Las siglas GDPR (General Data Protection Regulation) puede que te suenen todavía lejanas, a pesar de que estamos a sólo 6 meses de su puesta de largo. Pero desde el 25 de mayo de 2018 marcarán un antes y un después en términos de protección de datos.

¿Por qué?
Las empresas sabíamos lo que significa ser depositarios de los datos de nuestros clientes, desde que en en el año 1999 entrase en vigor la LOPD.  Desde ese momento nos hacíamos cargo de los datos de nuestros clientes, con obligación de comunicárselo a la AEPD (Agencia Española de Protección de Datos). El objetivo principal de la LOPD era regular el tratamiento de los datos y ficheros de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.
Suficiente protección para los particulares, debieron de pensar los legisladores y sucesivos gobiernos. Y suficiente trabajo adicional, pensamos todas las compañías.
Pero el tsunami digital en el que las personas vivimos desde que esta ley fue promulgada, ha mostrado que los datos se han convertido en el combustible que mueve el motor comercial alrededor del mundo.
En los inicios de internet los particulares estábamos lejos de entender que el interminable rastro de datos que actualmente dejamos de manera muchas veces inconsciente, iba a ser aprovechado por empresas de todo pelaje y condición, con buenas o menos buenas intenciones.
Pero el 25 de mayo de 2018 con la entrada en vigor del GDPR todo va a cambiar, al establecer una dinámica en la que la persona es el centro de todo ¿Cuáles son sus puntos clave?
* “Derecho al olvido”: Cuando una persona ya no desea que sus datos sean procesados y siempre que no existan motivos legítimos para conservarlos, los datos serán borrados. Se trata de proteger la privacidad de las personas, no de borrar sucesos pasados o restringir la libertad de prensa.
* Acceso más fácil a los datos personales: las personas tendrán más información sobre cómo se procesan sus datos y esta información deberá estar disponible de forma clara y comprensible. El derecho a la portabilidad de los datos facilitará a las personas la transmisión de datos personales entre proveedores de servicios.
* Derecho a saber cuándo se ha producido un robo de datos personales: las empresas y organizaciones deben notificar a la autoridad nacional de control,en 72 horas, las infracciones de los datos que ponen en peligro a las personas y comunicar al interesado todas las infracciones de alto riesgo lo antes posible para que los usuarios puedan tomar las medidas oportunas.
* “Protección de datos por diseño” y “Protección de datos por defecto”: son ahora elementos esenciales en las normas de protección de datos de la UE. En el origen del diseño de productos o servicios, debe estar integrada la protección de datos como. Y la norma a punto de entrar en vigor, será la configuración predeterminada que respete la privacidad, por ejemplo, en redes sociales o aplicaciones móviles.
* Una aplicación más estricta de las normas: las autoridades de protección de datos podrán imponer multas a las empresas que no cumplan las normas de la UE, de hasta el 4 % de su volumen de negocios anual global.
Y para hacer frente a lo anterior las empresas tendremos que trabajar como no lo hemos hecho hasta ahora:
* Qué datos de terceros gestiona tu organización. Qué datos se recogen de terceros y dónde se almacenan. Tal vez algo que ya veníamos haciendo, pero que ahora habrá que actualizar hasta la saciedad.
* El consentimiento sobre la cesión de datos debe ser explícito. Debe ser aceptado por el usuario, ya no valdrá recoger datos por defecto. Uno de los aspectos menos “cuidados” por las empresas que habitualmente te suscriben a su newsletter sin que lo hayas pedido
* Nace la figura del Delegado de Protección de Datos (Data Protection Officer). Cualquier empresa de más de 250 empleados con su actividad principal en la gestión y proceso de datos o de datos de categoría especial, deberán tener esta figura.
* Implementación de controles de seguimiento, gestión, y protección de datos, atendiendo al usuario que pide información sobre sus datos.
Con este panorama habrá dos escenarios posibles:
– empresas que cumplirán la nueva regulación y podrán mantener los datos de sus clientes.
– empresas que no cumplirán la regulación y puede que tengan que renunciar a mantener esos datos.
Con la entrada del GDPR los consumidores podrán conocer qué empresas son capaces de mantener sus datos gracias a cumplir la nueva normativa y cuales no. Y en un panorama de control absoluto de nuestros datos, podremos decir “no” a la empresa que pida mantener nuestra información una vez que sabemos que no podrá hacerlo con total seguridad.
Y lo que es más importante: podremos elegir con qué empresa proteger nuestros datos.  Asistiremos al nacimiento de una portabilidad de nuestros datos, al punto de que podremos ser clientes de una empresa y que nuestros datos estén en otra compañía, algo así como tener que compartir cama con el amante de nuestro cliente. Y dará pie a la aparición de empresas que ofrezcan un servicio “ad-hoc” de almacenamiento de nuestros datos, destapando una nueva línea de negocio.
Y eso marcará la diferencia entre las empresas capaces de construir nuevos productos o servicios gracias precisamente al conocimiento que tendrán de los datos de clientes, frente a las que no podrán hacer uso de ese conocimiento al haberles limitado sus clientes el uso de sus datos.
La GDPR es mucho más que un reglamento que desarrolla artículos concretos de lo que ya se venía aplicando. Está destinada a crear una nueva realidad, costosa de implementar, pero muy ambiciosa en sus objetivos respecto a la relación de clientes y empresas.
Esos datos serán oro líquido en las manos de las empresas más implicadas con la regulación que la GDPR impone y se convertirán en un quebradero de cabeza para las compañías que lleguen tarde o no consigan ser percibidas como seguras por los clientes.
Desde mayo de 2018 vamos a poder comprobar que nuestros clientes son algo más que un dato.

Vía GoodRebels