Revolution Banking SP 2016

¿Cómo afecta a los bancos el Reglamento General de Protección de Datos (RGPD)? (II)

By on 31 agosto, 2016
José Luís Murcia s-c - GFT

GFT logo pequeñoTal y como analizamos en el anterior artículo sobre el Reglamento General de Protección de Datos (RGPD), las bancos tienen que pensar de forma global en los datos que utilizan para gestionar sus negocios y también en su protección para evitar ser víctimas del leakage (fuga de datos).

¿Qué aspectos generales deben tener en cuenta las instituciones financieras para afrontar al RGPD? La situación debe ser contemplada desde varios puntos de vista:

La racionalización de los procesos de on-boarding

Los procedimientos de alta de nuevos clientes abordando nuevas soluciones provistas por la digitalización y, también, por nuevos equipos y técnicas disponibles como Tablets, App’s, ICR, o acceso remoto, añaden oportunidades de leakage que deben ser neutralizadas aprovechando las potencialidades que añaden los propios dispositivos y tecnologías, superiores en muchos aspectos a los clásicos.  Por ello, dentro del ambiente general de digitalización, es necesario actualizar los viejos  procedimientos de on-boarding de nueva información adecuándolos a la nueva situación.

La racionalización de la arquitectura de la información desde el punto de vista de uso aplicativo

Es necesario acabar con los repositorios de datos de clientes descentralizados desde el plano lógico (no necesariamente en cuanto a su disposición física). Todos los productos de la compañía, como los servicios y las funciones, deben utilizar el mismo repositorio lógico de datos personales facilitando así los procedimientos de control.

La racionalización de los procesos de mantenimiento y acceso seguro

Implementando procedimientos del tipo “Need to know”, controles y monitorización de accesos, promoviendo, dentro y fuera de la organización, la convicción de que los datos no son, en ningún caso, activos de uso discrecional.

¿Cómo evitar ser víctimas de leakage?

Pero todo lo anterior no es todavía suficiente. La “seudonimización” (cifrado de datos) la “minimización” (selección de los estrictamente necesarios) y la auditoría de procedimientos se constituyen en otra barrera defensiva frente a ataques y usos indebidos de la información. En tiempos en los que “Data Leakage” es titular frecuente en los medios de comunicación involucrando incluso a altas esferas de seguridad de la información, disponer los datos sensibles cifrados y reducidos a lo necesario parece una buena trinchera desde la que parapetar la defensa de la información minimizando impactos.

La información es uno de los más valiosos activos en las compañías, siendo además requisito ineludible para la gestión del negocio y, por tanto, no es negociable. Sólo queda asegurar y defender la información para evitar ser víctimas de leakage, sea éste producto de agresión o de negligencia.

Cifrar la información y disponerla sometida a controles, seleccionarla, preservarla reducida a lo necesario y mantener su acceso sometido a constantes controles y auditorías de procedimiento se constituye en garantía, quizás la única operativa con la que salvaguardar el “valioso” activo. De esta forma se protege al negocio de impactos operativos, legales y reputacionales, cumpliendo a la vez con el mandato del regulador.

Finalmente, ante la probable perspectiva añadida de afrontar inspecciones regulatorias periódicas,  también será siempre mejor abordarlas disponiendo de un procedimiento claro, racional, cabalmente implementado, internamente publicado y, por supuesto, disponiendo de las correspondientes evidencias.

GFT ha creado una metodología exclusiva de tres fases que se encuentra detallada en nuestro Whitepaper, que puede solicitar aquí.

José Luís Murcia, especialista en Compliance y arquitectura de TI en GFT

Deja un comentario