28 mayo, 2018 : Qué debería hacer su junta directiva con respecto al GDPR?
El Reglamento General de Protección de Datos (RGPD) entró en vigor el pasado 25 de mayo, y miles de pymes aún se preguntan en qué consiste la nueva ley de protección de datos, y muchas tienen dudas sobre si el RGPD les afecta.
Esperemos que esta entrada aporte algo de claridad a las empresas que han perdido el tren y siguen en el muelle de la confusión.
Un área común de malentendidos es la relativa a las prácticas de marketing y cumplimiento; por qué deben actualizarse y qué papel debe desempeñar su consejo de administración.
Claridad sobre los requisitos del GDPR
Tal vez uno de los principales retos del nuevo reglamento sea la falta de claridad sobre su significado, tanto para las PYME como para las grandes empresas. Y, lo que es más importante, qué deben hacer las empresas para cumplirlo.
La Oficina del Comisario de Información es el representante oficial del Reino Unido para el Grupo de Trabajo sobre el RGPD de la UE y ha sido muy proactiva en sus esfuerzos por aclarar algunos de los requisitos. Se trata de una tarea bastante ardua, ya que gran parte de los detalles no se publicaron hasta hace poco, por lo que fue una tarea difícil de llevar a cabo. Sin embargo, la OIC ha publicado una gran cantidad de contenido que explica los requisitos del RGPD en un inglés sencillo, proporcionando un recurso útil para todos los afectados por el nuevo reglamento.
¿Es realmente tan importante el GDPR?
Es evidente que la nueva normativa ha centrado la atención de un gran número de bufetes de abogados, consultores empresariales y otros, que se apresuran a ofrecer asesoramiento profesional y apoyo a la aplicación. En muchos sentidos, este hervidero de actividad recuerda al de las reclamaciones de PPI. Algunos comentaristas incluso han sugerido que las reclamaciones por incumplimiento y las violaciones de datos probablemente se conviertan en el próximo "escándalo del PPI", por lo que no es de extrañar que tantas empresas no se tomen el RGPD más en serio de lo que lo hacían con la anterior Ley de Protección de Datos.
Las sanciones por incumplimiento son terriblemente significativas. La OIC puede imponer multas de hasta 18 millones de libras esterlinas, o 4% de la facturación mundial de la empresa, a las empresas que hayan incumplido deliberadamente la normativa, o que no aborden continuamente las deficiencias en materia de protección de datos. Sin duda, esta es una razón suficientemente convincente para que cualquier consejo de administración se siente y preste atención y, por lo tanto, es fundamental a la hora de considerar qué debería hacer su consejo de administración con respecto al GDPR.
¿Cómo hacer más sólidos los procesos de consentimiento?
En primer lugar, hay que aclarar la definición del término "tratamiento". Si almacena datos de una persona viva, está tratando sus datos. No ganará una discusión con la ICO si intenta alegar lo contrario. La obtención del consentimiento de las personas para "procesar", es decir, "utilizar" sus datos, ha sido uno de los principales temas de debate del RGPD. En vísperas del 25 de mayo, la OIC publicó sus orientaciones finales sobre el consentimiento, en las que se exponen las diferencias entre el consentimiento y el nuevo reglamento. Estas orientaciones comparan la antigua definición de consentimiento de la Directiva de Protección de Datos con la nueva definición del RGPD de la siguiente manera:
La definición de "consentimiento" del GDPR:
"toda indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que éste, mediante una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de los datos personales que le conciernen"
La anterior definición de "consentimiento" de la Directiva DP:
"toda manifestación de voluntad, específica e informada, por la que el interesado manifieste su conformidad con el tratamiento de los datos personales que le conciernen"
También señala que aunque "los elementos clave de la definición de consentimiento siguen siendo ...., el RGPD es más claro en cuanto a que la indicación debe ser inequívoca e implicar una clara acción afirmativa" y que "esta definición es sólo el punto de partida de la norma de consentimiento del RGPD. Varias disposiciones nuevas sobre el consentimiento contienen requisitos más detallados... En esencia, el RGPD hace mayor hincapié en que las personas tengan opciones claras y diferenciadas ("granulares") por adelantado y un control permanente sobre su consentimiento".
