Por Deborah Gray, fundadora y directora de la agencia Canela PR.
El reciente escándalo de Cambridge Analytica, firma británica acusada de usar ilegalmente información de 50 millones de usuarios de Facebook para influir en procesos electorales como el Brexit o la elección de Trump, ha vuelto a poner de manifiesto la inquietud por la privacidad de los datos personales. En este contexto, próximamente se empezarán a aplicar en España dos novedades legislativas que están relacionadas con este ámbito: el Reglamento General de Protección de Datos (RGPD); y la nueva Ley Orgánica de Protección de Datos (LOPD).
Aunque se trata de dos textos legales estrechamente relacionados, conviene aclarar que no son lo mismo. El RGPD es la normativa europea de protección de datos que se aprobó en 2016 y que comenzará a aplicarse el 25 de mayo de 2018; mientras que la nueva LOPD es la modificación de la normativa española de protección de datos que se presentó en noviembre de 2017, pero que aún no ha sido aprobada. En caso de que no llegue a tiempo, a partir de mayo la normativa principal será el RGPD y en todo lo demás seguirá vigente la LOPD actual.
Ambas normativas incorporan importantes novedades como las indicadas a continuación.
Novedades del RGPD
- Deberán cumplir el RGPD todas las empresas que traten datos de ciudadanos europeos, aunque no estén establecidas en la Unión Europea.
- Los usuarios deberán manifestar un consentimiento explícito para el tratamiento de sus datos; la edad mínima será a partir de los 16 años.
- Las empresas deberán explicar cómo realizan el tratamiento de los datos personales de forma concisa, transparente e inteligible.
- Si se produce una infracción de datos, la empresa deberá notificarlo a la autoridad de control y a los usuarios afectados en 72 horas.
- Se crean nuevas categorías de datos (genéticos y biométricos), así como nuevas garantías como el derecho al olvido o a la limitación del tratamiento.
- Todas las empresas deberán contar con un Delegado de Protección de Datos. Podrá ser un empleado cualificado o un proveedor externo.
- Las empresas que ceden datos a otros proveedores serán responsables en caso de incumplimiento del RGPD por estos terceros.
Novedades de la LOPD
- Los menores podrán dar su consentimiento al tratamiento de los datos a los 13 años.
- Ya no será necesaria la inscripción de ficheros en la Agencia Española de Protección de Datos, pero se establece un registro de actividades de tratamiento.
- Los familiares o herederos tendrán derecho a acceder, modificar o borrar los contenidos online de personas fallecidas (por ejemplo blogs o redes sociales).
- Antes de enviar una comunicación comercial, será necesario verificar que el destinatario no figure en una lista de exclusión publicitaria (Listas Robinson).
El verdadero valor de los datos
Hasta ahora, la protección de los datos no había sido una gran prioridad para las empresas en España. Por ejemplo, según la Memoria de la Agencia Española de Protección de Datos (AEPD), en 2016 cuatro de cada diez empresas no había registrado sus ficheros de datos personales en el Registro General de Protección de Datos. Por otro lado, un estudio de Click Datos señalaba que en 2017 la mitad de las pymes no disponía de un aviso legal en su página web. A pesar de eso, en 2016 la AEPD solo impuso 2.956 sanciones por estos motivos.
Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos y la nueva Ley Orgánica de Protección de Datos que lo acompaña, las consecuencias de infringir la normativa serán mucho más graves. El RGPD contempla un régimen de sanciones que pueden llegar a los 20 millones de euros o hasta el 4 % de la facturación anual de la empresa.
¿Qué pueden hacer las empresas para adaptar sus estrategias de marketing y comunicación a este nuevo escenario? El primer paso será asegurarse de cumplir las nuevas normativas, para lo cual deberán contar con expertos en protección de datos internos o externos. Estos expertos les ayudarán a tratar los datos personales como lo que son: uno de los activos más valiosos de una empresa. Por tanto, deberán protegerlos con sistemas de cifrado, control de acceso, etc. como se hace con la información financiera o de propiedad intelectual.
En segundo lugar, las empresas tendrán que informar a los usuarios de las medidas que han adoptado para proteger sus datos y asegurarse de que todos los proveedores con los que trabajan cumplen la normativa, o deberán responsabilizarse de las posibles infracciones que cometan. Además, las empresas tendrán que aprender a usar los datos personales con moderación, porque si abusan de ellos los usuarios les negarán el “privilegio” de utilizarlos.
Finalmente, muchas empresas deberán replantearse sus estrategias comerciales basadas en el outbound marketing (perseguir a los clientes) para evolucionar hacia el inbound marketing, (atraer a los clientes con marketing de contenidos, relaciones públicas, influencers, etc.) Las viejas prácticas, como el envío masivo de comunicaciones comerciales a bases de datos, no solo quedarán limitadas por las nuevas normas, sino que serán contraproducentes.
Como demuestra el caso de Cambridge Analytica, los datos personales pueden ser más valiosos que el dinero debido a la influencia que permiten, ya sea en un proceso electoral o un proceso de compra. ¿No es hora de que empecemos a tratarlos con el respeto que merecen?