Sí, estás esperando el día 25 preguntándonte lo que de verdad te interesa del RGPD, como todos:
-¿Pero qué es el RGPD ese, y por qué todo el mundo habla ahora sobre no se qué reglamento?
-Ah, protección de datos, pero si la Ley de protección de datos ha existido siempre. ¿A qué se debe esta locura colectiva?
Pues como casi siempre en lo que a leyes y juzgados se refiere, la locura se debe a unos plazos que se acaban, y en este caso a España se le pasa el plazo para adaptar su ley de protección de datos al Reglamento Europeo.
Cumpla, o no cumpla España en plazo el reglamento será directamente aplicable en Mayo de 2018 y las empresas tendrán que ponerse al día si quieren evitar las sanciones (Por cierto ¿Sabías que España es el país que más incumple los plazos europeos en cuanto adaptación de normativa?)
Yo sé que probablemente la hagas porque es obligatoria y no quieres que la Agencia de Protección de datos te multe (Que dicho sea de paso las sanciones son bastante altas y pueden llegar a 10 y 20 millones de euros o el 2% y el 4% del volumen de negocio según la gravedad de la infracción).
Pero si realmente quieres generar confianza en los tus usuarios y garantizar su seguridad, debería importarte no solamente que esté hecha sino que esté bien hecha. Para que tu marketing sea verdadero, este debe ser consensuado y comprometido con los derechos de los usuarios. Y uno de los derechos de tus potenciales clientes es el de decidir quién quiere que recoja sus datos y para qué los va a usar. Por lo que proteger esos datos no debería parecerte una mera gestión administrativa que se puede hacer de cualquier manera sin prestarle mucha atención. No hay nada peor que un usuario que piensa que el marketing de la página que acaba de visitar es invasivo y demasiado intrusivo.
Actualmente vivimos en la era del algoritmo y los datos. Las decisiones que afectan nuestras vidas están tomados sobre tus datos personales. Sobre esos datos se forman modelos que luego se transforman en algoritmos que descifrará una máquina que tomará decisiones sobre ti y sobre tu futuro. Datos sobre ti, que van desde qué compras, tu solvencia económica o cuales son las creencias políticas y religiosas de tu familia.
Llegados a este punto te preguntarás:
«Pero ¿eso solo afectará a las grandes empresas que son las que hacen transferencia de datos entre ellas, no?»
Pues lamento comunicarte que el RGPD afecta también y sobre todo a las pequeñas y medianas empresas y es especialmente estricta si operas en el mundo digital, o haces campañas de Facebook Ads o tienes lista de suscriptores. Recuerda que aunque tú no seas una empresa grande, usas herramientas de las grandes ¿Te suena el escándalo de la transferencias de datos a EE.UU y el safe harbor? No solamente usas Facebook, sino que puede que uses Mailchimp, y seguro que usas Google Analytics. Y las tres tienen su tratamiento de datos en EE.UU por lo que se complica la cosa.
Al cabo del día escucho varios malentendidos sobre la LOPD y su reglamento RGPD
Vayamos a por algunos de ellos
«Esto es un sacacuartos
¿Ahora necesito pagar en nómina a un responsable fijo que supervise lo que hacemos?»
Sí, y no, en el RGPD se crea la figura del Delegado de Protección de Datos.
Necesitarás un Delegado sí, pero únicamente si utilizas bases de datos de organismos públicos o si por la naturaleza de tu empresa te dedicas al tratamiento de datos masivamente.
También necesitarás un delegado si tratas a gran escala con datos que incluyan información personalísima como origen étnico o racial, opiniones políticas, convicciones religiosas, orientación sexual, o datos genético o biométricos dirigidos a identificar de manera unívoca a una persona física.
Por ejemplo si eres una empresa de BIG DATA, o una asociación para personas migrantes sin hogar, necesitarás un delegado en plantilla o contratarlo mediante un servicio externo según te convenga.
Tú, que los únicos datos que usas son el nombre de tu cliente, el de su mascota, y analizas sus patrones de consumo, no necesitas un Delegado, pero sí necesitas aplicar esta ley en otros puntos.
