Saltar al contenido

¿Qué significa GDPR para la prevención del fraude?

Tabla de contenidos

El Reglamento General de Protección de Datos (GDPR por sus siglas en ingles), es una pieza de la legislación de la Unión Europea (UE) que afecta directamente a todas las organizaciones o personas que procesan la información personal de los usuarios. Las organizaciones que no comprendan completamente sus operaciones de fraude terminarán con un cumplimiento defectuoso o incompleto del GDPR.

Habrá organizaciones que falten y las consecuencias podrían ser costosas para los resultados de una empresa y perjudiciales para su reputación. Los equipos internos y los proveedores de soluciones contra fraude deberán dar un paso al frente y tomar la iniciativa en un área que es crítica para ellos.

GDPR, en esencia, brinda a las personas cuyos datos almacenan las organizaciones una notificación de lo que se hace con esa información; derechos sobre lo que le sucede, dónde se puede transferir y brinda un grado de confianza de que los datos están seguros.

El GDPR se aplicó en todos los estados miembros de la UE el 25 de mayo de 2018; sin embargo, algunos países están implementando legislación adicional para aclarar las opciones nacionales, como la edad de consentimiento de los niños para el procesamiento de datos. Por ejemplo, en Reino Unido, el Proyecto de Ley de Protección de Datos de 2018 establece responsabilidades personales para directores, gerentes y directores de empresas por infracciones de la ley de protección de datos.

gdpr ley

Volver a los conceptos básicos de GDPR

Existen muchos conceptos erróneos sobre el GDPR. En general, la forma más fácil de no cumplir con el GDPR es asumir que no se aplica en un caso individual. Vale la pena revisar los aspectos esenciales de la legislación: ¿cuándo se aplica?, ¿a quién se aplica?, ¿qué constituyen datos personales? y ¿cómo se implementará y evaluará el cumplimiento del GDPR?.

La ley no es dramáticamente diferente de la ley de protección de datos anterior, pero agrega algunas obligaciones nuevas para los controladores y procesadores. También codifica la base legal bajo la cual puede tener lugar el procesamiento.

5 puntos importantes del GDPR

  • Los datos personales se definen como datos sobre una persona viva identificable: el interesado identificable va más allá de los datos que solo contienen identificadores como el nombre, la fecha de nacimiento, el número de pasaporte, el número de teléfono móvil y la dirección IP para incluir cualquier dato en el que se pueda deducir razonablemente la identidad del interesado. Solo si un interesado no puede ser identificado razonablemente por los datos almacenados, no se puede considerar como datos personales. Todavía no está claro si todos o algunos datos biométricos del comportamiento se incluyen en la definición de identificable.
  • El reglamento se aplica si la organización, persona que maneja los datos o el interesado se encuentra en la UE/ Espacio Económico Europeo (EEE). Esto significa que GDPR se aplica a las empresas fuera de la UE que procesan datos de sujetos dentro de la UE y a las empresas de la UE que manejan datos de personas fuera de la UE.
  • GDPR define dos categorías de organizaciones o, en algunos casos, personas que manejan datos: controladores, que determinan el propósito y los medios del procesamiento de datos; y procesadores que actúan según las instrucciones y con el consentimiento de un controlador.
  • El procesamiento de datos se define de manera amplia para incluir todas las actividades, desde la captura hasta el almacenamiento, la manipulación, la organización, el aumento, así como el archivo y la eliminación.
  • GDPR será implementado y evaluado por las autoridades de supervisión en los estados miembros de la UE donde las organizaciones que controlan el procesamiento tienen su establecimiento principal. Sin embargo, los interesados ​​pueden presentar una queja ante su autoridad de control local. Los interesados ​​obtienen derechos específicos sobre cómo se procesan sus datos, incluido el derecho a oponerse y requerir rectificación si hay errores.

