A lo largo del presente siglo, no han sido pocos los casos en los que enormes y relevantes empresas se han visto involucradas en escándalos internacionales que han tenido que ver con hackeo y robo de datos personales de sus clientes. En el más reciente gran incidente, cuyas repercusiones finales aún están por verse, Facebook no sufrió como tal un hackeo o robo de información, sino que uno de sus socios, la empresa de inteligencia Cambridge Analytica, utilizó data personal de los usuarios (a los cuales accedió de la mano de la compañía de Mark Zuckerberg) para influir en las elecciones de Estados Unidos de 2016 y en la salida de Gran Bretaña de la Unión Europea.
Sea por robos cibernéticos o por descuidos, lo que es un hecho es que la era digital se está enfrentando a un dilema que nadie había anticipado: el tratamiento y el valor de los datos personales que todos los días y a todas horas millones de personas dan, a veces inconscientemente, a cientos de compañías, algunas de las cuales no ponen la suficiente atención en protegerlos y darles buen uso.
Es por eso que surgió GDPR en Europa. En este texto, explicaremos qué es y cómo influirá en tus próximas campañas de marketing digital.
¿Qué es GDPR y cuáles son sus implicaciones?
Es un hecho que gran parte de la razón por la cual se suscitaron estos escándalos también tiene que ver con los vacíos legales y el poco entendimiento que las autoridades y jueces tienen sobre el tema (por esa razón es que a Zuckerberg no lo citó a declarar un tribunal, sino el Congreso de EUA, ya que antes de actuar, sus miembros querían entender de qué se trataba todo esto).
Ante este panorama, la Unión Europea “se puso las pilas” y adoptó en abril de 2016 la Regulación General para la Protección de Datos (GDPR, por sus siglas en inglés), entrando en vigor el 25 de mayo de 2018. Esta regulación pone a los datos personales en el máximo nivel de cumplimiento y protección legales y aplica para todas las empresas que trabajan con datos personales de residentes europeos, aun cuando dichas empresas no tengan su sede en Europa.
GDPR toma al individuo como eje de la protección de los datos, por eso le otorga el derecho de conocer y decidir cómo se utilizan, almacenan, transfieren, protegen y eliminan sus datos personales. Pero va más allá, pues ahora las personas pueden solicitar informes detallados sobre tal uso y hasta que se eliminen todos sus datos.
Así mismo, GDPR otorga el derecho de portabilidad al usuario. Esto significa que los datos deben estar en un formato estructurado, de uso común y lectura mecánica (un excel, por ejemplo), para que la gente pueda exportarlos fácilmente y trasladarlos a otro responsable.
Para las marcas, esto implica que deberán cambiar ciertos procesos de tal forma que transparenten la recopilación, uso y protección de datos personales, lo que sin duda influirá en la forma en que se hará el marketing digital a corto plazo.
“Mi marca es mexicana y mi empresa está basada en México, ¿esto cómo me afecta?”
De acuerdo a la Global State of Information Security Survey 2017 de PwC, en México se estima que el 87% de las empresas han tenido algún incidente de resguardo de información. Así mismo, en 2014 los gastos por culpa de delitos cibernéticos fueron de 3 mil millones de dólares.
Si tu marca se comercializa en territorios europeos o tiene su sede en aquel continente, y recopilas datos personales, deberás cumplir cabalmente con GDPR, así como tomar medidas para proteger y almacenar con seguridad la data de tus clientes.
Otra de las razones por las cuales GDPR es relevante es que pone sobre la mesa el concepto de controlador de datos, el cual debe asumir la responsabilidad de los mismos e idear e implementar medidas para que nadie vulnere su seguridad y puedan ser resguardados correctamente.
¿Qué pasa con Ley Federal de Protección de Datos Personales en Posesión de los Particulares?
Desde julio de 2010 está vigente en México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la cual tiene algunas diferencias y coincidencias con GDPR, a saber:
- Ambas contemplan la figura del controlador de datos, pero la GDPR deja más abiertos los casos en los cuales él o la marca entera tienen responsabilidad total o qué medidas tomar para cumplir con su función.
- La ley mexicana no contempla la elaboración de un plan de impacto de la privacidad por el uso de nuevas tecnologías, pero GDPR sí.
- Tanto la ley mexicana como GDPR contemplan que el controlador de datos debe implementar medidas para garantizar la seguridad de los mismos, pero la primera va más allá y detalla algunas de ellas.
- Ambas regulaciones contemplan protocolos, autorregulación de las empresas y certificaciones de seguridad.
