Reglamento General de Protección de Datos (GDPR): Lo que necesitas saber contra el fraude

Si tu empresa utiliza Google Analytics, es probable que hayas recibido una serie de correos electrónicos en los que se te pide que actualices la configuración para los próximos cambios del GDPR.

Parecen bastante serios.

Google es solo uno de los muchos gigantes de internet que han estado desplegando nuevas condiciones de servicio antes de que entre en vigor la nueva normativa. En este post, veremos cómo afectarán estos cambios a tus negocios, con especial énfasis en tus Riesgos Operacionales y en la prevención del fraude en varios niveles.

Pero lo primero es lo primero:

¿Qué es el Reglamento General de Protección de Datos (GDPR)?

El Reglamento General de Protección de Datos (GDPR) es una ley y un reglamento de protección de datos destinado a las personas de la Unión Europea. Se basa en anteriores medidas de privacidad de la UE, como el cumplimiento de la normativa PSD2, pero es mucho más estricto en varios aspectos

• Mayor énfasis en el consentimiento del usuario: las empresas necesitarán una declaración explícita de los usuarios para que se recojan sus datos. Sin duda, supondrá una renovación completa de las condiciones de servicio y de la forma en que los usuarios interactúan con tu sitio web.
• Más transparencia sobre los datos recogidos: los usuarios deberán poder descargar todos los datos que una empresa haya recogido sobre ellos. Esta característica ya ha sido puesta en marcha por varias empresas, como Facebook o Google.
• Multas cuantiosas: fijadas en el 4% de la facturación global de una empresa (o 20 millones de dólares, lo que sea mayor), una multa por infracción podría hundir por completo a una joven empresa emergente, y hacer una gran mella en los beneficios netos de una empresa establecida.
• Efecto mundial: técnicamente hablando, el GDPR solo se aplica a los ciudadanos de la Unión Europea. Pero la naturaleza global de los datos en internet significa que todo el mundo puede verse afectado.
• Plazo difícil: Aunque ha habido un periodo de transición de dos años desde su adopción, el GDPR entra en vigor plenamente el 25 de mayo de 2018.

¿Qué podemos aprender de las citas directas del GDPR?

Si la explicación anterior no te da todas las respuestas, lee los términos citados directamente en los documentos del reglamento. Proporcionan fantásticas pistas sobre lo que está claramente definido y lo que da lugar a interpretación.

Por qué existe el GDPR:

«El tratamiento de datos personales debe estar concebido para servir a la humanidad» – Considerando 4

«La escala de la recogida y el intercambio de datos personales ha aumentado considerablemente. La tecnología permite tanto a las empresas privadas como a las autoridades públicas hacer uso de los datos personales a una escala sin precedentes para llevar a cabo sus actividades.» – Considerando 6

«Las personas físicas deben tener el control de sus propios datos personales». – Considerando 7

Cómo define el GDPR los datos personales:

«Cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador tal como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física» – Artículo 4 (1)

Qué se considera identificadores en línea:

«Las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia. Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas.» – Considerando 30

Un concepto importante del GDPR es el del consentimiento del usuario. Se define de la siguiente manera:

«Toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen» – Artículo 4 (11)

Por último, uno de los puntos más polémicos del GDPR, es la idea de que una base jurídica para el tratamiento de datos es la del interés legítimo. Así nos hacemos una mejor idea de lo que significa:

«podría existir un interés legítimo, por ejemplo, cuando existe una relación pertinente y adecuada entre el interesado y el responsable del tratamiento en situaciones como cuando el interesado es un cliente o está al servicio del responsable del tratamiento». – Considerando 47

«El tratamiento de datos personales estrictamente necesario para prevenir el fraude también constituye un interés legítimo del responsable del tratamiento en cuestión. El tratamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo.» – Considerando 47

Sin embargo, hay algunas advertencias:

«siempre que no prevalezcan los intereses o los derechos y «libertades fundamentales del interesado»

«el interesado pueda esperar razonablemente, en el momento y en el contexto de la recogida de los datos personales, que se produzca un tratamiento para ese fin» – Considerando 47

¿Cómo afectará el GDPR al sector del fraude?

