La Directiva Europea de Mercados de Instrumentos Financieros (MiFID) y el Reglamento General de Protección de Datos (RGPD) son dos iniciativas diseñadas para alinear los mercados europeos. Pero, ¿podrían las dos iniciativas estar tirando en direcciones diferentes?
MiFID, o en su forma más reciente, MiFID II, es una directiva europea que pretende armonizar las diversas empresas de inversión que existen en los 31 estados del Espacio Económico Europeo, incluidos tres estados no pertenecientes a la UE, Noruega, Islandia y Liechtenstein. El plan original era nivelar el terreno de juego, haciendo que los mercados financieros fueran más justos para los usuarios finales que impulsan esos mercados.
El GDPR es otro edicto europeo que se preocupa total y exclusivamente por el uso justo de los datos de los consumidores. Su motivación es devolver el control de los datos financieros y personales a las personas propietarias de esos datos. Surgen preguntas sobre qué datos se recopilan, quién los posee, quién tendrá acceso a ellos y cómo se pueden garantizar la privacidad y la protección.
Recientemente, ha existido la preocupación de que MiFID2 y el GDPR puedan estar tirando en direcciones diferentes. Mientras que MiFID promueve una mayor transparencia y visibilidad, el GDPR intenta que la gestión de datos esté más controlada y supervisada. Parece haber un conflicto entre la apertura y la privacidad en juego aquí. Entonces, ¿es realmente así?
Un malentendido sobre el GDPR es que, lejos de restringir el acceso a los datos de los clientes, solo está interesado en establecer reglas y estándares sobre cómo se puede compartir la información de los clientes. El objetivo principal de la directiva es garantizar una sólida seguridad de los datos, al tiempo que se hace cumplir que los datos solo sean vistos por aquellas personas y organizaciones con derecho a verlos.
Y MiFID2 y GDPR no son tigres de papel. No, pueden morder. Posibles multas de hasta el 4% de los ingresos anuales globales de una empresa esperan a aquellos que optan por ignorar estas directivas.
Por lo tanto, si bien MiFID2 y GDPR pueden atender a dos aspectos individuales de los planes de Europa para la regulación de los mercados financieros, parece razonable creer que se trata de dos caras de la misma moneda. Y si las organizaciones financieras van a evitar cargos punitivos, tendrán que alinearse y seguir las nuevas reglas. Sin embargo, hay pasos que las instituciones financieras pueden tomar para hacer el viaje un poco más fácil.
En primer lugar, debes definir el plan de datos de tu empresa, que implica el mapeo preciso de la información de tus clientes. Los datos son como el mercurio: sin control, llegan a todas partes. Los datos financieros y de los clientes terminan en unidades de red, servidores, discos duros externos y unidades USB. Sin un control estricto de los datos, la información puede ser difícil de encontrar o, en el peor de los casos, perderse. La naturaleza electrónica de los datos utilizados en los bancos y casas de bolsa hace que sea fácil de transferir y recibir, pero es igualmente fácil perderlos o enviarlos al lugar equivocado. La solución actual a estos desafíos de gestión de datos es proporcionar a los clientes acceso a sus datos a través de servidores web seguros. A los clientes se les proporciona acceso controlado por contraseña a sus datos, que obtienen a medida que lo necesitan.
A continuación, las organizaciones financieras deben poner en marcha procedimientos para gestionar las ocasiones en las que las cosas van mal. Puede tratarse de eventos asociados con errores humanos y mala gestión, desde empleados que se llevan datos a casa en computadoras portátiles, hasta eventos que involucran ataques cibernéticos a los servidores o redes de una empresa. Los clientes deben estar seguros de que las empresas a las que han confiado sus activos sabrán qué hacer durante una crisis.
Por último, las instituciones financieras deben formar a su personal, concienciando sobre los problemas de seguridad de los datos, tanto dentro como fuera de la empresa. La clave del éxito de esta formación es el nombramiento de un Delegado de Protección de Datos (DPO) experimentado y responsable, cuya función es asegurarse de que la empresa cumple con las normas europeas de cumplimiento e informar de cualquier aberración a la alta dirección. El DPO debe estar altamente capacitado y actualizado con la tecnología de datos financieros, además de ser la persona de referencia que mantiene el plan de mitigación de crisis de la empresa.
MiFID2 entró en vigor en julio de 2014 y el GDPR entrará en vigor el 25 de mayo de 2018. Las dos directivas garantizarán que los inversores europeos reciban un trato justo cuando operen en los mercados financieros internacionales. Y para respaldar esa actividad, también pueden estar seguros de que su información financiera y personal está disponible y segura.
