Privacidad. Esa es la palabra del millón cuando se habla del uso y el abuso de internet. El futuro de la protección de datos personales está hoy, en gran medida, en manos de empresas multinacionales y muchos usuarios ni siquiera parecen darse cuenta de ello. Esto se debe en gran medida a que a menudo perdemos de vista la cantidad de información que entregamos voluntariamente a las marcas a través de la red.
Para la Unión Europea, donde el manejo de datos personales hasta ahora se guiaba por una directiva, este es un tema digno de fuerte regulación. De ahí que a partir del 25 de mayo de 2018 la Regulación General de Protección de Datos (GDPR por sus siglas en inglés) entre en vigor para sustituir a la actual Directiva de Protección de Datos.
La diferencia más importante entre estos marcos es que mientras la directiva era una guía para el manejo de data en las organizaciones, la nueva regulación es legalmente vinculante; es decir, no deja lugar a la interpretación y debe ser cumplida por todos los estados miembros de la UE.
El futuro de la protección de datos personales: ¿Qué dice la GDPR?
La GDPR busca proteger los datos personales y la forma en que las organizaciones procesan, almacenan y en su caso destruyen esa información una vez que ya no es requerida. Esta ley establece normas muy estrictas que rigen lo que sucede si se viola el acceso a esta data y marca un hito en el futuro de la protección de datos personales.
La GDPR aplica a:
- Organizaciones con presencia física en al menos algún país miembro de la Unión Europea.
- Organizaciones que procesan o almacenan datos sobre individuos que residen en la Unión Europea.
- Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.
Es importante destacar que la regulacion aplica aún a empresas fuera de la Unión Europea que controlen o procesen datos de ciudadanos residentes en los países miembros.
Esta regulación garantiza a los titulares de datos personales ocho derechos fundamentales; mismos que de ser violados por una organización, la hacen acreedora a penalidades que pueden llegar hasta los 10 millones de euros o 2% de su volumen de ventas globales.
- Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados sus datos personales.
- Derecho al acceso: Provee acceso a sus datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con sus datos.
- Derecho a la rectificación: Otorga el derecho a que sus datos personales sean rectificados en caso de ser incorrectos o incompletos.
- Derecho a ser borrado (o derecho a ser olvidado): Es el derecho a que sus datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.
- Derecho a restringir el procesamiento: Permite que sus datos sean almacenados, pero no procesados. Por ejemplo, puede recurrir a este derecho si siente que datos erróneos acerca de usted son almacenados a la espera de ser rectificados.
- Derecho a la portabilidad de datos: Puede solicitar copias de la información almacenada sobre usted, para utilizar en cualquier otro lugar. Tal es el caso de si aplicara para productos financieros entre distintas entidades.
- Derecho a objetar: Otorga el derecho a objetar acerca del procesamiento de sus datos. Un ejemplo podría ser la objeción de que sus datos sean utilizados por organizaciones de marketing directo.
- Derecho sobre la toma de decisiones y creación de perfiles automáticos: Permite objetar sobre la toma de decisiones automáticas que se hagan sobre sus datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.
¿Qué implica esto para las empresas?
Según una investigación realizada por HubSpot solo el 36% de los especialistas han marketing han oido hablar sobre la GDPR,mientras que el 15% de las empresas no ha hecho nada por ajustar sus políticas de privacidad y se encuentra en riesgo de incumplimiento.
La llegada de la GDPR significa que marcas y mercadólogos tendrán que esforzarse aún más por transparentar sus políticas de datos y, sobre todo, por obtener el derecho de comunicarse de manera directa con sus grupos de interés. Este es un eje especialmente importante porque se trata de una normatividad que ha llegado para decirle a las marcas: ¡Atención! El derecho a comunicarte con tus stakeholders no es inherente; tienes que ganártelo.
El derecho a comunicarte con tus stakeholders se gana, es mejor que no lo des por sentado.
El impacto de la GDPR no solo alcanza a las organizaciones de la Unión Europea y diversas marcas en el extrangero, también define el rumbo que tomara el futuro de la protección de datos personales. La recolección, almacenamiento y control de data dejará de navegar entre la neblina y tendrá total transparencia por primera vez en la historia.
Las empresas que ponen sus intereses por encima de los de sus grupos de interés están a punto de llegar a su fin. Hoy es tiempo de que las marcas cedan el control a sus stakeholders y eso significa que tendrán que enamorarlos si desean realmente formar parte de su vida. Hoy las empresas deben estar al servicio de las personas y no las personas al servicio de ellas.
¿Qué pasa en México?
En México, el manejo de datos personales por parte de organizaciones privadas está regulado por la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), que en su artículo 15 establece que:
Cualquier persona física o moral de cartacter privado en posesión de datos de terceros debe informar a los titulares la información que recaba de ellos y con qué fines. Todo a través de un aviso de privacidad.
Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15.
Según información reunida por la revista Expansión, el 88% de las empresas mexicanas asegura cumplir con lo que dicta esta ley, sin embargo casi la mitad de ellas (48%) incumple al menos uno de sus requerimientos. En 2016 se contabilizaron alrededor de 85 millones de pesos en multas por incumplimiento de la LFPDPPP.
Solo una de cada cuatro empresas cuenta con un sistema para garantizar que los datos de los usuarios sean eliminados de manera oportuna y el 54% carece de un procedimiento de respuesta ante robo de información. Eso sin contar que 38% de las empresas tarda al menos un año en detectar una violación de esta naturaleza.
Claro que es responsabilidad de las empresas transparentar sus políticas de manejo de datos personales a través de un aviso de privacidad claro y responsable. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ofrece una guía completa para que las empresas puedan generar su propio aviso de privacidad.
Aviso de privacidad responsasble
El futuro de la protección de datos personales parece claro. Empresas transparentes que ponen los intereses del titular al centro, que evitan ser invasivas y que ganan el derecho a comunicarse con sus grupos de interés de manera cercana.
A nivel legal, todo aviso de privacidad en México debe contener información acerca de:
- Quién recaba (responsable)
- Qué recaba (información que se recaba)
- Para qué recaba (las finalidades del tratamiento)
- Cómo limitar el alcance (uso o divulgación)
- Cómo revocar consentimiento cómo ejercer derechos ARCO (medios)
- Cómo comunica cambios al aviso (procedimiento y medio)
- Si se acepta o no que los datos se comuniquen a terceros (transferencias) en su caso, si se recaban datos sensibles.
Sin embargo, las empresas responsables conocen la importancia de ser proactivas. El conocimiento de lo que sucede en el mundo les brinda la oportunidad de adelantarse al futuro y proveer a los usuarios de información precisa el almacenamiento, la protección y las políticas de eliminación de su data. ¿Está tu empresa lista para ello?