La constante evolución tecnológica y los procesos de transformación digital que experimentan las actividades vinculadas al tratamiento de datos personales son el origen del nuevo Reglamento General de Protección de Datos (RGPD). La norma será aplicable a partir del 25 de mayo de este año (entró en vigor en mayo del 2016) y afectará a cualquier empresa que opere en la Unión Europea; empresas y organizaciones europeas, pero también aquellas internacionales que gestionan datos de usuarios residentes en la Unión Europea. Su objetivo es el de proteger los derechos de los consumidores, es decir, sus datos personales, que son en la actualidad moneda de cambio para numerosas empresas a través de sus webs, apps o mailings.
El nuevo reglamento incide en la manera en la que esas empresas, tanto las administraciones públicas como el sector privado, procesan esa información. Las sanciones por incumplirla son elevadas, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación anual.
La reforma sitúa en el centro los derechos de los usuarios y pone deberes a las empresas para adaptarse a las nuevas exigencias. Exigencias que las empresas pueden convertir en oportunidades: la oportunidad de ser más transparentes en sus procesos de gestión respecto a sus públicos externos, la oportunidad de prestar un mejor servicio gracias a los protocolos internos de tratamiento de la información, la oportunidad de detectar y corregir vulnerabilidades en los sistemas de recogida y almacenamiento de esa información o la oportunidad de pulir sus bases de datos y mejorar la calidad de los contactos. En definitiva, las oportunidades que se plantean pasan por la capacidad de anticiparse, llevando a cabo un tratamiento de datos escrupuloso y de calidad. Precisamente esa anticipación, que supone un cambio de enfoque, es una de las novedades del nuevo reglamento.
No se trata de actuar cuando se detecta una situación crítica, sino de diseñar los protocolos y políticas de privacidad desde el origen, es decir, privacidad desde el diseño o impacto de la privacidad, partiendo del tipo de datos que trata la empresa y el riesgo potencial que implicaría para el usuario un tratamiento indebido de esos datos.
Cómo vamos a recabar los datos del usuario, cómo informaremos al cliente del tratamiento de sus datos o cómo almacenaremos la información son algunos de los interrogantes a los que se debe dar respuesta con el objetivo de anticiparse.
“En Cuatroochenta estamos encarando el nuevo reglamento en positivo. De cara al usuario se le va a ofrecer una explicación más detallada sobre la información que se le está requiriendo y para qué. Además, las empresas tienen que asegurar un tratamiento correcto y seguro de la información que éstos les ceden. Todo ello va a repercutir en una mejora del control de la información que el usuario cede en el uso de servicios”.
David Esteve, Developer Team Leader en Cuatroochenta
"El RGPD pone en evidencia algo que los desarrolladores tenemos muy interiorizado, si el producto o servicio es gratuito, es que el precio son tus datos"
Iván Sorribes, responsable del equipo de desarrollo de apps en Cuatroochenta.
En España, las empresas que en la actualidad cumplen con la Ley Orgánica de Protección de Datos (LOPD) simplemente deben adaptarse a las modificaciones y nuevas obligaciones que recoge el reglamento europeo. A continuación, exponemos las principales novedades para ponerse al día:
Se refiere a la actitud “consciente, diligente y proactiva” que deben adoptar las empresas respecto al tratamiento de datos personales que lleven a cabo. Dependiendo del tipo de datos que trate la empresa, se debe determinar la categoría e importancia dentro de las actividades de tratamiento. Al mismo tiempo, el reglamento indica que las empresas deben identificar los elementos tecnológicos implicados en la gestión de datos (cloud, BBDD, servidores). La actitud proactiva también se refleja en acciones como la comunicación de brechas de seguridad (accesos no autorizados o intentos de intrusión) que deben ser notificadas a la autoridad de control que corresponda en un máximo de 72 horas.
El RGPD obliga a ofrecer a los usuarios más detalles sobre el tratamiento que recibe su información. Existen diferentes canales para informar. Por ejemplo, avisos en páginas webs, espacios reservados en formularios o carteles informativos. Además de contemplar distintos canales, la información puede suministrarse en diversos momentos, como cuando se recogen los datos de los empleados o los datos para contratación con los clientes. Inevitablemente esto implica revisar los avisos de privacidad y bases legales, para lo que es importante tener en cuenta que no basta con que conste la información, también debe ser fácil de entender.
El “enfoque de riesgo” es la variable que permite determinar si deben aplicarse o no determinados supuestos del reglamento. De hecho, algunas medidas sólo se aplicarán “cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten”. En síntesis, dependiendo del riesgo al que se exponga el usuario que facilita los datos, las empresas deben aplicar determinadas políticas de privacidad. La Asociación Española de Protección de Datos (AEPD) cuenta con una plantilla de análisis para que las empresas valoren la necesidad de realizar la Evaluación de Impacto sobre la Protección de los Datos (EIPD), disponible en la Guía Práctica de Análisis de Riesgos en los Tratamientos de Datos Personales sujetos al RGPD. No todas las empresas deben realizar la EIPD, pero en caso de no ser necesario, sí que deben constar los motivos por los que la empresa está exenta de hacerla.
El reglamento europeo comenzará a aplicarse con independencia de si los países miembros han adaptado la norma. Parece que España no llegará a tiempo, en febrero comenzaron los trámites parlamentarios para aprobar el proyecto de Ley Orgánica de Protección de Datos.
