Protección de datos 2.0

Hace unos meses participé en una jornada de twitter chat gracias a SoMEChatES en dónde hablamos fundamentalmente sobre el impacto que tendrá en Nuevo reglamento de Protección de datos sobre los profesionales digitales. Esta nueva regulación en materia de protección de datos ligada a entornos digitales es lo que me motiva a hablar de Protección de datos 2.0.

Queda solo un año para acometer todos los cambios que introduce en nuevo reglamento de protección de Datos y mucha pedagogía por hacer al respecto, por esta razón, si tienes una web, un e-commerce o un blog, deberás conocer cómo impactará este nuevo reglamento en tu página y ponerte manos a la obra cuanto antes, el tiempo corre y la reforma está a la vuelta de la esquina.

Protección de datos a medida de la trasformación digital

El nuevo reglamento plantea nuevos retos para todos los profesionales del mundo digital, recordemos que se trata de un marco legal de protección de datos para todos los estados miembros de la UE cuya finalidad es armonizar las diferentes legislaciones en esta materia para que los derechos y las obligaciones sean las mismas en todos los países de UE.

Por otra parte, esta nueva regulación en materia de protección de datos pretende cubrir unas cuantas grietas legales de las anteriores regulaciones y me explico: la era 2.0 ha introducido muchas otras formas de recabar y gestionar información personal. Cualquiera que tiene una web sabe la cantidad de información de usuarios que puede recabar una sola web, de manera directa e indirecta y las innumerables formas en que se puede tratar esa información.

Por ejemplo, una web a través de sus múltiples plugins y sus respectivas cookies puede “perseguir a un usuario”, saber cuándo se conecta, desde qué equipo, cuando hace clic, cuando sale “disparado” y medir la tasa de rebote, puede saber desde qué punto geográfico lo hace, etc.

Pero no solo eso, las diferentes herramientas asociadas a una web permiten elaborar perfiles, segmentar audiencia, incluirlos en programas de afiliados de terceros, transferir sus datos a proveedores extranjeros como ocurre en el caso de las plataformas de email marketing, generación de leads, etc.

Tampoco podemos olvidar los nuevos canales y estrategias de captación de leads (suscriptores), las nuevas herramientas de conversión y los nuevos servicios de almacenamiento en nube que todo el que tenga una web acaba utilizando. Y eso por nombrar algunos…

Estos cambios exigen sin duda una regulación que los contemple y el nuevo reglamento intenta al menos dar respuestas a muchas de estas vicisitudes en la gestión de información personal, no solo para los que tengan una web, aunque en este post solo me centraré en los que les afecta de manera directa.

Cambios que no podrás eludir en tu web

Desde mi punto de vista, el cambio más sustancial es la manera de concebir la protección de datos: se trata de que los ciudadanos tengan mayor nivel de autogobierno sobre los datos personales que les conciernen. Esto se traduce en algunos cambios sustanciales que impactan directamente en la gestión de una web o un blog.

1. La Seguridad de la información

Se les exige a quienes los recogen y gestionan que sean más proactivos en la defensa de la información personal. Desde esta perspectiva, se demandan políticas de seguridad ligadas a la privacidad por defecto  y la asunción de medidas de seguridad mucho más enfocadas en la prevención que en la reacción.

Para el que tenga una web o un blog, este cambio de foco le afecta de pleno si tenemos en cuenta que en la mayoría de los casos, tienen cómo máxima prioridad obtener visibilidad y captar leads que luego se puedan convertir a través de un embudo de ventas, pero… ¿Cuántos asumen la seguridad de estos registros cómo una prioridad? ¿Qué medidas se adoptan para garantizar la confidencialidad, la integridad y la disponibilidad de esta información?

Estas cuestiones no podrán descuidarse si se pretende respetar los derechos de todos aquellos que interactúan con nuestra web o blog.

2. La transparencia

Otro de los cambios pasa por la transparencia: el nuevo reglamento requiere elementos informativos mucho más amplios, claros y asequibles respecto a la LOPD tal cómo explicaba en este otro post. Habrá que concretar y especificar con mucho más rigor y claridad todo lo que afecte al tratamiento de la información personal de otros.

También se exige el desterrar las formulas copy paste tan comunes en la práctica web. Los textos informativos deberán ser personales y ajustados a la web y al tipo de tratamiento concreto que se hará de la información recabada. Además, deberán eliminarse los textos farragosos que han caracterizado la información legal en las páginas web. Se trata de ofrecer información de manera clara, simple y completa al usuario sobre todo lo que afecte a su información personal.

3. El consentimiento reforzado

Es un punto clave para esta servidora de la transición entre la LOPD y el RGPD en lo que respecta a la operativa web. Aquí se trata de otra forma de gestionar la voluntad de los usuarios, nada más y nada menos.

En el mundo del marketing, pedir permiso, informar, requerir consentimiento, siempre se han concebido como elementos perjudiciales en una estrategia de captación. Cuánto más rápido y más fácil mejor. El nuevo reglamento complicará seguir trabajando desde esta concepción.

Estamos hablando de ir un paso más en la obtención del consentimiento, ya no vale el consentimiento tácito para poder mandar boletines o comunicaciones comerciales, tampoco vale pedir datos sin informar convenientemente y requerir un consentimiento expreso. Me explayo sobre esto en este otro post.

