Conformidade com o RGPD para Instituições Financeiras

Maio de 2018 é marcado pela adoção do Regulamento Geral de Proteção de Dados, conhecido como RGPD. As diversas políticas e regulamentações rígidas para conformidade adicionaram peso à já existente lista de regulamentações que as instituições financeiras devem seguir. Isso se tornou um verdadeiro desafio para empresas na indústria financeira.

Este artigo abordou tudo o que você precisa saber sobre a conformidade com o RGPD para empresas financeiras, seu impacto nas organizações financeiras e como cumprir essa regulamentação sem esforço.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados é uma lei da UE sobre privacidade de dados que visa proteger os dados pessoais dos residentes da UE ao lidar com empresas localizadas fora da União Europeia.

Por outro lado, se o seu negócio está localizado dentro da UE, em vez do RGPD, a lei da UE e o Regulamento nº 45/2001 são aplicados. No entanto, o serviço do RGPD exige que todos os atos legais da União sejam consistentes com o RGPD em relação à privacidade de dados.

Para simplificar, o RGPD estabelece como e quando os dados pessoais dos usuários podem ser coletados e processados, não importando em qual setor você esteja operando.

Se falamos sobre os principais destaques do RGPD, podemos listar o seguinte:

• Em caso de qualquer violação de dados, as empresas têm 72 horas para relatá-las;
• Você precisa adotar princípios de privacidade por design para todas as suas operações e tecnologias;
• Para processar qualquer dado pessoal, você precisa receber consentimento explícito do usuário;
• Há casos em que você precisa contratar um Encarregado de Proteção de Dados para lidar com as regulamentações;
• Você deve ter um registro de todas as ações de processamento;
• Certifique-se de implementar padrões e medidas rígidos de segurança de dados financeiros para possíveis riscos de privacidade;
• É melhor garantir os direitos de exclusão de dados pessoais tanto de seus clientes quanto de seus funcionários;
• Todas as transferências internacionais devem cumprir requisitos específicos.

RGPD e Serviços Financeiros

Então, o que o RGPD trouxe para os bancos, instituições financeiras e provedores de serviços de pagamento (PSPs)?

No geral, a implementação do RGPD para serviços bancários e financeiros implica requisitos e regulamentações rigorosas sobre como informar os titulares de dados, garantir direitos de portabilidade e notificar prontamente violações de dados.

De acordo com o RGPD para instituições financeiras, o PSP é tratado como o processador de dados e o comerciante como o controlador de dados, enquanto o cliente e o titular do cartão são os titulares dos dados. Os dados do cliente, juntamente com seus dados de cartão, são dados pessoais sob o RGPD. O processador de serviços de pagamento deve lidar com os cartões de crédito dos clientes e diferentes métodos de pagamento online selecionados pelos clientes para liberar fundos para os comerciantes.

Toda instituição financeira deve cumprir o RGPD, assim como outras leis (por exemplo, a Lei de Lavagem de Dinheiro). Além disso, todos os serviços financeiros, juntamente com empresas de processamento de pagamentos, estão sujeitos a penalidades do RGPD. Tais penalidades incluem danos causados aos titulares de dados, multas administrativas e reprimendas.

Por exemplo, se falarmos do setor financeiro, em 2021, a autoridade espanhola de proteção de dados multou o Caixabank em US$ 7,3 milhões pelo uso indevido de dados pessoais e falhas de consentimento sob o RGPD.

A RGPD se aplica a empresas de serviços financeiros?

Mesmo antes do surgimento do RGPD, as empresas estavam operando de acordo com uma cultura rígida de conformidade em instituições financeiras. Elas também tinham um quadro de gerenciamento de riscos que garantia a segurança da privacidade e proteção de dados. No entanto, era desafiador, pois havia toneladas de dados de usuários para gerenciar.

O RGPD para instituições financeiras exige que elas sejam proativas no cumprimento. Para falar sobre as organizações financeiras localizadas em países não pertencentes à UE e que operam no mercado da UE, elas precisam entender todas as disposições regulatórias e o impacto que o RGPD tem em suas operações.

Hoje, a coleta e o gerenciamento de dados para o setor financeiro requerem formas mais inovadoras e automatizadas de usar tecnologias. E todas essas tecnologias devem estar em conformidade com o RGPD.

Um dos principais requisitos do RGPD é comunicar informações privadas aos clientes. É por isso que as empresas devem informar aos clientes todos os dados que coletam, explicar por que precisam deles e o que pretendem fazer com eles. No entanto, isso é principalmente o que as empresas financeiras vêm fazendo há anos, então isso é fácil de cumprir para elas, ao contrário de organizações não financeiras.

