Para el sector de servicios financieros, pocas cosas son nuevas bajo el sol regulatorio. Si bien el acrónimo apenas ha salido de los labios de privacidad y los profesionales de seguridad de la información fuera de los servicios financieros durante al menos seis meses (y potencialmente más), el RGPD se suma a docenas, si no cientos, de regulaciones existentes que los equipos de TI y seguridad de la información en las organizaciones financieras globales deben cumplir.
El RGPD, si bien es la normativa de protección de la privacidad más completa hasta la fecha, no es el primer mandato promulgado para garantizar la protección de datos. Por lo tanto, no sorprende que muchas organizaciones financieras lo presentaran inicialmente como una normativa que establece un estándar de seguridad de la información para otras industrias, al que el sector de servicios financieros se ha visto sometido durante años.
Sin embargo, el RGPD no es simplemente una normativa más que añadir a la lista. Lo que caracteriza a la nueva normativa, entre otras cosas, es su enfoque no solo en la protección de la información, sino específicamente en la protección de la privacidad.
Controles de seguridad y restricciones de privacidad
Proteger la privacidad no es lo mismo que proteger los datos. Las herramientas tecnológicas disponibles se desarrollaron para abordar los problemas de seguridad, y los mandatos de cumplimiento se centraron en la implementación de controles. Los requisitos de privacidad se centran en comprender de quién son los datos, para garantizar que cualquier operación y acceso a ellos se ajuste a consideraciones como el consentimiento y el interés comercial legítimo.
La protección de la privacidad no es lo mismo que el cumplimiento normativo habitual por varias razones importantes:
1. Derechos de acceso de los sujetos – El titular de los datos (por ejemplo, el cliente) ahora tiene derecho a un registro de toda la información que se tiene sobre él y en cualquier momento puede solicitar revisarla, modificarla o eliminarla.
2. Registro de actividades de procesamiento: las organizaciones deben informar en cualquier momento cómo utilizan la información privada en sus procesos comerciales, cómo obtuvieron el consentimiento para recopilar la información y cuál es el propósito de utilizar la información.
3. Notificación de respuesta a violaciones: en caso de una violación de datos, se debe presentar un informe a las autoridades de protección de datos dentro de las 72 horas y, poco después, a las personas afectadas.
Las herramientas de protección de la información pueden indicar dónde se almacena la información privada (con cierto grado de precisión), pero no pueden determinar a quién pertenece ni para qué se utiliza. Para proteger no solo la información, sino también la privacidad, es necesario saber quién es la información y para qué se utiliza:
- Si un cliente desea ser eliminado, ¿cómo sabe dónde se encuentra la información para eliminarla?
- Si su base de datos se ve comprometida, ¿cómo sabe quién se ha visto afectado para notificarlo? Al no tener otra opción, tendrá que informar a todos sus clientes, a la vez. precio enorme con consecuencias persistentes.
Datos hasta donde alcanza la vista
En los casi 100 años de operaciones del sector financiero moderno, diversos clientes, empresas y socios comerciales han recopilado y conservado grandes cantidades de información. Algunos datos pueden estar almacenados en un almacén en el desierto o en un servidor de respaldo, pero la capacidad de recopilar y procesar datos supera la de eliminarlos, o incluso la de aplicar políticas de retención.
Los datos se almacenan en bases de datos, servidores de archivos y sistemas de Big Data, sin una gobernanza centralizada que determine por qué se recopilan, a quién pertenecen y para qué se utilizan. ¿Cómo podemos informar sobre la legalidad del uso de la información si no se supervisa ni controla?
Por supuesto, las empresas de servicios financieros han invertido mucho en comprender sus datos estructurados. Pero la velocidad a la que estos se están volviendo... no estructurado porque cualquier número de transformaciones no tiene precedentes.
El entorno regulatorio de las organizaciones financieras hace que el proceso de eliminación de datos sea un proceso complejo, ya que muchas regulaciones dictan restricciones diferentes y a veces contradictorias sobre la preservación de la información.
Herramientas de privacidad para necesidades de privacidad
La complejidad del entorno financiero, la falta de herramientas adecuadas y la complacencia de algunas organizaciones han llevado a muchas de ellas a una preparación deficiente para el RGPD. Algunas de las organizaciones financieras más grandes del mundo han tenido que adaptarse a las nuevas exigencias del RGPD mediante procesos manuales, hojas de cálculo de Excel y PowerPoint.
Ahora que la fecha límite ya pasó y las solicitudes de acceso de los interesados comienzan a acumularse, muchas organizaciones se dan cuenta de que el RGPD requiere un conjunto de procesos automatizados. El reto para las organizaciones ahora es encontrar maneras de automatizar los procesos manuales basándose en la información que mantienen y en un análisis más profundo de los datos.
En BigIDDesde el principio, identificamos la necesidad de herramientas específicas para proteger la información privada y la privacidad. La base de esta tecnología es la capacidad no solo de encontrar y mapear información privada en todo tipo de fuentes de datos, sino también de saber a quién pertenece la información y de hacer efectivos los derechos de los interesados, informar con precisión sobre las violaciones de datos y documentar el registro de las actividades de procesamiento. Entre nuestros clientes se encuentran algunas de las organizaciones más grandes del mundo que comprendieron desde el principio los verdaderos desafíos de la protección de la privacidad y la necesidad de herramientas tecnológicas para resolverlos.