Corría el año 1995 cuando la anterior directiva de protección de datos se adoptó. En aquel momento no existía Twitter, ni Facebook, ni los smartphones, ni el acceso a Internet era nuestro pan de cada día. Ahora nos preparamos para aplicar el RGPD. ¿Y eso de qué va? Se trata de un nuevo Reglamento General de Protección de Datos que remplaza al anterior y entra en vigor a partir de mayo de 2018. Esta normativa no implica un cambio exclusivo en el mercado español sino que se asume a nivel europeo, siendo una pata más hacia la estrategia del mercado único digital propiciada por la Unión Europea.
Este reglamento afecta a cualquier empresa que recoja, procese o almacene datos que puedan identificar de forma directa o indirecta a una persona que se encuentre en la Unión Europea, pero también tiene un impacto en organizaciones fuera de este territorio que ofrezca servicios, monitorice o analice el comportamiento de personas. Por ejemplo, hay dos empresas extranjeras que residen fuera de la Unión Europea y se verán afectados por los cambios que trae el RGPD:
- Amazon quien vende y entrega a domicilio productos en Europa, entre otros servicios
- Google, con Google Analytics, ofreciendo servicios de monitorización o análisis del comportamiento de los usuarios en Internet
El RGPD tiene un impacto significativo en la publicidad digital. Por el momento muchas empresas aún no han implementado los cambios de forma visible en sus páginas webs. Lo cual no quiere decir que todos los agentes en la cadena de trabajo no estén avanzando en esta línea. Las Pymes o bloggers queden verse con más dudas ya que las empresas multinacionales suelen tener directrices desde la central. En este sentido, hay un post de @Blogpocket que me ha resultado interesante y puede ayudarte si estás en esta situación.
¿En qué afecta el RGPD al mercado español?
Hasta el momento siempre hemos oído hablar y nos hemos regido por la Ley Orgánica de Protección de Datos (LOPD). Una de las más proteccionistas y avanzadas versus otras de los países europeos. Por ello, las organizaciones españolas que actualmente cumplen adecuadamente con la LOPD española tienen una buena base sobre la que evolucionar hacia la aplicación del RGPD.
En los documentos que he podido consultar hay dos elementos que constituyen el mayor cambio, ya que no sólo vale con cumplir la ley sino también con demostrarlo:
- El principio de responsabilidad proactiva, es decir, que las organizaciones españolas deben analizar qué datos tratan, con qué finalidad lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Incluso en el texto se habla de la ‘obligación respecto al Deber de Transparecia’ (un principio de ética digital)
- El enfoque de riesgo, es decir, algunas de las medidas se aplicarán cuando exista un alto riesgo de los derechos y libertades de las personas y, por otro lado, la aplicación de las medidas se debe adaptar a las características de las organizaciones.
Ahora bien, directamente esto afecta a la publicidad en medios digitales en lo que respecta a:
1. Ámbito de aplicación, ampliando el concepto de dato personal. Una de las estrategias en marketing móvil que más se está extendiendo entre algunas empresas es el uso de la localización del usuario gracias al GPS del dispositivo. Os dejo una transcripción explícita de lo que se considera dato personal.
Art 4.1 GDPR «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
2. Consentimiento ‘inequívoco’ del usuario. Es un punto que se verá reforzado ya que el usuario tiene que dar el consentimiento claro y afirmativo para ceder sus datos en el momento de la cesión. Por un lado las empresas o plataformas online deben dotarse de sistemas que garanticen el consentimiento explicando el fin específico para que se recoge. Y se deja claro que en el RGPD el consentimiento no será válido si puede deducirse del silencio, inacción u omisión del usuario. Y, por otro lado, en aquellos datos calificados como ‘sensibles’ (por ejemplo, datos biométicos -huella, pulsaciones, respiración…-, datos genéticos…), además, no sólo se exige una acción positiva implícita sino que la acción deberá ser expresadas.
3. Elaboración de perfiles. Justo una de las bondades más potentes en las estrategias de marketing digital con la que clusterizamos a los usuarios en función de variables o comportamientos. Este punto en el RGPD viene a decirnos que hay que prestar atención para evitar consecuencias discriminatorias (opiniones políticas, raza, origen étnico, orientación sexual…); y, al mismo tiempo, se genera la obligación de informar sobre la elaboración de perfiles, lo lógica aplicada, así como las consecuencias que se darán tras su tratamiento para el usuario.
4. Nuevos derecho a supresión o al olvido, así como la portabilidad de datos. Esto último es el derecho a trasladar los datos a otro proveedor de servicios.
5. Notificación de fallos. El responsable de tratamiento deberá comunicar los fallos de seguridad a la Agencia Española de Protección de Datos en un plazo de 72h .
6. Nuevo perfil: DPO (Data Protection Officer). Una especie de delegado de protección de datos, interno o externo a la empresa, al que otorgar independencia y aportar las herramientas que necesite cuando lo solicite.
Os dejo una imagen resumen que me ha parecido interesante y útil para entenderlo. (Elaborado por TeachPrivacy)
¿Qué sanciones y multas se preven?
Para las empresas que recopilan los datos personales serán quienes custodien y salvaguarden los mismos. Sus infracciones conllevan multas entre 600.000€ a 10.000.000€, o un 2% del volumen de su negocio total en el ejercicio financiero anterior a la infracción. Y si la infracción fuera más grave, estas cifras se pueden llegar a duplicar.
Por ver números más ‘asequibles‘, pongamos algunas situaciones:
- Si se produce la comunicación de datos a terceros sin consentimiento podemos hablar de 50.000€
- Si se realiza un envío de email comercial sin autorización podemos hablar de 20.000€
- Uso de cookies sin informar al usuario y sin que éste de su consentimiento podemos hablar de 20.000€
Si quieres averiguar si tu empresa cumple con el nuevo reglamento, hay una herramienta gratuita que te orientará en la situación. Apenas te llevará 15-20min responder alas preguntas, aunque es orientativa. Por la envergadura del asunto todas las organizaciones aconsejan una consulta detallada con tu equipo legal.
Si quieres profundizar en el maravilloso mundo del RGPD, te recomiendo consultar los siguientes documentos:
- Reglamento General de Protección de Datos (RGPD) (BOE)
- Guía del Reglamento General de Protección de Datos para responsables de tratamiento (Agencia Española de Protección de Datos)
- Guía práctica adaptación reglamento general de protección de datos (IAB Spain)
- Impacto del nuevo reglamento en el marketing móvil (MMA Spain)
- Orientación sobre el reglamento (Cinco Días)
- Web oficial