RGPD: 8 meses después, la oportunidad sigue en pie

Después del «efecto novedad», el Reglamento General de Protección de datos (RGPD) se ha convertido, poco a poco, en una realidad operativa en la relación entre empresas y consumidores en lo que se refiere a la gestión y tratamiento de datos personales. Además de las recientes disposiciones legales que conlleva el RGPD, empiezan a aparecer las primeras multas e inspecciones al respecto.

A nivel europeo, ya existen más de 500 casos de inspección en materia de datos personales. Esta información, según el portal portugués Dinheiro Vivo, la ha transmitido la presidenta del Consejo Europeo de Protección de Datos a inicios de octubre. Por su parte, el Supervisor Europeo de Protección de Datos, Giovanni Buttarelli, según destaca Reuters, indicó que las primeras multas sobre RGPD llegarán a finales del año, afectando a empresas y entidades públicas.

El escenario ya se ha convertido en realidad en el país vecino. El pionero, por las peores razones, ha sido el Centro Hospitalario Barreiro-Montijo, que ya ha recibido multas por parte de la Comisión Nacional de Protección de Datos (CNPD), al amparo del RGPD. En total, el hospital ha recibido multas de 400 mil euros debido a los accesos presuntamente indiscriminados a procesos clínicos de los enfermos por parte de los técnicos y médicos sin la debida autorización.

Cabe recordar que, en el ámbito del reglamento europeo, las sanciones tienen un límite máximo de 20 millones de euros o el 4 % del volumen global de negocios. Las reglas específicas de aplicación del RGPD en Portugal dependen de la publicación oficial de una ley nacional, lo que todavía no ha ocurrido hasta la fecha. En una propuesta de ley aprobada en marzo en el Consejo de Ministros y que terminó por no prosperar, el Gobierno señalaba a la CNPD como autoridad de control nacional del RGPD. Sin legislación nacional, se aplican las disposiciones generales del reglamento europeo.

¿Huir o aprovechar la oportunidad?

Las infracciones previstas en materia de RGPD se han convertido en motor principal de la acción de las empresas en el refuerzo de la protección de datos de sus clientes. Y, por ello, la apuesta clara se ha realizado en e-mails de pedido de consentimiento a los contactos de las bases de datos, recibidos de forma masiva por los consumidores, sobre todo, cerca de la fecha del inicio de aplicación práctica del reglamento, a 25 de mayo de 2018.

Sin embargo, la opción de enviar solo correo de seguridad para «huir de la multa», sin otro tipo de preocupaciones operativas y estratégicas, acaba por alejar la oportunidad real que trae el RGPD para las empresas: la oportunidad de diferenciación para con los consumidores, con una imagen de confianza y responsabilidad.

La confianza de los consumidores da ventajas competitivas a las empresas que no se deberán obviar.  Según la Unión Europea, nueve de cada diez ciudadanos europeos están realmente preocupados con la forma en la que sus datos personales se tratan. El problema es que, pese a eso, hay una percepción general de que las empresas no dan la respuesta a esta preocupación. Un estudio de la consultora PwC confirma que solo el 25 % de los consumidores confían realmente en que las empresas tengan el debido cuidado en la gestión de datos personales. Romper esta percepción y mostrar que una marca se preocupa, realmente, con una gestión cuidada y transparente de los datos de sus clientes marca la diferencia en la satisfacción y fidelización de los clientes.

¿Cómo sacarle partido del RGPD para mejorar los procesos internos?

Para tomar la oportunidad de transmitir confianza a los consumidores es esencial empezar por la adaptación, sistematización y agilidad de los procesos internos. Más que un e-mail para pedir consentimiento es necesario mirar lo que se hace hoy y entender lo que puede ajustarse y mejorar. Y hacer todo de forma ponderada y segura, a la escala de la empresa. El Reglamento empezó a ser de aplicación obligatoria en mayo, pero todavía estamos a tiempo de empezar a autoanalizarnos, organizarnos, mejorar procesos e implementar mejores prácticas.