Adicional a lo anterior, mencionaremos aparte una de las más grandes diferencias entre GDPR y la ley mexicana: el interés legítimo, es decir, las razones por la cual la empresa recopila información personal. La GDPR sí contempla este interés del controlador de datos como una de las condiciones para el procesamiento legítimo de información personal, pero la ley mexicana no, sino que en ella existe un consentimiento tácito, excepto para el procesamiento de información sensible como orígenes raciales, estados presentes y futuros de salud, así como data genética, religiosa, filosófica y financiera.
Cabe destacar que fuera de la Unión Europea, México es de los países más avanzados en cuanto a regulación de uso de datos.
“¿Y qué pasa si no cumplo?”
Las multas por incumplimiento de GDPR están en aproximadamente 23,440 millones de dólares o el 4% de los ingresos anuales de la compañía, dependiendo de las infracciones cometidas. Además, si un ciudadano europeo demuestra que una marca está haciendo mal uso de sus datos personales o incumple con los términos de privacidad, se expondrá a humillación pública por parte de las autoridades europeas, lo cual se traduce en pérdida de la reputación y, por ende, pérdida de ingresos.
“¿Cómo puedo asegurarme de que cumplo con estas regulaciones?”
Para ello, lo primero que debes hacer es tener un documento en el cual detalles lo siguiente:
- ¿Para qué se usarán los datos que recopilas?
- Qué medidas de seguridad aplicas para estos datos
- Cuánto tiempo almacenarás los datos
- Evaluaciones constantes de las medidas de seguridad
Así mismo, deberás:
- Contar con un inventario de datos y registro de todo el procesamiento interno y de terceros de datos personales europeos.
- Notificar a tus clientes si has sufrido una violación de seguridad o si los datos fueron comprometidos.
- Garantizar el derecho de tus clientes a acceder, corregir, portar, borrar y oponerse al procesamiento de sus datos.
- Evaluar periódicamente los protocolos de seguridad de datos.
Beneficios del GDPR para las marcas
Ante tanta regulación, obligaciones y cambios, el panorama no se ve muy alentador para las marcas, pero no todo es negativo.
Si cumples con las regulaciones, puedes obtener beneficios como:
- Analizar imparcialmente el nivel de seguridad de tu marca.
- Asegurar la continuidad del negocio.
- Detectar riesgos de seguridad que podrían dar lugar a un hackeo, robo o acto ciberterrorista.
- Aplicar mejoras en tu empresa.
- Evitar pérdidas monetarias y daños en tu imagen de marca.
- Estimular a tus inversionistas y clientes.
- Impedir el comercio ilegal de datos.
¿GDPR cambiará la manera de hacer negocios?
De acuerdo a todo lo anterior, es un hecho que si haces marketing digital y recopilas datos de tus clientes deberás implementar varios cambios para no incurrir en un delito, de acuerdo a la regulación europea, pero las consecuencias de GDPR van más allá, por ejemplo:
- Información en la nube: dado que gran parte de los datos personales se procesan con este tipo de servicios, son vulnerables a sufrir ataques, robos o filtraciones desde cualquier parte del mundo. Las empresas deberán invertir en capacitar a sus empleados para asegurar la protección de los mismos. Ojo, porque no sólo estamos hablando de datos sensibles de clientes, sino también de los mismos empleados.
- Hardware: teniendo en cuenta que tu marca es la responsable del manejo de datos de tus clientes, si utilizas o comercializas algún hardware o gadget que se conecte a internet o con otros gadgets vía WiFi o Bluetooth, deberás garantizar al 100% que estos aparatos no serán vulnerables a hackeos, robos y otros problemas de seguridad.
- Criptomonedas: si piensas utilizar esta manera de hacer transacciones económicas en la red, es muy importante que tengas en cuenta que seguramente serán blanco de ataques o intentos de ataques en el futuro cercano.
- Blockchain: mismo caso que las criptomonedas, ya que si bien hasta la fecha este método de transacciones es seguro, esto no es garantía de que permanecerá así por siempre, así que debes protegerte cumpliendo con las regulaciones en caso de enfrentarte a alguna vulnerabilidad.
CONCLUSIÓN
Las regulaciones internacionales, de México, de Europa o de donde sean, son aspectos que debes considerar pues podrían afectar a tu marca, sobre todo si realizas negocios fuera del país. Toma en cuenta que el marketing de datos es una de las ramas del marketing digital más importantes para predecir el comportamiento de tus consumidores y orientarlos a una acción en particular, pero si realizas el tratamiento de data descuidadamente, puedes incurrir en delitos, pérdida de reputación y otros inconvenientes críticos.
Recuerda que siempre puedes acercarte a nosotros para que te asesoremos sobre el tema, te ayudemos a crear la estrategia de protección de datos personales de tus clientes, platiquemos de tu manejo de crisis e implementemos juntos los cambios mandatorios en materia de marketing digital.