señala una serie de condiciones en las que no es necesario que se produzca la comunicación, y que se refieren básicamente a que se hayan adoptado las medidas necesarias para la protección de los datos afectados por la violación. En consecuencia, por regla general, los bancos no tendrán obligación de comunicar a sus clientes una posible violación de la seguridad de sus datos personales salvo que exista un alto riesgo para sus derechos y libertades