GDPR entra en vigor en 100 días… ¿Estás preparado?


Muchos bancos han llevado a cabo un intenso trabajo para asegurarse de que estarán en condiciones de cumplir el Reglamento General de Protección de Datos (conocido según sus siglas en inglés, GDPR), una normativa de iniciativa europea pero de alcance mundial. El GDPR proporciona una amplia protección de los datos personales, tiene consecuencias importantes para la extraterritorialidad y permite establecer sanciones económicas por incumplimiento que pueden ascender hasta el 4% de los ingresos anuales.  

La fecha límite para su cumplimento también es inminente: el 25 de mayo de 2018. 

El alcance y el ámbito geográfico de la regulación de los datos personales es una de las principales “incógnitas” para las empresas radicadas fuera de la Unión Europea (UE), que pueden verse afectadas por este nuevo reglamento. El ámbito de aplicación del GDPR se circunscribe a los ciudadanos de países de la UE, independientemente de dónde se encuentren o dónde estén registrados sus datos, sin importar que la persona viva o no en la UE, ni que la empresa en cuestión ejerza su actividad en la UE o fuera. Se aplica a personas que pueden ser clientes, socios, proveedores, intermediarios, componentes de la plantilla o cualquier otro actor (por ejemplo, visitantes o usuarios registrados de páginas web cuyos datos se guardan y se procesan a efectos de marketing).

Cómo cumplir el reglamento

El GDPR establece claramente los requisitos para recopilar, guardar, procesar y conservar datos personales:

 ÁmbitoCaracterísticas: los datos deben
Licitud, lealtad y transparenciatratarse de manera lícita, leal y transparente (por ejemplo, con una opción clara de consentimiento y otras condiciones).
Limitación de la finalidadrecopilarse con fines determinados, explícitos y legítimos, y no se tratarán ulteriormente. El tratamiento ulterior de los datos personales con fines de archivo en interés público o fines de investigación científica e histórica pueden requerir la aplicación de procedimientos de anonimización / pseudonimización.
Reducción al mínimoser adecuados, relevantes y limitarse a lo necesario.
Exactitudser exactos y, si fuera necesario, actualizados, teniendo en cuenta la finalidad para la que fueron procesados.
Limitación del plazo de conservaciónmantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
Integridad y confidencialidadtratarse de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Responsabilidadtratarse de forma responsable por parte del responsable del tratamiento, quien será responsable del cumplimiento de las disposiciones y estará en condiciones de demostrar dicho cumplimiento.

Estas competencias demuestran la capacidad de una empresa para proteger los derechos de las personas. Además, el reglamento exige a las empresas que informen rápidamente de cualquier violación de la seguridad de los datos personales (por ejemplo, incidentes de pérdida de datos) a la autoridad reguladora competente.

Derechos de las personas

De acuerdo con el GDPR, las personas tienen los siguientes derechos con respecto a sus datos personales:

  • ser informados
  • tener acceso
  • tener garantía de rectificación
  • tener garantía de supresión
  • poder restringir el tratamiento
  • optar a la portabilidad de los datos
  • poder oponerse
  • poder entender y restringir las tomas de decisiones automatizadas, incluyendo la elaboración de perfiles personales

Responsabilidad: la capacidad de demostrar el cumplimiento

No solo es necesario cumplir, es necesario ser capaz de demostrar el nivel de cumplimiento en toda la empresa a los auditores, ya sea con documentación, mediante la estructura de propiedad y gobernanza, o a través de controles y conformidad. Solo entonces la empresa podrá demostrar un cumplimiento total del reglamento.

Aunque el principal objetivo de la regulación consiste en colocar al consumidor y a los ciudadanos en primer lugar, los reguladores disponen de muchas medidas a su alcance para incentivar el cumplimiento. En el caso de empresas grandes, los incumplimientos graves pueden resultarles muy caros, ya que el GDPR permite a los reguladores imponer sanciones económicas elevadas ante dichos incumplimientos. Estas sanciones económicas pueden llegar hasta los 20 millones de euros o al 4% de la facturación global anual de la empresa en el ejercicio anterior, la cantidad que resulte más elevada. Incluso antes del GDPR, la Oficina del Comisionado de Información del Reino Unido (ICO), sancionó a Talk (proveedor de servicios de Internet / proveedor de medios audiovisuales / Telco) con 400.000 libras esterlinas en enero de 2018 a causa de un grave incumplimiento relacionado con los datos personales (véase ICO Talk Talk).

Perspectivas de futuro

Se espera que el conocimiento de la existencia del GDPR y de sus implicaciones a nivel mundial resulte todo un reto para las empresas que no estén ubicadas en la UE pero tengan clientes o personal de la UE. Desafortunadamente, el nivel de conocimiento de este reglamento, de sus requisitos y de las complicaciones que probablemente causará a los procesos empresariales actuales es muy escaso fuera de la UE, a pesar de que muchas empresas se verán afectadas.

