En la última reunión de
coordinación del Grupo Europeo de Asociaciones Nacionales de Mercados Financieros
a la que fui invitado en Octubre pasado, se revisaban los últimos retos y
dificultades que la implantación de MiFIR/MiFID II está suponiendo para las firmas
de inversión de los países allí representados. Entre los prolegómenos comentarios
pesarosos de los presentes, el representante de la Asociación Británica exhortó
con un tono irónico acorde con su origen, que no se perdiera la calma que hay otros nuevos retos y
dificultades a la que se deben enfrentar los departamentos de cumplimiento de las
entidades: El Reglamento General de Protección de Datos, RGPD (GDPR en inglés). Hubo un silencio momentáneo,
cruce de miradas y el debate continuo sin
otra palabra más al respecto es esta regulación.
Aquel silencio me hizo notar
quizás la falta de atención de forma general en la industria financiera, que se
haya podido tener hasta el momento a este nuevo marco regulador, que a los Británicos, ya les traía en jaque y
que no aparece en el centro del foco mediático regulatorio afectando a la Unión
Bancaria y de Mercados.
Lo cierto es que la regulación no
es tan nueva, y ha tenido un largo proceso legislativo. Se propuso por la
Comisión Europea y se inició su trámite en Enero del 2012 y finalmente fue
conjuntamente adoptada por el Consejo y Parlamento Europeo en Abril 2016, con
fecha prevista de entrar en vigor en Mayo de 2018. Además no sólo es de mayor
relevancia para las firma de inversión lo es para todo el sector financiero y
muy especialmente para las emergentes Fintech.
Como reza el punto primero de su
artículo 1, este reglamento establece las normas relativas a la protección de
las personas físicas en lo que respecta al tratamiento de los datos personales
y las normas relativas a la libre circulación de tales datos. Sus puntos clave se resumen a continuación:
Derechos
de los ciudadanos
El
RGPD refuerza los derechos existentes, genera nuevos derechos y ofrece a los
ciudadanos un mayor control sobre sus datos personales. Se incluyen:
- Un acceso más sencillo a sus datos, por ejemplo, proporcionando más información sobre cómo se tratan esos datos y garantizando que la información esté disponible de una forma clara y comprensible;
- Un nuevo derecho a la portabilidad de los datos que facilite la transmisión de datos personales entre proveedores de servicios;
- Un derecho más claro a la supresión («derecho al olvido») cuando un individuo no desee que se sigan tratando sus datos. Cuando no exista ninguna razón legítima para conservarlos, se suprimirán los datos;
- Derecho a saber cuándo se han pirateado los datos personales: las empresas y organizaciones tendrán que informar rápidamente a las personas sobre cualquier infracción grave relativa a los datos personales. Asimismo, deberán informar a la autoridad supervisora relevante en materia de protección de datos.
Reglas
para las empresas
El
RGPD está diseñado para crear oportunidades de negocio y para estimular la
innovación a través de diversos pasos, entre los que se incluyen:
- Un conjunto único de normas aplicables en toda la UE: se estima que la existencia de una única ley de protección de datos para toda la UE permitirá ahorrar 2 300 millones de euros al año;
- La designación, por parte de las autoridades públicas y las empresas que procesen datos a gran escala, de un delegado de protección de datos;
- Un mecanismo de ventanilla única: las autoridades deben tratar con una única autoridad supervisora (en el país de la UE donde tengan su sede principal);
- Normas de la UE para las empresas de fuera de la UE: las empresas con sede fuera de la UE deben aplicar las mismas normas al ofrecer productos o servicios o realizar una supervisión del comportamiento de las personas dentro de la UE;
- Normas que promuevan la innovación: una garantía de que se integren salvaguardias relativas a la protección de datos en los productos y servicios desde las primeras etapas del desarrollo (protección de datos por diseño y por defecto);
- Técnicas respetuosas con la privacidad, como la “seudonimización” (cuando los campos identificativos de un registro de datos se sustituyen por uno o más identificativos artificiales) y el cifrado (cuando se codifican los datos de tal manera que solamente puedan leerlos las partes autorizadas);
- Eliminación de las notificaciones: las nuevas normas sobre protección de datos eliminan la mayoría de las obligaciones de notificación y los costes asociados a estas. Uno de los objetivos del Reglamento de protección de datos es eliminar los obstáculos a la libre circulación de datos personales en el seno de la UE. Esto facilitará la expansión de las empresas;
- Evaluaciones del impacto: las empresas deben llevar a cabo evaluaciones del impacto cuando el tratamiento de datos pueda ocasionar un mayor riesgo para los derechos y libertades de las personas;
- Mantenimiento de registros: las pymes no están obligadas a mantener registros de sus actividades de tratamiento, salvo que dichas actividades sean regulares o probablemente puedan ocasionar un riesgo para los derechos y las libertades de la persona cuyos datos están siendo procesados.
Estas pueden parecer relativamente
pocas novedades, pero entendiendo la relevancia y volumen que ya tiene las
prácticas de almacenaje y uso de datos de los consumidores en técnicas tan
tradicionales como el “scoring bancario”
y el “CRM” que ahora se profundiza con las tecnologías “Big Data” e
“inteligencia artificial”, no se menor el impacto en los procesos (todos,desde
el incipiente diseño de productos hasta el último backoffice de salvaguarda de
datos) e infraestructuras informáticas.
Entre otras exigencias con alto impacto están estos ejemplos:
- La necesidad de obtener el consentimiento específico de un individuo antes de obtener, almacenar o utilizar sus datos personales. Las entidades deberán proporcionar una acción afirmativa clara o una declaración que proporcione permiso para procesar los datos del individuo;
- Se establece que el individuo tiene un "Derecho a ser olvidado" y puede solicitar que su información personal sea eliminada explícitamente del uso y la corporación debe atender tal solicitud para eliminar datos sin demoras indebidas;
- Se establece también que una persona tiene derecho a solicitar acceso a la información personal que se recopila y almacena sobre ellos. El individuo puede solicitar información a una entidad sobre cualquiera de sus datos personales incluyendo quién tiene acceso a su información, cómo se accede a los datos, donde se está accediendo, y el propósito para el cual se está accediendo.
Los orígenes de este reglamento
se pueden encontrar en la directiva Directiva
95/46/CE de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos, directiva en vigencia, con la que forma el marco principal de
protección de datos.
