El 25 de mayo es de obligado cumplimiento el nuevo
Reglamento Europeo de Protección de Datos. Este reglamento se aprobó hace ya
dos años y durante este tiempo “de candencia” se ha querido dar a las empresas
y organizaciones unos meses para adaptarse y prepararse.
En los últimos meses he hablado con muchas personas
(empleados, freelances, empresarios…) sobre el RGPD… Habitualmente porque he
sacado yo el tema, de hecho.
Esto me lleva a suscribir el estudio elaborado por Sage (puedes
ver aquí como Cinco Días se hizo eco de este informe) y en el que se
concluía que más o menos la mitad de las empresas no saben / no contestan
cuando se les habla del nuevo Reglamento Europeo de Protección de Datos.
A muchas pymes ni les suena el asunto. A las que les suena,
les surgen muchas dudas. Y no es para menos. Yo he tenido la oportunidad de
familiarizarme y leer bastante sobre el asunto, pero sigo teniendo bastantes
dudas.
Sobre lo que no hay duda posible es que en el nuevo marco
legal el consentimiento de la persona sobre el uso de sus datos debe ser
expreso. Y las empresas deben estar en posición de demostrar ese consentimiento
expreso.
Pero, antes de eso, hay otra cosa que me ha quedado muy
clara: el RGPD afecta a todas las organizaciones, empresas y microempresas e
incluso a asociaciones o bloggers.
Los tentáculos de este nuevo marco legal afectan a todo tipo
de actividad y a distintos niveles. Hay implicaciones en temas relacionados
RR.HH, con los proveedores y colaboradores, con marketing y comunicación…. En
definitiva, para todo.
El RGPD afecta a
todos y cada uno de los elementos del negocio. Da igual el sector o el tamaño
del negocio.
Una regulación más restrictiva destinada a poner orden en
ciertos puntos y con objetivo último de mejorar la confianza del usuario a
través de información más clara, transparente y comprensible para el consumidor
sobre por qué se recopilan los datos que se recopilan y qué se va hacer con
ellos, durante cuánto tiempo etc.
El nuevo RGPD regula cosas tan importantes como todo lo
relacionado con la recopilación, el uso y la protección de datos de personas,
así como la manera en que se gestionan o se divulgan.
Por mi corta experiencia en este campo, he podido observar
además que para que una pyme o un profesional independiente pueda implantar
todo este tema (y hacerlo bien) es necesario tener ayuda.
O más bien debería
decir “ayudas”. Por ejemplo:
- Abogados para hacer evaluaciones de impactos, redacción de textos de políticas de privacidad, contratos con terceros etc…
- Expertos en ciberseguridad…
- Diseñadores web y email marketing para implantar cambios en textos, formularios etc. en páginas web, flujo de correo electrónico…
Cada negocio o actividad tendrá unos requerimientos en
función del tipo de datos que maneje, por lo que es difícil generalizar.
No es lo mismo adaptar un blog personal que un ecommerce que
una asociación… Seguramente NO hay dos casos exactamente iguales.
La Agencia Española de Protección de Datos lanzó la
aplicación Facilita_RGPD como una ayuda para pymes y autónomos para adaptarse
el nuevo reglamento.
La intención es buena, pero la ejecución no es práctica. En
el momento en el que llegamos a la pregunta “¿Hacer publicidad y prospección
comercial masiva a potenciales clientes?… el sistema nos dice no ser adecuado
para nosotros. Bueno, ¿qué empresa hoy en día no hace publicidad y prospección
masiva de clientes?
3 puntos clave para
cumplir con el RGPD para bloggers, autónomos y empresas pequeñas con página web
La adaptación al RGPD es bastante más compleja que los pequeños pasos que voy a indicar aquí y que pretenden ser una orientación sobre por dónde empezar.El principio real para hacerlo bien es hacer una valoración de riesgos y tomar medidas en función de los riesgos detectados que, como decía antes, variarán de un caso a otro...
