El nuevo Reglamento General de Protección de Datos Personales cambiará la forma de obtener los datos de los ciudadanos en todos los Estados miembros de la Unión Europea e implica una concienciación global sobre la privacidad de las personas y de las empresas.
El Gobierno español trabaja en un primer borrador del anteproyecto de ley de modificación de la Ley Orgánica de Protección de Datos (LOPD), un cambio necesario ante la entrada en vigor del próximo Reglamento Europeo de Protección de Datos en mayo del año que viene.
En el primer programa de Mr. Inbound hemos despejado muchas dudas sobre la próxima aplicación del nuevo Reglamento Europeo de Protección de Datos que entrará en vigor en mayo de 2018.
Hemos conversado con Toni Sánchez e Israel Mués, abogados especializados en nuevas tecnologías, sobre las implicaciones que esta nueva normativa tendrá para las marcas y las empresas.
TABLA DE CONTENIDOS
Actualmente, en España tenemos dos leyes vigentes: la Ley Orgánica de Protección de Datos de Carácter Personal, la LOPD, del año 1999 y la ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico. Estas dos normativas son las que se utilizan en la actualidad para regular y legislar las relaciones de las sociedades con el mundo digital.
En mayo de 2018 entrará en vigor el nuevo reglamento europeo de protección de datos y será de aplicación muy similar en la mayoría de los países de la Unión Europea. En España, se va a mantener la LOPD, adaptada a ese nuevo reglamento europeo para no entrar en contradicción con él y evitar posibles conflictos.
Las empresas tendrán que examinar toda la normativa de privacidad de datos que tienen en este momento, porque el consentimiento de los usuarios que prestan su conformidad a que una compañía determinada trate sus datos personales tendrá que cumplir los siguientes requisitos:
Que sea libre: La persona que presta ese consentimiento debe hacerlo de forma libre, sin ningún tipo de coacción.
Que sea informado: La empresa deberá informar en cada caso con qué fines y en qué condiciones va a utilizar esos datos.
Que sea expreso: Se debe manifestar expresamente que se pueden tratar los datos de uno mismo.
Que sea inequívoco: Implica que sin ninguna duda ese consentimiento se dé de forma expresa.
Por este motivo, las empresas deberán revisar sus políticas de privacidad y tendrán que adoptar una serie de medidas de seguridad adecuadas en función del volumen y del tipo de datos que se traten.
De no cumplir este reglamento, las sanciones máximas pueden ir desde los 20 millones de euros hasta un 5 % de los beneficios de la compañía del ejercicio anterior.
El nuevo reglamento dice que se tendrán que adoptar las medidas que se consideren adecuadas en el mercado. En la actualidad en el mercado tenemos normativas ISO y será necesario conocerlas para ver qué medidas es necesario adoptar en cada caso. Algunas veces serán suficientes y otras, insuficientes. La propia Agencia Española de Protección de Datos orientará a las empresas en este sentido a través de comunicados o circulares que irá emitiendo.
La nueva normativa europea implicará un cambio radical en la obtención y captura de datos por parte de empresas y agencias. El mayor cambio va a vendrá dado por la obtención del consentimiento. En la actualidad se permite recibir un “consentimiento tácito”, que significa que si alguien no dice lo contrario se entiende que se acepta la obtención de datos. Este sería el caso de los datos obtenidos mediante las cookies de la web.
En el caso de los formularios, lo que habrá que hacer es un “check box” (casilla de verificación) en el que el usuario pueda marcar su consentimiento hacia todas las finalidades con las que se tratarán sus datos. Este debería estar informado acerca de para qué y en qué condiciones se va a usar esa información.
Aun así, la frontera entre la legalidad e ilegalidad de la “Política de cookies” no está del todo definida. Mientras que el nuevo reglamento es muy estricto en lo que a formularios se refiere, no interpreta una cookie como una forma de obtención de un dato personal.
Quizás dentro de unos meses se interpretará que estas cookies deberán cumplir con el reglamento europeo de protección de datos, pero de momento la Agencia no ha entrado en este debate.
Al igual que en el resto de los casos, tanto en el ecommerce como en el sector del marketing digital, la obtención explícita del consentimiento por parte del usuario para tratar sus datos va a ser el aspecto clave para actuar conforme a la normativa.
Respecto al tema de elaboración de perfiles y segmentación, ponemos un ejemplo práctico: el usuario que compra en un portal suele rellenar un formulario ligado a una política de privacidad. En este caso, sería legal que la empresa utilizase esos datos para realizar campañas de emailing promocionando ofertas vinculadas al portal, como ya se hace hoy en día. Lo que cambiará con la entrada en vigor de la nueva normativa europea será que para realizar, por ejemplo, un análisis de perfiles, se necesitará de nuevo el consentimiento expreso del usuario.
Respecto a los píxeles de seguimiento que se consiguen y utilizan a través de grandes plataformas, deberemos remitirnos a las políticas de privacidad de cada una de ellas.
Más que un cambio en la norma será un cambio en la aplicación de la norma. Habrá que trabajar el tema de la obtención del consentimiento. El consejo de los expertos es dar unas primeras pautas, que se trabajen de forma interna las obligaciones que se van a tener y cómo ejecutarlas y esperar a ver cómo va evolucionando la normativa, el anteproyecto de ley que prepara el Gobierno español, conocer la interpretación de la Agencia Española de Protección de Datos y fijarnos en qué están haciendo la competencia y nuestros referentes.
En función de eso, llegado el momento y antes del 25 de mayo de 2018, deberemos tener preparada nuestra versión de cómo vamos a obtener ese consentimiento para obtener los datos de los usuarios.
En resumen, para cumplir con el nuevo reglamento europeo de datos, estos son los consejos de los abogados expertos Toni Sánchez e Israel Mués:
El consumidor cada vez es más exigente y conoce mejor la normativa en vigor, por lo cual va a ser muy estricto con el cumplimiento de sus derechos.
Respecto a las compañías encargadas del tratamiento, el análisis de datos o la gestión de envíos, es muy probable que se vean obligadas a adaptarse antes porque sus clientes lo van a demandar.
En este caso, habrá que comprobar en primer lugar si esta empresa está adherida al acuerdo de protección de datos “Privacy Shield” y luego saber si ese proveedor dispone de unas cláusulas específicas que cumplan con la normativa de los diferentes países en los que operan. Así, estas plataformas norteamericanas tendrán que adaptarse a la normativa europea si no quieren arriesgarse a recibir las sanciones que antes hemos comentado.
En resumen, lo más importante es que las políticas de privacidad sean lo más transparentes y directas posible para obtener el consentimiento expreso del usuario. Por otro lado, es clave conocer las obligaciones que, como empresa, se van a tener a partir de la entrada en vigor de la normativa, pero sin adelantarse antes de ver cómo va evolucionando todo. El anteproyecto de ley ayudará también a facilitar y a entender la aplicación del reglamento.