GDPR: ¿qué implicaciones tiene para las empresas fintech?

Posted by media on 3/04/18 9:00

GDPR_empresas_fintech

El Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (GDPR) será de plena aplicación el próximo 25 de mayo y aunque es una iniciativa europea puede afectar a empresas de todo el mundo.

En el siguiente post analizamos las consecuencias directas de este Reglamento concretamente en las empresas fintech.

Este post también está disponible en inglés.

    Índice

  1. Consentimiento del cliente

  2. La biometría como identificadores para las transacciones financieras

  3. Derecho a ser olvidado

  4. Comunicar las brechas de seguridad

  5. Gestión de proveedores

  6. Seudonimización

  7. Sanciones

    Índice

  1. Consentimiento del cliente

  2. La biometría como identificadores para las transacciones financieras

  3. Derecho a ser olvidado

  4. Comunicar las brechas de seguridad

  5. Gestión de proveedores

  6. Seudonimización

  7. Sanciones

 

GDPR, más control para el ciudadano digital

Las instituciones europeas han diseñado este Reglamento con la intención de adaptar la legislación de protección de datos a la fórmula digital habitual en la que hoy se utilizan los datos. Han otorgado a los residentes de la UE más control sobre cómo se accede, se comunica y se almacena su información personal, lo que supone una buena noticia para todos los consumidores.

Aunque esto sea así, desde una perspectiva comercial, las cosas no son tan ideales. Si bien esta normativa será útil para crear un entorno legal más simple y claro en el que las empresas puedan operar, y facilita que los clientes se sientan más seguros al confiar sus datos, es probable que GDPR tenga consecuencias serias para el mapa empresarial.

En concreto, muchas empresas FinTech que trabajan dentro del lucrativo espacio económico de la UE podrían encontrar el cumplimiento de la GDPR como un importante reto, por ejemplo a la hora de obtener todos los consentimientos de sus clientes para el tratamiento de sus datos personales.

Además, hay que tener en cuenta que no importará si una empresa FinTech tiene su sede en EE.UU o China, si se dirige a consumidores residentes en la UE, se le exigirá el cumplimiento del GDPR. Incluso las empresas Fintech que solo se dirijan a los residentes del Reino Unido se verán afectadas, ya que el GDPR será de plena aplicación antes de la salida de Reino Unido de la Unión y, lo más probable es que este país adopte las reglas del juego del GDPR para igualar la protección de los datos de sus ciudadanos al del resto de residentes europeos.

 GDPR más control para el ciudadano digital


7 áreas clave donde el GDPR impactará en el sector FinTech

Analizamos siete áreas clave de la legislación GDPR que impactarán en el sector:

1. Consentimiento del cliente

El artículo 4 del GDPR se refiere a los datos personales como toda la información que podría usarse para identificar a una persona física, al que denomina “interesado”. Hablamos por ejemplo del nombre, la dirección de correo electrónico, la dirección IP, datos de localización o elementos propios genéticos, psíquicos, económicos, culturales o sociales de dicha persona.

Al obligar explícitamente a las empresas a obtener el consentimiento (desaparece la opción del consentimiento tácito) de los clientes sobre los datos personales recopilados, las empresas deben describir claramente el objetivo para el que se recopilaron los datos y buscar el consentimiento adicional si desean compartir la información con terceros.

El objetivo de GDPR es garantizar así que los clientes retengan los derechos sobre sus propios datos, por lo que las empresas fintech deben realizar una análisis exhaustivo de cómo recogen los datos de personas físicas - también los obtenidos con anterioridad a la fecha de aplicación del GDPR - el 25 de mayo de 2018-, y verificar si cumplen íntegramente con el Reglamento de Protección de Datos.

 
2. La biometría como identificadores para las transacciones financieras

Actualmente la biometría, como las huellas dactilares y los ojos, se está adoptando cada vez más en los servicios financieros para la identificación de los clientes. De hecho, se estima que el uso de estos datos biométricos sea una de las principales formas de reconocimiento, si no la principal, en las transacciones financieras en 2020.

En este ámbito, las fintech que deseen cumplir con GDPR, además de contar con el consentimiento explícito de los interesados a la hora de obtener estos datos biométricos, deberán tener controles que los proteja.

Estos controles deben garantizar que los responsables toman las medidas técnicas y organizativas necesarias para evitar la exposición de estos datos especiales a consecuencia de una gestión débil en sus sistemas.

  • La firma electrónica de Signaturit, solución rápida y coste-efectiva para obtener el consentimiento inequívoco y/o expreso

Para transformar los consentimientos tácitos en inequívocos y/o expresos, la firma electrónica de Signaturit se presenta como la mejor solución.

