Num mercado cada vez mais regulado é necessário validar que todas as soluções cumprem com a legislação, e que a tecnologia fica efetivamente ao serviço das organizações. Garantir as restrições impostas pelo RGPD, e ao mesmo tempo as exigências estabelecidas pelo MIFID II, bem como outras regulamentações, é um desafio que requer soluções avançadas de gestão de informação, no que toca a privacidade e retenção de histórico.
RGPD
Em vigor desde 25 de Maio de 2018 e transposto para a lei portuguesa em 14 de Junho de 2019, o Regulamento Geral de Proteção de Dados vem trazer uma responsabilidade acrescida para as empresas, nomeadamente a auto-regulação no que toca ao cumprimento de regras bastante explicitas de proteção de dados. Os sistemas de gravação de interações e os processos internos das organizações têm que ser adaptados para cumprir com os novos requisitos.
A Grupês disponibiliza pacotes de software para os sistemas de gravação que permitem a gestão da gravação totalmente alinhada com o RGPD.
O portal NICE Compliance Center permite a criação de um workflow para a extração de áudio. Após o pedido do cliente, inicia-se o processo de extração de áudio através do número de cliente, o qual só é finalizado após a aprovação do supervisor. A operação fica devidamente registada com a indicação de quem a executou e quem a aprovou;
Em determinadas situações em que não existe vínculo contratual entre o cliente e a organização, o cliente pode invocar o direito a ser esquecido. Apagar as gravações de um cliente poderá ser uma tarefa de alto risco e não reversível, pelo que o Portal NICE Compliance Center inclui um workflow que permite a seleção, validação e aprovação. O processo ficará devidamente registado, associado aos intervenientes. O sistema poderá apagar apenas o áudio, ou mesmo todos os metadados relacionados com o contacto.
O áudio gravado não poderá ser retido nos sistemas durante um período superior ao estritamente necessário para cumprimento das obrigações legais, nomeadamente gravações relacionadas com condições contratuais. Os sistemas de gravação disponibilizados pela Grupês dispõem de mecanismos automáticos de retenção de arquivo, apagando de forma automática o áudio cujo prazo de validade foi definido na regra de retenção.
As organizações têm um prazo de 72 horas para notificar a CNPD sobre as violações de dados pessoais. As ferramentas de gravação disponibilizadas pela Grupês disponibilizam alarmística e relatórios que permitem investigar potenciais violações de dados pessoais, nomeadamente acesso ou extração de áudio de forma ilícita. Estas ferramentas são de extrema importância não só para a notificação prevista no artigo 33.º do RGPD, mas também para prosseguir com as investigações internas.
DMIF II
A nova Diretiva dos Mercados de Instrumentos Financeiros (DMIF II), em vigor desde o início de 2018 impõe às entidades financeiras um conjunto de regras que visa a transparência e proteção do investidor. No que toca à gravação, são reforçadas algumas imposições que determinam uma preparação dos meios técnicos disponíveis.
Qualquer interação à distância que possa resultar em transações está englobada nas regras de gravação, ainda que dessa comunicação não resulte em transações nem a prestação de serviços relativos a ordens de clientes. As interações à distância incluem chamadas telefónicas, videoconferência, email, chat, SMS ou outros métodos de mensagens instantâneas. O regulador entende que mesmo as comunicações pré-contratuais devem estar abrangidas por gravação, uma vez que podem criar expectativa para a contratação de produtos financeiros. Os sistemas de gravação devem estar preparados para este tipo de registo e ainda a correta indexação que corresponde ao cliente ou negócio.
As organizações ficam obrigadas a fornecer os registos de gravações ao regulador ou ao cliente sempre que estes solicitem. Nos sistemas de gravação fornecidos pela Grupês, nomeadamente através do portal NICE Compliance Center, é possível criar tarefas de exportação de áudio, devidamente autorizadas, por número de cliente ou por número de transação, permitindo assim às organizações conduzirem as suas investigações internas, bem como prestar as informações necessárias, alinhadas com a legislação em vigor.
PCI DSS
O PCI DSS (Payment Card Industry Data Security Standards) é um standard de segurança que regula os principais Sistemas de Pagamento Internacionais (Visa, MasterCard, American Express, entre outros). O principal objetivo do PCI DSS é proteger os titulares de cartões de pagamento, de forma a assegurar a confidencialidade e integridade dos dados sensíveis associados à sua utilização. Estão abrangidos todos os comerciantes que processem pagamento através destes cartões, nomeadamente pagamentos à distância.
As transações comerciais à distância estão abrangidas pela obrigatoriedade de gravação, contudo a gravação dos dados de autenticação (CAV2/CVC2/CVV2/CID) não podem ser armazenadas pela empresa prestadora, pelo que a gravação desta componente está totalmente proibida de acordo com o requisito do PCI.
Os sistemas de gravação fornecidos pela Grupês dispõem de mecanismos que permitem a pausa automática da gravação sempre que o cliente comunica estes dados, retomando de seguida a gravação. Fica assim garantida a gravação da transação comercial, com exceção dos dados de autenticação do cliente, em cumprimento dos requisitos legais das várias regulamentações.
COMPLIANCE CENTER
Como a “confiança” se torna num diferenciador de experiência do cliente, e com o foco em mais transparência e privacidade, as organizações tem vindo a caminhar para um modelo “compliant by design”. Desde PCI DSS, HIPAA, SEC, MIFID II ou GDPR, todas as novas regulamentações exigem mais flexibilidade e eficiência para detetar violações, definir políticas e realizar auditorias, especialmente se precisarem de coexistir.