La LOPD y los datos bancarios

La ley ,15/1999 aún hoy continúa siendo fuente de interrogantes o dudas por parte de los empresarios. Por eso, es que comparto ahora esta pregunta que quizá muchos de ustedes ya se hayan hecho: ¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?

Vayamos a la letra de la ley, y veremos que en el artículo 12 del Reglamento de Medidas de Seguridad, relativo al control de acceso, establece que:

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fichero, de acuerdo se establece en el art. 9 de la misma ley:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.



Me gustaría desde estas páginas, bajar un poquito el nivel de paranoia que puede suscitar el tratamiento de nuestros datos personales o privados por cuenta de terceros. Como pueden ser entidades bancarias o de crédito, reparticiones públicas del Estado, etc.

Toda administración, por pequeña que sea, mantiene un orden (aunque informal) en cuanto a la información que manejan cada uno de sus funcionarios. A medida que la organización crece en tamaño, también lo hace en complejidad y la misma división en departamentos hace que se delimite aún más su dispersión.

Los bancos, entidades de crédito, el estado, etc, son organizaciones muy grandes y complejas que más allá de lo que especifica el art. 9 de la ley 15/1999, mantienen políticas serias y completas para evitar el acceso indiscriminado a la información que guardan en sus bases de conocimiento.