RGPD: cómo afecta a las pymes el nuevo escenario de protección de datos


RGPD: cómo afecta a las pymes el nuevo escenario de protección de datos

El 25 de mayo es de obligado cumplimiento el nuevo Reglamento Europeo de Protección de Datos. Este reglamento se aprobó hace ya dos años y durante este tiempo “de candencia” se ha querido dar a las empresas y organizaciones unos meses para adaptarse y prepararse.

En los últimos meses he hablado con muchas personas (empleados, freelances, empresarios…) sobre el RGPD… Habitualmente porque he sacado yo el tema, de hecho.

Esto me lleva a suscribir el estudio elaborado por Sage (puedes ver aquí como Cinco Días se hizo eco de este informe) y en el que se concluía que más o menos la mitad de las empresas no saben / no contestan cuando se les habla del nuevo Reglamento Europeo de Protección de Datos.

A muchas pymes ni les suena el asunto. A las que les suena, les surgen muchas dudas. Y no es para menos. Yo he tenido la oportunidad de familiarizarme y leer bastante sobre el asunto, pero sigo teniendo bastantes dudas.

Sobre lo que no hay duda posible es que en el nuevo marco legal el consentimiento de la persona sobre el uso de sus datos debe ser expreso. Y las empresas deben estar en posición de demostrar ese consentimiento expreso.

Pero, antes de eso, hay otra cosa que me ha quedado muy clara: el RGPD afecta a todas las organizaciones, empresas y microempresas e incluso a asociaciones o bloggers.

Los tentáculos de este nuevo marco legal afectan a todo tipo de actividad y a distintos niveles. Hay implicaciones en temas relacionados RR.HH, con los proveedores y colaboradores, con marketing y comunicación…. En definitiva, para todo.

El RGPD afecta a todos y cada uno de los elementos del negocio. Da igual el sector o el tamaño del negocio.

Una regulación más restrictiva destinada a poner orden en ciertos puntos y con objetivo último de mejorar la confianza del usuario a través de información más clara, transparente y comprensible para el consumidor sobre por qué se recopilan los datos que se recopilan y qué se va hacer con ellos, durante cuánto tiempo etc.

El nuevo RGPD regula cosas tan importantes como todo lo relacionado con la recopilación, el uso y la protección de datos de personas, así como la manera en que se gestionan o se divulgan.

Por mi corta experiencia en este campo, he podido observar además que para que una pyme o un profesional independiente pueda implantar todo este tema (y hacerlo bien) es necesario tener ayuda.

O más bien debería decir “ayudas”. Por ejemplo:

  • Abogados para hacer evaluaciones de impactos, redacción de textos de políticas de privacidad, contratos con terceros etc…
  • Expertos en ciberseguridad…
  • Diseñadores web y email marketing para implantar cambios en textos, formularios etc. en páginas web, flujo de correo electrónico…

Cada negocio o actividad tendrá unos requerimientos en función del tipo de datos que maneje, por lo que es difícil generalizar.

No es lo mismo adaptar un blog personal que un ecommerce que una asociación… Seguramente NO hay dos casos exactamente iguales.

La Agencia Española de Protección de Datos lanzó la aplicación Facilita_RGPD como una ayuda para pymes y autónomos para adaptarse el nuevo reglamento. 

La intención es buena, pero la ejecución no es práctica. En el momento en el que llegamos a la pregunta “¿Hacer publicidad y prospección comercial masiva a potenciales clientes?… el sistema nos dice no ser adecuado para nosotros. Bueno, ¿qué empresa hoy en día no hace publicidad y prospección masiva de clientes?

RGPD: cómo afecta a las pymes el nuevo escenario de protección de datos

 3 puntos clave para cumplir con el RGPD para bloggers, autónomos y empresas pequeñas con página web

La adaptación al RGPD es bastante más compleja que los pequeños pasos que voy a indicar aquí y que pretenden ser una orientación sobre por dónde empezar.
El principio real para hacerlo bien es hacer una valoración de riesgos y tomar medidas en función de los riesgos detectados que, como decía antes, variarán de un caso a otro...


