Cumplimiento del RGPD para Instituciones Financieras

Mayo de 2018 se marca con la adopción del Reglamento General de Protección de Datos o simplemente GDPR. Las múltiples políticas estrictas y regulaciones de cumplimiento han añadido peso a la ya existente lista de normativas que las instituciones financieras deben seguir. Todo esto se convirtió en un verdadero desafío para las empresas del sector financiero.

Este artículo ha cubierto todo lo que necesitas saber sobre el cumplimiento del GDPR para las empresas financieras, su impacto en las organizaciones financieras y cómo cumplir con esta regulación sin esfuerzo.

¿Qué es el GDPR?

El Reglamento General de Protección de Datos es una ley de la UE sobre privacidad de datos que tiene como objetivo proteger los datos personales de los residentes de la UE cuando interactúan con empresas ubicadas fuera de la Unión Europea.

Por el contrario, si tu empresa está ubicada dentro de la UE, en lugar del GDPR, se aplican la legislación de la UE y el Reglamento n.º 45/2001. Sin embargo, el servicio GDPR exige que todos los actos jurídicos de la Unión sean coherentes con el GDPR en materia de privacidad de datos.

En pocas palabras, el GDPR establece cómo y cuándo se pueden recopilar y procesar los datos personales de los usuarios, independientemente del sector en el que operes.

Si hablamos de los aspectos principales del GDPR, podemos destacar los siguientes:

• En caso de cualquier filtración de datos, las empresas tienen 72 horas para reportarla
• Es necesario adoptar principios de privacidad desde el diseño (privacy-by-design) en todas las operaciones y tecnologías
• Para procesar datos personales, es necesario obtener el consentimiento explícito del usuario
• En algunos casos, es necesario contratar a un Delegado de Protección de Datos para gestionar el cumplimiento
• Se debe mantener un registro de todas las actividades de procesamiento
• Es fundamental implementar estrictos estándares de seguridad de datos financieros y medidas frente a posibles riesgos de privacidad
• Es recomendable garantizar el derecho de clientes y empleados a eliminar sus datos personales
• Todas las transferencias internacionales deben cumplir requisitos específicos.

GDPR y los servicios financieros

Entonces, ¿qué ha aportado el GDPR para los servicios financieros a bancos, instituciones financieras y proveedores de servicios de pago (PSP)?

En general, la implementación del GDPR en banca y servicios financieros implica requisitos y regulaciones estrictas sobre cómo informar a los interesados, garantizar derechos de portabilidad y notificar oportunamente las filtraciones de datos.

Según el GDPR para instituciones financieras:

• El PSP se considera el encargado del tratamiento y el comerciante el responsable del tratamiento, mientras que el cliente y el titular de la tarjeta son los interesados.
• Los datos del cliente, junto con los datos de su tarjeta, son datos personales bajo el GDPR.
• El procesador de servicios de pago debe gestionar las tarjetas de crédito de los clientes y diferentes métodos de pago online seleccionados por los clientes para liberar fondos a los comerciantes.

Cualquier institución financiera debe cumplir con el GDPR así como con otras leyes (por ejemplo, la Ley AML contra el blanqueo de capitales). Además, todos los servicios financieros, junto con las empresas de procesamiento de pagos, están sujetos a sanciones del GDPR. Estas sanciones incluyen daños al interesado, multas administrativas y reprimendas.

Por ejemplo, en el sector financiero, en 2021, la autoridad de protección de datos española multó a Caixabank con 7,3 millones de dólares por el uso indebido de datos personales y fallos en el consentimiento bajo el GDPR.

¿Se aplica el GDPR a las empresas de servicios financieros?

Incluso antes de la introducción del GDPR, las empresas ya operaban dentro de una estricta cultura de cumplimiento en las instituciones financieras. También contaban con un marco de gestión de riesgos que garantizaba la privacidad y la protección de datos. Sin embargo, resultaba un reto debido al gran volumen de datos de usuarios que debían gestionar.

El GDPR para instituciones financieras exige que estas sean proactivas en sus esfuerzos de cumplimiento. En el caso de las organizaciones financieras ubicadas fuera de la UE pero que operan en el mercado europeo, deben comprender todas las disposiciones regulatorias y el impacto que el GDPR tiene en sus operaciones.

Hoy en día, la recopilación y gestión de datos en el sector financiero requiere enfoques más innovadores y automatizados. Y todas estas tecnologías deben ser compatibles con el GDPR.

