Los cambios ordenados por la nueva regulación de la UE darán a las instituciones financieras la oportunidad de construir mejores relaciones con los clientes

Mucho se ha dicho sobre la próxima regulación europea de protección de datos (también conocida como GDPR) desde su promulgación en 2016. Con el vencimiento de la fecha límite para la implementación (la regulación se aplicará a partir del 25 de mayo de 2018), las próximas semanas están a punto de atraer de atención ya que se espera que muchas organizaciones demuestren que han tomado medidas hacia el cumplimiento.

Uno esperaría que las instituciones financieras estén listas para la fecha límite debido a la naturaleza de los servicios que brindan y su “exposición” a las autoridades reguladoras más estrictas. De hecho, sin embargo, dados los muchos desafíos, la GDPR posa para tales instituciones, su preparación actual está dejando mucho que desear.

El cumplimiento del GDPR es obligatorio y vital para todas las organizaciones que recopilan y manejan datos personales de la UE, pero para los proveedores de servicios financieros es absolutamente crucial. Esto se debe a que están expuestos a un volumen significativo de datos, una parte considerable de los cuales se comparte o transfiere a terceros.

Tomemos, por ejemplo, los proveedores alternativos de soluciones de pago que, para ejecutar las transacciones de sus clientes, deben interactuar con el banco de sus clientes, la compañía de liquidación, el banco del destinatario, y así sucesivamente. Estos proveedores deben compartir y transferir los datos de sus clientes: apellido, nombre, dirección, correo electrónico y otra información, como número de tarjeta de crédito o cuenta bancaria. Al hacerlo, es posible que pierdan el control de los datos y quebrantando potencialmente la GDPR a menos que pongan en práctica estrictas medidas de seguridad organizativas, técnicas y legales.

Vulnerabilidad a litigios

Otro punto a mencionar con respecto a los proveedores de servicios financieros se relaciona con su “vulnerabilidad” a los litigios porque tienen interacción con sus clientes de manera regular. Esto es diferente de, por ejemplo, una transacción de comercio electrónico ocasional en la que es más difícil demandar y recibir compensación o donde el litigio no es económico para el cliente, ya que la violación es (por lo general) trivial.

En el caso de las instituciones de salud, como los hospitales, por ejemplo, el derecho de los interesados ​​en relación con sus datos está restringido o equilibrado con otros derechos y, por lo tanto, el riesgo de incumplimiento es insignificante. Dichas instituciones también pueden tener una justificación legal para recopilar y conservar datos sin necesidad de consentimiento. Esto, sin embargo, no es el caso con respecto a los servicios financieros.

Los proveedores de servicios como los bancos también tienen pérdidas de balón más significativas en comparación con otros proveedores de servicios no financieros y, por lo tanto, la aplicación de las regulaciones no solo puede ser más fácil sino incluso más efectiva a los ojos del cliente. Esto se debe a que, según el GDPR, la compensación se calcula como un porcentaje del volumen de negocios total (y global).

Por lo tanto, es esencial que las instituciones de servicios financieros tengan una estrategia clara antes de emprender o abordar la implementación del GDPR. Dicha estrategia debe tomar en consideración los factores anteriores, a saber, los desafíos únicos que enfrentan los servicios financieros a la luz del GDPR. Además, a diferencia de otras reglamentaciones (es decir, AML), el asesoramiento legal es solo un aspecto. El GDPR requiere un enfoque multidisciplinario que involucre metodologías de evaluación de riesgos, privacidad, seguridad, TI y auditoría.

Cómo avanzar

La pregunta es, por lo tanto, qué debe incluir esta estrategia para lograr el cumplimiento o, al menos, para mostrar tanto a los reguladores como a los clientes, que la organización está tomando en serio el GDPR y se está preparando para ello.