La detección de fraude y las operaciones de riesgo no pueden existir sin los datos de los usuarios. Algunas plataformas heredadas han construido todo su sistema sobre la capacidad de compartir los datos de los estafadores para prevenir sus próximas acciones. Esto es así tanto si quieres protegerte del fraude en las pasarelas de pago, como si quieres evitar el fraude de contracargo.

En resumen, si aún no has elegido una herramienta antifraude, deberías considerar seriamente los siguientes puntos:

Cómo y por qué se recogen los datos:

Aquí estamos hablando realmente de la calidad de los datos. ¿Son relevantes, y están justificados? ¿Se meterá tu empresa en problemas por compartir información con el proveedor de fraude si se considera necesario?

¿Son las condiciones del servicio claras y transparentes?

Las condiciones de servicio de tu empresa deben actualizarse. ¿Pero qué pasa con las del proveedor de fraude? ¿Tienen en cuenta el derecho de acceso sin sacrificar la eficacia?

¿Cuál es el periodo de conservación?

En cumplimiento del «derecho al olvido», los datos no pueden conservarse indefinidamente. Las organizaciones deben asegurarse de que la información no relacionada directamente con el fraude no se conserve más tiempo del necesario.

Cómo de seguros son los datos:

Solo porque la detección del fraude se incluya en el ámbito de la ciberseguridad no significa que la empresa emplee las mejores prácticas. ¿Pueden garantizar también la prevención de infracciones?

Cómo cumple SEON con el GDPR

En SEON, hemos sido plenamente conscientes del GDPR y de otras normativas como la PSD2 desde su creación. Esto nos ha permitido planificar en consecuencia y asegurarnos de que toda nuestra solución estaba diseñada en torno al cumplimiento de esta nueva normativa.

A continuación se enumeran algunas de las preguntas frecuentes que hemos respondido para los clientes. No dudes en ponerte en contacto con nosotros para obtener cualquier información adicional.

¿Debe SEON cumplir con el GDPR?

Absolutamente. Nuestra infraestructura, incluidos los servidores y las bases de datos, tiene su sede en la UE (Dublín, Irlanda), lo que podemos confirmar mediante un certificado.

¿Puede SEON procesar datos legalmente?

Sí. Estamos registrados como procesadores de datos en la Autoridad Nacional Húngara para la Protección de Datos, y verás que la detección del fraude es una base legal para el procesamiento de datos según el GDPR.

¿Puedo compartir los datos de los usuarios con SEON? 

Recomendamos que tu TOS informe a sus clientes sobre el tratamiento de datos para los servicios de gestión del fraude. Estaremos encantados de ayudarte a redactar este documento si es necesario.

¿Cuál es la política de retención de datos? 

Dejamos muy claro que los datos de nuestros clientes se pueden almacenar hasta 1 año, y que se pueden purgar fácilmente si se solicita.

¿Qué seguridad tienen los datos que comparto con SEON? 

En SEON, estamos orgullosos de tener un responsable de seguridad de datos. Esta función supervisa la seguridad y garantiza que solo nuestro Jefe de Ingeniería tenga acceso a la base de datos de producción (a través de una VPN dedicada y con claves encriptadas).

¿Qué ocurre si se produce una filtración?

En el improbable caso de que los datos sean pirateados, el acuerdo estándar de SEON incluye la asunción de la responsabilidad de la privacidad de los datos, para que puedas utilizar la plataforma con total tranquilidad.

Cumplimiento del GDPR en la detección de fraude

Aunque el GDPR parece aumentar la privacidad online de los usuarios, inevitablemente plantea una serie de preguntas. ¿Tendrá realmente un efecto positivo? ¿Alargará las revisiones manuales? ¿Dificultará las cosas para las empresas, especialmente las pequeñas, que pueden caer en la trampa de los reguladores de la UE? ¿Y quién asumirá la culpa si se produce una filtración de datos entre diferentes servicios de intercambio de datos?

Sea cual sea el futuro, no hay duda de que el GDPR remodelará profundamente internet y la evaluación de riesgos tal y como la conocemos. Las empresas de todos los sectores tendrán que replantearse el modo en que operan a diario, especialmente los anunciantes, los editores y los vendedores de fraude.

Con suerte, tu solución ya ha tomado todas las medidas para garantizar el cumplimiento y formará a los gestores de fraude de forma adecuada; si no es así, solo podemos recomendarte que te mantengas lo más informado posible sobre el GDPR a medida que vaya entrando en vigor.