Las entidades financieras y la normativa sobre privacidad

December 03, 2024 | 12 minutes read
Las entidades financieras y la normativa sobre privacidad

Hoy en día no hay empresa que no haya pensado en la protección de sus datos y en las leyes de privacidad que se están iniciando, aprobando y aplicando en todo el mundo. No importa cuál sea su sector, algún tipo de normativa sobre seguridad, privacidad y protección de datos ha afectado a su negocio.

La Unión Europea aprobó el Reglamento General de Protección de Datos para proteger los datos y los derechos de privacidad de los ciudadanos de la UE. Las normas se aplican en la UE, en los Espacios Económicos Europeos (EEE), pero también aborda la transferencia de información personal identificable (IPI) fuera de la UE.

Siguiendo ese ejemplo, se han aprobado muchas otras normativas sobre privacidad de datos. Recientemente ha entrado en vigor la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA). California es sólo el primero de los muchos estados que han promulgado este tipo de normativa, y muchos más están a punto de seguir su ejemplo. Las normas de la CCPA no sólo se aplican a las empresas de California, sino a cualquier negocio, institución financiera o cualquier otra empresa con ánimo de lucro que haga negocios con residentes de California. El alcance de muchas de estas normas va mucho más allá de la frontera de sus siglas.

Tantas abreviaturas

Puede resultar difícil entender la legislación sobre privacidad. No existe una normativa que se adapte a todos los fines. Ya hemos hablado del GDPR y de la CCPA, pero también está la HIPAA o Ley de Portabilidad y Responsabilidad del Seguro Médico. Esta es la que la mayoría de la gente conoce al firmar los formularios de permiso en la consulta de su médico. El Departamento de Educación de EE.UU. cuenta con la Ley de Privacidad y Derechos Educativos de la Familia, o FERPA (Family Educational Rights and Privacy Act), que regula la protección de la privacidad de los expedientes e información de los estudiantes. Países de todo el mundo y estados individuales se toman en serio la privacidad y aprueban su propia legislación que protege a sus ciudadanos, pero las normas se aplican más allá de sus fronteras. Tailandia, que siempre ha valorado la tranquila privacidad de sus ciudadanos, ha aprobado su propia normativa llamada Ley de Protección de Datos Personales, PDPA. Tantas abreviaturas, pero una cosa en común, proteger la información personal identificable de ciudadanos y consumidores.

Preparar una auditoría de privacidad

Si todas las nuevas abreviaturas no fueran suficientemente mareantes, aprender a cumplir toda la nueva normativa puede serlo. Puede haber sanciones severas por no entender cómo se aplica la ley a su negocio, a sus clientes y a la forma en que trata sus datos. Leyes de otras zonas del país o incluso del mundo pueden aplicársele a usted. Antes de meterse en problemas con las autoridades, sería prudente ser proactivo con la privacidad e iniciar una auditoría de privacidad de los datos de su empresa.

A veces, el consumidor o incluso el propietario de una empresa no tiene tan clara la diferencia entre confidencialidad y privacidad. Por eso es bueno contar con la ayuda de un profesional de la privacidad que le guíe en su auditoría y le ayude a comprender el tipo de datos que tiene y cómo se utilizan. A efectos de la auditoría de su empresa, la confidencialidad se refiere al intercambio de información sin consentimiento. Debe ser capaz de proteger sus datos personales de consumidores, clientes, empleados u otros de la exposición o de que se compartan sin obtener antes un permiso expreso. Privacidad significa que usted honrará la libertad de intromisión en asuntos privados, que como titular de los datos personales de alguien, se compromete a protegerlos, y que quienes entren en contacto con ellos en el curso de hacer negocios con usted, tampoco harán nada negligente con ellos ni los compartirán.

Cuanto más se intenta encerrar la palabra “privacidad” en una cajita, más difícil resulta contenerla. Cuando intente definir las políticas de privacidad de su empresa y crear su proceso de auditoría, podrá gestionar la mayor parte de su auditoría de privacidad en una serie de pasos metódicos:

Aquí es donde entra en juego una sólida política de privacidad escrita de la empresa. Debe contener directrices para que cada nivel de gestión las siga con cualquier tipo de información, e instrucciones detalladas sobre cuándo se produce una violación de datos y a quién informar del riesgo. Contar con personal directivo y administrativo capaz de ser proactivo con una sólida estrategia de gestión de riesgos es beneficioso para todos. La comunicación debe ser una prioridad absoluta para mantener la transparencia. Así será más fácil aprender de los errores cometidos y se podrán evitar futuras violaciones de datos.

La administración debe supervisar los pasos de las directrices y repasarlos regularmente con sus empleados. Tener a todo el mundo en la misma página y bien formado en el manejo y la protección de los datos de la empresa reduce el riesgo general. Concierte una consulta anual con un profesional de la privacidad para revisar los cambios legales y las nuevas normas, y realice una auditoría interna. Supervise y revise periódicamente cualquier actualización de la política que sea necesaria para mantener la empresa al día. Hacer estas cosas ayudará a reducir parte del riesgo y facilitará el manejo de las políticas de privacidad desde la sala de juntas, pasando por los empleados, hasta el consumidor.

Autenticación de la identidad

Los bancos y las instituciones financieras están obligados a cumplir la normativa bancaria vigente, las leyes de protección del consumidor y las leyes de privacidad. Con nuevas normativas en constante cambio, puede haber cierta incertidumbre sobre por dónde empezar. Aunque actualmente no existe ninguna normativa estadounidense que obligue a los bancos a seguir las normas de la banca abierta, muchos países extranjeros ya lo están haciendo. La UE y el Reino Unido han puesto en marcha normativas que obligan a los bancos a desplegar interfaces de programación de aplicaciones o API. Las API deben estar a disposición de terceros desarrolladores. Si los bancos de EE.UU. quieren seguir las tendencias bancarias mundiales, es necesario cumplir la normativa a escala global.

Para garantizar que los bancos cumplen la normativa sobre privacidad, tendrán que verificar que cualquier aplicación de terceros que utilice sus servicios proporcione al usuario final la información adecuada. La información deberá detallar las políticas de privacidad de la empresa y su compromiso con una normativa bancaria justa. Los sistemas de gestión de datos requerirán auditorías exhaustivas de privacidad. Más allá del ámbito de conservación de los registros de los clientes actuales, los bancos tienen que mantener registros de millones de transacciones que entran y salen de su sistema. A efectos legales, los bancos también están obligados a recopilar datos para protegerse a sí mismos, a los consumidores y a la seguridad nacional del blanqueo de dinero y la explotación. Intentar un concepto de banca abierta, manteniendo al mismo tiempo la normativa sobre privacidad y una estricta seguridad de los datos, plantea muchos retos.

Una forma en que los bancos afrontan este reto es mediante la autenticación de la identidad. Mientras que las leyes de privacidad suelen centrarse en lo que ocurre con los datos, adónde van y cuánto tiempo se almacenan; la identidad es la segunda mitad de la ecuación. El Instituto Nacional de Estándares y Tecnología tiene una norma específica que se ha convertido en reglamento estadounidense, llamada Publicación Especial 863. Esta norma se ha actualizado recientemente para separar los aspectos de la prueba de identidad y los factores de autenticación. Los bancos y las instituciones financieras han confiado siempre en esta norma, pero ahora tendrán que abordar al mismo tiempo los problemas de privacidad.

Debido a la importancia que se concede a los bancos e instituciones financieras, sus necesidades de datos son sencillas. Necesitan saber de dónde proceden los datos, cómo proteger los que tienen y a quién se los dan; necesitan saber adónde van. Aquí es donde entra en juego la identidad. Los bancos exigen que las empresas o los particulares aporten pruebas de su identidad, a menudo reguladas en cuanto a los tipos de pruebas que se consideran aceptables. La identificación se realiza una vez, y la autenticación en cada transacción. Es como demostrar quién eres cuando abres tu cuenta, y luego usar números de cuenta, nombres de usuario y contraseñas para autenticar que eres tú quien accede a la cuenta para hacer transacciones. Pero todos los registros bancarios tienen implicaciones para la privacidad.

Sistemas de seguridad y vigilancia

Existen problemas internos de seguridad de datos y privacidad en relación con los datos bancarios. Los sistemas de seguridad y vigilancia también plantean un problema de privacidad único. Los sistemas ayudan a garantizar la seguridad del cliente y del personal, pero en caso de que se solicite la información, por ejemplo para demostrar una transacción fraudulenta o un robo, habrá que redactar los datos del cliente que no estén relacionados con el suceso en cuestión. Proteger la divulgación de información personal identificable (IPI) de clientes o ciudadanos particulares forma parte del cumplimiento de las nuevas normas de privacidad. Aunque los bancos y las instituciones financieras pueden divulgar información en virtud de una orden judicial para la aplicación de la ley o la seguridad pública, cualquier otro motivo para la divulgación de datos requerirá la redacción de las secuencias.

Qué es la redacción

Para entender mejor la redacción, se trata del proceso de censurar, eliminar u ocultar datos, vídeo o audio por motivos de seguridad o responsabilidad. El cumplimiento de las leyes vigentes sobre privacidad de datos o protección de los consumidores es una de las razones por las que las empresas utilizan sistemas de redacción para proteger sus datos. Los bancos y las instituciones financieras llevan muchos años dedicándose a proteger los datos, incluidos los suyos. En 1999, la Ley Gramm-Leach-Bliley o GLBA fue una de las primeras normativas sobre divulgación de datos personales. Las leyes de privacidad más recientes han ampliado este aspecto y ser capaz de aprovechar, controlar y asegurar los datos es una parte importante del sector bancario.

La difusión de los datos requiere la protección de la intimidad, tanto del consumidor como de la entidad. Se pueden utilizar sistemas de redacción de datos antes de difundirlos, y un sistema que pueda manejar múltiples formas de información funciona bien en entornos bancarios. Las llamadas se controlan y graban para la seguridad del consumidor y de los empleados. Esa información se conserva durante un periodo de tiempo determinado. Cualquier IIP contenida en los datos de audio de la llamada, como números de cuenta, números de tarjetas de crédito o números de la seguridad social, puede ser eliminada del audio. En los vídeos de seguridad se pueden suprimir las caras, los teléfonos, los monitores y cualquier otra información que pueda considerarse PII. Los documentos, o incluso las bases de datos, que pueden utilizarse para extraer datos, también pueden redactarse en busca de información como números de cuenta u otros datos importantes. Los bancos pueden exigir un proceso de autenticación de identidad en dos pasos para obtener los datos que faltan del consumidor.

Protección total

Para que los bancos y las instituciones financieras se mantengan a la vanguardia de las tendencias bancarias mundiales, será necesario tener un control total de sus datos. Disponer de un sistema interno de redacción en el que los gestores bancarios, los responsables de seguridad y otras personas, según sea necesario, reciban una formación completa y con el que puedan trabajar indistintamente permitirá que los datos fluyan, se cumplan los plazos y no se interrumpan las transacciones diarias.

Pueden establecerse políticas de redacción y, a medida que se recopilan y protegen los datos, la redacción puede correr a cargo de TI u otro departamento designado. Las sanciones por incumplimiento de las leyes de privacidad son demasiado elevadas para arriesgar la confianza de la comunidad cuando se trata de operaciones bancarias o de trabajar en el sector financiero. Los consumidores depositan su dinero en corporaciones y empresas en las que han depositado su confianza. Al mismo tiempo, es esencial poder cumplir las órdenes judiciales, como las solicitudes de la Ley de Libertad de Información o FOIA (Freedom of Information Act), así como otros requisitos relativos a los datos.

Recientemente, un juez de un tribunal estadounidense ha iniciado una de las primeras sentencias relativas a la ley de privacidad, las leyes de privacidad extranjeras y las instituciones bancarias. La conclusión fue que la carga de cumplir con las nuevas leyes de privacidad extranjeras no daría ningún alivio significativo en la producción de registros bancarios. Por el contrario, el juez ordenó que los registros se presentaran en un plazo extremadamente breve, permitiéndose únicamente las redacciones permitidas por las leyes de privacidad extranjeras, y presentándose un registro por cada redacción.

Ir un paso por delante en la competición por la privacidad, la identidad, la autenticación y la seguridad de los datos puede hacer o deshacer una institución. Las normas actuales no son más que peldaños hacia las soluciones más estrictas del mañana. La formación del personal y la implantación de políticas para poder utilizar sistemas de redacción de calidad a medida que se recopilan y almacenan los datos mantendrán la viabilidad de las empresas en los años venideros. Los datos hacen o deshacen una empresa, y la redacción forma parte del proceso que mantiene la seguridad de esos datos.

Related Reads

what-is-the-colorado-privacy-act
December 04, 2024 | 7 minutes read
La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado protege la privacidad y los datos personales de los residentes del estado al regular su uso en Internet.

Conozca Más »
hb-3746-an-update-to-data-breach-notifications-in-the-state-of-texas
December 04, 2024 | 5 minutes read
Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley HB 3746 modifica y actualiza las leyes de notificación de violación de datos en el estado para mejorar la transparencia y la protección.

Conozca Más »
what-is-the-childrens-internet-protection-act
December 04, 2024 | 4 minutes read
La Ley de Protección de la Infancia en Internet

La Ley de Protección de Menores en Internet (CIPA), aprobada en 2000, regula el acceso de menores a contenidos nocivos u ofensivos en Internet.

Conozca Más »
traditional-video-editing-software-vs-machine-learning-software
December 04, 2024 | 8 minutes read
Evoluciones en software de edición y soluciones geniales

La edición de vídeo es el proceso de manipular secuencias grabadas para crear contenido coherente, generalmente para su difusión al público a través de medios.

Conozca Más »
female-real-estate-agent-and-a-senior-couple-discu-NUECSFV
December 04, 2024 | 8 minutes read
Lo que el OCR puede hacer por su empresa

Las empresas de todo el mundo buscan mejores formas de automatizar o acelerar el procesamiento de documentos, y la tecnología OCR ofrece una solución.

Conozca Más »
Doctor checking medical records
December 04, 2024 | 9 minutes read
Intervención y redacción de los centros de crisis

El Departamento Federal de Salud y Servicios Humanos (HHS) aprobó la normativa HIPAA en 1996 para proteger la información médica privada de los pacientes.

Conozca Más »