Actualizar los documentos legales de la página web, como el aviso legal, los términos y condiciones del sitio web, la política de privacidad, la información sobre las cookies…
Hay soluciones low cost para los escenarios más sencillos. Ante la duda, para estos temas un abogado especializado en economía digital será el profesional que más ayuda podrá prestarnos.
Básicamente las actualizaciones deben ir en el sentido de trasparencia. Hay que explicar qué es una cookie y cuáles usamos. Si los datos que nos dan los metemos en una herramienta, hay que ser transparentes y decir qué herramienta es, dónde está, cuál es su compromiso con la privacidad y la protección de los datos.

Consentimiento expreso para recopilar datos a través del sitio web.
Muchos Bloggers, autónomos y pymes tienen (tenemos) formularios de contacto en el sitio web para que personas interesadas en lo que ofrecemos puedan solicitar presupuestos, colaboraciones, hacer preguntas… También es habitual disponer de una newsletter en la que se comparten noticias, promociones o incluso publicidad (un banner, una noticia patrocinada, por ejemplo).

Es necesario que las personas den consentimiento explícito a lo que se indique en la política de privacidad del sitio web. No se puede dar por sentado, como se hacía antes (la típica coletilla de “Al enviarnos tus datos aceptas la política de privacidad”). La fórmula más habitual y que más vamos a ver para obtener este consentimiento expreso será incluir una checkbox obligatoria en el formulario de turno, que el usuario deberá marcar por sí mismo (no puede estar pre-marcada) y que tenga un enlace a la política de privacidad.

Muchos bloggers, autónomos y pymes están además incluyendo información expresa bajo sus formularios sobre quién es el responsable del tratamiento de los datos del usuario, para qué los va a utilizar, si los datos van a salir de la Unión Europea etc.

Aquí tienes un ejemplo de Hacia el autoempleo
 
¿Y qué pasa con la lista de emails que ya teníamos? ¿Tenemos que empezar de cero?
En la práctica, muchos bloggers y negocios digitales (aunque no todos) han optado por resetear su lista de emails, por decirlo de alguna manera, pidiendo a sus suscriptores que se suscriban de nuevo. Otros han enviado un email a toda la lista de suscriptores con un botón en el que se les pide que acepten la política de privacidad. Se supone que al hacer clic en ese botón queda registrado tu consentimiento.

¿Por qué lo hacen así? Porque lo más normal será que quien empezase hace años a construir listas de email marketing no tuviese ni de lejos el consentimiento a la política de privacidad que se exige ahora (y que debe poder demostrarse y verificar).

En todo caso, como decía antes el sistema de captación de emails se debe modificar para cumplir con la norma.

Pero no sólo eso. Si decimos que recopilamos el email de alguien para un fin (un newsletter sobre tal o cual tema) debemos ser fieles a ese propósito.

¿Ganas de salir corriendo? Sí, probablemente. Yo misma tengo varias listas de emails de proyectos personales sobre las que aún no he decidido cómo actuar.

Creo que toda esta ordenación es positiva porque va a obligar a hacer las cosas de cierta manera, más respetuosa. Obligar a proteger los datos, a segmentar para enviar a las personas sólo lo que les hemos prometido, me parece bien.

En el lado contrario, la adaptación al RGPD supone una importante inversión en esfuerzo, tiempo y dinero complicada de encajar para muchas pymes, autónomos y bloggers sin demasiadas pretensiones.

Quizás se siga actuando como hasta ahora, o la mayoría quiera hacerlo así, no lo sé. Pero el riesgo es grande: las multas son lo bastante elevadas como para comprometer el futuro de cualquier proyecto, así que seguramente mirar para otro lado no es una opción.

No hay comentarios:

Publicar un comentario