Principios clave de GDPR

Los principios GDPR son paralelos a las leyes anteriores de los estados miembros de la UE. La novedad es que los responsables del tratamiento están obligados a demostrar que cumplen la normativa a petición de la autoridad de control. Anteriormente, las consultas de cumplimiento solo se realizaban si se había recibido una queja.

Existen seis tipos de bases legales para el procesamiento de datos personales. El menos aplicable a la mayoría de las operaciones comerciales es la base del consentimiento del interesado. Este consentimiento debe ser específico, informado, inequívoco, otorgado libremente y susceptible de ser revocado con la misma facilidad con que se otorga. Debido a este último aspecto, muchas organizaciones no podrán hacer frente a la pérdida del consentimiento para sus operaciones normales y es mejor recomendarles que busquen una base legal alternativa.

Contrato de uso de datos

Las tres razones más comunes para el procesamiento de datos personales para la mayoría de las operaciones comerciales serán la ejecución de un contrato en el que el interesado es parte. El cumplimiento de una obligación de la ley de la UE o de un estado miembro o en el interés legítimo del controlador. Siempre que eso no entre en conflicto con los propios derechos y libertades del interesado. Los otros motivos legítimos pueden ser el interés público o el interés vital del interesado.

En muchos casos existen múltiples razones para el procesamiento de datos dentro de una sola relación con un cliente: cumplimiento de un contrato, obligaciones legales como la declaración de nóminas e impuestos y el interés legítimo de la organización de mantener informado al cliente sobre el producto o los asuntos operativos. Esto es lo que puede complicar la asignación de datos personales a un conjunto de propósitos, cada uno con una base legal.

Para algunas categorías especiales de datos, se requiere el consentimiento explícito del interesado debido al riesgo de pérdida o uso incorrecto. Esto incluye tipos de información previamente cubiertos por la regulación, como registros de salud y opiniones políticas. GDPR también lo extiende a datos genéticos e información biométrica cuando se usa para identificar a una persona. En estos casos, ninguna otra base legal es apropiada y las exenciones son pocas; es poco probable que se apliquen a la mayoría de las organizaciones.

Retos del GDPR

La legislación también requiere que los controladores procesen la cantidad mínima de datos requeridos para la tarea. Esto, nuevamente, no es nuevo y se conoce como minimización de datos. Es probable que las organizaciones que continúan almacenando información “en caso de que sea útil” estén violando este principio. También se espera que los nuevos sistemas garanticen que los principios y reglas del GDPR estén consagrados en el desarrollo de software.

El GDPR permite la toma de decisiones automatizada, incluida una definición de elaboración de perfiles, pero los interesados ​​deben ser informados de que está sucediendo y obtener el derecho a oponerse y tener la oportunidad de presentar su caso a una persona. Dada la gran adopción de herramientas automatizadas contra el fraude durante los últimos veinte años y la mayor adopción de técnicas de inteligencia artificial o aprendizaje automático, este es un requisito importante a tener en cuenta.

GDPR requiere que los contratos entre controladores y procesadores tengan cláusulas específicas, incluida la notificación oportuna de violaciones de la seguridad de los datos personales. Estas pueden ser violaciones de la seguridad cibernética, pero pueden ocurrir con la misma facilidad por divulgación inadvertida en papel, memorias USB o en comunicaciones. El GDPR impone a los controladores y procesadores la responsabilidad de informar a las autoridades supervisoras si existe la posibilidad de daños ​​e informar a los interesados.

gdpr fuera de europa

¿El RGPD ayuda u obstaculiza la gestión del fraude?

Entonces, ¿qué podría significar esto para un equipo de prevención del fraude? Muchas operaciones de fraude implican el manejo de datos personales y la información capturada para prevenir el fraude puede ser información personal en sí misma.

