En en breve tendremos en marcha el nuevo reglamento europeo de protección de datos. Aunque la ley está aprobada en 2016, entrará en vigor el 25 de mayo de 2018. Como siempre, para la mayoría esta fecha se nos ha echado encima. Muchos sabemos que esto trae algún cambio, y con esto surgen muchas preguntas. ¿Cuáles son los más importantes? ¿Debemos hacer algo? ¿Cómo cumplir la nueva ley de protección de datos? ¿Podemos sacar ventaja del nuevo reglamento?

Hoy hablaré un poco de lo que viene, como lo interpreto, y qué debemos tener en cuenta. Además es interesante mirarlo como oportunidad desde el punto de vista de nuestros clientes. Si nosotros somos lo suficientemente rápidos para conocerla y tomar acciones, seremos capaces de vender la solución a otros. Te puedo asegurar que más del 80% no va a tener todo a punto cuando llegue la fecha. Es más, muchos ni sabrán que hay te cumplir ciertas reglas por ley.

Qué dice en nuevo reglamento de la Ley de protección de datos

El nuevo Reglamento Europeo de Protección de Datos, a partir de ahora GDPR, viene a complementar y en parte sustituir la vieja LOPD española, dándole un carácter más europeo. Y como ya te imaginas, si poco sabíamos de la LOPD y teníamos montones de lagunas, aquí no nos quedamos cortos.

Para comenzar, me gustaría hacer incapié en que lo ideal es que busques un experto consultor sobre el tema para que sepas de primera mano qué debes conocer de la pasada y nueva ley vigente. Cada negocio es un mundo, y en cada uno se deberán aplicar cosas diferentes, y el que mejor lo va a saber es un experto.

Sin embargo, yo desde aquí te voy a presentar varias apreciaciones y ayudas para entenderla, y saber cómo puede afectarte.

Para empezar, hay que saber que este nuevo reglamento, como ya he dicho, deroga la anterior directiva de la lay de protección de datos, ya fechada por allí por el 1995. Como ya sabemos, las empresas evolucionan. Su forma de trabajar ha cambiado muchísimo con las nuevas tecnologías. Especialmente internet tiene un peso fundamental en estos avances. Así pues, era necesaria una nueva ley que contemplara este nuevo escenario.

Especialmente con el reglamento que viene se intenta que los usuarios, o sea, los ciudadanos de a pié, tengamos un mejor control de nuestros datos personales. Cada vez se busca más generar confianza en el mundo online, de forma que nos podamos sentir más seguros. Sinceramente, no sé si este mensaje calará mucho en la gente, pues la mayoría pasamos un poco de este tema. Pero es cierto que es un punto importante que tenemos que empezar a tener en cuenta, pues como todas las leyes, se acompañan con sanciones si no se cumplen debidamente.

Nueva normativa de la ley de protección de datos

Nueva normativa de la ley de protección de datos

Cambios importantes en la nueva Ley de Protección de Datos

Hablemos de los cambios importantes, en gran parte orientados a empresa.

Principios de transparencia, limitación y minimización

En la GDPR se ha hecho especial incapié en los principios y derechos para la protección y uso de los datos de los ciudadanos. A partir de ahora, nuestros datos sólo se podrán recoger con un fin, y ser usados con ese mismo fin. O sea, si en nuestra web vamos a recoger el correo electrónico de un usuario para responderle una pregunta, no podremos usarlo para enviarle publicidad, o promociones ni similares. Es por ello que en caso de recoger un correo, es importante indicar en dicho formulario para qué lo recogemos y con qué finalidad. Y eso implica que si en un futuro pensamos en usarlo para algo adicional que no lo tuvimos en cuenta antes, ahora no podremos hacerlo sin su consentimiento.

Consentimientos estrictos

El consentimiento de usar tus datos ahora es más estricto. No sólo se debe aplicar el punto anterior en el cual te obligan a indicar para qué se usarán tus datos. Ahora, es importante que cuando se obtengan dichos datos, el propio usuario indique de forma activa que da consentimiento a que sean usados. Antes, simplemente por omisión, podíamos usar bases de datos para enviar emails. Si el cliente no decía que no quería recibirlos, se entendía que no le importaba. Ahora esto no vale. Si quieres enviar un email, el cliente tiene que decir “sí, quiero que me envíes emails”.

Derecho al olvido

Se ha estipulado de forma más exacta el derecho al olvido de los datos. Esto básicamente era el derecho a que te eliminen de su base de datos. En ocasiones, cuando se hacía esto antes, el que había recogido tus datos debía borrarte. Pero no era raro que dichos datos hubieran sido trasladados a un grupo de terceros para bombardearte con más publicidad. Actualmente, en caso de que alguien borre dichos datos, deberá comunicarlo a esos terceros, los cuales también estarán obligados a borrar dichos datos.

