RGPD, diseñando el marketing desde la privacidad

Publicado el 10 mayo 2018 por Jmgomezzorrilla @gomezzorrilla

RGPD, es el término mas escuchado los últimos meses para los profesionales de marketing digital que buscamos generar leads cualificados, conversión y transacciones económicas online.

En este desconcierto aparecen miles de artículos e informaciones al respecto, empiezan a surgir miles de "expertos" que quieren aconsejarnos y luego cobrarnos.

Como responsables de marketing y marketing digital de marcas y proyectos digitales debemos conocer la implicación que la RGPD o Reglamento General de Protección de Datos va a tener no solo en nuestra a web sino en cómo tratamos y recogemos el dato.

¿Por qué este matiz?

Porque es importante, la normativa afecta al tratamiento del dato en la empresa. No es solo adaptar los textos de política de privacidad, cookies y el proceso de aceptación por parte del usuario web.

Es una metodología y forma de trabajar centrada en el dato dentro de un marco normativo y procedimentado. Por daros un símil, como si tuviéramos que implementar una pequeña norma ISO en nuestra empresa.

Pero vamos a entender con profundidad todos los matices.

Por qué surge el RGPD a nivel europeo

RGPD o Reglamento General de Protección de Datos , como su propio nombre indica es un Reglamento y, por tanto, a diferencia de la Directiva UE que sustituye, se aplica directamente en todos los Estados miembros sin necesidad de norma de transposición interna para su incorporación al Derecho nacional.

Sin embargo, cada uno de los Estados miembro tienen la necesidad de actualizar su legislación nacional de Protección de Datos con la finalidad de alinearla con los mandatos contenidos en el RGPD.

Además de dar contenido a ciertos aspectos que la norma europea permite que se legislen de acuerdo con el contexto del ordenamiento jurídico de cada país miembro.

A pocos días de la aplicación obligatoria del RGPD, pocos son los Estados miembros que han adaptado su normativa interna a los mandatos del Reglamento.

En España, el pasado mes de noviembre de 2017, se aprobó el Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD), que entrará en vigor y será de aplicación el mismo día que el RGPD sea de obligado cumplimiento, esto es el próximo 25 de mayo.

El RGPD y el PLOPD derogarán la actual normativa de Protección de Datos nacional, esto es tanto a la actual Ley Orgánica de Protección de Datos de 1999 como a su Reglamento de desarrollo de 2007.

En cualquier caso, al legislador español le queda un largo camino por recorrer que pasa, entre otros aspectos, por la redacción de un nuevo Reglamento de desarrollo del PLOPD.

Qué conlleva el RGPD para la empresa

El nuevo bloque normativo de Protección de Datos será de aplicación a todas las empresas que traten con datos de carácter personal. Da igual que sea digital o no.

Adoptando la empresa la figura de responsable o encargado de tratamiento, tanto si está ubicado su domicilio social en un Estado miembro como, sin estarlo. Ofrezca bienes o servicios a ciudadanos de la Unión Europea o haga tratamiento de datos sobre ciudadanos de la Unión.

Desde el punto de vista estratégico debemos entenderlo como una ventaja competitiva sin precedentes, ya que, por primera vez, en el mercado del dato, todas las empresas parten de la misma "casilla de salida".

Aspectos a tener en cuenta del Reglamente General de Protección de Datos

Entre las principales novedades de la nueva normativa sobre Protección de Datos destacan:

- Las relacionadas con el consentimiento del interesado en el tratamiento de sus Datos Personales.

- Los nuevos derechos que se le atribuyen.

- Y de entre todos los principios que debe regir cualquier tratamiento de datos, el principio de accountability.

La nueva normativa obliga a que el consentimiento para el tratamiento de Datos Personales del interesado sea inequívoco, libre y revocable.

Añadiendo que deberá darse mediante un acto afirmativo claro, no admitiéndose el consentimiento tácito, para cada una de las finalidades del tratamiento.

En relación con los derechos de los interesados, además de recoger una revisión sobre los tradicionales derechos de acceso, rectificación, cancelación y oposición, conocidos como derechos A.R.C.O., incluye los siguientes derechos:

Derecho a la limitación del tratamiento

Este derecho supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.

Siempre que se den una serie de circunstancias determinadas.

Derecho de portabilidad

Mediante este derecho el interesado podrá solicitar al responsable del tratamiento que sus datos personales se transmitan directamente a otro responsable. Sin necesidad de que sean transmitidos previamente al propio interesado, siempre y cuando sea técnicamente posible.

Derecho de supresión ("el derecho al olvido")

El interesado, en los casos que se cumplan una serie de circunstancias concretas, obtendrá, ejercitando este derecho, el borrado por el responsable del tratamiento de los datos personales que le conciernan, sin dilación indebida.