El propio GDPR reconoce la importancia de la prevención del fraude en dos de sus considerandos:

  • Recital 47: “El procesamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del controlador de datos en cuestión …”
  • Recital 71: “la toma de decisiones basada en … la elaboración de perfiles debe permitirse cuando esté expresamente autorizado por … la ley … incluso con fines de control y prevención del fraude o la evasión fiscal”

También existe una importante exención al derecho de los interesados ​​a la supresión de sus datos personales cuando “para el establecimiento, ejercicio o defensa de reclamaciones legales”.

Cumplimiento de las herramientas anti-fraude

El cumplimiento de los equipos de fraude se puede agrupar en tres categorías:

  • Finalidad y motivos del tratamiento
  • Utilización de la automatización
  • Consideraciones operativas

Estas tres categorías generalmente afectarán las relaciones entre el equipo de fraude y las diferentes áreas comerciales. Por ejemplo, el propósito del procesamiento afectará la incorporación del cliente, las interfaces públicas como el sitio web y las áreas legales como los contratos y los avisos de privacidad. Por el contrario, las consideraciones operativas pueden estar más relacionadas con la TI y el soporte al cliente.

Los mecanismos de prevención del fraude de dos organizaciones no son exactamente iguales; tampoco lo son sus relaciones con los clientes, por lo que cualquier política de cumplimiento de GDPR debe adaptarse a los sistemas y procesos en uso. A medida que la nueva tecnología resuelve problemas, debe evaluarse para asegurarse de que cumple con la legislación y las políticas de protección de datos. Estas evaluaciones de impacto de protección de datos (DPIA) ahora son obligatorias.

Motivos para el procesamiento de datos

Cualquier procesamiento de datos con fines de prevención del fraude debe cumplir con los principios de GDPR, incluidos la equidad, la transparencia y la legalidad. También existen requisitos sobre el suministro de información sobre el propósito del procesamiento y su base legal. El procesamiento de fraudes debe estar cubierto por las descripciones de procesamiento proporcionadas a los clientes. La única exención probable sería si los datos utilizados para este propósito de alguna manera no identificaran al interesado; este podría ser el caso de los informes estadísticos o anónimos, pero probablemente no respaldará la prevención o detección de delitos financieros como el fraude. Es posible que la prevención del fraude ya forme parte de un contrato con el cliente, pero es útil incluirla en el aviso de privacidad.

Estas notificaciones también deben incluir información donde se utilicen categorías especiales de datos; esto puede afectar a las empresas que utilizan la biometría del comportamiento para proporcionar señales positivas o negativas sobre la actividad del usuario. Aún no está completamente claro qué métodos de comportamiento, por ejemplo, capturar cómo un usuario navega por un sitio web se considerará que identifica a un individuo.

Las notificaciones de privacidad y la solicitud de consentimiento, también deben incluir cualquier transferencia fuera de la UE / EEE. Por lo tanto, si utiliza almacenamiento basado en la nube o funciones de TI externas para saber dónde se encuentran, incluidos los subprocesadores de terceros.

Toma de decisiones automatizada

La prevención y detección de fraudes es un área que a menudo depende en gran medida de la automatización, especialmente durante la adquisición de clientes o el procesamiento de transacciones. Por lo tanto, los interesados ​​deben ser debidamente notificados sobre la toma de decisiones automatizada, ya sean clientes, miembros del público o empleados. El derecho de los interesados ​​a conocer cualquier toma de decisiones automatizada incluye una descripción accesible y de alto nivel de la lógica utilizada; el propósito de la automatización y las posibles consecuencias, por ejemplo, detener un pago.

Los interesados ​​obtienen el derecho a oponerse a las decisiones tomadas íntegramente por sistemas automatizados. Una reparación básica sería permitir que los interesados ​​expongan su caso a un ser humano. Esta “válvula de seguridad” puede significar que los miembros del personal deberían poder anular las computadoras en algunos casos. Esto significa que, además de ser capaz de explicar la lógica a un alto nivel, el usuario necesita explicar sobre su decisión en el caso específico. En la práctica, significa que el titular de la tarjeta llame al servicio de atención para preguntar porqué se rechazó su tarjeta y poder revertir esa decisión. En algunas organizaciones eso puede suponer un cambio en las prácticas existentes. También garantizará que las empresas estén obligadas a mantener personal de revisión manual para abordar estas apelaciones.

