Riesgos y sanciones por incumplimiento del RGPD en el sector financiero

De acuerdo con el informe “How Financial Services are taking a sustainable approach to GDPR compliance in a new era for privacy”, publicado por Deloitte, el 46% de las entidades financieras afirman no haber llevado a cabo una inversión relevante para adaptarse al nuevo RGPD (Reglamento General de Protección de Datos) o GDPR, por sus siglas en inglés.

Esto se debe a que su propia normativa sectorial de la banca y el resto del sector financiero siempre ha sido especialmente estricta en lo que se refiere a la protección de datos de carácter personal.

Al fin y al cabo, su actividad exige la recopilación y utilización de esta información, para llevar a cabo los correspondientes análisis de riesgo y tests de idoneidad en la venta de productos financieros.

En definitiva, su proceso de adaptación a la nueva legislación ha requerido un menor esfuerzo, en comparación con otros sectores.

Ahora bien, esto no significa que el sector financiero sea ajeno a los riesgos y las correspondientes sanciones, como consecuencia del incumplimiento del RGPD.

Riesgos del incumplimiento del RGPD

En términos generales, el incumplimiento de la normativa de protección de datos puede propiciar una brecha de seguridad, que suponga la pérdida, robo, inaccesibilidad o exposición indebida de los datos de carácter personal.

Dicho esto, en la práctica, podemos apreciar una serie de grandes categorías de riesgo y desafíos que estas entidades afrontan.

Pérdidas económicas

Si el incumplimiento normativo da lugar a una brecha de seguridad, la entidad financiera afectada podría sufrir cuantiosas pérdidas económicas.

Hay que tener presente que estas entidades basan su actividad en la gestión de información financiera de carácter personal.

Si esta información se perdiese o dañase, la continuidad de su actividad podría quedar en entredicho.

Daño reputacional

En el citado informe de Deloitte, el 56% las entidades financieras encuestadas señalaron el “potencial daño a la reputación” como uno de los principales motivos por los que garantizar el cumplimiento normativo.

Se trata de un riesgo de difícil cuantificación. Sin embargo, estas entidades son conscientes de que su marca es su activo de mayor valor.

La exposición no autorizada de datos personales puede generar una enorme pérdida de confianza por parte de suministradores, prospectos y clientes, de difícil reparación en el corto plazo.

Además, este daño a la reputación corporativa supone una merma importante en la capacidad de crecimiento de la marca en el mercado.

Sanciones administrativas

La “amenaza de multas regulatorias” también fue destacada por el 47% de las entidades financieras como un importante factor de preocupación.

Tal como veremos en la siguiente sección, el RGPD prevé cuantiosas sanciones en caso de incumplimiento normativo.

Demandas colectivas

Al igual que en otros sectores, las entidades financieras también se exponen a sufrir demandas judiciales, por parte de clientes afectados por una brecha de seguridad que haya expuesto sus datos personales.

En caso de que los tribunales condenen a las entidades, las compensaciones económicas pueden llegar a ser muy cuantiosas, dado el volumen de clientes que atesoran.

Requisitos normativos imprecisos

Uno de los principales desafíos que está planteando la aplicación del nuevo RGPD es la presencia de numerosas imprecisiones en su redacción.

Este texto normativo incluye términos indefinidos tales como “retraso indebido”, “esfuerzo desproporcionado” o “probabilidad de riesgo para los derechos y libertades”.

Igualmente, el reglamento alude repetidamente al concepto de “nivel de protección razonable”, al referirse a la salvaguarda de los datos personales.

Sin duda, cada una de estas expresiones son susceptibles de interpretación, tanto por autoridades administrativas con capacidad sancionadora, como por los tribunales.

Este nivel de incertidumbre supone un riesgo añadido, que sólo irá resolviendo conforme estas instituciones deban tomar decisiones en casos específicos.

Sanciones por incumplimiento del RGPD en el sector financiero

Antes de abordar el alcance de las sanciones que puede acarrear el incumplimiento normativo, conviene señalar que la investigación de una infracción puede iniciarse tanto  a instancia de parte, como de oficio.

Así, la autoridad de protección de datos competente -en España, la AEPD- está legitimada para llevar a cabo inspecciones periódicas, con el fin de garantizar el cumplimiento del RGPD.

En el caso de que la inspección tenga lugar tras la notificación de una violación de seguridad de la información, la autoridad competente deberá comprobar que el responsable del tratamiento de los datos:

  • Ha aplicado la tecnología y medidas organizativas adecuadas para detectar la brecha de seguridad.
  • Y ha notificado la brecha de seguridad sin dilación indebida.

Criterios para valorar el importe de la sanción administrativa

De acuerdo con el art. 83.2 del RGPD: “Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58 (…)”.

Acto seguido, procede a enumerar una total de 12 criterios; entre los que cabe destacar:

  • La naturaleza, gravedad y duración de la infracción.
  • La intencionalidad o negligencia en la infracción
  • Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  • Toda infracción anterior cometida por el responsable o el encargado del tratamiento
  • El grado de responsabilidad del responsable o del encargado del tratamiento
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción

Importe de las sanciones administrativas

La cuantía máxima de las sanciones se regula en función de dos categorías de infracción.

Infracciones de carácter general

Por un lado, el art. 83.4 alude a las infracciones por incumplimiento de las obligaciones reguladas por el propio RGPD:

  • Las obligaciones del responsable y del encargado.
  • Las obligaciones de los organismos de certificación.
  • Las obligaciones de la autoridad de control.

Estas infracciones serán sancionadas con “multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

Nos gustaría destacar que la solución que brindamos en Asentify está diseñada para garantizar que el responsable del tratamiento de los datos en tu empresa dispone de los recursos necesarios para cumplir con sus obligaciones.

  • En primer lugar, tiene un control absoluto en la recogida del consentimiento de los usuarios y la administración de sus derechos.
  • En segundo lugar, cuenta con un repositorio centralizado de los datos, y dispone de una trazabilidad completa en el tratamiento de los mismos.
  • Finalmente, cuenta con garantía de máxima seguridad e inmutabilidad de los datos, gracias al uso de tecnología blockchain.

Infracciones de carácter grave

Por otro lado, el art. 83.5 se refiere a las infracciones por incumplimiento de:

  • Los principios básicos para el tratamiento de los datos.
  • Los derechos de los interesados.
  • Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional.
  • Toda obligación en virtud del Derecho de los Estados miembros.
  • El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control.

En cualquier de estos casos, los límites máximos se elevan 20 000 000 EUR o el 4 % del volumen de negocio total anual, respecto a lo indicado anteriormente.

Entradas recomendadas

operadores cobraran medio millon
Las operadoras cobrarán medio millón de euros por ceder los datos al INE
RGPD y Protección de datos para clubes deportivos
ciberseguridad
Ciberseguridad: Actual riesgo nº 1 para las empresas