Nuestra última publicación en el blog ayudó a los lectores a comprender ampliamente los retos de la seguridad de la información y el cumplimiento de la normativa en materia de cobros. Como siguiente paso lógico, decidimos ofrecer la sabiduría desde dentro de receeve sobre lo que hacemos como Empresa para garantizar que la seguridad de los datos se prioriza al más alto nivel. No buscamos mucho, nos sentamos con nuestro CTO y cofundador Michael Backes y discutimos con él 5 preguntas importantes que cualquier posible cliente nuestro podría/debería hacer.
Con su diversa experiencia dirigiendo equipos tecnológicos y liderando empresas de nueva creación, la experiencia de Michael en el tratamiento de la seguridad de los datos y el cumplimiento de la normativa es bastante amplia, por no decir otra cosa. Aquí está la opinión de nuestro CTO sobre la privacidad, el cumplimiento y la seguridad de los datos para cualquiera que esté considerando la comunicación digital en el cobro de deudas.
1) ¿Cómo se mantiene la privacidad y el cumplimiento de la normativa cuando se envía la divulgación digital en las colecciones, por ejemplo, cuando se envían correos electrónicos?
Michael: Tenemos mucha información en términos de conocimiento del pasado y de las mejores prácticas de diferentes mercados, por lo que podemos sugerir configuraciones de referencia si nos lo piden.
También ayudamos a nuestros clientes a nivel individual preguntándoles qué normativas les afectan más y cuáles conllevan un mayor riesgo de incumplimiento y mayores sanciones. Pongamos un ejemplo: qué días hay que enviar un SMS. Nuestra formación está diseñada para guiarle a través de la normativa básica, así como de las mejores prácticas y los aspectos a tener en cuenta, como evitar los SMS los domingos por razones de imagen corporativa.
Para nosotros es bastante fácil identificar lo que es probable que sea relevante para usted, y lo incorporamos a la puesta en marcha, pero después de la incorporación, hay un poco de espacio para planificar las cosas en torno a su nivel de comodidad. Si no está totalmente convencido de que su conjunto de datos es 100% preciso, puede ser más cauto en su enfoque.
Por ejemplo, no quiere enviar 4.000 SMS a personas que no son clientes por accidente porque los números de teléfono son erróneos. Si esos SMS contienen información personal identificable (IPI) detallada, los riesgos son mucho mayores. Las soluciones sencillas incluyen la eliminación de la IIP o la exigencia de validación o inicio de sesión antes de revelar la información.
Recuerde que necesita el consentimiento y la aprobación de sus clientes para enviarles SMS y correos electrónicos. Lo ideal es que ya exista una presencia en línea, como la banca online, en la que existan suficientes condiciones básicas que le permitan llegar a los clientes de forma digital.
2) ¿Qué pasos debemos dar para convencer a los departamentos jurídicos de que acepten un enfoque digital? ¿Cuáles son las preocupaciones habituales de los departamentos jurídicos y cómo las disipa nuestro software?
Michael: Todo se hace con un enfoque que da prioridad a la seguridad. Tenemos un proceso de cumplimiento continuo, basado en normas como la ISO y otros marcos de seguridad. Esto garantiza, en última instancia, que cumplimos con todas las normas que se nos exigen para operar con los bancos y nuestros clientes. Además de la ISO, aprovechamos las auditorías basadas en el Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM) para la seguridad informática. Incluso cumplimos la normativa sobre la industria de las tarjetas de pago (PCI), si se aplica a su caso.
También contamos con un sólido proceso de selección de proveedores. Todos los proveedores de servicios de comunicación intermedios a través de los cuales se envían correos electrónicos y SMS son investigados por nosotros para que cumplan con el Reglamento General de Protección de Datos (GDPR). Por lo tanto, su prioridad número 1: que los datos no salgan de la UE, que los datos se eliminen en el proveedor en los días indicados, otros mecanismos de reducción de riesgos estipulados, etc., son todos comprobados por nosotros.
Cabe mencionar dos ejemplos: Infobip y Twilio. Utilizamos Infobip para dentro de la UE - todos los datos se quedan en la UE. Twilio es un poco diferente, lo utilizamos para todos los clientes con sede en Estados Unidos. Así que sus datos siguen cumpliendo con todas las regulaciones y leyes de datos de los Estados Unidos.
3) ¿Cuántos años tiene el problema de la privacidad y el cumplimiento de los datos digitales?