Uno de los principales requisitos del GDPR es comunicar información privada a los clientes. Por eso, las empresas deben informar a los clientes sobre todos los datos que recopilan, explicar por qué los necesitan y qué van a hacer con ellos. Sin embargo, esto es algo que muchas empresas financieras ya llevan haciendo durante años, por lo que resulta más fácil de cumplir para ellas que para organizaciones no financieras.

Impacto en la industria financiera bajo el GDPR

Para cumplir con el GDPR, las instituciones financieras deben implementar los sistemas necesarios para obtener, rastrear y gestionar de forma segura los datos sensibles de los ciudadanos de la UE. Además, todos los datos sensibles del cliente, como parte de los datos financieros, se consideran datos privados sujetos a los requisitos de seguridad establecidos por el GDPR. Por ello, también deben aplicarse medidas sólidas de ciberseguridad.

Las empresas financieras deben informar y gestionar las solicitudes relacionadas con datos personales a través de este sistema. Entre los elementos imprescindibles de cualquier institución financiera conforme al GDPR se encuentran:

Consentimiento

El GDPR define el consentimiento del cliente como “una elección y control genuinos”. Todas las responsabilidades para obtener el consentimiento recaen sobre la empresa. Esto significa que necesitas obtener el consentimiento del usuario antes de recopilar sus datos personales. Además, es importante registrar cuándo, cómo y qué se comunicó a cada usuario en relación con el consentimiento. Asimismo, el usuario puede retirar su consentimiento en cualquier momento.

Eliminación de datos

Bajo el GDPR, cada persona tiene derecho a solicitar la eliminación de sus datos sensibles de un banco u otra institución financiera. Incluso los datos que una empresa financiera haya compartido con terceros. Por ello, todas las empresas financieras deben contar con inventarios de datos y sistemas de seguimiento fiables para eliminar rápida y eficientemente los datos sensibles de los usuarios cuando se soliciten.

Filtraciones de datos

El GDPR impone fuertes sanciones por filtraciones de datos. Se entiende por filtración cualquier incidente de seguridad que resulte en la destrucción, alteración, pérdida, acceso o divulgación de datos personales de un usuario. En caso de una filtración, solo dispones de 72 horas para informar al organismo regulador.

Privacidad desde el diseño

Según este principio del GDPR para instituciones financieras, la protección de datos debe ser la base de cualquier política, operación o proyecto empresarial. Esto también implica que la empresa es plenamente responsable del cumplimiento y la protección de datos, y debe demostrar cómo cumple, no solo reportarlo. De lo contrario, puedes ser multado con el 4% de los ingresos globales o 20 millones de euros (lo que sea mayor).

Gestión de proveedores

Como en muchos otros sectores, los datos son la base de cualquier organización financiera y se comparten a través de múltiples aplicaciones y soluciones de software. Por ello, es fundamental crear un proceso sólido y transparente sobre cómo los proveedores externos deben manejar los datos de los clientes.

Delegado de Protección de Datos (DPO)

Si una organización financiera gestiona grandes volúmenes de datos privados, es muy probable que deba contratar un DPO. Sus principales responsabilidades incluyen:

• crear y gestionar políticas y actividades de protección de datos
• ofrecer recomendaciones y evaluaciones para mejorar las medidas de protección de datos
• formar al personal
• realizar auditorías internas.

Cumplimiento del GDPR y otras regulaciones financieras

Sin duda, existen múltiples requisitos del GDPR que las organizaciones financieras deben implementar en un corto periodo de tiempo. Sí, hacerlo manualmente es complicado; sin embargo, con una solución automatizada puede volverse muy sencillo.

Hoy en día puedes encontrar numerosas soluciones para ayudar a tu empresa financiera a cumplir con el GDPR. Por ejemplo, si utilizas el servicio de asistencia de Zendesk, puedes probar la app de cumplimiento GDPR. Esta práctica solución cuenta con todas las funciones necesarias para mantener seguros los datos de tus clientes:

• Eliminar todos los datos personales del usuario manteniendo información útil sobre la persona. Además, crear un ID único para identificar al usuario.
• Sin trabajo manual tedioso. Descargar automáticamente toda la información necesaria sobre clientes y tickets en un archivo CSV.
• Eliminar completamente los datos de usuarios y tickets de tu Zendesk en solo unos clics.
• Editar fácilmente datos individuales o grupales creando listas con múltiples filtros.
• Si optas por el acceso premium, puedes programar la fecha de eliminación de datos del usuario o anonimizar tickets de un usuario específico. También puedes personalizar las reglas de automatización según tus necesidades.
• También puedes eliminar no solo usuarios con la app GDPR Compliance, sino también organizaciones completas. En otras palabras, eliminarlos individualmente o en masa.