RGPD: ¿Pasaron la prueba las empresas y los usuarios españoles?

Europa y el mundo piensan diferente en cuanto a la protección de datos, en parte porque han comprendido que no es un tema que atañe solo a las empresas sino a la sociedad en general. La aparición del Reglamento General de Protección de Datos (RGPD) en mayo del año 2018 hizo público un debate en cuanto al alcance de la información que comparten los usuarios y el uso que las empresas dan a dichos datos. Sin embargo, aunque se trate de un asunto que no es del todo ajeno para los ciudadanos europeos (73 % ha oído hablar de al menos uno de los derechos consagrados por el RGPD de acuerdo con EUROBARÓMETRO) aún es mucho el camino por andar no solo en cuanto al grado de conocimiento del texto legal sino a su cumplimiento.

 

La entrada en vigor del Reglamento Europeo para la Libre Circulación de datos no personales en la Unión Europea justamente un año después del RGPD, complementa aún más el escenario de seguridad jurídica que se pretende de cara a un Mercado único digital. Con un carácter B2B, este reglamento -pionero en su clase- facilita que las empresas puedan «procesar sus datos desde cualquier lugar de la Unión Europea» con ventajas que se traducen en optimización de recursos por una parte y  la posibilidad de obtener nuevos negocios, por otra. Ambos reglamentos pueden coexistir sin ningún tipo de conflicto ya que «se ajustan a las normativas ya establecidas en cuanto a libre circulación y portabilidad de datos personales», espíritu que debe prevalecer si se quiere lograr una base sólida para la transformación digital.

 

Lecciones aprendidas -y no del todo superadas- del RGPD

Disminución de campañas agresivas de marketing, mayor control de los datos personales de los usuarios, concientización de la necesidad de dar respuesta a las peticiones de los clientes relacionadas con su perfil, son tan solo algunas de las ventajas que saltan a la vista de los usuarios. En su informe anual, la Agencia Española de Protección de Datos (AEPD) destacó un aumento significativo del número de reclamaciones (33 %) en los meses previos a la entrada en vigor de la normativa y los meses que le siguieron. La figura del Delegado de Protección de Datos (DPD) también contribuyó a que más del 40 % de dichas reclamaciones fueran resueltas.

 

La opinión pública no ve con buenos ojos aquellas empresas que no tienen  como parte de su cultura el respeto de privacidad y la confidencialidad. Se trata, entonces, de un tema que va mucho más allá de las sanciones establecidas (20 millones de euros o hasta 4 % de sus ganancias globales) para convertirse en un asunto de reputación. Siempre que los usuarios tengan bajo sospecha a una empresa, su valor como marca también se verá afectado.

 

Meses antes del RGPD, tanto Whatsapp como  Facebook fueron sancionados por la AEPD con 300 mil euros debido a que «cedieron y trataron» datos  de los usuarios sin su consentimiento. Sin embargo, la multa más significativa hasta la fecha estuvo dirigida a Google por parte de las autoridades francesas por un valor de 50 millones de euros. ¿Las razones? Falta de transparencia, información inadecuada y falta de consentimiento válido de los anuncios. Irlanda también abrió una investigación a la plataforma publicitaria de Google hace tan solo algunas semanas, procesos que también ocurren con otras empresas como Twitter, LinkeIn y Apple.

 

Dentro de este contexto de multas y sanciones, puede que se interprete que las lecciones no hayan sido aprendidas del todo tanto por  empresas como por usuarios y ambos grupos no hayan pasado el examen. He aquí algunas recomendaciones que podrían ayudar a mejorar este escenario.

 

==

Páginas web – información clara para los usuarios

Los usuarios son cada vez más cautelosos a la hora de compartir sus datos personales con páginas web. Incluso, en las redes sociales existe ya un cierto grado de conocimiento al respecto. Un estudio reciente advierte que estarían dispuestos a «darse de baja» de estas últimas en caso de que su privacidad estuviese en peligro. Sin embargo, también indica que las personas también tienden a intercambiar datos personales a cambio de obtener información o por algún tipo de recompensa ofrecida por una página web.