Es la figura responsable que debe velar por el cumplimiento del nuevo reglamento y que, además, será el enlace entre la empresa y la autoridad de control. Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora”. Las entidades interesadas en obtener la acreditación para certificar al DPD deben ponerse en contacto con ENAC, si bien es cierto que el delegado puede ser interno o externo a la empresa.
“Garantizar una adecuada gestión de riesgos requiere la monitorización continua de los riesgos”. No sólo se trata de un análisis previo que permita concluir cuál es el estado actual y corregir los procesos no adaptados al nuevo reglamento, sino que debe existir un protocolo de seguimiento periódico. El contexto es cambiante así que también lo será la foto inicial que se lleva a cabo. De aquí la importancia del seguimiento continuo.
El nuevo reglamento dota de más derechos de control a los usuarios como el derecho al olvido y el derecho a la portabilidad de los datos.
Consentimiento “explícito, inequívoco y verificable”, esto implica que el usuario haya dado activamente su consentimiento, pero además, la empresa deberá poder justificarlo ante una auditoría.
El sistema trata de simplificar los procesos a los usuarios, la ventanilla única permite al consumidor tener un único interlocutor. Al mismo tiempo, implica que la autoridad de protección de datos europea, según petición, deberá valorar si tiene carácter transfronterizo y coordinarse con otras autoridades de protección de datos. La ventanilla única afecta únicamente a empresas con presencia en más de un estado miembro.
El nuevo reglamento suprime la exigencia de crear los ficheros y notificarlos al Registro de protección de datos de las autoridades de control. A partir de este mes de mayo no se registran los ficheros en la AGPD, sino que se exigirá un registro de tratamiento de actividades con documentación interna.
En el contexto actual, en el que los usuarios interactúan con las marcas el doble desde móvil que desde cualquier otro canal (televisión, tienda física, etc.) y en el que la navegación móvil es eminentemente app (80% del tiempo invertido por los usuarios) es coherente que la adaptación al RGPD se lleve a cabo pensando en entornos móviles. No en vano, las apps recopilan gran volumen de datos personales: los que los propios usuarios introducen durante el registro, la información que se almacena a partir del comportamiento del usuario, la conexión con otros servidores para funcionalidades como envíos vía e-mail, la opción de compartir en RRSS, etc.
Los desarrolladores deben diseñar las aplicaciones en base a las nuevas exigencias recogidas en la normativa y, entre otras cosas, esto pasa por incluir enlaces a la política de privacidad previa a la instalación, por ofrecer los datos de contacto del responsable de protección de datos de la empresa, por incluir formularios para que los usuarios puedan ejercer sus derechos (derecho de portabilidad) o por incorporar casillas de verificación sin marcar por defecto para que el consentimiento del usuario sea activo.
El objetivo es que las empresas se anticipen para poder gestionar los riesgos derivados del tratamiento de datos y proteger esa información. ¿Cómo?, también el móvil parece la respuesta en determinados supuestos. Por ejemplo, a través de sistemas de doble autenticación, que conviertan al móvil en herramienta para identificar al usuario. “El móvil ya lleva un tiempo sirviendo para los sistemas de doble autenticación sustituyendo en muchos casos a los correos de confirmación”, señala Esteve, “y la tendencia claramente va a continuar y estos sistemas de validación de identidad continuarán en uso creciente”. De hecho, la protección de datos del usuario con huella dactilar (Touch ID) e incluso reconocimiento facial como el Face ID de Apple son una realidad.
“La gran ventaja de los dispositivos móviles es que, generalmente, se pueden aceptar o declinar los permisos de forma individual. Aplicar este esquema a otras plataformas puede ser muy positivo, favoreciendo que los usuarios hagan uso de un servicio simplemente deshabilitando los permisos de los que desconfían, en lugar de declinar el uso del servicio en su conjunto”
David Esteve, Developer Team Leader en Cuatroochenta
Las novedades del reglamento evidencian cómo el RGPD exige un mayor compromiso de las empresas con la protección de los datos de los usuarios. Si bien es cierto que se trata de una exigencia externa a las organizaciones, es decir, llega como una imposición, la adaptación a la norma revertirá en positivo en términos de confianza hacia las empresas comprometidas con las buenas prácticas de gestión de datos de los usuarios.
De hecho, la caída de las acciones de Facebook tras el escándalo Cambridge Analytica no hace más que confirmar cómo la reputación de las marcas y su capacidad de generar confianza con sus públicos tiene impacto en la cuenta de resultados. La caída en el valor de sus acciones tras saltar la noticia es muestra de ello.
Escándalos como el de Cambridge Analytica son ejemplo del cambio de tendencia en patrones y motivaciones de los consumidores ante la adquisición de productos y servicios.
Hay estudios que avalan como los consumidores apuestan cada vez más por empresas con valores. El segundo estudio Marcas con Valores, elaborado por 21 gramos junto a Corporate Excellence y Nielsen, destaca que valores como la transparencia, la confianza o la honestidad de las marcas condicionan las decisiones de compra. Según el estudio, “el 80% de los españoles compra en función a otros valores más allá de una buena calidad o precio”.
Este cambio de tendencia hacia consumos más responsables brinda nuevas oportunidades a las empresas como el ser coherentes con sus propios valores, de forma que vean retornos positivos en el hecho de alinear sus acciones con los valores de marca y mostrarse ante potenciales consumidores como empresas más transparentes y comprometidas con su entorno, justo lo que el nuevo reglamento reclama a sector privado e instituciones.
