Cambridge Analytica y la filtración de los registros de Facebook abrieron la caja de Pandora de los datos personales, exponiendo su vulnerabilidad e incluso lo que se puede lograr a partir de ellos. Con este suceso como marco de referencia, este 25 de mayo de 2018 entra en vigor el nuevo Reglamento General para la Protección de Datos Personales de la Unión Europea (GDPR, por sus siglas en inglés), el cual no sólo tienen un importante impacto en las personas de los países integrantes de la coalición, sino que también tendrá implicaciones en empresas y organizaciones de otras partes del mundo que trabajen con bases de datos en las que se encuentres inscritos individuos provenientes de las naciones que conforman la liga.

¿Cuáles son las principales implicaciones del Reglamento General de Protección de Datos Personales de la Unión Europea?

De acuerdo con datos de El Universal, el Reglamento General de Protección de Datos Personales de la Unión Europea fue aprobado después de cuatro años de negociaciones entre los países integrantes de la Unión Europea (UE), a saber, Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumania y Suecia (sin contar con Reino Unido, nación que está en proceso de separación de esta liga).

La finalidad del Reglamento General de Protección de Datos Personales de la Unión Europea es el atender lo establecido en la Carta de los Derechos Fundamentales de la Unión Europea (artículo 16, apartado 1) y en el Tratado de funcionamiento de la Unión Europea (artículo 16, apartado 1), documentos en los que se establece que toda persona tiene derecho a la protección de sus datos personales.

Precisamente El País ha definido al Reglamento General de Protección de Datos Personales como la transformación más grande que se ha hecho en la normatividad del uso de internet en la Unión Europea.

Pero, ¿qué es lo que implica esto? Según datos de La Vanguardia, el objetivo principal de la regulación que entró en vigor este 25 de mayo es muy sencilla: conocer quién y cómo se están utilizando sus datos personales, de tal modo que el individuo pueda tener más control sobre su información.

Esto implica que los ciudadanos europeos deben dar su aprobación explicita para procesamiento o almacenamiento que se haga con sus datos personales. Esto supone que ya no se podrá usar lo que se conoce como consentimiento táctico (llenado por defecto de casillas, automáticas activaciones de éstas, etc.), según explica tanto La Vanguardia como El País.

Por ejemplo, el usuario tendrá que dar su aprobación para unirse a un newsletter, otra para cuando quiere formar parte de una base de datos para que se le muestran anuncios y otra más para formar parte de un registro para una estrategia de emailing.

Cabe destacar que ahora los términos y condiciones de uso, así como los avisos de privacidad con los que trabajan las empresas deben ser claros y breves, para que sean comprendidos por los usuarios, además de que también se evite cualquier ambigüedad que se pueda prestar para hacer mal uso de la información.

¿Cuáles son los principales puntos que toca el nuevo Reglamento General de Protección de Datos Personales de la Unión Europea?

Las acciones puntuales que vienen desarrolladas en el nuevo Reglamento General de Protección de Datos Personales de la Unión Europea buscan precisamente proteger la información de los usuarios, además de que ellos tengan más control sobre sus registros que están en internet.

  • Como ya se puntualizó, uno de los principales puntos que toca esta norma renovada es que las empresas necesitarán el consentimiento claro y explícito de los usuarios para poder hacer uso de sus datos personales.
  • Las empresas y organizaciones, en un máximo de 72 horas, están obligadas a informar a la agencia nacional de datos sobre un hackeo. También deberán mencionarle lo antes posible al usuario sobre la situación.
  • Los usuarios contarán con lo que se conoce como derecho al olvido, norma que permite la posibilidad de que el usuario quiera o solicite borrar definitivamente o modificar su información.
  • Otra de las cuestiones que se introducen puntualmente con esta nueva norma es que las empresas y organizaciones deben descargar la información de un usuario, en dado caso de que éste así lo pida, para que se la pueda llevar y utilizarla en algún otro sitio.
  •  Las empresas y organizaciones deben contar con un delegado de protección de datos, siempre y cuando se trabaje con grandes cantidades de registros e información sensible, quien debe explicarle a las personas que lo soliciten lo que se está haciendo con su data.
  • En el caso de información sensible, como por ejemplo datos biométricos, estos se encriptarán de tal modo que el nombre quede separado de dicho registro para garantizar la seguridad de la persona.

