¿Cómo afecta a los bancos el Reglamento General de Protección de Datos (RGPD)? (II)


Tal y como analizamos en el anterior artículo sobre el Reglamento General de Protección de Datos (RGPD), los bancos tienen que pensar de forma global en los datos que utilizan para gestionar sus negocios y también en su protección para evitar ser víctimas del leakage (fuga de datos). Por ello, GFT ha creado una metodología exclusiva de tres fases que se encuentra detallada en nuestro Whitepaper, que puede solicitar aquí.

¿Qué aspectos generales deben tener en cuenta las instituciones financieras para afrontar al RGPD? La situación debe ser contemplada desde varios puntos de vista:

  • La racionalización de los procesos de on-boarding

Los procedimientos de alta de nuevos clientes abordando nuevas soluciones provistas por la digitalización y, también, por nuevos equipos y técnicas disponibles como Tablets, App’s, ICR, acceso remoto, etc., añaden oportunidades de leakage que deben ser neutralizadas aprovechando las potencialidades que añaden los propios dispositivos y tecnologías, superiores en muchos aspectos a los clásicos.    Por ello, dentro del ambiente general de digitalización, es necesario actualizar los viejos procedimientos de on-boarding de nueva información adecuándolos a la nueva situación.

  • La racionalización de la arquitectura de la información desde el punto de vista de uso aplicativo

Es necesario acabar con los repositorios de datos de clientes descentralizados desde el plano lógico (no necesariamente en cuanto a su disposición física). Todos los productos de la compañía, los servicios, las funciones, etc., deben utilizar el mismo repositorio lógico de datos personales facilitando así los procedimientos de control.

  • La racionalización de los procesos de mantenimiento y acceso seguro

Implementando procedimientos del tipo “Need to know”, controles y monitorización de accesos, promoviendo, dentro y fuera de la organización, la convicción de que los datos no son, en ningún caso, activos de uso discrecional.

Internet Security System

 

¿Cómo evitar ser víctimas de leakage?

Pero todo lo anterior no es todavía suficiente. La “seudonimización” (cifrado de datos) la “minimización” (selección de los estrictamente necesarios) y la auditoría de procedimientos se constituyen en otra barrera defensiva frente a ataques y usos indebidos de la información.  En tiempos en los que “Data Leakage” es titular frecuente en los medios de comunicación involucrando incluso a altas esferas de seguridad de la información, disponer los datos sensibles cifrados y reducidos a lo necesario parece una buena trinchera desde la que parapetar la defensa de la información minimizando impactos.

La disposición de información sensible es uno de los más valiosos activos en las compañías, siendo requisito ineludible para la gestión del negocio y, por tanto, no es negociable. Sólo queda asegurar y defender la información para evitar ser víctimas de leakage, sea éste producto de agresión o de negligencia.

Cifrar la información y disponerla sometida a controles, seleccionarla, preservarla reducida a lo necesario y mantener su acceso sometido a constantes controles y auditorías de procedimiento se constituye en garantía, quizás la única operativa con la que salvaguardar el “valioso” activo. De esta forma se protege al negocio de impactos operativos, legales y reputacionales, cumpliendo a la vez con el mandato del regulador.

Finalmente, ante la probable perspectiva añadida de afrontar inspecciones regulatorias periódicas, también será siempre mejor abordarlas disponiendo de un procedimiento claro, racional, cabalmente implementado, internamente publicado y, por supuesto, disponiendo de las correspondientes evidencias.