Este artículo fue escrito por David Rabinowitz, director de Productos, Soluciones de Cumplimiento de Bloomberg.
A medida que las nuevas leyes de privacidad de datos, las expectativas de ciberseguridad y los riesgos imprevistos se entrecruzan cada vez más (y posiblemente entren en conflicto) con regulaciones de servicios financieros antiguas, los profesionales de cumplimiento deben navegar por una serie de complicadas obligaciones sobre retención de comunicaciones y vigilancia.
A medida que los reguladores presten mayor atención a la ciberseguridad y a los riesgos de privacidad de datos, las empresas financieras deben comprender y aplicar un número de leyes y directrices cada vez mayor, específicas de cada industria y más amplias, en las jurisdicciones en las que operan.
Cualquier programa de cumplimiento de servicios financieros diseñado para capturar y almacenar las comunicaciones de negocios, con políticas y procedimientos razonablemente diseñados para supervisar el contenido de esos registros, debe abordar las obligaciones de acumulación de privacidad de datos y ciberseguridad. El desafío es importante, pero no insuperable; los líderes de cumplimiento pueden buscar ayuda de los proveedores de soluciones con reconocida experiencia en la entrega de productos diseñados específicamente para las necesidades de cumplimiento de las empresas financieras.
Retener, revisar y supervisar
Las obligaciones regulatorias antiguas requieren que las empresas financieras retengan y revisen volúmenes cada vez más grandes de registros, incluidos registros no estructurados, que a menudo contienen información personal sobre los empleados y clientes.
La Sección 17(a) de la Ley de Valores de EE.UU. y las Reglas de la SEC, 17a-3 y 17a-4 , y las Reglas de FINRA, que incluyen FINRA Rule4511, describen la obligación de los broker-dealers de retener, indexar y proporcionar acceso a registros relacionados con su negocio, incluidas ciertas comunicaciones. La Regla 204-2 de la US Investment Advisers Act (ley de asesores de inversión de EE.UU.) describe requisitos similares para las empresas del buy-side que están inscritas en la SEC, como asesores de inversión. Estas disposiciones necesitan requisitos específicos de retención en plazos específicos y están calificadas por las directrices de la SEC y de FINRA sobre privacidad y ciberseguridad. Recientes incidentes de alto perfil y los cambios en las leyes de privacidad de datos y ciberseguridad y en las expectativas están impulsando un aumento en la atención a esta área, incluyendo los reguladores financieros.
Los reguladores también están elevando las expectativas para que las empresas identifiquen y mitiguen las conductas indebidas, como las comunicaciones engañosas con los clientes y manipulación del mercado a través de supervisión. Por ejemplo, la Regla 3110.06 de FINRA requiere una “revisión de la correspondencia y comunicación interna basada en el riesgo” y las recientes directrices enfatizan la importancia de monitorear los nuevos canales de comunicaciones (acelerado por el trabajo a distancia debido al COVID-19). Tanto FINRA como la SEC han llevado a cabo varias medidas de control contra entidades reguladas por incumplimiento de los requisitos de conservación de registros o de los requisitos de ciberseguridad y privacidad.
Sintonizados con el cambiante entorno operativo de la privacidad de datos y la ciberseguridad, los reguladores financieros como la SEC y FINRA también están cada vez más centrados en la forma en que las empresas supervisan a sus proveedores de soluciones de tecnología de retención y control. A fin de facilitar el cumplimiento de los requisitos, satisfacer a los examinadores ante el mayor control y mitigar el riesgo de las medidas de cumplimiento y sanciones asociadas a esas acciones, las empresas deben considerar seriamente la posibilidad de incluir a un socio proveedor que comprenda el impacto de las regulaciones específicamente en la industria, y que tenga conocimientos especializados, además de herramientas y tecnología mejoradas para ayudar a las empresas a enfrentar el desafío.
Las obligaciones de protección de datos globales están evolucionando rápidamente
Una serie de obligaciones existentes y futuras a nivel mundial sobre privacidad de datos conlleva un desafío de cumplimiento para las empresas globales con clientes, empleados, oficinas y datos en múltiples jurisdicciones. La necesidad de dar cabida a nuevos derechos otorgados a los individuos plantea nuevos y costosos desafíos operativos y, en paralelo, la posibilidad de sanciones sustanciales refuerza la necesidad de encontrar soluciones tecnológicas para garantizar el cumplimiento.
En vigor desde 2018, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea lideró el avance hacia normas mejoradas para la protección y el procesamiento de datos personales, las expectativas de notificación de incidentes y tal vez lo más notable, las multas de hasta 20 millones de euros o el 4% de las ganancias anuales de una entidad durante el año anterior, cualquiera de estas que sea mayor, por las infracciones. El RGPD proporciona derechos específicos a los individuos, incluido el derecho de saber cuáles de sus datos personales son manejados por un controlador de datos, tener acceso a esos datos y el derecho a la eliminación.
En EE.UU., la California Consumer Privacy Act (Ley de Privacidad del Consumidor de California o CCPA por sus siglas en inglés) entró en vigor el 1 de enero de 2020 y mejoró las normas de protección de datos en California, ampliando la definición de información personal y proporcionando derechos similares a los del RGPD a los consumidores. Virginia es el segundo estado de EE.UU. en ofrecer derechos similares a los consumidores tras aprobar la Virginia Consumer Data Protection Act (Ley de Protección de Datos del Consumidor de Virginia o VCDPA, por sus siglas en inglés), que entra en vigor el 1 de enero de 2023, mientras que otros estados planean seguir el ejemplo. Además, Nueva York aprobó la Ley SHIELD que fortalece las protecciones de seguridad de datos y el Departamento de Servicios Financieros de Nueva York aumentó el nivel de exigencia para las empresas de servicios financieros reguladas por el Estado de Nueva York, imponiendo requisitos específicos en torno al cumplimiento de la ciberseguridad.