Derecho a la portabilidad de los datos

Otra cosa interesante es que ahora existe el derecho a la portabilidad de los datos. De esta forma, por ley podemos portar los datos que hagan falta de un negocio a otro en caso de que lo solicitemos. Esto significa que, por ejemplo, si queremos cambiar de compañía de luz, podemos pedirles a la que estamos abandonando que pasen toda la información a la nueva, sin tener que entregar de nuevo todo lo que nos piden para dar una alta.

Reporte de robo de datos

Si por desgracia sufriéramos un robo de datos en nuestro sistema, ahora hay obligación de notificarlo en un plazo de 72 horas. Ya no sirve sólo con denunciar por ejemplo a las fuerzas de seguridad, o simplemente ocultarlo y solucionar el problema.

Sanciones actualizadas

Y aquí la parte chunga. Las sanciones se han aumentado notablemente en caso de no cumplir esta nueva ley. En cuanto entren en vigor, si no se cumplen los nuevos protocolos, las multas son cuantiosas. Dependiendo de la gravedad del fallo, y de la sensibilidad de los datos, pueden alcanzar el 4% de la facturación global de la empresa, o hasta 20 millones de euros.

¿Qué hay que hacer para cumplir la ley?

Como apuntes rápidos, estas son varias de las cuestiones que vamos a necesitar tener en cuenta con la nueva aplicación. Muchas de ellas están pensadas para el mundo online, como veremos:

  • Deberemos actualizar las cláusulas informativas de nuestra web. Antes se usaba la típica cláusula base para casi todas, las webs, pero ahora tendremos que actualizarla al nuevo contexto. Sí, vale… nadie se las leía, pero hay que hacerlo para que no nos crujan.
  • La obtención de datos básicos, como son el email, el nombre o direcciones deben ser conseguidos con consentimiento del usuario. Anterior, el consentimiento podía ser tácito. Esto significaba que si no te oponías, se consideraba que estabas dando tus datos sin problema. Ahora, con la nueva GDPR, cuando se dan dichos datos debe haber un consentimiento inequívoco de que te otorgan potestad para usar dichos datos.
  • Adicionalmente al punto anterior, y esto es importante, no se pueden recabar datos de menos de 16 años sin el consentimiento paterno o del tutor legal. Esta es una de las partes que difícilmente se van a cumplir, y más con las redes sociales. Aquí es donde tiene pinta que se va a mentir más en la edad que nunca, pues teóricamente no se podría abrir cuentas de usuario si el menor da sus datos de fecha de nacimiento reales, y no están cotejados por un tutor legal.
  • Anteriormente debíamos inscribir los ficheros que manejaban los datos en la Agencia de Protección de datos. A partir del 25 de mayo de 2018 no será necesario, y simplemente habrá que contar con un registro que indique dónde y cómo están los datos en nuestra empresa.

Una parte importante en el punto 2 anterior es que los datos de potenciales cliente que tuviéramos anteriores obtenidos con el consentimiento tácito, o sea… sin autorización expresa, ya no son válidos. Eso significa que deberíamos volver a mandar un correo preguntando si permiten usar nuestros datos, y que sea el propio cliente el que de su consentimiento. En caso de no hacerlo, estaremos cometiendo una ilegalidad.

Protege tus archivos

Protege tus archivos

Oportunidades en la nueva GDPR

Donde hay nuevas necesidades, hay nuevas oportunidades. Esto es un clásico, y es dónde también debemos aprovecharnos.

En esta parte es donde es dónde podemos mirar si hay algo que podemos proporcionar para crear dicha necesidad al cliente. La nueva GDPR habla de nuevas medidas de seguridad para salvaguardar los datos, y esto muchos no lo cumplen. De hecho, no lo cumplían ni antes con la LOPD anterior. Así que es el momento de hablar de ello.

Estas protecciones cambian según el tipo de datos que tengamos que almacenar. Se miden con niveles de seguridad, y normalmente los más altos hablan de datos más sensibles, como los usados en salud y similares. Yo voy a centrarme en la mayoría de los datos de las medianas empresas, de niveles más bajos, como son los datos personales básicos de los clientes y proveedores.

