Instituto Nacional de ciberseguridad. Sección Incibe

Dudas legales sobre el envío de datos bancarios de clientes potenciales por email

Fecha de publicación 19/12/2023
Dudas legales sobre el envío de datos bancarios de clientes potenciales por email

¿Qué ha ocurrido?

El propietario de una agencia de viajes contactó con Tu Ayuda en Ciberseguridad de INCIBE por correo electrónico, ya que uno de sus proveedores de servicios deseaba que los clientes que hicieran reserva de su actividad le enviaran vía email los datos de sus tarjetas bancarias.

La intención era tenerlas como garantía y respaldo en caso de que hicieran un no-show, es decir, que finalmente no se personaran en su establecimiento el día convenido. Esto le supondría una pérdida económica, pero teniendo los datos de las tarjetas podría cargar los servicios a los clientes, indistintamente si se presentasen o no.

El propietario de la agencia dudaba acerca de la legalidad, así como de la conveniencia de solicitar estos datos a sus clientes. Siendo conocedor que desde el 017 también ofrecemos asesoramiento legal, decidió ponerse en contacto con nosotros para consultarnos qué podía hacer, ya que no encontraba ninguna documentación legal que apoyara su punto de vista.

¿Qué pautas le hemos dado?

En primer lugar, le explicamos que, bajo ningún concepto, debe enviar estos datos de sus clientes a su proveedor a través del correo electrónico, ya que no se considera una medida correcta que garantice la privacidad de la información. Los correos electrónicos, además, son susceptibles de ser interceptados o accedidos por terceros no autorizados y, por lo tanto, no son una forma segura de transferir datos personales bancarios.

Además, a nivel legal le indicamos que:

  • Si su agencia de viajes ofrece servicios de pago electrónicos, como la posibilidad de reservar, contratar y pagar viajes a través de web o aplicación móvil, es posible que le resulte de aplicación la Directiva de Servicios de Pago (PSD2) y, por consiguiente, lo dispuesto también en su normativa española de transposición, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. 

    En este sentido, la normativa establece la obligación de los proveedores de servicios de pago y los proveedores de servicios de pago de terceros de adoptar medidas de seguridad adecuadas para garantizar la protección de los datos personales y financieros de los clientes. 

  • En cualquier caso, deberá cumplir con el Reglamento General de Protección de Datos [RGPD] y Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, al estar realizando tratamiento de datos personales con el envío de datos por email del responsable del tratamiento (el usuario como agencia de viajes) al encargado de tratamiento (el proveedor de la agencia de viajes). 

    En virtud de la normativa, tanto el responsable como el encargado de tratamiento deben garantizar en todo momento la seguridad del tratamiento de los datos. Esta obligación viene recogida en el artículo 32 del RGPD:

    "El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:  la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento". 

En caso de no cumplir con las medidas de seguridad necesarias

  • Las infracciones pueden conllevar una multa administrativa como máximo de 10 millones de euros (si se trata de una Administración pública) o un 2% del volumen de facturación total anual, en caso de tratarse de una empresa, en virtud de lo que establece el artículo 83.4 a) del RGPD. 
  • Además, se estarían incumpliendo los principios generales en materia de protección de datos (sobre todo los de confidencialidad, minimización y exactitud de los datos), recogidos en el artículo 5 del RGPD, cuyo incumplimiento está sujeto a sanciones de hasta 20 millones de euros (en caso de una Administración pública) o, tratándose de una empresa, de un 4% del volumen de facturación total anual.

A modo resumen, le hicimos entender que es importante que la agencia de viajes implemente medidas adecuadas de seguridad, pero también debe ser responsable de que los proveedores que contrate cumplan con dichas medidas, puesto que es una obligación del responsable del tratamiento el contratar con proveedores que cumplan correctamente con la normativa e implementen las medidas de seguridad adecuadas para garantizar un correcto tratamiento de los datos de sus usuarios. 

A mayores, sus clientes deberán tener a su disposición la información relativa al tratamiento de sus datos en virtud de la normativa en materia de protección de datos, entre los que se encuentran dichos datos bancarios. 

Para finalizar, le recordamos que puede contactar con el servicio Tu Ayuda en Ciberseguridad de INCIBE para resolver cualquier duda sobre ciberseguridad siempre que lo necesite.  
 

Tu Ayuda en Ciberseguridad