¿Cómo impacta esto en las empresas en todo el mundo?

We Live Segurity explica que, aunque el Reglamento General de Protección de Datos Personales es una propiamente de la Unión Europea, el impacto que tendrá esta norma que acaba de entrar en vigor es global. ¿Por qué? El medio comenta que las empresas fuera de Europa que ofrezcan algún servicio dentro de ese continente, deben cumplir con la normatividad y garantizar el derecho de protección de datos personales para los ciudadanos europeos.

Google, Facebook, Amazon, Twitter, tiendas online, bancos, son algunas de las empresas que tendrán que acatar las nuevas normas establecidas por esta ley, a pesar de que su sede no sea europea.

En dado caso de incumplir con las normas del reglamento, la empresa u organización responsable tendrá que pagar una multa de 20 millones de dólares o el equivalente al 4 por ciento de la facturación anual, según mencionan sitios como La Vanguardia, El País y la BBC.

Cabe destacar que el Reglamento General de Protección de Datos personales de la Unión Europea, ha funcionado como un modelo ha seguir para países como Chile, Tailandia, Japón e incluso México.

De hecho, México, para adherirse al Convenio 108 del Consejo de Europa y su Protocolo adicional, los cuales buscan garantizar la protección de datos personales, tuvo que fortalecer sus leyes sobre el cuidado de la información. El Estado mexicano confirmó su participación en el acuerdo el pasado 26 de abril, de acuerdo con datos de El Universal.

Es importante mencionar que muchas empresas que obtuvieron datos personales por medio de consentimiento táctico, comenzaron a mandar correos a las personas que se encontraban en sus bases, con finalidad de conseguir la aprobación correcta para el uso de la información, puesto que a partir de este 25 de mayo, al no tenerla se estaría cometiendo un delito, de acuerdo con datos de la BBC.

Al no tener la aprobación adecuada por parte de los usuarios, las empresas tendrán que borrar sus datos para evitar precisamente cometer un delito. Sin embargo, si se tiene tanto un aviso de privacidad adecuado y claro, además de la aprobación expresa de la gente para usar su información, entonces las organizaciones no deben preocuparse; sin embargo, sí será necesario que esté actualizadas sobre el tema, para prevenir cualquier eventualidad.

¿Qué pueden hacer las empresas mexicanas para evitar inconvenientes?

Además de estar actualizados sobre el contenido del Reglamento General de Protección de Datos de la Unión Europea, es fundamental, de acuerdo con datos de El Universal, revisar las bases de datos a conciencia para saber el origen de cada registro. También será importante conocer cómo se están utilizando y habrá que establecer un plan de gobernanza para los registros.

Las empresas también deberán contar con controles de seguridad y planes preventivos para evitar cualquier eventualidad que pueda surgir. La última recomendación que da se deben conservar toda la documentación.

¿Qué impacto tendrá el Reglamento General de Protección de Datos de la Unión Europea en el marketing BTL?

El tema incide totalmente en el marketing directo. El principal motivo es que este canal below the line trabaja con bases de datos para generar comunicación y acciones directas y personalizadas. Las empresas, sean europeas o tengan operaciones en el continente, que no cumplan con lo establecido en la ley, prácticamente se quedarán sin registros. Se prevé que uno de los sectores más afectado será precisamente el de las comunicaciones.

En lo que respecta a redes sociales Facebook, Twitter e Instagram, además de motores de búsqueda como Google, estarán un poco más restringidos y observados. Además de que ahora los usuarios tendrán la oportunidad de borrar su información siempre y cuando así lo soliciten.

SUSCRÍBETE A LA REVISTA IMPRESA A UN PRECIO ESPECIAL