Actualizar los
documentos legales de la página web, como el aviso legal, los términos y condiciones
del sitio web, la política de privacidad, la información sobre las cookies…
Hay soluciones low cost para los escenarios más sencillos.
Ante la duda, para estos temas un abogado especializado en economía digital
será el profesional que más ayuda podrá prestarnos.
Básicamente las actualizaciones deben ir en el sentido de
trasparencia. Hay que explicar qué es una cookie y cuáles usamos. Si los datos
que nos dan los metemos en una herramienta, hay que ser transparentes y decir
qué herramienta es, dónde está, cuál es su compromiso con la privacidad y la
protección de los datos.
Consentimiento expreso
para recopilar datos a través del sitio web.
Muchos Bloggers, autónomos y pymes tienen (tenemos) formularios
de contacto en el sitio web para que personas interesadas en lo que ofrecemos
puedan solicitar presupuestos, colaboraciones, hacer preguntas… También es
habitual disponer de una newsletter en la que se comparten noticias,
promociones o incluso publicidad (un banner, una noticia patrocinada, por
ejemplo).
Es necesario que las personas den consentimiento explícito a
lo que se indique en la política de privacidad del sitio web. No se puede dar
por sentado, como se hacía antes (la típica coletilla de “Al enviarnos tus
datos aceptas la política de privacidad”). La fórmula más habitual y que más
vamos a ver para obtener este consentimiento expreso será incluir una checkbox
obligatoria en el formulario de turno, que el usuario deberá marcar por sí
mismo (no puede estar pre-marcada) y que tenga un enlace a la política de
privacidad.
Muchos bloggers, autónomos y pymes están además incluyendo
información expresa bajo sus formularios sobre quién es el responsable del
tratamiento de los datos del usuario, para qué los va a utilizar, si los datos
van a salir de la Unión Europea etc.
Aquí tienes un ejemplo de Hacia el autoempleo
¿Y qué pasa con la
lista de emails que ya teníamos? ¿Tenemos que empezar de cero?
En la práctica, muchos bloggers y negocios digitales (aunque
no todos) han optado por resetear su lista de emails, por decirlo de alguna
manera, pidiendo a sus suscriptores que se suscriban de nuevo. Otros han enviado
un email a toda la lista de suscriptores con un botón en el que se les pide que
acepten la política de privacidad. Se supone que al hacer clic en ese botón
queda registrado tu consentimiento.
¿Por qué lo hacen así? Porque lo más normal será que quien
empezase hace años a construir listas de email marketing no tuviese ni de lejos
el consentimiento a la política de privacidad que se exige ahora (y que debe
poder demostrarse y verificar).
En todo caso, como decía antes el sistema de captación de
emails se debe modificar para cumplir con la norma.
Pero no sólo eso. Si decimos que recopilamos el email de
alguien para un fin (un newsletter sobre tal o cual tema) debemos ser fieles a
ese propósito.
¿Ganas de salir corriendo? Sí, probablemente. Yo misma tengo
varias listas de emails de proyectos personales sobre las que aún no he
decidido cómo actuar.
Creo que toda esta ordenación es positiva porque va a
obligar a hacer las cosas de cierta manera, más respetuosa. Obligar a proteger
los datos, a segmentar para enviar a las personas sólo lo que les hemos
prometido, me parece bien.
En el lado contrario, la adaptación al RGPD supone una
importante inversión en esfuerzo, tiempo y dinero complicada de encajar para
muchas pymes, autónomos y bloggers sin demasiadas pretensiones.
Quizás se siga actuando como hasta ahora, o la mayoría
quiera hacerlo así, no lo sé. Pero el riesgo es grande: las multas son lo
bastante elevadas como para comprometer el futuro de cualquier proyecto, así
que seguramente mirar para otro lado no es una opción.
No hay comentarios:
Publicar un comentario