En las últimas semanas, la mayoría de las empresas han luchado a contrarreloj para estar al día con los requisitos de la entrada en vigor del nuevo reglamento de protección de datos europeo, archiconocido como GDPR. Ya hemos pasado la fecha clave del 25 de Mayo y te puedes preguntar ¿y ahora, qué pasa?
Coincidiendo con el primer mes de aplicación, en el último desayuno Coffee Brains de DBi Data Business Intelligence, hemos querido hacer balance y analizar en qué punto nos encontramos, tras unas primeras semanas llenas de confusión entre anunciantes, medios y agencias. Pero no todo son malas noticias, el nuevo reglamento también es una oportunidad para las organizaciones.
¿Hay vida tras el Black Friday del GDPR?
La aplicación del nuevo reglamento de Privacidad de Datos ha provocado un buen dolor de cabeza que tardará en desaparecer. En este sentido, Mónica Fachal, Business Development Director en DBi by Havas, citó durante la introducción informes que estiman que el 85% de las empresas europeas no se han adaptado todavía a la normativa, un porcentaje que cae hasta el 45% en el caso de las españolas.
Hacer frente a los cambios que requiere la aplicación del GDPR ha significado un coste excesivo para algunas compañías que, directamente, han optado por bloquear el acceso a usuarios europeos o se han visto obligadas a cerrar sus websites. En cuanto a la publicidad, Google ha “interrumpido” la entrega de sus campañas de DBM en el inventario europeo de terceros hasta que quede definido el marco de transparencia del GDPR en la IAB Tech Lab.
Nuevos retos y oportunidades
Más allá de la confusión y de las primeras dudas, Paz Vega, New Business Director en DBi Data Business Intelligence, explicaba en su intervención que el GDPR también supone una gran reto y oportunidad al brindar a las organizaciones un marco que pueden aprovechar para adoptar mejores y más seguras prácticas de recopilación y administración de datos. “Las empresas que hacen bien las cosas pueden posicionarse como referente a ojos de los usuarios y, por ello, reforzar su confianza”, argumentaba.
Titulares del GDPR y algunos puntos nuevos a tener en cuenta
“El 25 de mayo ha significado el año 0 para muchos negocios publicitarios”, aseguraba por su parte el experto en Data Privacy y Head of Legal de Havas Group, Daniel Solis. Como sabes, la nueva normativa del GDPR es aplicable siempre que se trabaje con datos de carácter personal provenientes de ciudadanos de la UE y amplia el concepto de dato personal a los datos de ubicación, la dirección IP o el identificador que rastrea el uso de sitios y aplicaciones en smartphones.
Solis también explicó algunas recomendaciones de instituciones de referencia. En las acciones dirigidas a informar sobre cookies o gestionarlas, en la última reunión de la Agencia Española de Protección de Datos (AEPD), en el marco del IAB España, se puntualizaba, por ejemplo, que no puede considerarse como prestación de consentimiento del usuario la acción de “seguir navegando”. Estos aspectos deben ser recogidos de forma absolutamente clara e inequívoca.
El GDPR es la primera norma efectiva que se inclina hacia el usuario en la protección de su información personal y se complementará con el Reglamento ePrivacy, que ahora debate la Comisión Europea.
Pautas para enfocar un proyecto de Privacidad de Datos
Por su parte, Ignasi Camps, experto en Data Privacy de OneTrust, advirtió que garantizar el cumplimiento de esta normativa no es una tarea de la nueva figura del Data Protection Officer (DPO), sino que se trata de un “cambio de organización que afecta a toda la empresa”. Las multas por incumplimiento son importantes, añadía, pero hay mucho más, “a día de hoy existe un coste reputacional”.
Fuente: OneTrust, como ejemplo de tecnología integral de gestión para el GDPR
Ante este escenario, las empresas deben plantear estrategias que incluyan aspectos como:
- Cifrado y pseudomización (reemplazando cualquier campo de datos de identificación con códigos de referencia únicos).
- Capacidad para restaurar la disponibilidad de datos en caso de una violación o problema tecnológico de manera oportuna.
- Garantizar la confidencialidad, integridad y disponibilidad continua de los sistemas y servicios de procesamiento de datos.
- Establecer un proceso para pruebas de seguridad regulares y evaluaciones de efectividad.
Así garantizar la seguridad, confidencialidad e integridad de los datos personales y la información significativa para la empresa se convierte en uno de los objetivos de negocio. A raíz de la normativa, existen algunos procedimientos como las PIA o los análisis de riesgos, para contribuir a que las organizaciones analicen y determinen los riesgos inherentes en sus procesos de trabajo y tratamiento de los datos.
Steps accionables para cumplir el GDPR día a día en la recolección de datos
El director de Tecnología de DBi by Havas, Ivan González, fue el encargado de repasar las pautas necesarias para asegurar el cumplimiento del reglamento en la recolección y el tratamiento del data. Así pues, analizó las nuevas funcionalidades que soluciones como Google y Adobe han habilitado con este propósito, como el control de retención de datos o las posibilidades para dar acceso y eliminar datos a petición del usuario.
En este sentido, repasó las best practices en el tratamiento de información de identificación personal (que veremos en profundidad en otro artículo) y recalcó que, si estamos recopilando el ID del usuario u otros identificadores seudoanónimos, tendremos que obtener el consentimiento explícito del usuario. El enfoque más común para esto es un banner de superposición en la página que pida permiso al usuario y luego, una vez concedido, se vuelva a cargar la página lanzando los scripts de Google Analytics (u otras tecnologías de marketing).
Para el director de Tecnología de DBi Data Business Intelligence ahora es el momento de “poner orden”. Si aún no lo has hecho, es recomendable impulsar una auditoría de las soluciones empleadas, para analizar aspectos como la información de identificación personal (pii), su organización o el control de acceso a estos datos, y adoptar las medidas necesarias.
También es el momento para “profundizar en la calidad”, tanto de la recolección del dato, como de los procesos asociados a la gestión y a la explotación del mismo (gobierno dato). “Esto nos debería llevar a tener una metodología clara del uso del dato como principal fuente de toma de decisiones”, apuntó González.
Estos pasos prácticos pueden ayudarte a comprobar que no estás pasando por alto ningún punto en tus esfuerzos por cumplir con el GPDR. Se trata de una regulación compleja y está claro que es necesario que tu organización desarrolle una hoja de ruta adecuada.
Puedes compartir a continuación tus sugerencias, inquietudes y preguntas para continuar la conversación sobre cómo avanzar hacia el cumplimiento de la GDPR.
