¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD?


Hoy vamos a realizar una pequeño análisis de los sistemas de identificación y autenticación de las entidades financieras en la banca online, y su adecuación a la LOPD, y en concreto, a su Reglamento de Desarrollo (RLOPD).

En concreto, vamos a constatar si cumplen con el artículo 93 del RLOPD, que señala:

Artículo 93. Identificación y autenticación.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Visto este artículo, se puede deducir claramente que la normativa de protección de datos establece la obligación, a los responsables de fichero, de establecer mecanismos para cambiar la contraseña, al menos, una vez al año.

Esta obligación, ¿cómo encaja en los accesos que se realizan a la banca online a través de Internet? ¿Las entidades financieras tienen mecanismos para obligar a sus clientes al cambio de contraseña, al menos, una vez al año? Yo la experiencia que tengo con al menos tres entidades  financieras “famosas” es que no . Si bien, te permiten el cambio manual de contraseña de acceso, no poseen un mecanismo para forzar al cambio de contraseña una vez al año.

Vista esta situación, me pregunto el porqué y me hago dos preguntas, pero las respuestas no me son satisfactorias:

1.- ¿Será que los accesos que realicen los particulares a la banca online están fuera del ámbito de aplicación de la normativa de protección de datos? Para dar respuesta a esta pregunta sólo debemos acudir a los conceptos que el artículo 5.2 del RLOPD, establece para “usuario”, “recurso” y, sobre todo, “sistema de información”,  y no puedo llegar a esa conclusión, ya que, parece claro que los sistemas de banca online son sistemas de información que acceden a recursos en los que se contienen datos de carácter personal.

2.- ¿Será que las entidades financieras, transfieren la responsabilidad del cambio de contraseñas a los usuarios de los sistemas de banca online? Si esto fuera así, se consideraría a la normativa de protección de datos, como una norma dispositiva, es decir, como una norma jurídica de la que se puede prescindir en virtud de la autonomía de la voluntad de las partes y, sinceramente, bajo mi punto de vista, todo nuestro sistema de protección de datos de carácter personal, lo entiendo como una normativa imperativa, es decir, una normativa que se debe cumplir, independientemente de la autonomía de la voluntad de las partes.

Por tanto, considero sencillo llegar a la conclusión de que, en los sistemas de identificación y autenticación de la banca online, se está incumpliendo el RLOPD, al no disponerse de mecanismos que exijan, el cambio de contraseña, al menos, anualmente. ¿Que opináis?

Autor:

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Agradezco a mis compañeros Arkaitz Gamino (perfil en Twitter  y Linkedin) y Jesús Soler (perfil en Linkedin)  su colaboración en la redacción de esta entrada.

Anuncios

9 Responses to “¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD?”


  1. 1 Alfonso Pacheco 26/12/2011 en 12:53

    Hola Gonzalo, buenos días.

    Interesante tema, que yo creo común a todos los supuestos en los que un responsable de fichero permite acceso a la información contenida en el mismo a personas distintas a sus empleados o encargados de tratamiento. Con la definición de “usuario” que hace el RDLOPD parece que todo queda dentro del mismo concepto y que no se contempla, con en muchos casos para con esta normativa renacentista que toca todo, que el cliente en todo caso accede a sus propios datos en la misma forma en la que lo haría en el mundo físico y que el empleado/encargado manejaría información o datos ajenos, que no sé si debiera tener reflejo en la legislación. Mientras tanto, sí, como cae dentro del concepto “usuario”, pues debería el sistema forzar a ese cambio.

    Podríamos decir que existe una garantía adicional para realizar cualquier actuación con la cuenta bancaria que no sea ver los movimientos, mediante la petición de una clave de firma que será distinta en cada operación, pero lo cierto es que el mero visionado de los saldos o movimientos es un tratamiento

    Ahora bien, pensemos que cada vez es más habitual en el mundo electrónico la identificación mediante el @DNI, y en este soporte no cambiamos nunca la contraseña, lo que pasa igualmente, por ejemplo, con el carnet colegial electrónico expedido por ACA, la entidad certificadora del CGAE, y lo mismo podríamos predicar de las relaciones electrónicas con la Administración.

