Un buen sistema de gestión de la privacidad, y protección de datos de tus clientes, puede generarte una reputación que te distinga de la competencia. Es más, una incorrecta gestión en muchos casos te puede llevar a una crisis reputacional y un impacto directo en tu operación habitual. Si quieres conocer las claves de un adecuado sistema de gestión de la privacidad, lee este artículo.
Muchos gurús indican que los datos son el nuevo petróleo del Siglo XXI... y coincido plenamente con ellos. Las empresas gastan millones de €uros en sistemas de analisis de datos en tiempo real, o con el menor retraso posible. Si, muchos de los datos son propios de la empresa (operativos, analíticos, contables,...) pero los datos que tienen una mayor inversión y que son extremadamente valiosos para las empresas son los datos de "sus" clientes o, incluso, potenciales clientes.
En este punto entramos en el ámbito de la legislación en materia de Protección de Datos que desde la entrada del Reglamento Europeo de Protección de Datos (GDPR por sus siglas en inglés) ha visto reforzada la protección de los usuarios / interesados frente al ímpetu que habían demostrado las empresas en la recogida, tratamiento, perfilado y uso de los datos de cada uno de los interesados en sus productos. La regulación en dicha materia, complementada en España por la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), exige a las organizaciones la implantación de un Sistema de Gestión Efectivo y proactivo para garantizar una serie de puntos destacados:
El primero, un tratamiento licito, transparente y limitado. Estas tres palabras que por si mismas ya tienen una relevancia destacada son aún más importantes si nos paramos a analizar su implicación en el tratamiento de datos de carácter personal. Al indicar que el tratamiento debe ser lícito se refiere a que se hayan cumplido con los preceptos fundamentales establecidos por la ley obteniendo el consentimiento del interesado en aquellos casos que no sea necesario el tratamiento en base a una serie de supuestos establecidos; Transparente porque debe ser un tratamiento informado de forma clara y concisa, no son válidas las formas genéricas que indiquen para "mejorar la calidad del servicio" o "adaptar los productos y servicios a sus necesidades", detallando los derechos que le atienden previo a la recogida de los datos (en ciertos casos muy concretos se permite con inmediata posterioridad a la recepción de los mismos) y facilitando los datos de contacto donde ampliar cualquier información a este respecto ya sea mediante la propia empresa o a través de la Agencia Española de Protección de Datos. Por último, la limitación a la que se refiere este apartado tiene varios vértices desde el que analizarlo. La limitación se refiere a que no se puede tratar los datos para ninguna finalidad adicional a la informada en el momento de la recogida (no me sirve que diga que recojo los datos para emitir la factura y luego haga un perfilado de mis clientes con dicha información). Limitado en el tiempo, los datos deben ser custodiados única y exclusivamente durante el tiempo que sea preciso para la finalidad indicada no siendo posible mantenerlos de forma indefinida o en un plazo de tiempo que no pueda ser justificado por la organización. La limitación también se entiende por limitar la cantidad de datos recogidos , no solicitando más datos de los necesarios para las finalidades descritas (principio de minimización de datos).
El segundo, Deber de demostrar cumplimiento. Hasta la fecha la legislación en materia de Protección de Datos (Ley del año 99 y RD del año 2007) se basaban en una presunción de cumplimiento siendo necesario demostrar el incumplimiento por parte de la Autoridad de Control (AEPD). Esta situación ha dado un giro de 180º, actualmente toda empresa debe disponer de la debida diligencia para demostrar cumplimiento. Dicho escenario exige a las organizaciones un control efectivo de la implantación de los principios requeridos por la LOPD disponiendo de toda la información, procesos y controles documentados para ponerlos a disposición de la Autoridad de Control y demostrar la proactividad de la organización en la implantación de los requisitos establecidos y las medidas técnicas y organizativas necesarias para garantizar la seguridad de la información custodiada.
El tercero, anteponer los derechos y libertados de los interesados. Como decíamos anteriormente, la legislación ha dado un vuelco y ha antepuesto los derechos y libertades de los ciudadanos (o interesados) a los usos y costumbres empresariales. Por poner un ejemplo, en el escándalo de Cambridge Analítica se reporto que dicha organización manejaba unos 4.000 datos de cada una de los ciudadanos registrados en sus Bases de Datos. Este datos es escandaloso pero no hay que ir tan lejos para encontrar empresas que manejan centenares de datos de cada uno de los clientes registrados en sus bases de datos. El perfilado, que lo realizan a través de inferir múltiples valores y asociándolo a personas con preferencias similares, no siempre responde a nuestra persona pero el grado de exactitud con la que nos definen es tan alto que estaríamos ante una situación que podrían influir en nuestro comportamiento o preferencias de compras. Este comportamiento, si bien la legislación es muy clara será muy difícil de modificar ya que las empresas disponen de unas herramientas que les resultan muy rentables y, que según comentan, les situaría en clara desventaja con otras empresas que comercializan los mismos productos y servicios fuera de la UE (si bien la ley les sería también de aplicación, la efectividad de las inspecciones y sanciones son muy difíciles de aplicar en un mundo globalizado).
El cuarto y, para no alargar en demasía el artículo, último. El Delegado de Protección de Datos o DPO (por sus siglas en inglés, Data Protection Officer). La aparición de una figura responsable al máximo nivel de la organización que de garantía de cumplimiento de la legislación ha sido otros de los factores más destacados de la nueva regulación. Dicha figura que debe tener un conocimiento legal, tecnológico y de la organización, debe disponer de una visión global para identificar todos los tratamientos que se están realizando en la organización y tener acceso a la información de los tratamientos realizados con objeto de asegurar el adecuado alineamiento con la regulación existente. En su función de Supervisión y Control es el responsable de asegurar que en la organización se ha dotado de todos los recursos técnico y humanos necesarios para que los principios mencionados sean aplicados en cada una de las organizaciones (en aquellas que voluntariamente lo hayan nombrado, o aquellas que se encuentren sujetas a obligación por la tipología de tratamientos realizados). Adicionalmente, el DPO tiene como función la interlocución con la autoridad de control, AEPD, y con los interesados que soliciten información sobre los tratamientos de sus datos o ejercicio de sus derechos.
La legislación en materia de Protección de Datos es amplia y compleja por lo que en próximos artículos iremos profundizando más en las obligaciones y acciones efectivas para implementar un adecuado Sistema de Gestión de la Privacidad. Mientras tanto, si quieres conocer en más detalle la normativa en materia de Protección de Datos no dudes en contactar con nosotros y estaremos encantados de explicarte más detalles... Somos especialistas en implantación y Auditoría LOPD así como asumiendo el rol de Delegado de Protección de Datos (DPD /DPO), e incluso ostentamos certificación oficial de la AEPD reconociendo nuestra capacitación para asumir el rol de DPO en cualquier organización.
