En 2018 entrará en vigor el nuevo Reglamento Europeo Relativo al Tratamiento de Datos Personales. El objetivo es conseguir un mayor respeto a las libertades y derechos fundamentales de cada individuo. Pero hay un caso concreto, ciberdelincuencia y cómo deben comunicar estas situaciones las entidades financieras, en el que esta normativa queda abierta a una excesiva interpretación.

¿Qué pasa si un ladrón digital accede a tu cuenta y pone en riesgo tus ahorros? Ahora mismo cada banco actúa de una manera distinta, tanto para la comunicación del hecho, como la forma en hacerlo. ¿Pero qué pasa si dicho ladrón no entra, sino que solo lo intenta? Aquí directamente no hay ningún deber por parte de la entidad financiera de comunicárselo al cliente.

Desde Caixabank y Bankia confirman a SABEMOS que, en caso de ataque y si hay riesgo de que afecte a los datos personales, se comunica al cliente. Pero ambas entidades coinciden en que solo se hace cuando el ciberdelincuente ha conseguido parte de su objetivo: poner en riesgo la seguridad del banco y el cliente. Nunca por el mero hecho de que haya un ataque.

El experto en derecho y estrategia digital, Borja Adsuara, coincide con esta forma de operar. Asegura que, en cierto modo, los bancos tienen parte de razón en no comunicar los simples intentos de ataque. Explica, “se trata de no poner nerviosos a los clientes sin motivo”.

Sostiene que todos los días, y a todas horas, las entidades financieras sufren ataques. Se pregunta de forma retórica si todos los días habría que informar a miles de clientes de que sus cuentas han intentado ser vulneradas, pero que no se ha conseguido. Señala que la inmensa mayoría de los ataques se frenan con las medidas básicas de seguridad, por lo que ahonda en no crear una alarma digital cuando no la hay.

No obstante, la duda sigue estando. ¿No debería conocer un cliente si su banco recibe más ataques que el de la competencia? En todo caso, ¿hasta qué punto han estado comprometidos sus ahorros? ¿De esto sí informarán? Pues según el Reglamento Europeo de Protección de Datos, hay un pequeño limbo.

La contradicción en la protección de datos

Desde Caixabank confirman que hasta 2018, fecha en que entra en vigor esta legislación, “cada entidad aplica el criterio que considere (hay algún caso reciente en el sector en España de entidad que lo ha explicado en su web)”. ¿Pero soluciona la nueva normativa estas formas de criterio unilaterales?

El Artículo 34 da respuesta:

1- Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

2- La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales (…).

Pero no todo iba a ser tan sencillo. Hay una serie de condicionantes que no obligan a un banco a comunicar nada a sus usuarios.

3- La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales (…);

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

Por lo tanto, la normativa es una contradicción en sí misma. Desde Bankia aclaran a este medio que ellos “se dotan de medidas de seguridad generales como antivirus, firewall, etc.  También contra ataques específicos, como son las denegaciones de servicio, malware a medida (APT’s), monitorización de intrusiones, etc.”. Así, pase lo que pase y entrañe el ataque el riesgo que sea, nunca se verán obligados a comunicar nada a sus clientes. Ningún banco tendrá el deber de hacerlo.

Si es un ataque masivo y a gran escala, y que daña al propio banco, tienen la obligación de comunicarlo a la Comisión Nacional del Mercado de Valores (CNMV). Incluso, desde Bankia aseguran que “las buenas prácticas de seguridad de la información nos llevan a comunicarnos directamente con clientes aunque el incidente sea menor y puntual, y a comunicar a servicios de seguridad especializados los ataques, aunque no hayan tenido un impacto real”.

Pero lo cierto es que no tienen obligación. Al final se trata de una cuestión de imagen y no ceder ante la competencia. Si no existe la obligación de hacerlo, todo queda en manos de la ética corporativa. En este caso la ley no favorece a los usuarios.

Imagen | ‘Sociobits