Las empresas no han llevado con rigurosidad la tarea de cumplir con el consentimiento explícito en las páginas web en cuanto al uso de cookies durante la navegación. De acuerdo al asistente virtual de Amazon – Alexa – solo 14 de las 100 páginas más procuradas en España cumple esto. Adicionalmente, a los usuarios no les es tan fácil rechazar las cookies de la misma forma como las aceptan.

Otro punto que tampoco queda del todo claro a los usuarios es el referido a la entidad responsable de realizar el tratamiento de datos, así como los datos que podrían ser almacenados, información que debería estar fácilmente ubicable en el site. Solo el 63 % cumple el consentimiento explícito (Estudio PrivacyCloud)

==

Aplicaciones móviles – protección de la identidad

El uso creciente de las aplicaciones en todo el mundo como una forma efectiva de establecer contacto con el mercado (incremento de 17 % luego de la entrada en vigor del RGPD de acuerdo con datos de Airship) también implica un llamado de alerta en cuanto al tratamiento de los datos. La AEPD hizo un exhorto en cuanto a «la potencial pérdida de control» sustentado en una investigación que demuestra la «existencia de un elevado número de posibles flujos de datos» a través de las aplicaciones móviles. Ejemplo de ello, los sensores que podrían facilitar la identificación del usuario a través de las huellas digitales. En estos casos debe privar el principio de «Responsabilidad Proactiva» consagrado en el RGPD que no es otra cosa que definir qué será tratado, por qué y cómo serán llevadas a cabo las operaciones.

Un ejemplo práctico lo representa la reciente sanción a la aplicación de La Liga Española de Fútbol por un valor de 250 mil euros al considerar que «viola los principios de transparencia al informar sobre el uso del micrófono», argumentando que estaría utilizando la aplicación para escuchar conversaciones de usuarios (se estiman unos 50 mil en todos el país) en lugares públicos como bares, para saber cuáles establecimientos utilizan señales ilegales para la transmisión de la Liga Española de fútbol. Aunque el organismo deportivo indicó que apelará la decisión ante tribunales por considerar que  la AEPD no «ha realizado un esfuerzo por entender cómo funciona la tecnología» retirará la función del micrófono a finales del mes de junio.

Los nuevos desafíos de las empresas antes el RGPD

El espíritu continúa siendo el mismo. Las organizaciones deben tener claras las razones que explican por qué deben proteger los datos de los usuarios y no ver el RGPD como una imposición que pretende acabar con el negocio sino hacerle mucho más transparente en cuanto al contacto con los usuarios.

El hecho de que no sea permitido «bombardear» a los clientes con correos electrónicos implica que las campañas de marketing deben ser cada día más asertivas y pensadas en necesidades concretas.

Y si hablamos de tecnología, esta es una aliada fundamental de las empresas de cualquier tamaño para facilitar el tratamiento de la información y cumplimiento de la normativa europea en términos de productividad, ahorro de tiempo y dinero. Esto es posible a través de la automatización de procesos que aseguran la protección, rastreabilidad y control de acceso a datos personales.

Garantizar la seguridad de la información que tienen en sus manos también es sinónimo del reconocimiento de la transcendencia de los datos en el mundo moderno. Si tenemos en cuenta que para el año 2025 «la economía de datos» representará el 5.4 % del PIB es importante que se alcance la confianza de los usuarios en un contexto cada día más conectado. Precisamente, en junio de 2019 comenzó solo en etapa voluntaria la aplicación del Reglamento  Cybersecurity Act en la Unión Europea, aunque obviamente es un tema que preocupa por igual a empresas y usuarios y constituye un eje fundamental del Mercado único digital europeo.

 

El blog Business at Speed es una referencia obligatoria para aquellos gestores que quieren mantenerse actualizados en temas de competitividad y excelencia empresarial.