Ce au de făcut băncile pentru a proteja datele personale ale clienților și a se conforma regulamentului GDPR

Confidențialitatea și securitatea datelor personale devin elemente primordiale în relația băncilor cu potențiali clienți. Ce reguli trebuie să respecte acestea pentru a evita expunerea datelor clienților, dar și sancțiunile care le pot afecta reputația ?

Două dintre cele mai importante instituții financiare din România, aflate în topul celor mai mari 10 bănci după active, au fost amendate recent, de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP),  pentru nerespectarea normelor de protecție a datelor personale. Nu atât sumele ca atare sunt importante, modice comparativ cu veniturile sau activele băncilor, cât mai ales motivele care au generat aceste amenzi. Ce a stat la baza  deciziei autorității, în fiecare dintre cele două cazuri și la ce trebuie să fie atenți chiar clienții în relația cu instituțiile financiare, tocmai pentru a se asigura de o dublă protecție a datelor pe care le oferă spre prelucrare?

Autoritatea Națională de Supraveghere a Prelucrării Datelor a invocat multipe încălcări are prevederilor Regulamentului 679/2016 - G.D.P.R., în esență fiind vorba despre faptul că au fost prelucrate date ale clienților, în scopul creditării, fără consimțământul acestora sau chiar fără să fi solicitat un credit, fiind încălcate astfel normele privind prelucrarea datelor cu caracter personal.  Pentru neregulile constatate, prima bancă sancționată a primit două avertismente și trei amenzi.

În cazul celei de-a doua bănci, a fost vorba, potrivit precizărilor autorității, despre faptul că aceasta nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.  Ceea ce, pe cale de consecință, a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale acelor clienți.
 
Detaliul important aici este acela că instituțiile financiare au obligația de a obține consimțământul clientului pentru a putea efectua operațiunile premergătoare creditării. Entitățile financiar-bancare, pe lângă respectarea prevederilor privind protecția datelor din regulamentul menționat mai sus, trebuie să țină cont de asemenea de normele de reglementare specifice industriei, cum ar fi  secretul profesional reglementat de prevederile O. U. G. nr. 99/2006, regulamentele Băncii Naționale a României (BNR), precum și de cadrul legal privind cunoașterea clientelei și evitarea potențialelor tentative de spălare a banilor murdari.

Toate aceste acte normative reglementează în mod specific activitățile desfășurate de către instituțiile financiar-bancare, completând cadrul general creat de regulamentul GDPR.

Plecând de la sancțiunile aplicate de ANSPDCP celor două bănci, se evidențiază trei tipuri de acțiuni ce pot ajuta instituțiile financiar-bancare în a se asigura că programul de conformitate rămâne la un nivel adecvat.

În primul rând, este vorba despre instruirea periodică a angajaților, astfel încât aceștia să înțeleagă perfect care sunt regulile de prelucrare a datelor, ce anume trebuie să respecte pentru fiecare operațiune de prelucrare de date în parte pe care o fac și, de asemenea, care sunt limitele prelucrării acestor date.

În al doilea rând, devine absolut obligatorie reevaluarea periodică a fluxurilor de date din companie și actualizarea planului de măsuri de mitigare (reducere a riscurilor), precum și a planului de conformare, în acord cu inadvertențele evidențiate în urma procesului de reevaluare.

În al treilea rând, apare necesitatea evaluării și a analizei în detaliu a fluxurilor de date cu risc ridicat pentru drepturile  fundamentale al persoanelor fizice, cum ar fi dreptul la libera exprimare, ale căror date sunt prelucrate. De exemplu, odată prelucrată cartea de identitatea a unei persoane, se pot face discriminări privind vârsta acelei persoane, sexul, vârsta sau zona unde s-a născut. Entitățile financiare au de respectat foarte multe reglementări bancare  și naționale, și europene.

Într-adevăr, entitățile financiar-bancare, instituțiile financiare non bancare, precum și companiile de tip fintech au de respectat o multitudine de reguli si in ceea ce priveste cunoasterea clientelei si potentialele tentative de spălare a banilor murdari, iar aceste actiuni de verificare presupun prelucrarea unui volum mare de date cu caracter personal, dar si prelucrarea unor categorii de date speciale,  cum ar fi cele privind apartenența politică.

Fintech-urile – adică noile entități financiare, de tip aplicații de servicii financiare online -  încă nu au legislație aplicabilă specific, ci se conformează (sau nu) anumitor reguli mai degrabă în funcție de tipul de activitate pe care îl desfășoară. Cu alte cuvinte, depinde de gradul în care s-au aliniat și cum anume, pe ce linii de business, legislației aplicabile instituțiilor financiar-bancare cum ar fi emiterea de monedă electronică, plăți electronice, alte servicii de tip neobanking și administrare de active digitale. Pentru toate aceste operațiuni, fintech-urile trebuie să obțină licențe și autorizări, care vin la pachet cu necesitatea conformării regulamentelor în vigoare de păstrare a confidențialității și securității datelor prelucrate ale clienților.

La fel de importantă rămâne  zona de cybersecurity în sectorul financiar-bancar, fie el clasic, fie de tip nou. Din perspectiva securității cibernetice, instituțiile financiare trebuie să se asigure că măsurile tehnice de securizare a datelor pe care le-a implementat respectă întru totul prevederile articolului 32 din Regulamentul GDPR. Reamintim aici că cea mai mare a amenzilor aplicate în acest an de către ANSPDCP au fost pentru lipsa unor măsuri tehnice și organizatorice, la nivel de companie, suficient de acoperitoare, care să asigure și protecție cibernetică.

Pe de altă parte, instituțiile financiar-bancare, de asigurări ori de intermediere a serviciilor din zona financiară și de creditare, trebuie să țină cont și de reglementările din Legea nr. 362/2018  privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (directiva NIS), precum și obligațiile de comunicare a anumitor incidente de securitate către Directoratul Național de Securitate Cibernetică (DNSC), prin responsabilul NIS.

În final, dar nu mai puțin important aspect, este acela al necesității ca, la nivelul unor asemenea instituții, cum sunt cele bancare, pentru faptul că acestea lucrează cu un volum imens de date personale, atât ale clienților existenți, cât mai ales cu ale celor care intenționează să devină clienți, este obligatoriu constituirea unei echipe dedicate conformității în domeniul protectiei datelor condusă de Responsabilul cu protectia Datelor (D.P.O).

În ultimii trei ani, ANSPDCP a aplicat amenzi de peste 400 milioane euro în domeniul financiar-bancar, punctând astfel importanța pe care toate companiile ce prelucrează date trebuie să o acorde programului de conformare cu prevederile GDPR.