Alfonso García, SAP Hybris Spain Sales Director. Toda su carrera se ha centrado en el impulso de las...
PuroMarketing

En 2016 entró en vigor el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), que comenzará a aplicarse este 25 de mayo. Afecta a las empresas localizadas en la UE y a cualquier otra que cuente con datos sobre consumidores del espacio comunitario, aun cuando no disponga de oficinas o servidores en la zona. También es aplicable a organizaciones que, a la fecha, trataban datos de personas en la región y se sometían a la regulación de terceros países.

Con el GDPR, el permiso del consumidor debe obtenerse válidamente y los datos y su almacenamiento han de ser transparentes. También introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control del ciudadano sobre los datos personales que confían a terceros.

La información deberá ofrecerse al consumidor de forma concisa, sencilla, transparente, inteligible y de fácil acceso.

Como marketero, ¿debo preocuparme por GDPR?

Sin duda. El de Marketing es uno de los departamentos más afectados y cuya intervención será más relevante en el cumplimiento del nuevo reglamento. Primero, porque obtiene los datos de los clientes a través de sus diferentes interacciones y tendrá que redefinir sus materiales promocionales. Segundo, la nueva definición de datos personales ahora incluye las direcciones IP o las cookies que contienen datos personales para realizar el seguimiento del comportamiento del usuario en Internet. Y dicha información es una base fundamental de la actividad de Marketing.

Por otro lado, el área de Marketing es la responsable de velar por la reputación de la empresa. Según la firma IDC, el 80% de las personas que vean vulnerada su información personal por parte de una organización no volverán a confiar nunca en esta, por lo que Marketing tendrá que asegurarse de que no se producen errores para mantener la confianza de los clientes. Todos sabemos lo que cuesta recuperarla.

A pesar del papel clave que juega esta área en el proceso, nos sorprende que el 41 % de los profesionales de Marketing admita no entender las leyes ni las mejores prácticas relacionadas con la regulación de datos personales, según un estudio de Chartered Institute of Marketing (CIM).

¿Qué son los datos personales?

La información que directa o indirectamente se refiere a una persona física.

GDPR ofrece protección en los siguientes tipos de información:

  • Información racial y étnica, así como orientación sexual
  • Información de identificación, como nombres, direcciones y números de identificación.
  • Datos de salud, biométricos y genéticos.
  • Direcciones IP, datos de cookies, ubicación y etiquetas RFID.
  • Inclinaciones políticas.

¿Qué es la 'accountability' o la responsabilidad proactiva?

Esta armonización normativa es un importante avance hacia un mercado único digital y el cambio de un modelo excesivamente formalista a otro de gestión, en donde el principio de accountability o responsabilidad proactiva es fundamental. En otras palabras, se introduce la responsabilidad de la empresa para cualquier tratamiento de datos que realice directamente o mediante un tercero.

¿En qué consiste el derecho al olvido?

El GDPR refuerza el derecho al olvido, que puede ejercitarse cuando haya síntomas de que la finalidad para la que se recogieron los datos personales se ha vuelto obsoleta o si atenta injustamente contra la imagen personal. En estos casos, el afectado puede solicitar el borrado de sus datos personales.

¿Y el consentimiento?

El consentimiento es uno de los fundamentos del GDPR. Debe ser libre, informado, específico e inequívoco. En otras palabras, exige una declaración o acción afirmativa clara del interesado. También ha de ser verificable: quienes recopilen datos personales deben estar en capacidad de demostrar que el usuario les otorgó su consentimiento, lo que hace importante revisar los sistemas de registro del consentimiento para su verificación ante una auditoría.

El consentimiento ha de ser explícito en estos casos:

  • Tratamiento de categorías especiales de datos.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales.

¿Quién es el responsable de tratamiento de datos personales?

Es la persona jurídica o física que decide la finalidad y los usos de la información. Con la nueva regulación, pasa de una posición pasiva a una activa: debe ser capaz de demostrar el cumplimiento del GDPR, verificable por auditores externos.

Entre sus obligaciones figuran:

  • Llevar un Registro de Actividades de Tratamiento (RAT).
  • Realizar una Evaluación de Impacto en la Protección de Datos Personales (análisis de los riesgos que un sistema de información, producto o servicio puede suponer y la adopción de medidas necesarias para reducirlos o eliminarlos).
  • Incrementar la transparencia.
  • Aplicar los principios de Privacidad desde el diseño y por defecto.
  • Designar un Delegado de Protección de Datos.
  • Notificar las violaciones de seguridad de los datos a la autoridad competente.

¿Quién es el encargado de tratamiento de datos personales?

Presta un servicio al responsable. Los tipos de encargado del tratamiento varían según el servicio que se preste (la finalidad en sí misma puede ser tratar datos personales o el tratamiento de datos personales es consecuencia de la actividad realizada). Debe cumplir con las instrucciones del responsable sobre el correcto tratamiento de la información a la que tenga acceso al prestar el servicio.

¿Y el delegado de protección de datos?

Conocido popularmente como DPO (Data Protection Officer), es un componente clave del GDPR. Su figura es obligada en los siguientes casos:

  • Autoridades y organismos públicos
  • Empresas que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Empresas que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
  • Informa, asesora y supervisa que el responsable y el encargado del tratamiento de datos cumplan con las exigencias del GDPR.

¿Debo preocuparme por el Reglamento si mi empresa está fuera de la UE?

Cada faceta de la interacción del cliente requiere que se cumpla con el Reglamento. Aun cuando una empresa no tenga servidores o presencia comercial en la UE, el GDPR le afecta si:

  • Procesa datos personales de ciudadanos o residentes de la UE.
  • Tiene más de 250 empleados.
  • Tiene menos de 250 empleados, pero recopila y procesa regularmente datos personales.

¿A cuánto ascienden las multas en caso de incumplimiento?

Hasta ahora, la sanción máxima que se podía exigir en España por incumplimiento de la LOPD era de 600 000 euros. A partir de ahora, el máximo será de 20 millones de euros o el 4 % del total de facturación. Siempre se optará por el monto más alto.