Básicamente, esto significa que sus contactos tienen un mayor grado de elección cuando dan su consentimiento inicialmente y, en el futuro, pueden esperar tener un mayor control sobre la forma precisa en que se gestionan sus datos.
Entonces, ¿el RGPD es sólo una cuestión de consentimiento?
Unos métodos más sólidos de gestión del consentimiento son sin duda un factor importante del nuevo reglamento. Sin embargo, sería incorrecto suponer que el cumplimiento del RGPD consiste únicamente en obtener un consentimiento conforme. En realidad hay otros 5 requisitos legales para el tratamiento de datos personales. Durante el período previo a lo que muchos denominaron "la fecha límite del RGPD", millones de buzones de correo electrónico se vieron inundados con mensajes que animaban a los destinatarios a leer las nuevas políticas de privacidad de los remitentes, en lugar de buscar el consentimiento conforme.
Si su empresa sigue buscando el consentimiento conforme de los individuos, valdría la pena considerar si una de las otras bases es más apropiada. De nuevo, la Oficina del Comisario de Información ofrece orientación al respecto.
El "pánico a la privacidad
En un reciente artículo de BBC News titulado "GDPR: el gran pánico a la privacidad", el corresponsal de tecnología Rory Cellan-Jones habla de los "mensajes cada vez más frenéticos en los que se pide que se acepte". Rory continúa sugiriendo que tales correos electrónicos pueden no ser necesarios y que quizás las empresas no "necesitan realmente enviar un correo electrónico de 'haga clic aquí o desaparezca', en lugar del enfoque menos radical de esbozar su política de privacidad y dar a los destinatarios la oportunidad de darse de baja de la lista de correo".
El peligro de este enfoque particular de consentimiento, dice, es que mientras las organizaciones más grandes pueden estar actuando sobre "el costoso asesoramiento legal de que esta era la ruta más segura a tomar", las empresas más pequeñas pueden seguir su ejemplo, y "arriesgarse a perder el contacto con los clientes que podrían ser vitales para su futuro".
El 25 de mayo no era una "fecha límite".
En una entrevista televisiva el 25 de mayo de 2018, la Comisaria de Información, Elizabeth Denham, dijo "Hoy no es una fecha límite". El 25 de mayo no marca el final del trabajo sobre el GDPR y la protección de datos mejorada. Por el contrario, es el comienzo de una nueva era en materia de comunicación y datos.
Entonces, ¿qué debería hacer exactamente su junta directiva con respecto al GDPR?
En una reciente formación de dos días sobre el GDPR, organizada por Peter Borner, director general de The GDPR Guys, pedimos a los delegados que consideraran cómo las actividades de marketing de su empresa podrían tener que cambiar con la nueva normativa. Con el aumento del marketing en las redes sociales, el RGPD creará sin duda nuevos retos en torno al cumplimiento de las normas de la FCA para el contenido de las redes sociales. Las empresas que tengan previsto realizar más actividades de marketing en las redes sociales tendrán que saber cómo minimizar los riesgos de incumplimiento.
El enfoque responsable de los datos personales
Las empresas que están sujetas a la normativa del GDPR harían bien en fomentar una cultura centrada en el cliente en el lugar de trabajo. La creación de una cultura de respeto y cuidado de los datos personales mejorará la experiencia del cliente y ayudará a proteger la reputación y la marca de la empresa.
Pero es imprescindible que esta cultura comience en la cúspide y se extienda hacia abajo. Por eso la implicación y participación directa del consejo de administración es tan vital. Demostrando las actitudes y los comportamientos que desea que muestren sus directivos y su personal, es más probable que se cumplan cuando se convierta en un cambio cultural dentro de la empresa. Si esto es algo con lo que su empresa lucha, los chicos del RGPD pueden proporcionar orientación para mejorar su cultura corporativa y ayudar a dirigir su empresa en la dirección correcta.
