Amalia Riaza Sánchez-Ferragut, Desarrollo de Negocio Banca y Seguros de Gfi
La UE se ha puesto seria y, ahora sí, el derecho al honor y a la intimidad personal y familiar de los ciudadanos, van a estar garantizados.
No solo serán objeto de protección los datos sensibles como la salud, origen racial, datos genéticos, biométricos o religiosos, sino también los obtenidos de la actividad del sujeto en virtud del uso del servicio o dispositivo (localización, tráfico, historiales, etc.).
En este marco, Gfi afronta con sus clientes el reto de evolucionar un modelo basado en el control del cumplimiento, hacia un escenario sustentado en el principio de ‘responsabilidad activa’, definiendo políticas y procesos de gobierno de datos, que mitiguen los riesgos y las elevadas sanciones previstas en caso de no cumplimiento. Uno de los sectores más afectados es banca y seguros, que viene apostando por el Big Data y análisis de datos para mejorar el conocimiento de sus clientes y así reducir costes.
Todos los datos, facilitados por sus clientes u obtenidos del uso que hacen de los servicios, quedan bajo la lupa de GDPR (General Data Protection Regulation). Solo estarán exentos los generados por procesos con algoritmos para prever tendencias o comportamientos del consumidor.
El anteproyecto de ley orgánica de protección de datos especifica la obligación de las entidades financieras de designar un delegado, que podrá estar o no integrado en la organización y ser persona física o jurídica y que tendrá unas condiciones especiales, como no recibir instrucciones o no ser despedido, por el ejercicio de su actividad.
También despierta dudas la forma de compatibilizar el derecho al olvido del cliente
Otros aspectos de la ley que van a remover los cimientos, no ya organizativos, sino tecnológicos, son los derechos que adquieren los particulares acerca de sus datos personales: el derecho de acceso, de rectificación, de olvido, de limitación del tratamiento, de portabilidad de los datos… Estos derechos van a requerir adaptaciones de los sistemas de información para facilitar accesos seguros que permitan realizar consultas, modificaciones, bloqueos selectivos y volcados en dispositivos externos para su entrega a otras instituciones.
También despierta dudas la forma de compatibilizar el derecho al olvido del cliente, con la obligación de las entidades de mantener información sensible durante años, para auditorías.
Por otra parte habrá que rediseñar algunos procesos para la gestión de los consentimientos explícitos para cada servicio y definir cómo se obtendrán los consentimientos de los datos que ya se tenían antes de la nueva ley.
En la Business Unit de Banca y Seguros de Gfi, estamos preparados para emprender este camino con nuestros clientes, con proyectos que incluyen:
• Consultoría para inventariar y clasificar los datos, categorización de los riesgos mediante la elaboración de las PIA (Privacy Impact Assessments), revisión o puesta en marcha de políticas internas de protección de datos, rediseño de procesos…
• Evaluación o evolución de herramientas, para dar servicio a los nuevos derechos del cliente (acceso, portabilidad…), pseudonimización y encriptación de datos, medir la seguridad, restablecer la disponibilidad en caso de incidente, etc.
La nueva directiva se ha propuesto cambiar definitivamente la cultura de las empresas respecto al ‘casi todo vale’ en relación a la privacidad de los particulares y, por fin, ha llegado la hora de la verdad.