La primera etapa crucial es el mapeo de datos personales en poder de las instituciones financieras. Aunque esto puede parecer bastante directo, es un asunto muy complicado. Como se indicó, los servicios financieros están expuestos a una amplia información que no es muy fácil de categorizar y evaluar sin mecanismos sofisticados. Además, los datos que contienen pueden ser sensibles y no solo “personales”, por lo que se aplicarán diferentes reglas a la etapa de implementación. Por lo tanto, esta etapa debe ser llevada a cabo por profesionales de la privacidad, seguridad y TI en lugar de solo por asesores legales.

Una vez que se ha llegado a un entendimiento completo de los datos recopilados, normalmente se realizará un análisis de brechas, es decir, cuál es la situación actual y cómo debe cambiarse de acuerdo con el GDPR, seguido de un plan de trabajo de cumplimiento adaptado. Esta etapa sin duda involucrará tanto a los asesores legales como a los profesionales mencionados anteriormente

Las operaciones de seguridad de la información y TI tendrán que trabajar juntas para buscar soluciones viables a muchos desafíos que quizás no hayan encontrado antes o que deliberadamente hayan optado por posponer. Por ejemplo, muchas organizaciones financieras están luchando con sistemas sofisticados de Prevención de Filtración de Datos (DLP). Estos pueden estar configurados para monitorear bases de datos, pero a menudo no están configurados para rastrear los muchos archivos de registro que se identificaron durante la etapa de descubrimiento de datos que contienen datos personales. Estos deben ser tratados ahora (por ejemplo, los campos de datos específicos pueden ser encriptados o anonimizados, el acceso a ellos puede ser más estricto y configurado DLP).

Las operaciones de privacidad de la organización también tendrán sus manos llenas de nuevos desafíos. La designación de un Oficial de protección de datos (DPO) que es obligatoria por el GDPR viene con muchas funciones. Primero surge la necesidad de identificar si los recursos internos pueden manejar esta posición. No es un asunto trivial ya que esto requiere experiencia en leyes de privacidad y conocimiento profundo de protección de datos, lo cual no es una combinación muy común (todavía). Por supuesto, esto puede ser gestionado por un equipo de expertos o subcontratado, pero introducirá una función de organización cuyo único propósito es manejar los “derechos y libertades” de los sujetos de la UE con un presupuesto específico y autonomía operativa.

Un cambio de mentalidad

El segundo gran desafío de las operaciones de privacidad sería implementar políticas, procedimientos y soluciones técnicas para manejar los nuevos tipos de solicitudes de sujeto de datos (DSR) que permite el GDPR (por ejemplo, los derechos de acceso a datos, rectificación, borrado, restricción de procesamiento, portabilidad de datos y el derecho a oponerse). Por ejemplo, el DPO ahora tiene la tarea de supervisar el conocimiento del empleado y la capacitación en privacidad de modo que cuando se reciba un DSR, se procese de manera compatible. Esto seguirá su curso y se espera que a la larga incorpore la privacidad en casi todas las unidades de negocios, algo que actualmente no es una práctica común, incluso dentro de las organizaciones financieras que ya están orientadas a la privacidad.

La siguiente fase es donde la ley sigue su curso, es decir, la implementación del GDPR. Los asesores legales deberán revisar las políticas existentes y actualizar los avisos de privacidad actuales. Los contratos con terceros también se considerarán en este punto para garantizar que cumplan con el nuevo régimen. Además, la organización deberá preparar y capacitar a su personal para que una vez que se haya alcanzado el cumplimiento total, se mantenga.

 No hay duda de que hay mucho trabajo por delante de las instituciones financieras hasta que logren el cumplimiento. También existe un nuevo nivel de responsabilidad por el riesgo en su gestión que se trata específicamente en el ámbito del GDPR. Por otro lado, como individuos, debemos abrazar el GDPR y ser más optimistas en cuanto a cómo nuestros datos, de ahora en adelante, serán tratados y salvaguardados, especialmente cuando se trata de información sobre nuestros asuntos financieros.

Los nuevos cambios bajo el GDPR permitirán construir mejores relaciones entre las instituciones financieras y sus clientes y, como resultado, conducirán a una mayor transparencia, confianza y respeto a la privacidad de los clientes.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies