La reciente multa de 600.000€ que la Agencia Española de protección de datos acaba de imponer a Facebook y Whatsapp por ceder y tratar datos personales de sus usuarios sin su consentimiento, nos da una idea de que, ahora sí, el tema va en serio.
El 25 de Mayo de 2018 es la fecha límite en la que toda empresa que maneja datos de clientes, tendrá para ajustarse al nuevo Reglamento General de Protección de Datos 2016/679.
¿Qué es el RGPD (GDPR en inglés)?
Se trata de una normativa europea que pretende poner orden a la utilización que hacen las empresas de los datos. Es decir, regular el tema de la protección de datos a un nivel de toda Europa. Esto tiene un coste para las empresas, quienes verán limitadas sus capacidades para recolectar y hacer uso de los datos de la audiencia digital, pero al mismo tiempo los usuarios tendrás más el control sobre el uso de su información personal. El objetivo de esta normativa es el de garantizar la privacidad de todos los ciudadanos de la UE en su actividad online.
¿Pero sabemos exactamente qué comporta esta reglamento?
- Primero y más importante, que cada sujeto generador de datos tendrá que autorizar de forma explícita el propósito de esta utilización de los datos por parte de la empresa. En ese caso, se tendrá que autorizar explícitamente en un formulario la cesión de los datos, y se tendrá que dar un consentimiento para cada propósito en el caso de que haya más de uno.
- Por otro lado, las sanciones previstas por los reguladores, son más elevadas que en la legislación anterior. Con el objetivo de que las empresas no subestimen el reglamento y por lo tanto, lo cumplan a raja tabla, las sanciones pueden llegar hasta el 4% de la facturación total de la empresa o de 20M€ (el mayor de los dos) dependiendo del grado de las faltas.
- Otro elemento a destacar es la simplificación y facilidad a la hora de presentar reclamaciones contra empresas por «prejuicio material o no material» al incumplimiento del GDPR, donde el ciudadano afectado tendrá derecho a una indemnización. Se podrá aludir a un prejuicio ‘no material’ cuando los usuarios sientan angustia o sentimientos heridos con la utilización de sus datos de forma indebida. Como parte de esto, también se ha creado lo que se llama class action, donde asociaciones de consumidores o un grupo de empleados podrán, conjuntamente, demandar por daños y prejuicios a las empresas (según se especifica en el artículo 80).
- Del mismo modo, existe el derecho de ser informado, por el que las empresas tendrán que proporcionar un canal por el que el usuario esté informado de qué datos se están usando, de qué manera se está haciendo y quiénes son los destinatarios de esos datos personales.
- Además, se prevé que se implemente una nueva posición en todas las empresas que gestionen grandes cantidades de datos, al igual que en los distintos organismos públicos: el Delegado de Privacidad. De igual manera, se creará un nuevo estudio de riesgos o Privacy Impact Assesment (PIA), que cualquier empresa tendrá que hacer para identificar fallos o incumplimientos del reglamento.
- Y finalmente, y esta es una norma que afecta muy directamente a empresas como Websays que almacenan datos públicos, es el ya famoso «derecho al olvido«. Con la entrada en funcionamiento del GDPR esta norma, que ya era de obligado cumplimiento, ahora permite sancionar a las empresas que no eliminen esa publicación a petición de su autor. De este modo cualquier contenido publicado por un autor, le pertenece y por tanto puede decidir dejar de publicarlo. En el caso de las redes sociales, el autor de un tweet, un post en Facebook, un video en Youtube o una foto en Instagram, podrá eliminarla y estas redes sociales estarán obligadas a eliminarlas también, así como los que recabamos estos datos y los almacenamos en nuestros servidores.
¿Cómo afrontar este nuevo reglamento?
Un cambio tan radical en la utilización de datos, hace que se convierta en una ardua tarea el adaptarse y afrontar los cambios. Es por eso, que un 76% de las empresas españolas están preocupadas por cómo afrontar los cambios, según los resultados del estudio realizado por la empresa de tecnología software de California, Senzing.
Sin embargo, un 35% de las empresas españolas cumplen con los requisitos del reglamento, o tienen planes sólidos para ajustarse a él. Según Microsoft, se cree que estas compañías cuentan con la táctica de la utilización de Cloud, la forma más sencilla de localizar y catalogar los datos existentes para garantizar su seguridad y privacidad.
Del mismo modo, desde Microsoft también han planteado un proceso que se constituye de cuatro fases para que las compañías puedan organizar sus movimientos y adaptarse a las tecnologías y procesos que garanticen el cumplimiento del reglamento. El primer paso es que se descubran qué datos personales tiene la empresa y así crear un inventario; el segundo, administrar la información; tercero proteger los datos estableciendo mecanismos para prevenir, detectar y responder ante ataques, y por último informar a los usuarios mostrando la mayor transparencia posible.
Sin embargo, consultores expertos en la materia, aseguran que no hay una manera estricta de hacer estos cambios, o una checklist que seguir. No obstante, en empresas como la nuestra en las que utilizamos cantidades inmensas de datos, el hecho del consentimiento de la cesión de datos tiene un peso fundamental en la aplicación de las nuevas directrices del GDPR. En ellas, se hace patente que al igual que se puede ceder los datos personales, también se pueden revocar y decidir retirarlos, y que las empresas tienen que hacer eso con la máxima brevedad posible. En otras palabras, se trata de el derecho a ser olvidado, que dicta que cuando alguien pide que sus datos sean retirados o eliminados, sea por cuestiones de que no hay razón de seguir procesando esa información, la empresa debe hacerlo en la mayor brevedad posible.
A pesar de eso, según el medio de comunicación Marketing Directo, la Asociación para la Autorregulación de la Comunicación Comercial en España (Autocontrol) ha creado una Guía Gratuita de adaptación al GDPR, que se enfoca principalmente a las empresas de marketing pero que puede extrapolarse a otro tipo de empresa.