Hace cuatro días que entró en vigor la fase de aplicación del RGPD en pymes y grandes empresas y el mundo del marketing no ha dado un vuelco. Las empresas siguen enviando newsletters con ofertas y nosotros seguimos navegando de la misma manera por sus webs, dejando nuestros datos en aquellos formularios de los que creemos que vamos a sacar algo productivo. De nuevo el «Síndrome del efecto 2000»: mucho ruido y pocas nueces.

¿Qué ha cambiado con el nuevo RGPD?

Poco.

O muy poco. Como siempre, tendemos a hacer más grande el hecho de lo que luego acaba siendo. Y más si da para memes. Creo que he visto más memes del RGPD que del portero del Liverpool. ¿Qué ha pasado estos días y qué va a pasar a partir de ahora? El nuevo reglamento europeo llega como una capa más de protección hacia los usuarios, que deberían (deberíamos) ser los grandes beneficiados de unas medidas que, pese a lo que muchos están diciendo, no están hechas para tocar las narices a las empresas.

Que no te engañen con la aplicación del nuevo Reglamento General para la Protección de Datos. Tomar las medidas necesarias para cumplir con sus preceptos no te llevará a hacer grandes cambios en tu empresa. Salvo, eso sí, que seas un pirata de los datos o hayas acumulado años y años de hacer las cosas mal. Por desinformación, puede ser. Pero mal al fin y al cabo.

¿A quién perjudica más el nuevo RGPD?

Resumiendo mucho: a los descuidados y a los tramposos. Si tu empresa ha tratado con cuidado los datos de sus clientes y prospectos, lo más normal es que no tengas que preocuparte de nada (o casi nada) a partir de ahora. En cambio, si tenías las bases de datos desprotegidas y llenas de registros que no habían dado su consentimiento para estar allí, tienes bastantes cosas que cambiar. Según el tipo de emails que hemos recibido en nuestra bandeja de entrada estos días, podemos saber si la empresa que nos los manda ha venido respetando los datos de sus contactos o no. Aquellos que no estaban seguros de tener el consentimiento expreso de su base de datos para recibir según qué tipos de email, han corrido como locos para conseguirlos estos días. Los que ya lo tenían, sólo han informando de las nuevas condiciones en su web, pero no nos han pedido consentimiento de nuevo. ¿Por qué?

El nuevo RGPD no está aquí para tocar las narices a las empresas. Piensa en él como una oportunidad de mejorar tu relación con tus públicos.

Aplicación del RGPD en pymes

Para analizar qué significa el nuevo Reglamento, vamos a intentar ver las cosas desde cierta distancia. Imagina que no hubiera una ley, pero a todos nos preocupara la seguridad y buen uso de los datos, ¿en qué basarías tu política de protección de datos? Lo primero de todo, entender bien tres cosas:

  • Tipo de datos personales: no es lo mismo recoger nombre, email y teléfono de alguien que te quiere pedir información comercial, que recoger datos médicos a fin de calcular, por ejemplo, un seguro de salud. Como usuario, me preocupa más que mis datos médicos anden por ahí a que lo haga sólo mi nombre y email. Por eso, el reglamento hace especial hincapié en la seguridad en torno a los datos más sensibles, y es de prever que las empresas que traten este tipo de datos serán las más vigiladas.
  • Uso de los datos personales: el segundo punto, y el que más nos afecta en el día a día, es el uso de los datos. Es básico que, en el momento de entregar nuestros datos a una empresa, seamos muy conscientes de para qué los damos, y la empresa nos asegure que sólo se usarán para aquello para lo que nos han dicho que los usarán. ¿Lógico, no? Si me dices una cosa y me engañas, es normal que te expongas a sanciones.
  • Tratamiento de los datos: a fin de que podamos tener acceso a ellos y garantizar su seguridad, el usuario ahora tiene que saber de forma más clara quién, cómo y de qué forma se tratarán sus datos.

Con todo esto, el proceso lógico de tratamiento de datos debería ser el siguiente:

  1. El usuario accede a ceder sus datos a la empresa a cambio de un servicio, información u otra contrapartida. Importante: el dueño de los datos es siempre el usuario, y como tal tiene el pleno derecho sobre ellos. La empresa únicamente dispone de estos datos en calidad de «responsable de tratamiento». Esta cesión y consentimiento al tratamiento debe poder ser demostrable.
  2. La empresa debe informar al usuario dónde van a estar esos datos, quién los va a tratar, qué uso se les va a dar y durante cuánto tiempo. El usuario, como dueño de esa información, puede acceder a ella y hacer lo que quiera (incluso pedirla y llevársela a otra empresa).
  3. La empresa debe garantizar que en todos los procesos y partes implicadas en el tratamiento de los datos sigue unas directrices que le permiten asegurar que esos datos serán tratados de manera correcta, evitando que caigan en manos inadecuadas. Estas medidas deben, en la medida de lo posible, ser conocidas por el usuario y por todos los encargados de tratamiento de datos en la empresa.
  4. Si se produce una brecha de seguridad que afecte a los datos, ésta se debe notificar en menos de 72 a las autoridades, que actuarán en función de la gravedad de la fuga de datos y de la sensibilidad de estos.

Resumiendo: la aplicación del RGPD para pymes y empresas de cualquier tamaño no debería ser un rompecabezas, si pensamos en que los datos son un asunto importante y les damos la categoría que se merecen. Se trata de ser honestos y coherentes en la recogida y uso de los mismos e informar muy bien al usuario de para qué nos ceden sus datos. Y cumplirlo. ¿Quieres seguir recogiendo emails para el envío de newsletters? Por supuesto, pero no debes meter en la lista a aquellos que no te han dicho que quieren. Pero es que eso ya deberías estar haciéndolo antes.

Personalmente, quiero pensar que este nuevo reglamento viene a sumar y que se están poniendo las bases para que, entre todos, mejore la seguridad a la hora de navegar. Esto, sin duda, repercutirá en una mejor experiencia para todos, empresas y usuarios. ¿Tienes dudas de cómo afecta el RGPD a tu web? Te puedo ayudar.