Hoy vamos a realizar una pequeño análisis de los sistemas de identificación y autenticación de las entidades financieras en la banca online, y su adecuación a la LOPD, y en concreto, a su Reglamento de Desarrollo (RLOPD).
En concreto, vamos a constatar si cumplen con el artículo 93 del RLOPD, que señala:
Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.
Visto este artículo, se puede deducir claramente que la normativa de protección de datos establece la obligación, a los responsables de fichero, de establecer mecanismos para cambiar la contraseña, al menos, una vez al año.
Esta obligación, ¿cómo encaja en los accesos que se realizan a la banca online a través de Internet? ¿Las entidades financieras tienen mecanismos para obligar a sus clientes al cambio de contraseña, al menos, una vez al año? Yo la experiencia que tengo con al menos tres entidades financieras «famosas» es que no . Si bien, te permiten el cambio manual de contraseña de acceso, no poseen un mecanismo para forzar al cambio de contraseña una vez al año.
Vista esta situación, me pregunto el porqué y me hago dos preguntas, pero las respuestas no me son satisfactorias:
1.- ¿Será que los accesos que realicen los particulares a la banca online están fuera del ámbito de aplicación de la normativa de protección de datos? Para dar respuesta a esta pregunta sólo debemos acudir a los conceptos que el artículo 5.2 del RLOPD, establece para «usuario», «recurso» y, sobre todo, «sistema de información», y no puedo llegar a esa conclusión, ya que, parece claro que los sistemas de banca online son sistemas de información que acceden a recursos en los que se contienen datos de carácter personal.
2.- ¿Será que las entidades financieras, transfieren la responsabilidad del cambio de contraseñas a los usuarios de los sistemas de banca online? Si esto fuera así, se consideraría a la normativa de protección de datos, como una norma dispositiva, es decir, como una norma jurídica de la que se puede prescindir en virtud de la autonomía de la voluntad de las partes y, sinceramente, bajo mi punto de vista, todo nuestro sistema de protección de datos de carácter personal, lo entiendo como una normativa imperativa, es decir, una normativa que se debe cumplir, independientemente de la autonomía de la voluntad de las partes.
Por tanto, considero sencillo llegar a la conclusión de que, en los sistemas de identificación y autenticación de la banca online, se está incumpliendo el RLOPD, al no disponerse de mecanismos que exijan, el cambio de contraseña, al menos, anualmente. ¿Que opináis?
Autor:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Agradezco a mis compañeros Arkaitz Gamino (perfil en Twitter y Linkedin) y Jesús Soler (perfil en Linkedin) su colaboración en la redacción de esta entrada.
Entre Códigos Civiles y Androides 
Hola Gonzalo, buenos días.
Interesante tema, que yo creo común a todos los supuestos en los que un responsable de fichero permite acceso a la información contenida en el mismo a personas distintas a sus empleados o encargados de tratamiento. Con la definición de «usuario» que hace el RDLOPD parece que todo queda dentro del mismo concepto y que no se contempla, con en muchos casos para con esta normativa renacentista que toca todo, que el cliente en todo caso accede a sus propios datos en la misma forma en la que lo haría en el mundo físico y que el empleado/encargado manejaría información o datos ajenos, que no sé si debiera tener reflejo en la legislación. Mientras tanto, sí, como cae dentro del concepto «usuario», pues debería el sistema forzar a ese cambio.
Podríamos decir que existe una garantía adicional para realizar cualquier actuación con la cuenta bancaria que no sea ver los movimientos, mediante la petición de una clave de firma que será distinta en cada operación, pero lo cierto es que el mero visionado de los saldos o movimientos es un tratamiento
Ahora bien, pensemos que cada vez es más habitual en el mundo electrónico la identificación mediante el @DNI, y en este soporte no cambiamos nunca la contraseña, lo que pasa igualmente, por ejemplo, con el carnet colegial electrónico expedido por ACA, la entidad certificadora del CGAE, y lo mismo podríamos predicar de las relaciones electrónicas con la Administración.
Sería interesante conocer la opinión de alguien relacionado con los servicios jurídicos de alguna entidad bancaria y si en algún caso se ha elevado a la AEPD petición de informe
Gracias Alfonso por comentar. En Twitter ya lo he comentado con Jorge Campanillas (@jcampanillas)… Yo creo que el problema radica (también en el antiguo RMS) que el legislador ha querido legislar «en demasía», al poner como ejemplo de sistema de identificación/autenticación el procedimiento de contraseñas. Quizás si hubiera puesto una redacción más «tecnológicamente neutra»…no habría este problema interpretativo.
Bufff! Empiezas fuerte después de estos días… Estoy muy de acuerdo con lo planteado por Alfonso Pacheco. Para mí la clave está en el concepto de «usuario» y en el hecho de que, en el supuesto planteado, el cliente/usuario accede únicamente a sus propios datos (no a datos ajenos).
Por otra parte, a la hora de realizar transferencias online, supongo que todos conocemos que algunas Entidades facilitan al titular una tarjeta con una serie de claves numéricas de las que el sistema te solicita una de ellas cada vez que vas a realizar la operación.
¿Este sistema sería suficiente para cumplir el requisito RLOPD de cambio periódico de contraseña?
Por otra parte, acabo de revisar un contrato con una entidad financiera y en el apartado de obligaciones de la entidad, aunque se habla de «clave secreta» no se menciona nada acerca de la periodicidad del cambio de la misma.
En cualquier caso, y dado que la LOPD y RLOPD no hacen distinciones, entiendo que el requisito de cambio de contraseña debería aplicarse a todos los usuarios que accedan a datos incluidos en el sistema de información de una Entidad Financiera. Por tanto, para mí, las entidad que no cumpla esto estaría incumpliendo la normativa.
Aunque también admito que en este supuesto otras posturas pueden ser defendibles y a falta de opiniones vinculantes…
Saludos
Hola
Gracias por comentar. El tema está en que el RLOPD ni distingue entre usuario que puede acceder sólo a sus datos o usuario que accede a otros datos. Yo me pregunto: ¿Quien es el Responsable de Fichero? El banco…. pues el debe implantar las medidas..
Interesantísima reflexión, Gontzal… De acuerdo con Alfonso y Cholo… Aunque lo que suele producirse es un acceso a los datos por el propio afectado o interesado -de acuerdos con las definicones de ley y rglamento-, no es menos cierto que la cosa «se complica» cuando hablamos de cuentas de titularidad compartida… ni tampoco que la normativa lopediano no diferencia entre «usuarios»… Pero la banca es la banca y a ver quién le pone el cascabel, ¿o no?
Luis Salvador Montero
Gracias Luis por comentar. Para mí, sea usuario interno o sea usuario «interesado», lo cierto es que se produce un acceso a un sistema de información responsabilidad de la entidad bancaria con una el par usuario/contraseña y, siguiendo fielmente el RLOPD, es necesario contar con un mecanismo que obligue al cambio de contraseña, al menos una vez al año, salvo mejor criterio jurídico, obviamente….
No se podría aplicar la exclusión del artículo 4.a del RLOPD?
“Artículo 4 Ficheros o tratamientos excluidos: El régimen de protección de los datos de carácter personal que se establece en el presente reglamento no será de aplicación a los siguientes ficheros y tratamientos: a) A los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.”
Es decir, no se podría considerar que el tratamiento que realiza el usuario a sus datos estaría dentro del ámbito doméstico?