Un mecanismo práctico, seguro y legal que convierte el consentimiento a través de la firma electrónica en un acto afirmativo claro, que es lo que exige el GDPR.

Además la firma electrónica, con su sellado de tiempo, permite probar la integridad del consentimiento convirtiendo este acto es un proceso fácil, seguro y con plenas garantías legales.

 
3. Derecho a ser olvidado

GDPR permite a todos los ciudadanos de la UE poder solicitar la eliminación de sus propios datos personales de las entidades financieras. Esto se conoce como “Derecho al olvido”. Las instituciones financieras pueden conservar algunos datos para garantizar el cumplimiento de otras obligaciones legales, pero en todas las demás circunstancias en que no existe una justificación válida, se aplica el derecho del individuo a ser olvidado.


4. Comunicar las brechas de seguridad

Hasta ahora las empresas podían adoptar sus propios protocolos en caso de una violación de datos. Sin embargo, ahora el GDPR exige que los responsables de protección de datos denuncien cualquier violación de datos a la autoridad supervisora en el plazo de 72 horas.

La notificación debe contener detalles sobre la naturaleza del incumplimiento, las categorías y el número aproximado de personas afectadas, y la información de contacto del Delegado de Protección de Datos (DPO). Además la notificación del incumplimiento también se deberán comunicar al usuario afectado "sin retrasos indebidos".

GDPR_Comunicar_brechas_seguridad


5. Gestión de proveedores

Los sistemas de TI forman la columna vertebral de todas las firmas financieras, y los datos de los cliente pasan continuamente a través de múltiples aplicaciones de TI aunque crece la tendencia a externalizar las funciones de desarrollo y soporte.

Esta fórmula provoca que aumenta significativamente la exposición neta de los datos al acceder a ellos distintos proveedores. Así el GDPR, exige a estos proveedores que no se desvinculen de las obligaciones de acceso a los datos. De igual modo, impone a las organizaciones no pertenecientes a la UE, pero que trabajan en colaboración con bancos de la UE o que prestan servicios a ciudadanos de la UE, que garanticen la vigilancia de los datos mientras los comparten a través de las fronteras.

En definitiva, el GDPR impone la responsabilidad de extremo a extremo del tratamiento de los datos para garantizar que estos permanecen bien protegidos.


6. Seudonimización

Los datos seudonimizados son aquellos a través de los cuales no se puede identificar de forma directa a un individuo pero sí cuando se asocian con información adicional (art. 4.5 GDPR).

Pues bien, el GDPR establece que esta información adicional debe encontrarse protegida por medidas técnicas y organizativas que impidan la determinación del sujeto afectado. Sin embargo, la información seudonimizada, aún siendo una información personal, goza de determinadas facilidades en su tratamiento.

Por este motivo, la GDPR crea incentivos para que las empresas seudonimicen los datos que recopilan separando los datos de los identificadores. La seudonimización, por lo tanto, puede reducir significativamente los riesgos asociados con el procesamiento de datos, al tiempo que mantiene la utilidad de los mismos.

7. Sanciones

Quienes no cumplan con la normativa se enfrentan a sanciones mucho más elevadas que las establecidas en la directiva anterior.  La responsabilidad en caso de incumplimiento será para infracciones graves, como no obtener el consentimiento para procesar datos o el incumplimiento de la privacidad por diseño, las empresas recibirán una multa de hasta € 20 millones, o el 4 por ciento de su facturación global, mientras que para menores violaciones, tales como los registros que no están en orden o la falta de notificación a las autoridades de supervisión, se establecen multas del 2 por ciento de la facturación global.

Además hay que tener en cuenta que estas sanciones económicas son adicionales al daño potencial a la reputación y la pérdida de negocios futuros.

Sanciones_gdpr

Conclusión

Dado el amplio alcance de la legislación GDPR, no hay duda de que las organizaciones financieras tradicionales y las Fintech necesitan volver a modelar sus sistemas existentes o crear fórmulas más afines con el concepto de 'Privacidad por diseño' integrado en sus ideologías operativas.

La fecha límite para estar listo para la aplicación de GDPR es el 25 de mayo de 2018 como hemos comentado, por lo que las empresas deben realizar los cambios lo antes posible, ya que su introducción requerirá un cambio cultural considerable, no solo en la gestión de la tecnología, sino en la forma en que las personas operan y los procesos implementados.

Este post también está disponible en inglés.


New Call-to-action

Tags: GDPR

Subscríbete al blog

Últimos posts