GDPR: qué deben hacer las Fintech antes de que entre en vigor

Posted by media on 12/04/18 9:00

GDPR_Fintech

La aprobación del Reglamento General de Protección de Datos (GDPR) ha creado algunas oportunidades y múltiples desafíos para bancos y Fintech por igual. La idea detrás de esta nueva legislación es que las empresas adopten un enfoque de "Seguridad desde el diseño" al desarrollar sus estrategias de protección y ser más responsables ante sus clientes.

Así que no importa si eres un banco o una fintech, comprometerse con la preparación es la clave para el éxito. En este post ofrecemos algunos pasos a seguir antes de que sea de plena aplicación el próximo 25 de mayo.

Este post también está disponible en inglés.

    Índice

  • Adelantarse al cambio, la clave para afrontar el GDPR
  • Primeros pasos para prepararte para GDPR 

1. Comprender el marco legal de GDPR

2. Auditoría de datos

3. Registro de actividades

4. Modificar los avisos de privacidad y cualquier otra información

5. Prepara tu equipo

6. Actualizar los consentimiento obtenidos hasta el momento

7. Revisar y repetir

  • Conclusión

 

Adelantarse al cambio, la clave para afrontar el GDPR

En menos de dos meses tendrá lugar uno de los mayores cambios en la Unión Europa en materia de protección de datos personales: el Reglamento General de Protección de Datos (GDPR).

Por ello, la protección de los datos es una de las principales prioridades de las empresas y autónomos que recopilan y procesan datos personales de residentes de la UE pero, ¿cómo pueden las empresas cumplir con esta normativa? ¿Qué pasos deben seguir?

El gran volumen de violaciones de datos que aparecen en los titulares debe ser una llamada de atención para que las empresas pongan sus datos en orden. Sin embargo, a pesar de que la fecha límite sea inminente, la preparación para el GDPR sigue siendo irregular. 

Es hora de actuar rápidamente, ordenar los datos e implementar medidas que demuestren el cumplimiento y evitar así importantes multas. Con este objetivo encima de la mesa, ofrecemos siete pasos para comenzar el viaje de cumplimiento desde hoy.


Post relacionado > GDPR: ¿qué implicaciones tiene para las empresas fintech?


Primeros pasos para prepararte para GDPR 

 

1. Comprender el marco legal de GDPR

Lo primero aunque suene obvio es comprender el Reglamento e investigar sobre su marco legal, a lo que te ayudará el Delgado de de Protección de Datos (DPO) que contrates.

La UE fomenta que todas las organizaciones que traten datos nombren voluntariamente a un DPO, a pesar de que no todas las empresas estén obligadas a ello. Solo será obligatorio de hecho para las instituciones públicas y cualquier organización que procese datos confidenciales como actividad principal o lo haga a gran escala.

Si lo necesitas o finalmente decides contar con él por iniciativa propia, actúa rápido. Candidatos adecuados con experiencia jurídica y técnica escasean dada la elevada demanda y preocupación de las empresas.

2. Auditoría de datos

Informados y acompañados el siguiente paso será será llevar a cabo una auditoría de datos. Comprender qué datos personales tienes de residentes de la UE, dónde los almacenas y qué procesamientos de estos datos estás llevando a cabo.

Son tres las preguntas clave que te debes hacer:

  • ¿Qué tipo de datos personales tratas?
  • ¿Dónde los guardas?
  • ¿Cómo se accede a ellos?

Una vez que respondas estas preguntas, un consejo sería que elimines cualquier dato personal que no necesites necesariamente para un proceso en curso.

Las empresas que no sepan qué datos tienen y dónde los almacenan a día de hoy, tendrán dificultades para cumplir con las importantes exigencias a tiempo. Y es que primero hay que conocer qué datos posees para a continuación poder protegerlos.

Una vez los datos están identificados, es importante evaluarlos para concluir cuál es el mejor método para  protegerlos por ejemplo, con encriptación.

GDPR_auditoria_datos


3. Registro de actividades

El artículo 30 GDPR exige que se lleve a cabo un registro de las actividades de tratamiento efectuadas, o lo que es lo mismo, describir qué datos se recogen, con qué fin se tratan, a quiénes los comunicas, si se transfieren a terceros países, qué medidas técnicas y organizativas tomarás para preservar su seguridad, y cuándo podrá suprimirlos.

Este registro de datos mostrará tu esfuerzo por cumplir y evitar una multa de hasta el cuatro por ciento de su volumen de negocios, en caso de que se produzca una infracción.


      Información relacionada > GDPR: ¿qué medidas de responsabilidad proactiva exige?

4. Modificar los avisos de privacidad y cualquier otra información

Otra de las medidas que las empresas deben realizar será revisar, y casi previsiblemente modificar, sus avisos de privacidad o cualquier otra información que utilicen para comunicar a los usuarios cómo usarán sus datos personales.

Bajo GDPR, las compañías ya no pueden tener términos y condiciones complicados e ilegibles. Los usuarios deben poder acceder a estos documentos sin dificultad y deben ofrecerse con un lenguaje sencillo que todos puedan entender.

Dado los cambios que exige el GDPR, es muy poco probable que la información existente sea adecuados para la nueva legislación.

5. Prepara tu equipo

La comunicación es clave para cualquier cambio importante, y este lo es. Informar a los miembros del equipo, no solo aquellos cuyos trabajos se vean directamente afectados sino a todo,s es fundamental.

Es muy probable que los profesionales de TI, marketing y legal de las empresas conozcan el GDPR, pero es el equipo en su conjunto el que debe comprender la importancia de mantener la seguridad de los datos.

Una mentalidad abierta en la cultura de la empresa Fintech o banco ayudará sin duda a impulsar la adopción de nuevas herramientas para cumplir con la nueva normativa.

GDPR_información_equipo_Fintech

 

6. Actualizar los consentimiento obtenidos hasta el momento

Una de las bases fundamentales para tratar datos personales es el consentimiento. El GDPR exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

Para poder entender que el consentimiento es inequívoco, el Reglamento indica que debe existir una acción positiva que indique el acuerdo del interesado. El consentimiento no podrá deducirse ya con el silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el GDPR prevé que en algunos casos el consentimiento sea explícito, como puede ser para autorizar el tratamiento de datos biométricos. Se trata de un requisito más estricto, y, será preciso que la declaración se refiera explícitamente al consentimiento y al tratamiento en cuestión aceptando a través de la firma electrónica avanzada, por ejemplo.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.

 

7. Revisar y repetir

Finalmente, sería un error abordar estos pasos de forma lineal. Se puede progresar en cada una de estas áreas de forma simultánea. De hecho, con la cuenta atrás para la aplicación de GDPR en pleno apogeo, ese sería definitivamente el mejor enfoque.

Por tanto el último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible error cuando sea necesario ajustando y actualizando. Toda precaución es poca en esta materia tan sensible.

Conclusión

Cuanto antes se  implementen los cambios en las Fintech y bancos tradicionales, más tiempo se tendrá para adaptar sus políticas y utilizar soluciones de terceros que cubran sus necesidades.

Seguir desde ya estos pasos no solo reduce el riesgo de una violación de datos, sino que también puede proteger a las organizaciones de incurrir en multas y daños considerables a la reputación.

Por último añadir que una vez que se tenga plena confianza en los sistemas y procedimientos, las organizaciones podrán solicitar un sello de protección de datos de la UE, que será una certificación de cinco años de sus procesos.

Este post también está disponible en inglés.


New Call-to-action

Tags: GDPR

Subscríbete al blog

Últimos posts