Solo recordar a todo el que tenga una web o un blog que el nuevo reglamento exige no solo recabar el consentimiento según las exigencias expuestas sino ser capaces de poder acreditarlo y para que nadie se confunda, eso no es una obligación a asumir a partir de mayo de 2018, porque todo registro con datos de carácter personal debe cumplir con esos requisitos, independientemente del momento en que haya sido obtenido ese dato,  así que es mejor empezar a correr para regularizar todos los consentimientos que no hayan sido obtenidos conforme esta directiva. Esto significa que tendremos que empezar ya a transformar los consentimientos tácitos en expresos.

4. Servicios externos

También deberemos analizar las herramientas de gestión de datos personales (hosting, generación de leads, plataformas de e-mail marketing, boletines, afiliación) y comprobar si sus servidores están alojados en la UE o fuera y en ese caso si pertenecen a Privacy Shield o no. Lo mismo con todos los colaboradores o proveedores que tengan acceso a datos personales de clientes, empleados, etc . En estos casos, es necesario revisar los contratos de encargo y asegurarnos que puedan garantizar el tratamiento de esos datos conforme exige el reglamento de protección de datos.

¿Cómo saber si una web o blog está adecuada al nuevo reglamento?

Para mi hay dos elementos bastante reveladores que debemos empezar a tener a en cuenta y que nos darán la pista del grado de adecuación de una web o blog.

1. Transparencia, claridad y accesibilidad a los textos legales informativos.

Desde la perspectiva del nuevo reglamento, es clave avanzar hacia un modelo más amable, cercano y ameno que invite al usuario a leer los términos y condiciones legales de una web en lugar de eludirlos por sistema, como ocurre actualmente.

Desde mi punto de vista, los que desarrollen los nuevos textos legales tendrán que dar un paso en la creatividad y el copywriting para crear políticas de privacidad atractivas que motiven al usuario a su lectura, que yo llamo “Políticas friendly”: accesibles, cercanas, claras y fáciles de leer, que invitan al usuario a leerlas como un post.

Que cuando entramos en una web, esta nos informe siguiendo estos principios es una buena señal.

2. Sistemas de captura de datos que exijan una acción expresa por parte del usuario para mostrar su conformidad con él lo informado.

Formularios, de contacto, de suscripción, de captación, de venta. Todos los formularios de la web o blog deben permitir obtener el consentimiento de forma adecuada, es decir, que sea explícito, específico y verificable.

En el caso de estos formularios web, es suficiente con incluir un check box no premarcado con un enlace a la política de privacidad que el usuario tenga que marcar para poder enviar su información, aunque lo más recomendable es que además introduzcan una primera capa informativa que incluya los aspectos más relevantes relativos a la información capturada, de manera que se informe de forma directa y clara al usuario sobre las consecuencias de su consentimiento a simple vista.

¿Preparado para la nueva revolución en la protección de datos 2.0?

Comments

  1. Un analisis muy bueno de los cambios en las web que va a representar el nuevo Reglamento. Yo siempre que he asesorado a un propietario de web, le he redactado un texto pequeño que fuera visible a primera vista donde se informe de quién es el responsable del fichero, finalidad, derechos arco… y luego me parece fundamental el que el texto de la política de privacidad este redactado lo más claro, sencillo y directo posible. Pero si a mi me ha pasado de salir de una web, que en principio me interesaba porque era imposible leer su política de privacidad!
    A mi me gusta enfocar esos puntos como puntos importantes a tener en cuenta en una estrategia de marketing, son cosas que pueden servir muy bien para captar clientes, darles esa seguridad de que sus datos van a estar seguros con nosotros puede ser un punto que nos diferencie de la competencia.
    Enhorabuena, Marina!

  2. Marina Brocca-mklegalMarina says:

    Hola Sonia, gracias por tu valoración del post, comparto enérgicamente tu perspectiva, soy firme defensora de esta postura, creo que estos elementos de refuerzo de la voluntad del usuario no son un obstáculo ni una amenaza a la estrategia de marketing, más bien todo lo contrario, pero para que esto se perciba de esta manera por la comunidad blogger o por los marketeros, el usuario debe madurar y exigir el respeto de sus derechos sobre su propia información personal. Creo que ese cambio ya se está gestando, es solo cuestión de tiempo que sea el usuario el que imponga un cambio de estrategia a los prestadores de la sociedad de la información, serán estos quienes impongan el cambio de modelo antes que el regulador, al menos, eso creo.

    Un fuerte abrazo Sonia, gracias por nutrir siempre este espacio.

  3. Estupendo post, como siempre. Nos tienes muy mal acostumbrados y nos haces muy cómodo con tu gran didáctica la comprensión de la farragosidad legal. Gracias por ello. Dicho esto, sobre el enfoque de la protección de datos QUE NO SON TUYOS (esto es algo que siempre recalcamos a los clientes) es fundamental que se ponga el foco en PRIVACIDAD POR DEFECTO, porque aunque no programe software o no me dedique a la Industria 4.0 es fundamental que cuando voy a guardar un dato que no es mío y que la ley me obliga a proteger, piense en la mejor manera para hacerlo, y para esto, el Reglamento Europeo se convierte en una buena herramienta…claro que si no estás acostumbrado a usar un taladro no sabrás qué brocas elegir para hacer el agujero en la pared. ;-)

  4. Marina Brocca S2 Grupo says:

    Gracias Rosa, avanzar hacia la mentalidad de las empresas sobre el concepto de que los datos personales “no son suyos” exige también la necesidad de que los usuarios empiecen a ejercer mayor autogobierno sobre su información personal, porque quien no ejerce sus derechos es cómplice involuntario de quien los vulnera, al menos, en mi punto de vista.

    Un abrazo y gracias por enriquecer tanto este espacio.