Asuntos operacionales

Es posible que también sea necesario considerar los procesos. Por ejemplo, habrá consideraciones sobre el manejo de los derechos de los interesados. Una consideración clave es asegurarse de que de hecho está tratando con el interesado. Puede utilizar diferentes técnicas de verificación de identidad, antes de entregar el historial de datos de un usuario, debe asegurarse de que realmente sean suyos.

Para muchos de estos derechos existen excepciones que impiden que los delincuentes puedan borrar datos o tapar su rastro. Los equipos de fraude deben considerar qué procesos y cuándo desean estar informados, esto puede indicar el compromiso de una cuenta de una manera similar al cambio de dirección u otros detalles básicos.

La seguridad informática y de los datos es un área que requiere consideración, especialmente las violaciones de seguridad de datos de los proveedores que podría comprometer las cuentas de los clientes. Según el RGPD, dichos procesadores deben informar al controlador sin demora, al igual que cualquier subprocesador. La notificación temprana de este tipo de infracciones permite que los equipos de fraude reaccionen rápidamente a situaciones emergentes que requieran seguridad adicional para las cuentas de los clientes potencialmente comprometidas.

gdpr datos personales

Educación sobre el GDPR

Finalmente, GDPR requiere que los miembros del personal que manejan datos personales estén educados sobre GDPR, lo que significa procesar los datos personales de forma segura. Esto debe ir de la mano con un medio de informar de las debilidades o infracciones y una cultura de transparencia. Se pueden establecer líneas directas y servicios de denuncia de irregularidades para recopilar inteligencia vital no solo de los miembros del personal, sino también de proveedores, clientes y miembros del público. Este debe ser un servicio separado de cualquier solicitud de protección de datos de los interesados.

Estos son algunos de los aspectos más destacados del GDPR. Se recomienda a cualquier organización que crea que puede estar cubierta por el GDPR que lea el reglamento y obtenga asesoramiento especializado de abogados y profesionales de la privacidad de datos.

Te podría interesar. 8 consejos para que no te ataquen al usar ZOOM

Si te gustó esta publicación, te invitamos a compartirla en tus redes sociales.

Publicaciones relacionadas

Cómo Trabajar con Proveedores para Prevenir el Fraude

En un mundo empresarial cada vez más interconectado y digitalizado, la colaboración con proveedores para prevenir el fraude se ha convertido en un elemento crucial para garantizar la integridad y la sostenibilidad de las operaciones comerciales. La prevención del fraude no solo protege los recursos financieros, sino que también salvaguarda la reputación y la confianza…

Leer más Cómo Trabajar con Proveedores para Prevenir el Fraude

La importancia de la Educación en Prevención de Fraude

La prevención del fraude comienza con la comprensión de sus fundamentos. En el contexto actual, caracterizado por una rápida digitalización, la educación en prevención de fraude se vuelve esencial. Esta educación no solo se enfoca en las prácticas para detectar y prevenir fraudes, sino también en fomentar una cultura de concienciación en individuos y organizaciones.…

Leer más La importancia de la Educación en Prevención de Fraude

Las últimas tendencias en Fraude en el Sector Financiero

En un mundo cada vez más digitalizado, el fraude en el sector financiero ha emergido como un desafío crítico, impactando tanto a instituciones financieras como a consumidores. A medida que avanzan la tecnología y la digitalización de los servicios financieros, los métodos de fraude se vuelven más sofisticados y difíciles de detectar. Esta introducción busca…

Leer más Las últimas tendencias en Fraude en el Sector Financiero