Impacto na Indústria Financeira sob o RGPD

Para manter a conformidade com o RGPD, as instituições financeiras devem empregar o sistema necessário para obter, rastrear e gerenciar de forma segura os dados sensíveis dos cidadãos da UE. Além disso, todos os dados sensíveis dos clientes, sendo parte dos dados financeiros, são dados privados dos titulares de dados que têm requisitos de segurança estabelecidos pelo RGPD. Assim, medidas robustas de cibersegurança também devem estar em vigor.

As empresas financeiras devem informar e lidar com solicitações referentes a dados pessoais por meio desse sistema. Entre os elementos essenciais para a conformidade das instituições financeiras ao RGPD estão:

Consentimento

O RGPD define o consentimento do cliente como ‘escolha genuína e controle’. Todas as responsabilidades para obter o consentimento estão sobre a empresa. Isso significa que você precisa pedir o consentimento do usuário antes de coletar seus dados pessoais. Além disso, seria útil registrar como, quando e o que foi informado sobre o consentimento a cada usuário. Novamente, o usuário pode solicitar a retirada de seu consentimento sempre que desejar.

Exclusão de dados

Segundo o RGPD, cada pessoa tem o direito de solicitar a exclusão de seus dados sensíveis por um banco ou qualquer outra instituição financeira. Mesmo os dados que uma empresa financeira compartilhou com qualquer outra empresa terceirizada. Por isso, todas as empresas financeiras devem empregar inventários de dados confiáveis e rastreamento para remover rapidamente e eficientemente os dados sensíveis dos usuários quando solicitado.

Violações de dados

O RGPD impõe multas severas em caso de violação de dados. E por violação de dados, eles entendem qualquer caso de violação de segurança que leve à destruição, alteração, perda, acesso ou divulgação dos dados pessoais de um usuário. Em caso de tal violação, você tem apenas 72 horas para informar o regulador.

Privacidade por design

De acordo com este ponto do RGPD para instituições financeiras, a proteção de dados deve ser a base de qualquer política, operação ou projeto empresarial. Isso também significa que a empresa é totalmente responsável pela conformidade e proteção de dados e mostra exatamente como está em conformidade, não apenas relatando. Caso contrário, você pode ser multado em 4% da receita global ou €20 milhões (o que for maior).

Gerenciamento de fornecedores

Assim como em muitos outros setores, os dados são a base de qualquer organização financeira e são compartilhados por meio de muitos aplicativos e soluções de software. Por isso, criar um processo robusto e transparente de como os fornecedores externos devem lidar com os dados dos clientes é vital.

Encarregado de proteção de dados (DPO)

Se uma organização financeira lida com grandes conjuntos de dados privados, é provável que seja necessário contratar um DPO. Suas principais responsabilidades incluirão o seguinte:

• criar e gerenciar políticas e atividades de proteção de dados;
• fornecer recomendações e avaliações sobre como melhorar as medidas de proteção de dados;
• treinar funcionários;
• fornecer auditorias internas.

Atender ao RGPD e a Outras Regulamentações Financeiras

Indiscutivelmente, existem vários requisitos do RGPD que devem ser implementados por organizações financeiras em um curto período de tempo. Sim, é desafiador fazer tudo manualmente. No entanto, com uma solução automatizada, isso se tornaria algo simples.

Hoje, é possível encontrar inúmeras soluções para ajudar sua empresa financeira a permanecer em conformidade com o RGPD. Por exemplo, se você utiliza o Zendesk help desk, pode experimentar o GDPR Compliance aplicativo. Esta solução prática possui todos os recursos necessários para manter os dados de seus clientes seguros:

• Remover todos os dados pessoais do usuário, mantendo informações valiosas sobre a pessoa. Além disso, criar um ID único para identificar um usuário.
• Nenhum trabalho manual tedioso. Baixar automaticamente todas as informações necessárias sobre seus clientes e tickets em um arquivo CSV.
• Excluir completamente os dados dos usuários e os tickets do seu Zendesk em apenas alguns cliques.
• Editar facilmente dados individuais ou em grupo, criando listas com vários filtros.
• Se optar pelo acesso premium, é possível agendar a data em que deseja excluir os dados do usuário ou anonimizar tickets relacionados a um usuário específico. Também é possível personalizar suas próprias regras de automação e escolher o que melhor se adequa a você.
• É possível excluir não apenas usuários com a ajuda do aplicativo de Conformidade com o RGPD, mas também a organização inteira. Em outras palavras, excluí-los individualmente ou em massa.