Compliance en tiempos de ciber-inseguridad
Resumen
Un análisis de la relación los procesos de PBC y la protección de datos en la Unión Europea y España.
El nuevo marco regulatorio de la Unión Europea EBA/GL/2019/02 establece que todas las instituciones financieras europeas deben llevar a cabo auditorias de seguridad internas con todos sus proveedores de tecnología y subcontratares que lleven a cabo el desarrollo de sus funciones operacionales y controles. Este es su más reciente esfuerzo en la lucha contra el ciber-crimen financiero y el robo de datos, ya que este ha tenido un incremento del 30% los últimos dos años (Rapporto Clusit 2023). No es ningún secreto que la ciber-inseguridad está a la orden día, y que las instituciones financieras y gubernamentales son las más afectas por estos ataques. Sin embargo, nadie está libre de estos crímenes, ni si quiera los despachos de abogados.
Las recientes directivas contra el PBC y FT describen detalladamente los procesos que las entidades sujetas deben seguir para estar en cumplimiento. Dentro de estas, se encuentra un rigoroso proceso de “conoce a tu cliente” en el cual es necesario recolectar ciertos datos personales que, en caso de una brecha de información, podrían ser erróneamente utilizados. La última directiva de la PBC establece un pequeño inciso en el artículo 46 donde establecen la protección de datos como parte fundamental del proceso (Real Decreto-ley 19/2018). Sin Embargo, este no es suficiente para afrontar los retos que posan la protección de datos ante un panorama de creciente incertidumbre en materia de ciberseguridad.
En España, específicamente, 13,000 procedimiento legales por crímenes cibernéticos tomaron lugar en 2022 (Statista Research Department 2022). Y este número solo va en crecimiento. Para estar en cumplimiento con las normativas de PBC-FT, los despachos necesitan recolectar y almacenar cierta información, lo cual a menudo se lleva a cabo en la nube. Asimismo, deben monitorear constantemente a sus clientes y asegurarse de que ninguna transacción ilícita se lleve a cabo. Esto, sin embargo, los vuelve blancos de ataques cibernéticos que no solo afectarían la relación con sus clientes y la seguridad del despacho, pero sino también los pondrían en riesgo frente a las autoridades.
Según el artículo 32 de la EU-GDPR, donde haya una violación de datos personales, los controladores a cargo deben notificar a las autoridades competentes del ataque en un periodo de 72 horas desde que descubren el suceso. El no hacerlo podría tener graves consecuencias para las instituciones involucradas. Una ola reciente de casos que tratan con la recolección y procesamiento de datos personales con el propósito de combatir el blanqueo de capitales y el financiamiento de terroristas denota la necesidad de compatibilizar los procesos de monitoreo de transacciones de la LPBC con las Regulaciones Generales de Protección de datos (GDPR) y con el Status Europeo de Derechos Fundamentales.
Lamentable, los marcos legales locales aún no están capacitados para lidiar con estos nuevos desafíos. Pero eso no significa que como despacho no hay nada que no se pueda hacer para reducir la vulnerabilidad de tus datos y procesos digitales. Cuando se trata de materia de PBC-FT, es necesario realizar auditorías internas para asegurarse que tanto los procesos ejecutados como los canales por los cuales se realiza el proceso de compliance están lo suficientemente preparados. Hay organizaciones como la Organización Internacional de Estandarización (ISO por sus siglas en ingles) que tiene procesos como el ISO/IEX 27001 que establece parámetros para las buenas prácticas de la protección de datos y resiliencia a ataques cibernéticos. Hay muchas compañías que implementan estos parámetros y que poseen certificaciones de cuerpos asociados a la ISO.
En Reglab, creemos que la integridad de tu despacho y la de tus clientes es lo más importante, por lo cual nuestra aplicación y procesos cuentan con la certificación ISO. Esto asegura que tus datos y los de tus clientes estén apropiadamente protegidos contra ataques cibernéticos, sin tener que renunciar a la tecnología, que tanto facilita el proceso de compliance. Si deseas saber más sobre el tema, o sobre nuestra aplicación, te invitamos a visitar nuestro Centro de Conocimiento o agendar una demostración guiada.
Fuentes
-
Anti-Money Laundering, Counter Financing Terrorism and Cybersecurity in the Banking Industry: A Comparative Study within the G-20