Nuevas vivencias, nuevas situaciones… pero mismas obligaciones
La Ley de contratos de crédito al consumo en la que, entre otras cuestiones, habla de los sistemas de información crediticia (los ficheros de solvencia patrimonial), la Ley de prevención de blanqueo de capitales donde hay normas sobre conservación de datos (diez años después de la finalización del contrato), Ley de medidas de reforma del sistema financiero donde se regulan los usos de la CIRBE, Ley sobre servicios de la sociedad de la información en la que nos basamos para nuestra configuración de la política de cookies, el marketing electrónico… Y por supuesto la ley Orgánica de Protección de datos y garantía de derechos digitales y el Reglamento General de Protección de datos.
Y cuando estamos sentados en esas mesas más o menos extrañas para nuestro trabajo del día a día, todas esas normas siguen estando presentes, siguen estando vigentes para todos nosotros y siguen siendo de obligado cumplimiento.
¿Qué datos personales tratamos?
En el ámbito de un grupo de trabajo, más o menos extenso, acostumbrado a tratar datos personales de clientes, contactos de proveedores, compañeros, corremos el peligro de intoxicarnos con terminología plagada de “falsos amigos”.
En el ámbito financiero, en el crédito al consumo, no tratamos datos sensibles, salvo en contadas excepciones. Por eso cuando hablamos de datos sensibles debemos recordar a qué nos referimos:
Origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física(1).
Los datos sensibles son una categoría especial dentro de los datos personales y es importante que nos concienciemos de la importancia del lenguaje a usar. Si hablamos de datos sensibles cuando estamos realizando una Evaluación de Riesgo (esa PrePIA que muchos de vosotros habéis rellenado ya en alguna ocasión) automáticamente tendríamos que realizar una Evaluación de Impacto (PIA) y os aseguro que en el noventa y nueve por ciento de los casos no es así.
Tratamos datos de identificación de nuestros clientes, datos financieros, nos ayudamos de decisiones automatizadas necesarias para la perfección de un contrato de préstamo o crédito, usamos sistemas de información crediticia para ayudarnos a evaluar las peticiones de contrato, informamos de las operaciones a la Central de Información de Riesgos en la medida que la ley que la regula nos obliga a ello… En definitiva, tratamos los datos personales necesarios para la actividad que realizamos.
Hay diferentes principios en los que se basa el tratamiento de datos personales y uno de ellos es precisamente el anterior, el tratamiento de los datos exclusivamente necesarios. El principio de minimización de datos (2).
La situación actual y la protección de datos en nuestro ámbito profesional.
Se están viendo multitud de noticias sobre cómo conjugar determinados aspectos que la situación actual ha provocado y, sobre todo, cómo ayudar a controlarlos con la ayuda de las nuevas tecnologías, big data, etc., con el respeto a las normas de protección de datos.
Tenemos que recordar que el derecho a la privacidad en su vertiente de protección de datos se configura como un derecho fundamental consagrado en el artículo 18 de la Constitución . Y en ámbitos profesionales como el sector financiero, ese derecho a la privacidad, con las facilidades nacidas a veces de manera rápida pero eficiente, con el teletrabajo, deben permanecer inalterables con el diseño de una estrategia de teletrabajo que casi se configura como un nuevo tratamiento, aunque esos datos personales que se tratan sean los mismos de siempre.
La Agencia Española de Protección de Datos emitió unas “Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo”que abarcan desde cuestiones puramente normativas y logísticas hasta de seguridad informática. Pero en realidad nada que no sea aplicable en el día a día de una situación que fuera norma. Por ejemplo, habla de elegir proveedores de servicio (para el teletrabajo) que sean confiables y con garantías, pero ¿Eso no tiene que ser siempre así al margen de la situación de estado de alarma o de teletrabajo?
En definitiva lo que la Agencia Española de Protección de Datos viene a señalar es en realidad un recordatorio de la necesidad de seguir cumpliendo las mismas obligaciones que hasta ahora, aunque extremando las precauciones dado el nuevo panorama en el que nos desenvolvemos en nuestro trabajo diario. Por tanto, se deben exigir las mismas garantías a los proveedores que no se pueden relajar ante esta situación, antes al contrario, se deben extremar al existir nuevas formas de amenazas en el tratamiento de los datos personales.
Y como siempre, aun más en estos momentos, cobra una importancia absoluta saber reaccionar ante un eventual incidente en el que se vean envueltos datos personales.
Nada dura para siempre. Aunque quizá todo aquello relacionado con la protección de datos personales sí.
———-
(1) Es maravillosa la aclaración del Reglamento sobre la persona física porque ¿Alguien sabría decir cuál es la orientación sexual de una persona jurídica
(2) El Reglamento señala dentro de su artículo relativo a los principios relativos al tratamiento que los datos personales serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.
(3) 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”