En Brasil, la nueva ley de privacidad de datos entró en vigor en septiembre de 2020, e incluye nuevas exigencias para los controladores y procesadores de datos, así como protecciones para individuos similares a las del RGPD y de la ley CCPA, con posibles multas de hasta 50 millones de reales (aproximadamente US$9,4 millones). De manera similar, Hong Kong está considerando cambios a su régimen de protección de datos en áreas como notificación obligatoria de infracción de datos, regulación de los procesadores de datos y un requisito de política de retención de datos.
¿Qué riesgos corren sus datos?
Una empresa de servicios financieros maneja datos sensibles, que se comparten regularmente entre los empleados y clientes durante el curso habitual de las operaciones. Los limites de lo que constituye datos sensibles varían según jurisdicción global y regulador, pero generalmente incluyen números de identificación del gobierno, nombres de usuario y contraseñas, números de cuenta financiera, otra información asociada a la relación del servicio financiero e incluso puede incluir información sobre evaluación del desempeño de los empleados.
Las empresas implementan generalmente políticas, procedimientos y capacitación para ayudar a gestionar la forma en que se utiliza y transmite los datos sensibles, pero los datos de comunicaciones electrónicas no estructuradas siguen representando un alto riesgo de albergar datos sensibles no catalogados.
La incorporación de empleados requiere información sensible. La incorporación de clientes y el cumplimiento con obligaciones de conocer a su cliente también requiere de la transferencia de información sensible como copias de pasaportes y otros documentos de identificación, y estos registros a menudo terminan en comunicaciones electrónicas de los empleados, almacenadas durante años debido a obligaciones contrapuestas de retención regulatoria financiera. No hay nada malintencionado sobre estas necesidades de las empresas, pero el rastro de auditoría de registros electrónicos probablemente contendrá riesgos inherentes.
En los últimos años, el impacto por las violaciones de ciberseguridad a entidades de alto perfil combinado con las crecientes expectativas regulatorias, han llevado la atención hacia el desafío de los datos no estructurados. Las empresas están prestando más atención a la ciberseguridad y privacidad de datos al buscar soluciones de cumplimiento para cumplir con sus obligaciones regulatorias e internas y al establecer políticas de retención de documentos.
Su proveedor debe ser un socio de confianza para ayudar a alcanzar el equilibrio correcto.
Comprenda las obligaciones en las jurisdicciones donde opera. Cualquier evaluación de proveedores debe comenzar por comprender el alcance de las operaciones comerciales y las obligaciones aplicables. Esta evaluación constituirá la base de cualquier selección de proveedores o proceso continuo de revisión de diligencia del proveedor.
Ajuste su estrategia de retención para cumplir con los requisitos regulatorios financieros sin retener en exceso. Las empresas deben instruir a sus proveedores que retengan la información requerida para cumplir con los requisitos regulatorios en las jurisdicciones donde operan, que identifiquen riesgos y que cumplan con sus obligaciones de supervisión, pero que no retengan datos más allá de lo necesario.
Conozca la fortaleza de sus socios proveedores. Comprenda el nivel de madurez de sus proveedores, cómo sus proveedores almacenan datos (por ejemplo, almacenamiento en la nube) y la infraestructura de gestión de riesgo y ciberseguridad de su proveedor.
Busque proveedores que sean socios. Las empresas deben trabajar con proveedores que comprenden su negocio y ofrezcan soporte de primer nivel alineado con la exigente naturaleza de la industria de servicios financieros. Las soluciones de aplicabilidad general de autoservicio pueden fallar en ofrecer el nivel de soporte requerido para satisfacer las demandas regulatorias y responder a las solicitudes regulatorias de revisión y consulta en el camino.
Busque proveedores que conozcan la industria. Las empresas deben trabajar con proveedores que se han tomado el tiempo para conocer sus negocios y diseñar soluciones que satisfagan los requisitos específicos de la industria.
Busque proveedores que comprendan la cultura de cumplimiento. RegTech sigue atrayendo inversión e innovación con la llegada de muchos nuevos participantes en el mercado recientemente. Las empresas deben conocer la cultura de sus socios proveedores y asegurarse de que esté alineada con su propio tono y cultura de cumplimiento.
Cómo podemos ayudar
El producto Bloomberg Vault fue desarrollado por profesionales de servicios financieros, para clientes de servicios financieros, teniendo en mente las necesidades regulatorias y comerciales específicas del negocio para todo el paquete de productos. Como parte de los productos premium de Bloomberg Vault, los clientes de servicios financieros tienen acceso a una solución de archivos inmutable y extensible para todos los tipos de datos críticos del negocio (comunicaciones, trade, voz).
Solicite una demostración si desea consultar más detalles sobre los temas y ver cómo Bloomberg Vault puede ayudar.
The post Navegar la pesadilla de la retención: cumplimiento de obligaciones contrapuestas para la retención de datos appeared first on Servicio Bloomberg Professional.