En esta nueva GDPR hay que indicar claramente cómo se guardan técnicamente y cómo se organiza la entrega dentro de su empresa dichos datos. Esas medidas deben ser conformes a lo que dice el reglamento. Todo debe de hacerse de forma proactiva y consciente, o sea, debe quedar constancia de qué hacemos y cómo lo hacemos para que se pueda presentar en caso necesario de forma organizada. No vale decir ahora “pues yo los tengo en el ordenador y punto”. No, ahora que dejar claro dónde están, como están, y cómo se accede a ellos y quién puede hacerlo. Hay que indicar medidas de control de usuarios para llegar a ellos, y cómo el usuario tiene contraseñas o seguridad para que otro no pueda acceder a ellos.

Además, es importante que los datos tengan copias de seguridad de forma que se puedan restaurar en caso de catástrofe. Y dicha seguridad también debe quedar reflejada en un manifiesto junto a lo anterior. De hecho, se debería poder restaurar dichos datos de forma rápida y con seguridad de ser copias recientes por ley.

Esta parte tiene un nuevo apartado curioso, y es que la nueva GDPR pide que cuando haya una violación de acceso a los datos o problema similar, se debe notificar dicha rotura de la seguridad. O sea, en caso de que esto ocurra, el responsable del tratamiento de los datos debe notificar a la autoridad que se encargue en su país de eso en un breve plazo de tiempo. Es más, en caso de que dicha seguridad implique a más gente, como son los clientes o proveedores, hay que notificarles también a ellos.

Aprovechar la ley en nuestro favor

¿Cómo aprovechar entonces la ley para nuestro negocio? Usa la imaginación. Con los otros puntos anteriores, se me ocurren varias ideas:

  • Vende seguridad. Las empresas necesitan ahora tener copias de seguridad y forma de restaurar de forma fácil las mismas. ¿Qué puedo ofrecer? Puedes vender servidores de copias de seguridad. Las unidades NAS para almacenamiento en red son soluciones económicas para llegar a tal fin. Puedes vender almacenamiento en la nube para las copias. Piensa que las empresas deben tener alguna copia de sus datos fuera de la ubicación principal de la empresa, por si todo arde en un incendio. Por ley ahora estás obligado a poder restaurar esas copias incluso en caso de catástrofe.
  • Otro de los puntos que seguramente muchos tendremos que cumplir es el de recuperar nuestra base de datos de correos con los consentimientos de los clientes. Con esto podemos generar una oportunidad de “sanear” dichas bases de datos. Seguramente tendremos montones de correos que ya no nos aportan nada. Puedes, por ejemplo, enviar ahora un correo animando a los clientes a que rellenen y comprueben los datos que tenemos de ellos. Y ya de paso, ahí podemos indicar que den el consentimiento para usarlos para nuestras campañas. Evidentemente, la gente tenderá a no hacer dicha acción, pero si le ofrecemos un descuento o un concurso para el que rellene dicha información… ¿quien se puede negar? Con esto, podremos limpiar un poco como comentaba las bases de datos de gente que no quiere saber nada de nosotros, o no está interesado en nuestros productos.
  • Adicionalmente, las empresas ahora son responsables si otro a nuestro cargo no cumple la ley. Es decir, si tenemos contratado un tercero para que destruya nuestros documentos, la ley ya no te exime de responsabilidad en caso de fuga de datos por parte de esa empresa. Ahora la multa llevará tu nombre y apellidos. Esta puede ser una ocasión para vender, por ejemplo, destructoras de documentos o sistemas de eliminación de datos a tus clientes. De esta forma, ellos mismos se asegurarán de que cumplen la ley y sus datos sensibles no pulularán por el mundo, evitando desagradables sorpresas.

Sanciones con la nueva GDPR

Alguien se va a forrar con las nuevas sanciones

Alguien se va a forrar con las nuevas sanciones

¿Preparado? Esto siempre es algo que da la risa oírlo de lejos, pero que da miedo de cerca. Las sanciones por no aplicar correctamente la GDPR podrán ser de hasta 20 millones de euros. ¿Perdón? Sí, 20 milloncetes. Claro, esto depende de la gravedad. Pero ojo, una sanción por no cumplir esto levanta una empresa en peso. No es para tomárselo a broma, y es aquí donde debemos hablar con nuestros clientes que puedan necesitar algo de nuestra parte para que la cumplan.

Conclusiones

Como ves, hay muchas novedades con la nueva GDPR. Y queda poquísimo para tener que aplicarla. Te recomiendo que te informes de todo lo que implica en tu empresa y tomes acción ya.

Pero adicionalmente, no lo dejes en eso sólo. Piensa en si puedes usar dicha ley en tu beneficio con tus clientes. Igual tienes a tu alcance una nueva oportunidad de negocio que deberías de aprovechar, ¿no crees?

Foto de portada tuneada con un detalle de Freepik