Dentro del área que nos ocupa, también existen diferencias de intención entre la legislación de Estados Unidos y la legislación europea. La UE se centra predominantemente en los derechos de las personas, mientras que los reglamentos de Estados Unidos se centran en los derechos de las empresas para procesar y manejar los datos personales de los usuarios. Los principios internacionales ‘Safe Harbor’ han quedado obsoletos y armonizar las contradicciones entre unas normativas y otras va a resultar todo un desafío.

En cuanto a Reino Unido, la ICO (Oficina del Comisionado de Información) ya ha aceptado que se aplique el GDPR cuando entre en vigor en mayo de 2018, y que las normas y reglamentos relacionados con la privacidad de los datos personales se mantengan sin cambios después del Brexit. Por tanto, todas las empresas afectadas deben actuar ahora.

Cómo afronta GFT el reto del GDPR

El alcance del GDPR es amplio y extenso, y tendrá su impacto en cualquier negocio que tenga relación con ciudadanos de países de la UE. La carga de trabajo necesaria para llegar al cumplimiento varía en función del tipo de organización, su tamaño y su manera de utilizar los datos personales. Las empresas grandes probablemente cuentan ya con programas en marcha suficientemente rodados que cumplen los requisitos del GDPR. Para quienes todavía no hayan comenzado, o necesiten adecuar su programa para el GDPR, sugerimos que tengan en cuenta los siguientes aspectos:

  • Definir y entender el alcance de los datos personales y el descubrimiento de datos: ¿qué constituyen datos personales y dónde están localizados?
  • Efectuar una evaluación del impacto: evaluar el nivel de cumplimiento actual, el proceso de documentación y cumplimiento y llevar a cabo un análisis de carencias.
  • Establecer una buena gobernanza de datos: desde el papel y la responsabilidad encomendados al personal de la empresa y al dedicado a las tecnologías hasta la introducción de herramientas y aplicaciones para gestionar los aspectos importantes de una protección de datos adecuada, por diseño y por defecto.

Conclusión

El GDPR debería proporcionar un impulso definitivo que ayude a abordar la gestión de los datos de forma eficaz, eficiente y sostenible. Adoptar un enfoque global que cuente con el apoyo total de la dirección de la institución financiera es la clave de cualquier estrategia que aspire a alcanzar un modelo de gobernanza de datos que proporcione una visión coherente de los datos personales. Lograr el cumplimiento del GDPR requiere una gestión eficaz de datos maestros (MDM), combinada con un modelo de calidad de los datos y de la seguridad para controlar el acceso y los permisos, de forma que se garantice el acceso a los datos únicamente a los usuarios que realmente necesiten la información. Asimismo, exige la creación de una seguridad fuerte para los datos y la información.  

La consecución de este objetivo facilitará a los bancos no solo el cumplimiento riguroso y sostenible del GDPR, sino que además les permitirá sacar más partido a sus datos y, en consecuencia, permitirá mejoras en la eficiencia y en la reducción de costes en toda la empresa. Unos datos de calidad son la base de un procesamiento adecuado a largo plazo.

Por tanto, si es consciente de la existencia del GDPR, pero no tiene demasiado claro el significado de términos tales como datos personales, datos sensibles, sujeto de los datos, procesador de datos, responsable de datos, incumplimiento de la protección de datos, pseudonimización o limitación de la finalidad, o duda sobre el tipo de gestión de datos que debería adoptar su empresa, le sugiero que afronte esta tarea inmediatamente. Una cosa es ser consciente de la existencia del GDPR, pero nuestra experiencia nos indica que muchas empresas están muy lejos de estar realmente preparadas.

La experiencia de GFT en tecnología para servicios financieros y en el tratamiento de datos es muy amplia y abarca los siguientes aspectos:

  • Procesos de captación de clientes y de conocimiento del cliente (KYC)
  • Banca personal y mercado de capitales
  • Comprensión del cumplimiento de reglamentos, incluidos los datos personales. Por ejemplo, la directiva europea MiFID II incluye información sobre 15 tipos de datos personales.
  • Procesos, métodos y tecnologías de gestión de datos maestros (MDM) y buena gobernanza de datos: mantenimiento de suministro automatizado, alineamiento, obligación de rendir cuentas y propiedad.

 GFT ayuda a las empresas a cumplir el GDPR, concretamente a través de su amplio conocimiento y experiencia en: 

  • Proyectos de descubrimiento de datos y transferencia de datos (¿qué datos tiene y dónde se encuentran?)
  • Proyectos de evaluación de impacto de la protección de datos (¿qué nivel de cumplimiento tiene respecto a los requisitos del RGPD)
  • Reparación de datos: entrega de proyectos que reparan carencias en la tecnología, los datos y la empresa para poner remedio a los defectos y alcanzar el cumplimiento de los requisitos.
  • Apoyo para la protección de datos por diseño: garantizar que se diseñe e implemente eficazmente una gestión apropiada de los datos, junto con el cumplimiento continuo del RGPD.