RGPD para financieros: 3 cosas que debes saber

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Una normativa que afecta a todas las empresas, por lo que los profesionales del área financiera necesitan sabe qué supone para su trabajo diario.

El foco se centra, a partir de ahora, en los datos personales, o datos sobre personas, y es un cambio significativo que afecta a cualquier comercio, partner, sociedad, corporación, agencia u otro organismo que procesa datos personales de personas basadas en la UE. Esto incluye proveedores y otros terceros que una empresa podría usar para procesar datos personales en su nombre.

Los negocios de todas las industrias trabajan con datos personales, desde información de cuentas bancarias a los números de la Seguridad Social. Estos datos pueden pertenecer a clientes, proveedores, subcontratistas, empleados…, y todos deben estar protegidos bajo la nueva regulación.

Echemos un vistazo a tres ejemplos de cómo el RGPD podría afectar a los profesionales del área financiera en sus responsabilidades diarias.

No pierdas de vista las transferencias internacionales

El cumplimiento normativo puede ser visto por muchos como una carga administrativa. Sin embargo, ignorar el RGPD o equivocarse puede tener repercusiones importantes.

Una infracción grave del RGPD es el incumplimiento de los requisitos para las transferencias internacionales, si los datos se transfieren a un país fuera de la UE que no se considera que tiene los niveles de seguridad adecuados. Este tipo de cosas son las que nos pueden hacer incurrir en multas realmente considerables si se incumple la nueva normativa.

El RGPD mantiene la prohibición general de enviar datos personales a un país fuera del Área Económico-Europea que no proporciona la protección adecuada.

En el momento de escribir este post, los países considerados por la Comisión Europea que proporcionan una protección “adecuada” son: empresas estadounidenses que se auto certifican según el acuerdo UE-US Privacy Shield (para tener en cuenta que esto no significa que se considere EE. UU. como país que proporcione la protección adecuada), Andorra, Argentina, Canadá (limitado a PIPEDA), Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza y Uruguay.

Si no existe seguridad en la decisión a tomar, las transferencias solo se pueden realizar en circunstancias limitadas, incluso sobre la base del consentimiento, el uso de cláusulas contractuales estándar publicadas por la Comisión Europea o, en el caso de transferencias entre empresas, el uso de Reglas Corporativas Vinculantes.

Necesitas un Delegado de Protección de Datos (DPD)

La autoridad de control puede imponer una multa de hasta el 4% de la facturación global anual o 20 millones de euros, la que sea mayor. Sin embargo, se da una situación con dos niveles en juego. El nivel inferior es la mitad de eso, por lo que será hasta el 2% de la facturación global anual o 10 millones de euros, el que sea mayor. El nivel inferior es para infracciones que no se consideran significativas, por ejemplo, casos como la no designación de un Delegado de Protección de Datos (DPD) cuando es obligatorio contar con esta figura.

En relación con el RGPD, entre otras cosas, las empresas y cualquier tercero que procese datos personales en su nombre deberá designar un DPD si las actividades centrales del negocio de terceros implican el seguimiento de individuos en gran escala, o si las actividades centrales consisten en el procesamiento a gran escala de categorías especiales de datos personales, incluidos los datos relacionados con condenas penales y delitos.

El DPD necesita tener un conocimiento experto en la ley de Protección de Datos, aunque no ha de ser necesariamente un empleado de la empresa. Los detalles del Delegado de Protección de Datos (DPD) deberán ser comunicados a la autoridad de control pertinente en cada país (como el ICO en UK o la AEPD en España).

Será una tarea del DPD la de informar a la empresa y a su personal sobre sus obligaciones en virtud del RGPD. También deberá supervisar el cumplimiento del Reglamento General de Protección de Datos (y cualquier otra ley o requisito en el ámbito de la protección de datos).

Esto podría incluir la gestión de las evaluaciones del impacto de la protección de datos, el realizar auditorías internas y organizar la formación de los empleados en la nueva normativa. El Delegado de Protección de Datos también será el primer punto de contacto para las consultas relacionadas con la protección de datos de las autoridades de supervisión (como el ICO o la AEPD), y el punto de contacto de cualquier persona cuyos datos sean procesados por la empresa, incluidos clientes y empleados.

Aprovecha la oportunidad para mejorar la calidad de los datos

Pero no todo son malas noticias. Los departamentos financieros también deberían pensar en la forma en la que el RGPD puede ofrecerles una oportunidad para mejorar la calidad de los datos. Quizá puede ser un buen momento para poner en marcha iniciativas que te permitan tener un repositorio de datos centralizado, donde, por ejemplo, se haga una limpieza de información y se eliminen contactos duplicados.

Junto con el cumplimiento, las empresas deberían pensar en incluir la analítica de datos, para así aportar una mayor calidad en la información. Así, el resultado podrá ser una base de datos de clientes más precisa y enriquecida, que los directores y responsables financieros podrán aprovechar para tomar mejores decisiones.

Recuerda que la mayoría de la gente no exigirá inmediatamente que se eliminen sus datos. Por lo que, si proporcionas un buen servicio, muchos estarán encantados de permitir que tu empresa utilice sus datos (si eso les beneficia).

Además, podrás entender mejor a tus clientes y adaptar tu servicio a lo que necesitan. Así los clientes estarán contentos les ofreces un producto en el momento adecuado, gracias a las ventajas que te proporciona el comprender y gestionar sus datos personales de modo inteligente.