Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Afi - Jornada GDPR y la nueva Ley Orgánica de Protección de Datos

189 views

Published on

Afi Escuela de Finanzas organizó esta jornada el 6 de julio de 2017 sobre el Reglamento general de protección de datos 2016/679 (General Data Protection Regulation) y el recientemente publicado anteproyecto de ley

Published in: Economy & Finance
  • Be the first to comment

Afi - Jornada GDPR y la nueva Ley Orgánica de Protección de Datos

  1. 1. GDPR (General Data Protection Regulation) y la nueva Ley Orgánica de Protección de Datos Jornadas Madrid, Julio 2017
  2. 2. Servicios Financieros Objetivos del GDPR 2 Finalidad armonizadora La anterior Directiva 95/46/CE no consiguió un marco armonizado de protección de datos personales debido a las diferencias a la hora de trasponer la directiva en los diferentes estados miembros Adaptación a la Sociedad de la Información Los avances tecnológicos han convertido los datos personales en un recurso de alto valor y de fácil acceso por parte de un número creciente de interesados Atención a los flujos crecientes de datos personales La creciente movilidad de los datos personales debida a la globalización y al funcionamiento del mercado interior ha puesto de manifiesto las carencias en la regulación vigente Respuesta al incremento de casos de brechas de seguridad El Reglamento supone el paso de un modelo basado en el control del cumplimiento a otro que se focaliza en el principio de responsabilidad proactiva El Reglamento mantiene algunos de los principios básicos de la anterior Directiva pero introduce importantes novedades inexistentes hasta ahora Los principales objetivos del nuevo Reglamento UE 2016/679 (GDPR):
  3. 3. Servicios Financieros Principales impactos del GDPR • Se requiere multicanalidad en el ejercicio de derechos y se introducen tres nuevos derechos– “portabilidad” (traspaso de datos a otro proveedor), “limitación” (pausa en los tratamientos) y “derecho a oponerse a decisiones 100% automatizadas” Derechos • Se incrementan los requerimientos relativos a la obtención de consentimientos de los interesados (se requiere una manifestación o acción afirmativa) Consentimientos • Se requiere realizar una evaluación de impacto siempre que el tratamiento suponga un elevado riesgo para la protección de datos personales de los interesados Data Protection Impact Assessment (DPIAs) • Obligación de reportar a la Autoridad de Control y a los interesados afectados en caso de producirse una quiebra de seguridad Notificación de brechas de seguridad • Se refuerza la importancia de establecer controles y medidas de seguridad para garantizar la seguridad de los datos personales Medidas de seguridad • Se requiere mantener internamente un registro de las actividades de tratamiento de datos personales bajo la responsabilidad de cada responsable, encargado o representanteDocumentaciónDocumentación • Desde un punto de vista organizativo se requiere la constitución de la figura del DPO cuyas funciones se especifican en la norma Delegado de Protección de Datos (DPO) 3
  4. 4. Servicios Financieros Adecuación orientada al cumplimiento 4 A la hora de adaptarse al GDPR se debe elegir entre medidas con el objetivo de conseguir el cumplimiento normativo o bien medidas con el objetivo de obtener ventajas competitivas Organización Directiva MiFID Directiva PSD2 Directiva CRD IV GDPR … El alto componente regulatorio al que se ven sometidas las entidades supone una elevada dedicación tanto de recursos como de presupuestos La adecuación orientada al cumplimiento se centra en dar respuesta a las exigencias regulatorias sin tener en cuenta las sinergias que pueden darse con otras normativas o con otras iniciativas en marcha no definidas inicialmente bajo el foco normativo, dando lugar a medidas que aportan beneficios más allá de lo exigido regulatoriamente La entidad consigue adaptarse al nuevo Reglamento
  5. 5. Servicios Financieros Adecuación orientada a la generación de valor 5 La entidad consigue una serie de inputs con los que establecer una ventaja competitiva, a partir de las medidas con las que se adecúa a las exigencias del nuevo reglamento Enfoque y mejora de tarifas Producto Márketing Digitalización Ventaja competitiva • Adaptación del catálogo de productos según las conclusiones obtenidas al analizar los datos disponibles • Posibilidad de identificar incumplimientos en el marco de riesgo operacional • Posibilidad de utilizar metodologías de venta cruzada • Promover nuevos canales digitales a través de los cuales el cliente pueda actualizar sus datos, dar su consentimiento y controlar los usos que la entidad realiza de sus datos • Oportunidad para llevar a cabo una actualización masiva de los datos personales de los clientes • Utilizar esos datos para optimizar la segmentación de los clientes y desarrollar oportunidades comerciales y de vinculación • Aplicar la nueva información obtenida de los clientes a los modelos de fijación de tipos de interés y comisiones • Enfoque de orientación al cliente y experiencia de cliente: una gestión más exhaustiva de los datos permite rediseñar los procesos comerciales aumentando el foco en el cliente • Incremento de la reputación al reforzar la imagen de transparencia y honestidad
  6. 6. Servicios Financieros Estrategia Organización y Responsabilidad Formación y conciencia Políticas y procedimientos Control y seguimiento Tecnología y Operaciones Conclusiones 6 Se requiere un modelo de gobierno que supervise el cumplimiento del Reglamento así como la adecuada puesta en marcha de la estrategia, cuyo máximo exponente recae sobre el nuevo Delegado de Protección de Datos (DPO) El carácter transversal de los tratamientos de datos personales por toda la organización implica la necesidad de involucrar a todos los miembros de la misma mediante la formación en los aspectos clave del Reglamento Adecuación de las políticas y procedimientos a las nuevas exigencias, manteniendo el foco en la seguridad de los datos personales Necesario diseñar e implantar un robusto seguimiento de los datos personales de forma que los controles establecidos permitan detectar las fallas o puntos de mejora sobre los que deberán implementarse medidas mitigantes La protección de datos residirá en la capa operativa de la Organización siendo necesario revisar y adaptar la infraestructura tecnológica para que soporte los nuevos requerimientos Necesario definir e implementar una nueva estrategia de protección de datos que contemple las nuevas exigencias del Reglamento y defina las pautas de su integración con la estrategia global de la entidad Adecuación orientada a la generación de valor Adecuación orientada al cumplimiento
  7. 7. Servicios Financieros © 2017 Afi. Todos los derechos reservados.

×