Skip to content

RGPD, cómo ha afectado su implantación al tratamiento de los datos

Desde la entrada en vigencia del RGPD en el ámbito europeo hace casi dos años, las consecuencias en el tratamiento de los datos son evidentes. En efecto, el Reglamento General de Protección de Datos llenó vacíos y estableció normas precisas para la captación y gestión de la información personal. De esta manera, los derechos del usuario cobraron mayor relevancia, mientras se incrementaba la responsabilidad de las empresas en el tratamiento transparente de esos datos.

A continuación, analizaremos de qué manera está influyendo este instrumento legal en la actitud de los clientes frente a las marcas. Por otra parte, comentaremos los cambios que impulsó en los procesos de las organizaciones relacionados con la gestión de datos.

RGPD, un mayor control del usuario sobre sus datos

Partiendo de una lógica muy básica, el usuario es el portador y propietario de sus datos y suya es la decisión de compartirla en la red. Teniendo esto en consideración, el objetivo del RGPD es poner en relieve el derecho del usuario a conocer bien a quién le proporcionará su información. En esta misma línea, exigirá saber cómo y para qué la emplearán. Basado en esto, tomará su decisión, no sin antes considerar la conveniencia de aceptar las condiciones y valorar si se corresponden con los beneficios ofrecidos.

En concreto, esto implicó un primer cambio relevante: todas las organizaciones, sean compañías o administraciones públicas tuvieron que solicitar el consentimiento expreso del usuario. Pero esto va más allá de sustituir el consentimiento tácito, esta solicitud ahora es detallada para cada propósito o empleo de los datos. El usuario tiene la potestad de marcar o no una o más opciones correspondientes a las condiciones específicas que acepta. De esta forma, quedó prohibido el recurso de presentar al usuario las casillas de aceptación previamente marcadas.

Este cambio motivó a que la mayoría de las empresas con presencia en la red iniciaran una campaña dirigida a los usuarios incluidos en su base de datos. El proyecto tuvo por objeto obtener consentimientos adaptados a las exigencias del reglamento y hacer que estos fueran claramente demostrables. A partir de entonces, las organizaciones debieron borrar el registro de datos de aquellas personas que no expresaron un nuevo consentimiento. Otro derecho que adquirió el usuario es el de decidir cuándo retirar el consentimiento de uso de sus datos por parte de determinada empresa. Para ello, las compañías facilitan ahora dicho procedimiento mediante mecanismos en las suscripciones a newsletters y otras comunicaciones. Así la concesión para el uso de datos ya no es ilimitada.

Derechos de rectificación y supresión

Más aún, los interesados tienen derecho a solicitar la rectificación de los datos personales incorrectos y a completar aquellos que son insuficientes. Incluso pueden solicitar la supresión de los mismos –conocida como “derecho al olvido”- cuando ya no sean necesarios para los fines con los que se captaron.

¿Cómo está afectando el nuevo reglamento a las empresas?

Muchos expertos destacan las sanciones previstas por el RGPD para las organizaciones que incumplen sus disposiciones. Y no es para menos. Por ejemplo, supongamos que una empresa mantiene una base de datos sin el consentimiento de los usuarios según las disposiciones del reglamento. Tal infracción supone una multa equivalente al 2% de la facturación anual o hasta 10 millones de euros en los casos menos graves. O en los casos más importantes, del 4% de la facturación anual o 20 millones de euros, la más alta de las dos.

Sin embargo, la consecuencia más notoria para las organizaciones tiene que ver con los esfuerzos que deben realizar para ajustar el tratamiento de la información. En específico, para cumplir los principios señalados en el artículo 5 sobre la gestión de datos:

  • Tratamiento lícito, leal y transparente en beneficio del usuario.
  • Su captación obedecerá a fines legítimos y explícitos. Tampoco podrán emplearse para un propósito posterior distinto.
  • Los datos exigibles al usuario deben ser mínimos, limitados a lo estrictamente necesario.
  • Los datos personales serán exactos y actualizados. Los responsables del tratamiento de los datos tomarán las medidas para corregir o suprimir los datos inexactos.

En este último punto, es indispensable prestar especial atención a la calidad de los datos. Más aún si se trata de empresas de ecommerce o cuyas transacciones se efectúen online. Para atender dicha exigencia existen soluciones informáticas como MyDataQ, de DEYDE, mediante las que es posible normalizar, deduplicar y enriquecer vuestras bases de datos. De tal modo, no solo estaréis cumpliendo con el reglamento que nos ocupa, sino que también evitaréis molestias al cliente y costes por devoluciones.

La GDPR y la seguridad de los datos

Respecto a la seguridad de los datos, el artículo 32 del GDPR expresa un mandato detallado. Es decir, obliga a los responsables y encargados del tratamiento de la información a implementar las medidas y recursos necesarios para garantizarla. Incluyendo:

  • Seudonimización y cifrado de datos personales.
  • Capacidad de mantener y asegurar continuidad en la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios para el tratamiento de los datos.
  • Ser competentes para restaurar la disponibilidad y acceso a los datos personales oportunamente en casos de incidentes.
  • Verificar y evaluar frecuentemente la eficacia de las medidas y herramientas de ciberseguridad adoptadas.

En este sentido, si las empresas detectan alguna filtración que vulnere la integridad de los datos personales deberán notificarla al organismo oficial competente (Artículo 33). Este aviso debe efectuarse en un período de tiempo no mayor de 72 horas y debe incluir el tipo de violación y alcance de la misma. Esto último implica indicar las categorías de datos y cifras aproximadas de usuarios y registros afectados. Asimismo, es indispensable describir las consecuencias eventuales de la filtración y las medidas puestas en marcha para solucionar la situación. Considerando, si procede, aquellas acciones destinadas a minimizar las consecuencias negativas.

Obviamente, si se considera que la violación reviste una seria amenaza a los derechos y libertades de los usuarios, la organización deberá notificarlo a los interesados. En función de ello, dicha comunicación contendrá la información detallada en el artículo 33.

RGPD y calidad de los datos

Hasta aquí hemos analizado las consecuencias y cambios más importantes generados por el RGPD y que afectan tanto a usuarios como a empresas. Aun así, es indispensable una lectura a fondo del instrumento, así como asesoramiento para mejorar la calidad de los datos. Esto os aclarará el panorama sobre el cumplimiento de vuestras compañías y de lo que requeriréis para lograr un nivel óptimo de calidad de datos en este sentido.

Más sobre DEYDE

Nace en el año 2001 en España, junto con su servicio principal. Ofrecen normalización de nombres, estandarización y codificación de direcciones postales, identificación de duplicados y enriquecimiento de direcciones postales con datos geográficos. Diez años más tarde, desarrollan MyDataQ Global Service y ofrecen servicios de Calidad de Datos a nivel mundial. A los 15 años de su fundación, ya contaban con desarrollos a medida para Portugal, Italia, México, Colombia y Chile (www.deyde.com).