Una compañía que gestione una aplicación o programa que permite llevar a cabo una operación financiera o, una ‘fintech’, debe cumplir la normativa en protección de datos actual, igual que cualquier compañía que recabe datos de carácter personal.
Para cumplir la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) estas compañías deben respetar el principio de calidad de los datos, el de licitud del tratamiento y el de consentimiento informado.
En otras palabras, no pueden recoger más datos de los necesarios y los datos recogidos deben estar actualizados. Tampoco pueden usar la información fuera de los fines previstos; por ejemplo, si se contrata un servicio de gestión de gastos, no pueden anunciar planes de inversiones a medida o cualquier otro tipo de préstamo.
Si este tipo de compañías tratan datos de ciudadanos europeos les afecta el nuevo Reglamento General de Protección de Datos (RGPD); dicho Reglamento no será aplicable hasta el 25 de mayo de 2018, pero todos deberemos estar adaptados y cumpliendo antes de su aplicación. Con el nuevo Reglamento las cuantías de las sanciones aumentan: pueden llegar a los 20.000.000 € o 4% del volumen de negocio total anual del ejercicio financiero anterior, optándose por la de mayor cuantía. Otra novedad destacable es que deberá cumplirlo todas las compañías que traten datos personales de ciudadanos europeos, sin importar des de qué país operen.
Finalmente, si estas compañías trabajan des de Estados Unidos les interesa el acuerdo ‘Privacy Shield’ o Puerto Seguro; si no firman este acuerdo, legalmente no pueden tratar datos personales de ciudadanos europeos. Este acuerdo de transferencia de datos entre Europa y Estados Unidos se aprobó debido a que Estados Unidos y los países de la Unión Europea no tratan por igual los datos de carácter personal. Las compañías que firmen este acuerdo se comprometen a tratar correctamente los datos de carácter personal de ciudadanos europeos. Habrá revisiones periódicas para verificar que se está cumpliendo lo acordado.