    Sería interesante conocer la opinión de alguien relacionado con los servicios jurídicos de alguna entidad bancaria y si en algún caso se ha elevado a la AEPD petición de informe

    • 2 Administrador 26/12/2011 en 13:02

      Gracias Alfonso por comentar. En Twitter ya lo he comentado con Jorge Campanillas (@jcampanillas)… Yo creo que el problema radica (también en el antiguo RMS) que el legislador ha querido legislar “en demasía”, al poner como ejemplo de sistema de identificación/autenticación el procedimiento de contraseñas. Quizás si hubiera puesto una redacción más “tecnológicamente neutra”…no habría este problema interpretativo.

  2. 3 @jm_cholo 26/12/2011 en 18:31

    Bufff! Empiezas fuerte después de estos días… Estoy muy de acuerdo con lo planteado por Alfonso Pacheco. Para mí la clave está en el concepto de “usuario” y en el hecho de que, en el supuesto planteado, el cliente/usuario accede únicamente a sus propios datos (no a datos ajenos).
    Por otra parte, a la hora de realizar transferencias online, supongo que todos conocemos que algunas Entidades facilitan al titular una tarjeta con una serie de claves numéricas de las que el sistema te solicita una de ellas cada vez que vas a realizar la operación.
    ¿Este sistema sería suficiente para cumplir el requisito RLOPD de cambio periódico de contraseña?
    Por otra parte, acabo de revisar un contrato con una entidad financiera y en el apartado de obligaciones de la entidad, aunque se habla de “clave secreta” no se menciona nada acerca de la periodicidad del cambio de la misma.
    En cualquier caso, y dado que la LOPD y RLOPD no hacen distinciones, entiendo que el requisito de cambio de contraseña debería aplicarse a todos los usuarios que accedan a datos incluidos en el sistema de información de una Entidad Financiera. Por tanto, para mí, las entidad que no cumpla esto estaría incumpliendo la normativa.
    Aunque también admito que en este supuesto otras posturas pueden ser defendibles y a falta de opiniones vinculantes…
    Saludos

    • 4 Administrador 26/12/2011 en 19:57

      Hola
      Gracias por comentar. El tema está en que el RLOPD ni distingue entre usuario que puede acceder sólo a sus datos o usuario que accede a otros datos. Yo me pregunto: ¿Quien es el Responsable de Fichero? El banco…. pues el debe implantar las medidas..

  3. 5 Luis Salvador Montero 27/12/2011 en 17:58

    Interesantísima reflexión, Gontzal… De acuerdo con Alfonso y Cholo… Aunque lo que suele producirse es un acceso a los datos por el propio afectado o interesado -de acuerdos con las definicones de ley y rglamento-, no es menos cierto que la cosa “se complica” cuando hablamos de cuentas de titularidad compartida… ni tampoco que la normativa lopediano no diferencia entre “usuarios”… Pero la banca es la banca y a ver quién le pone el cascabel, ¿o no?

    Luis Salvador Montero

    • 6 Administrador 27/12/2011 en 20:09

      Gracias Luis por comentar. Para mí, sea usuario interno o sea usuario “interesado”, lo cierto es que se produce un acceso a un sistema de información responsabilidad de la entidad bancaria con una el par usuario/contraseña y, siguiendo fielmente el RLOPD, es necesario contar con un mecanismo que obligue al cambio de contraseña, al menos una vez al año, salvo mejor criterio jurídico, obviamente….

  4. 7 Julia 31/03/2014 en 11:54

    No se podría aplicar la exclusión del artículo 4.a del RLOPD?
    “Artículo 4 Ficheros o tratamientos excluidos: El régimen de protección de los datos de carácter personal que se establece en el presente reglamento no será de aplicación a los siguientes ficheros y tratamientos: a) A los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.”
    Es decir, no se podría considerar que el tratamiento que realiza el usuario a sus datos estaría dentro del ámbito doméstico?


  1. 1 ¿En que sistemas de autenticación se requiere el cambio anual de contraseñas? « Entre Códigos Civiles y Androides Trackback en 27/12/2011 en 10:46
  2. 2 ¿Incumplen las entidades financieras el Reglamento de Desarrollo de la LOPD? | AELA | Scoop.it Trackback en 27/12/2011 en 12:08

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Blockchain: perspectiva jurídica

Ciertamente no soy muy dado a realizar comentarios sobre la tecnología que soporta los diferentes sistemas de información, tanto por desconocimiento como por convicción. Las Ciencias del saber son muy amplias y requieren, para opinar con un cierto seso, dominar en profundidad la materia, resultándome muy embarazoso realizar un juicio de valor sobre algo que […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: