Las empresas fintech, al ser innovadoras, se mueven en determinadas zonas grises, en cuanto a la regulación en materia de protección de datos. Este es el motivo por el que ha habido una cierta polémica, que se intenta atajar con la promulgación del Reglamento Europeo de Protección de Datos (RGPD), el cual elimina ciertos márgenes de interpretación. En este artículo te damos más detalles acerca de cómo conseguir la armonización e indicamos las pautas que tienes que seguir para adaptarte.
La protección de datos en las fintech
La legislación de referencia está formada por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento Europeo de Protección de Datos (RGPD). Es importante indicar que, si bien las dos primeras llevan más de quince años de vigencia, el RGPD será obligatorio a partir del 25 de mayo de 2018. En cualquier caso, este tipo de empresas ya se ha puesto en el punto de mira de la Agencia Española de Protección de Datos (AEPD), por alguna contratación fraudulenta.
Hemos de señalar que el modelo de negocio de estas empresas no presenta ningún problema en sí mismo y es totalmente lícito. El único inconveniente consiste en la seguridad. La mayoría de empresas de tecnología financiera está formada por comparadores, plataformas de crowfunding o compra a través de teléfonos móviles, por poner algunos ejemplos. Es importante destacar que, en los próximos años, van a ser más los negocios de este tipo que operarán; y se calcula que, en pocos años, este sector manejará un volumen de datos mayor que el de la banca tradicional.
Hemos de recordar que la reforma legal que despliega el RGPD introduce la obligatoriedad del consentimiento explícito y solo se puede invocar el interés legítimo en los casos de deudas o impagos. Por lo tanto, para conseguir ese consentimiento, las empresas del sector están introduciendo nuevas técnicas, con el fin de cumplir con lo establecido en la ley. De todas formas, es muy importante que recuerdes que la legislación comunitaria prioriza la autorregulación sobre otros aspectos.
Estos son los elementos más importantes que tienen que considerar las empresas de este sector de actividad para cumplir con los nuevos preceptos de la legislación comunitaria. No se invalida lo esencial que ya establecía la LOPD, pero, al aumentar los supuestos, es probable que tengas que incluir información adicional.
La utilización de sistemas de comprobación por parte del RGPD
Para comprobar que es el usuario quien quiere realizar el pago o la contratación y no está siendo suplantada su identidad, se introduce un sistema suplementario de comprobación de identidad. La doble identificación, aunque no es estrictamente obligatoria, sí que te permite aportar seguridad en esa zona gris que sigue habiendo y puede invalidar una transacción, si no hay garantías.
Lo más habitual es que se envíe un código al teléfono móvil o correo electrónico, que tendrás que introducir para confirmar la operación. Este es el sistema que han adoptado comparadores de seguro, empresas financieras y determinados ecommerces de retail.
Notificación de ataques
En el caso de que una empresa reciba un ataque informático, tiene la obligación de informar a dos instancias distintas, para tomar decisiones a corto plazo que impidan problemas más graves. Si, en cualquier página web, recibir un ataque informático es problemático, lo es mucho más cuando se están gestionando dinero o datos personales sensibles.
La información acerca de los ataques se tiene que ofrecer, en primer lugar, a la AEPD, que ha de saberla durante las 72 horas posteriores a la incidencia; y, en segundo lugar, a los usuarios de la página web. De esta forma, se tomarán las medidas necesarias para evitar que se reproduzca.
Información del tratamiento de datos
Hemos de informar detalladamente al usuario del tratamiento de los datos que vamos a hacer, lo que incluye las siguientes cuestiones. En primer lugar, hemos de facilitar la información acerca de los datos que vamos a utilizar. En segundo lugar, indicaremos la finalidad de su tratamiento (para qué los queremos). Finalmente, tenemos que señalar un periodo de destrucción, que no se debería demorar, salvo razón justificada.
Todas estas medidas tienen el objetivo de ofrecer al usuario más información y garantías y te recomendamos que prepares un formulario en el que se incluya el texto genérico, cuando el usuario se dé de alta. De esta forma, ahorrarás tiempo.
Nombramiento del Delegado de Protección de Datos (DPO)
El Delegado de Protección de Datos (DPO) es una figura que prevé el RGPD de manera genérica, pero en las empresas fintech tiene una especial importancia, por el uso intensivo de datos que se produce. Tienes que tener en cuenta que es el encargado de supervisar el cumplimento de lo establecido en la ley y, en caso de duda, es el DPO quien hará de punto de enlace con la AEPD para tomar decisiones.
La figura del DPO no tiene por qué pertenecer a la empresa, en especial, en compañías de pequeño tamaño; pero es imprescindible que reportes con el encargado cada cierto tiempo, para comprobar que estás cumpliendo con la normativa.
Qué datos genéricos has de incluir
Aunque ya lo deberías saber, aún existen empresas que olvidan la inclusión de determinados datos básicos. Queremos recordar que es imprescindible que la empresa incluya sus datos de contacto, un aviso legal, las condiciones generales de contratación, la información acerca de las cookies y la política de privacidad.
También tienes que incluir una referencia a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los usuarios, lo que ya se establecía en la LOPD.
Conclusión
Las empresas fintech tienen que realizar un trabajo adicional para adaptarse a lo que requiere la legislación de protección de datos y, si se trata de pymes, es probable que el periodo de adaptación sea complejo. Una consultoría especializada te puede ayudar a realizar la transición, con garantías, para cumplir con el RGPD. Contacta con ella y te informarán con más detalle acerca de las posibilidades.