Michael: Ha sido un problema realmente desde que existe Internet, ahora más que nunca. En la época anterior al GDPR, era muy específico para cada país. El GDPR básicamente unificó todas estas normas diferentes en toda la UE. Antes se podía elegir un país, por ejemplo Irlanda, sólo porque el estándar de protección de datos allí era más bajo, pero los sujetos de los datos y los gobiernos se dieron cuenta de que esta laguna legal no protege en última instancia a sus sujetos de los datos, ya que cualquier Empresa podría entonces elegir hacer negocios desde una jurisdicción que tuviera estándares de protección de datos más bajos.
Además, varios organismos regulaban los datos de forma conjunta, lo que dificultaba a las empresas el cumplimiento de la normativa. Por ejemplo, antes del GDPR, 16 organismos diferentes cubrían las cuestiones de privacidad en Alemania, y cualquier empresa necesitaba la aprobación de todos ellos para procesar los datos, pero ahora hay un organismo centralizado. Hoy en día, las variaciones en la legislación son limitadas de un país a otro. Todos los países tienen normas relacionadas con la protección de datos: China, Estados Unidos, Australia, etc. La interacción entre la ubicación de los interesados y la de los responsables del tratamiento decide su aplicabilidad.
4) ¿Cuáles son las verdaderas limitaciones legales/de cumplimiento/reglamentarias a la hora de hacer divulgación digital?
Michael: La respuesta a esta pregunta comienza con una pregunta básica: ¿Dónde está su consumidor/sujeto de datos? Esto es importante porque, como ya se ha dicho, las variaciones en la aplicación de las normas de protección de datos dependen de la ubicación geográfica. A pesar de normas comunes como el GDPR, estas variaciones locales pueden estipular cuándo se puede contactar con un sujeto de datos y cuándo no. En Alemania, se puede contactar con alguien en días festivos, pero en Letonia, la ley dice que no se debe contactar con nadie los domingos y los días festivos. Esto no es un gran problema en el caso de los correos electrónicos, pero en el caso de los SMS, hay restricciones de tiempo que considerarían que cierta frecuencia u horarios son demasiado agresivos. Dependiendo del canal digital, estas estrategias deben ajustarse para cumplir todas las leyes.
Pensemos en WhatsApp: Todo el mundo habla de usarlo, pero desde la perspectiva del GDPR (no desde la perspectiva de la normativa sobre cobros) los datos, muy probablemente o, ciertamente, salen de la UE. Esto significa que los responsables del tratamiento de datos deben aceptar el riesgo de que los datos personales salgan de la UE. No hay una ley que lo prohíba, pero el responsable del tratamiento debe saber que existe una exposición al riesgo. Entre EE.UU. y la UE, por ejemplo, los acuerdos han sido sistemáticamente rechazados por los tribunales de la UE. Así que, aunque hay consenso en que finalmente se llegará a un acuerdo, sigue siendo un riesgo a tener en cuenta.
En cuanto a la comunicación con los clientes, hay diferentes prácticas preferidas por los distintos agentes. Hay quienes sólo ponen los datos mínimos, pero algunos prefieren comunicarse con toda la información, como el nombre, la dirección, el correo electrónico, el número de cuenta bancaria, etc., en las solicitudes de reembolso.
Como ya se ha dicho, el verdadero problema es la fiabilidad del conjunto de datos. La medida en que se puede incluir la IPI en un comunicado depende de la confianza que se tenga en la exactitud de los datos de cada persona, especialmente los de contacto.
En un SMS, por ejemplo, tendemos a sugerir que no haya ningún tipo de información personal, ni nombres, ni datos bancarios, etc. Dado que también hay un límite en el número de caracteres, sugerimos a la parte recolectora (Bancos y DCAS) que lo deje fuera.
Si no está seguro, vaya con un mínimo de información y asuma que su deudor conoce la deuda y todos sus recordatorios.
Lo que podemos ofrecer en última instancia es la flexibilidad, si Letonia dice repentinamente que no se pueden enviar recordatorios por SMS después de las 5 de la tarde, se pueden implementar tales limitaciones a través de nuestra plataforma en menos de 2 minutos. Esta flexibilidad facilita la adaptación a las nuevas normas.
5) ¿Qué otras preguntas debería plantearse alguien al navegar por los problemas de cumplimiento en la digitalización/colecciones digitalizadas?
Michael: En realidad no hay mucho más que pensar una vez que has hecho lo básico. Independientemente de las plataformas que utilices, tendrás que seguir un proceso y asegurarte de que has marcado todas las casillas necesarias y también has pensado un poco en lo que quieres conseguir, para tomar buenas decisiones en tu contenido.
La otra cosa que ayuda es la selección de un socio en el otro lado que valore tanto la privacidad como la seguridad. No se trata solo de la pareja de certificados, sino de que el ADN de Empresa tenga esas cosas arraigadas.