Nuevos principios del tratamiento de Datos Personales

La nueva normativa ademas presenta una serie de nuevos principios del tratamiento de Datos Personales, como son:

    Los de protección de datos por defecto y desde el diseño, implicando a las empresas a adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se cree la empresa, el producto o servicio o la actividad que implique tratamiento de los datos.
    El principio de transparencia que implica que todas las comunicaciones con el interesado (desde los textos legales Web hasta las formas de ejercitar sus derechos) deberán ser simples e inteligibles, siempre facilitando su comprensión.
    Por último el principio de accountability, una de las piedras angulares e importante novedad respecto de la anterior normativa que, por su importancia y efectos, merece mención aparte.

Qué es el DPD o Delegado de Protección de Datos

Junto con el citado principio, otra de las importantes novedades de la RGPD es la creación de la figura del Delegado de Protección de Datos (en adelante, DPD).

Tiene que tener un conocimiento jurídico en general y en especial en las materias de Protección de Datos, Privacidad y Seguridad. Debiendo existir en determinadas tipologías de empresas, podrá DPD ser interno o externo.

En cualquier caso, el DPD, deberá reportar al más alto nivel jerárquico de la empresa, actuar de manera independiente y cooperar con la autoridad de control, Agencia Española de Protección de Datos (AGPD), no pudiendo ser despedido en el ejercicio de sus funciones.

Las empresas que el día 25 de mayo no estén preparadas para la nueva normativa se enfrentan a importantísimas sanciones.

Optando por la de mayor cuantía, de hasta 20 millones de euros o de una cuantía equivalente al 4% del volumen de negocio total anual mundial del ejercicio financiero anterior.

RGPD y Marketing Digital

La situación puede resultar más inquietante para aquellas empresas dedicadas a campos como el marketing digital. Y que una de sus principales fuentes de ingresos sea trabajar con la monitorización del dato.

La cuestión que debemos plantearnos es: ¿se puede continuar haciendo negocio?

La respuesta es ¡sí!.

Pero siempre que la entidad sea capaz de adaptarse al cambio, siguiendo una estrategia y un sistema de gestión de Datos Personales que se sustente en el principio de accountability.

El principio de accountability

Este principio implica que nace una obligación del responsable del tratamiento de aplicar las medidas técnico/organizativas apropiadas con el fin de garantizar y poder demostrar, en cualquier momento, que el tratamiento que realiza es conforme con la norma.

Esto se traduce en que todas las empresas deberán hacer un análisis de:

1. Qué datos tratan.

2. Con qué finalidades lo hacen.

3. Y qué tipo de operaciones de tratamiento llevan a cabo.

Partiendo de estos puntos deberán determinar de forma explícita la forma en la que aplican las medidas que la normativa prevé. Asegurando que estas sean las adecuadas para el cumplimiento del mandato legal y de poder demostrarlo, en cualquier momento, tanto a los interesados, como ante las autoridades de control y supervisión.

¿Qué novedades en materia de Protección de Datos conlleva la aplicación del principio de accountability del RGPD?

* Registro de las actividades del tratamiento de datos.

Una de las consecuencias de este principio es que las empresas deberán llevar a cabo un registro de las actividades del tratamiento de los datos. Esto sustituye a la obligación de notificación de ficheros a la autoridad de control.

Pero se deberá determinar cuál es la base que legitima a la empresa para el tratamiento de datos personales y la finalidad del tratamiento.

* Seleccionar a los encargados del tratamiento.

Otra de las consecuencias es que el responsable del tratamiento tiene la obligación de seleccionar solo a aquellos encargados del tratamiento que aporten suficientes garantías de cumplimiento normativo.

La adhesión a códigos de conducta o contar con la certificación de entidades autorizadas, servirá como medio acreditativo del cumplimiento de las obligaciones legales.

* Medidas de seguridad diseñadas.

Consecuencia del principio de accountability será, también, la obligatoriedad de determinar qué medidas de seguridad deben aplicarse al tratamiento de datos personales.

Siempre teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

La normativa habla de la aplicación de las medidas técnico/organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, sin concretar qué tipo de medidas deben aplicarse.

Entre las medidas cabe destacar que se deberán realizar las denominadas evaluaciones de Impacto sobre la privacidad en aquellas ocasiones que el tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de los ciudadanos.

* Control y comunicación.

La última de las consecuencias a destacar del citado principio es la obligatoriedad del establecimiento de formas de control y comunicación tanto a los afectados como a la autoridad de control de las violaciones de seguridad.

En cualquier caso, para la violación de seguridad deberá ser comunicada y solventada en un plazo máximo de 72 horas.

Como decíamos en líneas anteriores, tenemos que entender este cambio legislativo como el momento oportuno de realizar una inversión. Inversión que, sin duda, se traducirá en una ventaja competitiva sin precedentes, teniendo en cuenta que, como todas las empresas parten de la misma "casilla de salida", aquellas empresas que mejor se asesoren y mejor cumplan con el principio de accountability.

Es el momento de adaptarse a la nueva cultura del dato y la privacidad, para generar la confianza en los interesados, posicionando nuestra marca por delante de los competidores.