El primer paso para aprovechar las ventajas del RGPD es estar muy bien informado sobre las disposiciones del reglamento. Consulta, por ejemplo, la Agencia Española de Protección de Datos, que reúne la legislación más relevante sobre este tema

Paralelamente, cabe profundizar tus conocimientos sobre el tema, tenga también en cuenta los cuatro puntos de gran impacto del RGPD en las organizaciones:

1# Reglamento nuevo, vida nueva

Con la llegada del RGPD, es necesario estar consciente de que la mayoría de las bases de datos y ficheros de contacto actuales de las organizaciones se vuelvan obsoletas. No porque los contactos ya no existan, sino porque estos se han obtenido sin el debido consentimiento de uso para fines comerciales. Ante esta realidad, las organizaciones pueden enviar un e-mail de consentimiento, pero la tasa de respuesta será, previsiblemente, muy baja.

La otra alternativa (más disruptiva, pero también más realista) es eliminar, simplemente, las bases de datos para las cuales no hay consentimiento de los titulares y empezar de nuevo los procesos dentro de la legalidad y de forma más transparente. Ten en cuenta que. muchas veces, son estas fuerzas disruptivas que apalancan los negocios y les trae nuevas posibilidades.

2# Conócete a ti mismo, solo así sabrás quién eres (y cómo mejorar)

¿Sabes cuáles son los procesos de recogida de datos existentes en tu organización? Es decir, ¿tienes conocimiento de cómo se recogen los datos, qué tipos de datos son y como se trata la información? La aplicación práctica del RGPD trae consigo la necesidad de autoconocimiento y autoanálisis de las organizaciones sobre la forma en la que se gestionan los datos personales. Este análisis viene a arrojar algo de luz sobre los procesos de las empresas, que ahora tienen una percepción más clara de lo que es necesario cambiar.

Después del análisis inicial, es necesario empezar a implementar cambios. En cada proceso de recogida de información, las empresas deben solicitar y registrar el consentimiento, informar sobre la finalidad de los datos y del tiempo durante el cual se van a mantener. En esta fase, dependiendo de la dimensión de estos procesos y de la propia organización, puede ser útil incorporar herramientas informáticas para simplificar operaciones. Hay, actualmente, soluciones capaces de operar, de forma sencilla, el consentimiento del consumidor y el almacenamiento de los datos personales y sensibles de forma diferenciada.

3# Tener la respuesta lista

El RGPD obliga a las organizaciones a responder rápidamente a un conjunto de solicitudes de los titulares de los datos personales. Con las nuevas reglas, los titulares pueden pedir:

  • El olvido de los datos personales;
  • Un fichero estructurado con sus datos;
  • La no utilización de los datos para determinados fines;
  • La actualización de los datos.

Para cumplir con estas y otras exigencias de la forma más rápida posible y contribuyendo a una mejor imagen de la empresa para los clientes, es necesario optimizar el canal de entrada y de respuesta a estos pedidos. Para aliviar la carga burocrática de estas solicitudes sobre los empleados de la empresa, lo ideal es automatizar procesos e, incluso, implementar un sistema self-service de respuesta a estas solicitudes po la página de la organización.

4# Es necesario ser, no solo aparentar

Este es el punto en el que el RGPD se traduce en mayores desafíos para la vida de las organizaciones: la exigencia de una nueva mentalidad y de nuevos comportamientos. Todos los trabajadores de una empresa, desde la base hasta la cúspide de la pirámide, deben enfocar los datos personales bajo otra perspectiva. Si, cuando recibimos dinero, no lo dejamos en un lugar público sin vigilancia, entonces ¿por qué no somos así tan cuidadosos con los datos personales de terceros? Es necesario adoptar, en todas las circunstancias, esta percepción de que los datos personales son importantes y tienen de que gestionarse de forma cuidadosa.

¿Cómo se puede empezar a cambiar la mentalidad y compartir buenas prácticas? Organiza sesiones internas de aclaración y comparte directrices de buenas prácticas. Por ejemplo, un e-mail de un cliente potencial no puede se puede almacenar en el departamento de marketing sin su consentimiento expreso e informado. Y los datos sensibles no pueden estar accesibles a cualquier persona u olvidados en un pen USB.

Concluyendo, ataca de frente el RGPD y de forma informada. Evita las multas, pero, más que eso, haz que el reglamento sea una palanca para la mejora de los procesos internos de gestión de datos personales, a la adopción de nuevas herramientas y al cambio de mentalidades. Su empresa va a evolucionar y las señales de confianza van a llegar a los clientes y público general, con valor añadido a tu negocio. Esta es una nueva era en la relación con los clientes y tu organización tiene aquí una oportunidad única para diferenciarse.