«¿Entonces necesito un abogado que me realice la adecuación de mi negocio al RGPD?»
Depende de lo que entiendas por necesitar, en realidad lo que necesitas es que esté bien hecha, si tú crees que tienes la formación necesaria y sabes hacerla adelante, pero si vas a pasar horas y horas buscando en google, preguntando en comentarios de foros y al final cuando la acabes no estarás seguro de si está bien hecha o no, te recomiendo contar con alguien, no tiene por qué ser un abogado pero sí aun profesional con formación en protección de datos.
«¿Y la auditoría? ¿Qué es? Me han dicho que me la puedo saltar»
La auditoría sirve para detectar errores y asegurarnos de que se se están aplicando correctamente las medidas que se acordaron para cumplir el RGPD en tu empresa. Hasta ahora el informe de auditoría no se tenía que enviar a ninguna parte, aunque con la adaptación de la ley ya veremos qué pasa.
Muchos de mis clientes piensan que si la auditoría solo se trata de tener un documento guardado en el ordenador, mejor se la ahorran aunque lo mismo piensan de la adaptación al reglamento de protección de datos.
Si no quieres no lo hagas, lo mismo tienes suerte, es verdad que las inspecciones son pocas y que son como una lotería, pero si luego te toca y tienes que pagar 40.000€ a mí no me mires. Normalmente inspección actúa por denuncia, y si lo tienes todo al día evitarás posibles denuncias de terceros que puedan acarrear inspecciones y elevadas sanciones.
Imagínate que estoy en tu lista de suscripción y no tengo forma de cancelarla y no me respondes a los e-mails, es probable que pueda denunciarlo a Agencia de Protección de Datos, o igual tienes suerte y no lo hago, pero seguro habrás perdido una potencial futura cliente por no darme el servicio adecuado. Recuerda que no solo te conviene por evitar sanciones, sino por no perder clientes.
«¿Qué pasa con las redes sociales?
El tratamiento de datos que hace Facebook no es mi problema»
Efectivamente Facebook necesita del consentimiento de sus usuarios para tratar sus datos comercialmente, de la misma forma tú necesitarás el consentimiento de los usuarios de Facebook si vas a usar sus datos vertidos en la red para tus propios fines comerciales. También necesitarás consentimiento de tus usuarios si vas a publicar sus fotos en las redes o vas a recoger sus datos personales para un sorteo, cuidado también si te han dejado un correo o teléfono de contacto en uno de los comentarios la publicación o si se instala un servicio de comentario de contenidos prestado por terceros.
Cuestión de consentimiento
Como puedes comprobar todo es cuestión de consentimiento, la ley no te dice cómo hacerlo, lo que te dice es que tienes que pedirlo para cada uno de los fines para los que los vayas a usar de manera clara e inequívoca. Si el permiso lo obtienes dentro de Facebook o fuera es tu decisión, al igual que la metodología usada para obtener el consentimiento, que puede ir desde la política de privacidad, textos informativos, sistemas de doble Opt-In, o petición directa al usuario.
La idea es que sea lo más sencillo para ti, y lo más transparente y menos engorroso para ellos. A nadie le gusta estar recibiendo e-mails todo el tiempo para dar consentimiento de todo. Es también importante que sepas que tienes que darle la posibilidad de revocar el consentimiento en cualquier momento.
Te aseguro que cuando usas redes sociales, haces campañas en ellas y tienes lista de suscriptores hay más elementos en el proceso de lo que a primera vista se puedan detectar, y hay que andarse con mucho ojo.
Os mantendré al día en los cambios de la ley que pueda haber, antes de su entrada en vigor, pero recordad que el 25 de Mayo de 2018 tendréis que tener vuestro negocio web adecuado a la ley. Para cualquier pregunta que tengáis no dudéis en contactarme, ahora os tengo que dejar, que me acaban de llamar de Jazztel y NO SÉ DE QUÉ tiene mi teléfono 😉
¡Un fuerte abrazo y nos leemos por Wondermochi!
Carmela
Abogada & Fundadora de Castro In Law.
PD: Si quieres saber más sobre este tema, descárgate nuestra guía práctica para que puedas adaptar tu negocio paso a paso.