En menos de un año, el 25 de mayo de 2018, el nuevo reglamento europeo sobre protección de datos (Reglamento General de Protección de Datos) entra en vigor. Cubre todos los actores económicos y sociales que recogen, procesan y almacenan datos de carácter “personal», término que abarca muchos más datos de lo que parece. Para los legisladores, los datos personales no son sólo los datos personales de los archivos de clientes de las empresas, sino que se refieren a todos aquellos datos que, potencialmente (procesados, cruzados o cotejados), puedan servir para identificar a una persona, directa o indirectamente.
Por supuesto, en el contexto del negocio, es necesario identificar, localizar, caracterizar e identificar a los clientes. El RGPD no cuestiona esto, pero impone a las empresas aclarar las normas y procedimientos de tratamiento de datos para reducir el riesgo de identificación de las personas y de violación de su privacidad a partir de los datos almacenados en sus sistemas información. Al igual que cualquier nuevo requisito reglamentario, la RGPD aparece por primera vez como una restricción, bastante fuerte, de hecho, dada la cuantía de las sanciones por incumplimiento: hasta el 4% de la facturación global de la empresa o 20 millones de euros.
Pero el RGDP también proporciona a las empresas la oportunidad de cerrar un nuevo pacto de confianza con sus clientes siendo transparentes acerca de lo que hacen con sus datos, tema sobre el que los clientes están lejos de mostrarse indiferentes y sobre el cual no confían realmente en las empresas. De acuerdo con una encuesta de Wavestone realizada en 6 países (China, Francia, Alemania, Italia, Reino Unido y EE.UU.), la mitad de los ciudadanos cree que su información es utilizada para fines distintos de aquellos para los que han aprobado su uso.
Información de los clientes: clara, precisa y breve
El principio de transparencia defendido por el RGPD exige, según se recoge en el texto oficial de 27 de abril de 2016, que la información sobre el tratamiento de datos personales debe ser «fácilmente accesible, fácil de entender, y formulada en términos claros y sencillos» [art. 39]. Esto no es realmente nuevo, pero si pensamos en las políticas de confidencialidad y privacidad de la mayoría de sitios web, o peor, de las redes sociales, no está de más insistir en la necesidad de claridad, inteligibilidad y brevedad en dichos textos. Los actuales documentos de divulgación escritos por los departamentos legales son tan técnicos y largos que incluso conociendo los riesgos y a pesar de ser cada vez más conscientes de la importancia de proteger nuestra privacidad, no los leemos. Como consumidores, todos nos limitamos a marcar la casilla que indica que hemos leído el texto (sin haberlo leído) y aceptamos las condiciones.
La oportunidad es aprovechar la entrada en vigor del RGPD para reescribir la política de privacidad de la compañía pensando un poco más en los clientes que tendrán que leerla. Es especialmente importante que ahora la empresa tendrá que recoger el consentimiento explícito del cliente (o su negativa) sobre los usos y los tratamientos que va a hacer de los datos que recopila.
Esto perturbará los hábitos de opacidad de más de un gigante de internet y otros intermediarios de datos. Compañías como Facebook ya han sido multadas por violaciones de la Ley de Protección de Datos en su gestión de los datos personales del usuario. Las razones de la multa son interesantes: Facebook ha sido acusada de «proceder a combinaciones masivas de datos personales de los usuarios a efectos de la segmentación publicitaria,» cuando los usuarios «no han dado su consentimiento y no pueden oponerse a ello». También se ha acusado a Facebook de no recoger el consentimiento expreso de los usuarios cuando se informan de datos sensibles en sus perfiles, especialmente sus opiniones políticas, creencias religiosas o su orientación sexual.
Consentimiento de los clientes: obtenerlo y guardar la prueba
Los clientes deben decidir conscientemente, a partir de un texto que establece claramente a lo que se comprometen y a qué se compromete la empresa. No hace falta decir que esta obligación de informar no cubre los mismos aspectos si la empresa es una institución de salud, un banco, una tienda especializada en ropa o un proveedor de energía. Pero, en cualquier caso, el procesamiento de los datos personales ahora debe basarse en el consentimiento de todos los involucrados para cumplir con la legalidad. La materialización de este consentimiento debe ser inequívoca y la carga de la prueba del consentimiento es responsabilidad del responsable de tratamiento de los tratamientos (o lo que es lo mismo, el negocio o proveedor de servicios).
Esto es menos sencillo de lo que parece, ya que cada cliente puede cambiar de opinión: puede permitir usar sus datos durante un tiempo, a continuación, no consentir que se utilicen, y después, con ocasión de una nueva oferta o proyecto, aceptar de nuevo. En caso de litigio, la empresa debe ser capaz de demostrar que, cuando utilizó los datos del cliente, tenía todos los derechos para usarlos.
¿Estará tu empresa preparada en mayo de 2018?
Los ciudadanos y los consumidores cada vez se tomarán menos a la ligera todo lo relacionado con la protección de sus datos personales y su intimidad. El RGPD les reconoce más derechos y más capacidad de control. La pregunta es si las empresas van a tomar las medidas necesarias para estar listas en el momento en que haya que aplicar la nueva regulación, ya que sus implicaciones, obviamente, no se limitan a los dos puntos que se mencionan en este artículo. Por el momento, el cumplimiento a tiempo es dudoso ya que gran parte de las empresas no conocen el RGDP y otras muchas reconocen que no van a estar listas para aplicarlo.
La banca y los seguros, que pudiéramos pensar que están a la vanguardia en estos temas, tampoco están tan avanzados. En ambos sectores, sólo un tercio de los responsables de seguridad y protección de los datos consultados por Capgemini Consulting afirma que su organización se encuentra en un estadio avanzado en el cumplimiento del RGPD. Sólo el 21% actualiza la cláusula de consentimiento cada vez que su política de seguridad y privacidad se actualiza, y el 78% admite que su organización mantiene los datos de personas que han dejado de ser clientes durante un período de hasta 10 años. Lo que no dice el estudio es qué hacen con esos datos.
Los riesgos de imagen y reputación para la empresa, así como las sanciones financieras en caso de incumplimiento con el RGPD, deberían impulsar a las empresas a acelerar su cumplimiento. Lo que está en juego para todas las organizaciones es la confianza de sus clientes, sabiendo que si acceden a ceder los datos personales, esperan a cambio una mejora de los servicios prestados, más personalización, e incluso beneficios financieros. Las empresas, que durante mucho tiempo se han beneficiado de la asimetría de la información sobre los datos personales, tendrán que aprender a cuidar a sus clientes.
