A Diretiva dos Mercados Europeus de Instrumentos Financeiros (MiFID) e o Regulamento Geral de Proteção de Dados (GDPR) são duas iniciativas destinadas a alinhar os mercados europeus. Mas, as duas iniciativas poderiam estar puxando em direções diferentes?
A MiFID - ou em sua forma mais recente - MiFID II, é uma diretiva europeia que se destina a harmonizar as diversas empresas de investimento que existem nos 31 estados do Espaço Econômico Europeu, incluindo três estados não pertencentes à UE, Noruega, Islândia e Liechtenstein. O plano original era nivelar o terreno de jogo, tornando os mercados financeiros mais justos para os usuários finais que alimentam esses mercados.
O GDPR é mais um decreto europeu que se preocupa total e totalmente com o uso justo dos dados do consumidor. Sua motivação é devolver o controle dos dados financeiros e pessoais às mãos das pessoas que os possuem. Surgem questões sobre quais dados estão sendo coletados, quem os possui, quem terá acesso a eles e como a privacidade e a proteção podem ser garantidas.
Recentemente, tem havido uma preocupação de que a MiFID2 e o GDPR possam estar puxando em direções diferentes. Enquanto a MiFID está promovendo maior transparência e visibilidade, o GDPR está tentando tornar o gerenciamento de dados mais rigidamente controlado e monitorado. Parece haver um conflito entre abertura e privacidade em jogo aqui. Então, esse é realmente o caso?
Um mal-entendido sobre o GDPR é que, longe de restringir o acesso aos dados do cliente, ele está interessado apenas em estabelecer regras e padrões sobre como as informações do cliente podem ser compartilhadas. O principal impulso da diretiva é garantir uma forte segurança de dados, ao mesmo tempo em que impõe que os dados sejam vistos apenas pelas pessoas e organizações com direito a vê-los.
E MiFID2 e GDPR não são tigres de papel. Não, eles podem morder. Multas potenciais de até 4% da receita anual global de uma empresa aguardam aqueles que optam por ignorar essas diretrizes.
Portanto, embora a MiFID2 e o GDPR possam atender a dois aspectos individuais dos planos da Europa para a regulamentação do mercado financeiro, parece razoável acreditar que esses são dois lados da mesma moeda. E se as organizações financeiras quiserem evitar acusações punitivas, elas terão que entrar na linha e seguir as novas regras. No entanto, existem etapas que as instituições financeiras podem tomar para tornar a jornada um pouco mais fácil.
Primeiro, você deve definir o plano de dados da sua empresa, que envolve o mapeamento preciso das informações dos seus clientes. Os dados são como mercúrio - sem controle, eles simplesmente chegam a todos os lugares. Os dados financeiros e de clientes acabam em unidades de rede, servidores, discos rígidos externos e unidades USB. Sem um controle rígido de dados, as informações podem ser difíceis de encontrar ou, na pior das hipóteses, perdidas. A natureza eletrônica dos dados usados em bancos e corretoras facilita a transferência e o recebimento, mas é igualmente fácil perdê-los ou enviá-los para o lugar errado. A solução atual para esses desafios de gerenciamento de dados é fornecer aos clientes acesso aos seus dados por meio de servidores web seguros. Os clientes recebem acesso controlado por senha aos seus dados, que eles obtêm conforme necessário.
Em seguida, as organizações financeiras devem implementar procedimentos para gerenciar as ocasiões em que as coisas dão errado. Podem ser eventos associados a erro humano e má gestão - desde funcionários levando dados para casa em laptops até eventos envolvendo ataques cibernéticos aos servidores ou redes de uma empresa. Os clientes devem ter certeza de que as empresas às quais confiaram seus ativos podem ser confiáveis para saber o que fazer durante uma crise.
Por fim, as instituições financeiras devem treinar seus funcionários, conscientizando-os sobre questões de segurança de dados, de dentro e de fora da empresa. A chave para o sucesso deste treinamento é a nomeação de um Diretor de Proteção de Dados (DPO) experiente e responsável, cujo trabalho é garantir que a empresa cumpra as regras europeias de conformidade e relatar quaisquer aberrações à alta administração. O DPO deve ser altamente treinado e atualizado com a tecnologia de dados financeiros, além de ser a pessoa certa que mantém o plano de mitigação de crises da empresa.
A MiFID2 entrou em vigor em julho de 2014 e o GDPR entrará em vigor em 25 de maio de 2018. As duas directivas garantirão que os investidores europeus sejam tratados de forma equitativa quando negoceiam nos mercados financeiros internacionais. E para fazer backup dessa atividade, eles também podem ter certeza de que suas informações financeiras e pessoais estão disponíveis e seguras.
