El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido por sus siglas en español como RGPD o en inglés como GDPR y que será de aplicación a partir del próximo 25 de mayo, supone una evolución de la Directiva 95/46/CE de protección de datos personales, siendo la primera e importante diferencia respecto de la normativa anterior que ahora nos encontramos ante un Reglamento y no una Directiva.
Esto permite una armonización de todas las legislaciones europeas en materia de protección de datos, otorgando mayor seguridad jurídica a aquellas empresas que tengan un componente internacional en sus tratamientos de datos, como por ejemplo las entidades financieras, ya que podrán conocer las reglas del juego en el ámbito europeo sin necesidad de acudir a las diferentes legislaciones nacionales.
Cambios que introduce el RGPD
Otra de las grandes novedades de este RGPD es su ámbito de aplicación territorial. Si bien hasta ahora nos teníamos que fijar en el domicilio de la empresa que trataba los datos personales para concretar la ley aplicable, ahora lo determinante es la residencia del titular de los datos (el interesado), de suerte que si el dato personal pertenece a un residente de la Unión Europea, la empresa que los trate, aunque esté fuera de la Unión, deberá respetar los dictados del RGPD, siempre y cuando las actividades de tratamiento se refieran a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago.
Se modifica también el régimen del consentimiento, desapareciendo el consentimiento tácito, por lo que ahora se exige una clara acción afirmativa por parte del interesado; pero el RGPD va un punto más allá, y obliga a las empresas a tener un registro de consentimientos pues deberán estar en condiciones de acreditar que el interesado otorgó su consentimiento a los tratamientos de datos por parte del responsable.
Estos nuevos requisitos del consentimiento están obligando en muchos casos a las entidades financieras a solicitar de nuevo el consentimiento para ajustarse al RGPD, ya que la base legitimadora con la que lo obtuvieron anteriormente podría no ser válida ahora. Esto también ha repercutido en un mayor control por parte de sus clientes de los tratamientos que realiza el banco sobre sus datos personales, pues ahora puede conocer con mayor precisión qué concretas operaciones están realizando, y en su caso, otorgar o no el consentimiento.
Junto a estas novedades, aparece la responsabilidad proactiva como eje pivotante del cumplimiento del RGPD. Las empresas deben adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD establece. Para ello, el RGPD prevé una serie de medidas concretas:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos
- Notificación de violaciones de la seguridad de los datos
- Promoción de códigos de conducta y esquemas de certificación.
Consecuencia de lo anterior tenemos una obligación implícita de análisis de riesgos por parte del responsable del tratamiento, que se traduce en determinar qué medidas deben aplicar para alcanzar esa protección que pretende otorgar el RGPD.
El RGPD y los bancos
El caso de los bancos es un colectivo especialmente sensible por lo que junto a estos análisis de riesgos se exige una Evaluación de Impacto en la protección de los datos personales de sus clientes. Estas evaluaciones de impacto van más allá del mero cumplimiento normativo, y pretenden cubrir las expectativas de privacidad de los interesados, que en el caso concreto de los usuarios de la banca, son muy altas y concretas por el tipo de información que manejan las entidades financieras.
Por último y en conexión con lo anterior, una novedad importante del RGPD es la obligación de notificación de violaciones de seguridad. El RGPD otorga un plazo de 72 horas notificar de las violaciones de seguridad, excepto cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Hay que documentar todas las violaciones de seguridad. Esta notificación también hay que hacerla al interesado o afectado cuando es probable que la quiebra entrañe alto riesgo para sus derechos y libertades, como podría ser en una fuga de datos de naturaleza bancaria por ejemplo.