RGPD ¿Cómo convertirse en una marca Trusted?
03 May 2018
El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD) que supone la puesta en marcha de un espacio común europeo seguro para el tratamiento adecuado de los datos personales y sensibles. Uno de los objetivos que tiene esta nueva normativa es el de organizar el tratamiento y la protección de los datos en los que las organizaciones basan actualmente sus negocios.
En un entorno en el que el usuario es cada vez más exigente y está mejor informado, la pérdida de reputación y de confianza en la marca, pueden ser igualmente determinantes para las organizaciones, que las sanciones económicas que asociadas al incumplimiento de la norma y que oscilarán entre los 20 M€ o el 4% de la facturación anual del ejercicio anterior.
El RGPD fue aprobado ahora hace dos años. Desde entonces, mucho se ha hablado y escrito sobre el tema. Sin embargo, parece que gran parte de las organizaciones europeas siguen sin estar a punto. Así, en un informe publicado por el analista IDC hace unos meses se decía que la mayoría de las empresas españolas aún estaban iniciando su viaje hacia el nuevo marco normativo, y que el 65% de las organizaciones no contaba con una estrategia clara para su cumplimiento. Por su parte, Forrester dice que solo el 26% de las compañías europeas afirma cumplir con la norma.
¿POR DÓNDE EMPEZAR?
El RGPD afecta, directa o indirectamente, a todos los departamentos de la empresa, desde Tecnología hasta Recursos Humanos, pasando por Marketing, Operaciones, Digital… por lo que es normal sentirse un poco desbordado.
Ante todo, no debe cundir el pánico. En el caso de las empresas españolas ya se cumple con la Ley Orgánica de Protección de Datos (LOPD), que es un buen punto de partida. Luego, con unos conceptos claros, una buena planificación y unos planes de ejecución adecuados, la adaptación de los procesos a la normativa, seguramente, no va a resultar tan traumática. Lo importante, como en todo, es empezar dando el primer paso.
En este sentido, lo más recomendable es comenzar por un proceso de evaluación en el que se determine el impacto que el nuevo reglamento va a tener en las personas, en el negocio y en la tecnología. Conforme a sus resultados deberá haberse diseñado una hoja de ruta que aborde los puntos críticos detectados y que permita cumplir el RGPD con garantías en el menor tiempo posible. Esos pasos ya deberían estar dados. Y siendo optimista creo que así es.
Ahora, más concretamente, y dependiendo de la realidad de cada organización, estos serían algunos hitos fundamentales en el camino hacia una adopción ordenada de la nueva normativa:
- Ámbito Legal. Evaluación de Impacto en la Protección de Datos personales (EIPD/PIA).
- Ámbito Digital. Experiencia de Usuario amigable, accesible y captura transparente del dato.
- Ámbito de Seguridad. Desde el desarrollo de aplicaciones hasta la actividad de los empleados.
- Ámbito de Gobierno y Calidad del dato. Procesamiento, almacenamiento y aseguramiento correctos.
Según ese modelo, el primer paso estará a cargo del departamento legal de la empresa, mediante la realización de una Evaluación de Impacto en la Protección de Datos personales (EIPD/PIA). Este ejercicio consiste, según la Agencia Española de Protección de Datos, en un análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar con respecto al derecho fundamental a la protección de datos de los afectados, así como a la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Distintos expertos señalan la importancia de realizar este ejercicio en las etapas iniciales del diseño de un nuevo sistema de información, ya que así se podrán identificar los posibles riesgos y corregirlos anticipadamente, algo que lleva aparejado un claro ahorro de costes. Igualmente, una EIPD/PIA se convierte en la base sobre la que construir una relación de confianza y transparencia con los clientes.
En segundo lugar, desde el ámbito Digital es necesario trabajar y ofrecer a las audiencias que interactúen con la compañía a través de los distintos canales puestos a su disposición -social media, web, móvil, voz…- una Experiencia de Usuario (UX) amigable y accesible, que facilite al máximo la recolección de datos, la aceptación y la gestión de los consentimientos.
BE TRANSPARENT MY FRIEND … BE TRANSPARENT
La transparencia se ha convertido en un factor clave para la reputación de las marcas. Si un usuario no ve con claridad los términos y condiciones que la organización le propone al solicitarle los datos, seguramente, no los facilitará, lo que supondrá una oportunidad de negocio perdida. En este sentido, la puesta en marcha de un portal para el ejercicio de derechos en lo que al tratamiento y uso de los datos se refiere, puede ser una buena opción para impulsar esta transparencia. Proporcionar a los usuarios, clientes y/o ciudadanos el control sobre sus datos personales hará que la marca resulte más confiable.
El siguiente paso viene marcado por la seguridad, aquí entran en juego desde los desarrolladores de las aplicaciones hasta el último empleado de la compañía. Si un programador utiliza un código poco seguro en el desarrollo de una aplicación, es posible que los ciberdelincuentes lo tengan más fácil a la hora de introducirse en los sistemas de la empresa a través de una vulnerabilidad del software. En el otro extremo, si un empleado no es consciente de la importancia de mantener unas prácticas básicas de seguridad en su actividad diaria, seguramente estará abriendo una puerta de acceso a las redes corporativas y comprometiendo así los datos que contienen.
Finalmente, los datos son el corazón de las organizaciones actuales, pero los datos llegan en múltiples formatos y de múltiples fuentes. Asimismo, la cantidad de datos que se genera cada minuto crece exponencialmente. Es necesario tratarlos, almacenarlos y garantizar su seguridad correctamente. La calidad del dato es otro factor clave en el cumplimiento del RGPD.
OBLIGACIONES Y OPORTUNIDADES
RGPD nuevas oportunidades, nuevas obligaciones de la Comisión Europea explica todo lo que las empresas deben saber sobre el Reglamento General de Protección de Datos y las grandes posibilidades de negocio que ofrece.
Está claro que la puesta en marcha del RGPD implica muchas obligaciones para las compañías -tanto públicas como privadas- sobre todo en lo que tiene que ver con la imposición de un nuevo código de conducta y, como decíamos antes, con una mayor transparencia y eficiencia en la gestión de los datos. De hecho, la obligación de notificar cualquier brecha de seguridad en menos de 72 horas nos da una idea del exhaustivo registro y control al que las empresas deben someter el tratamiento de sus datos.
Pero, el nuevo “estado del arte” que traerá consigo el RGPD impulsará también un nuevo modelo de responsabilidad proactiva y garantizará la actualización y, sobre todo, la calidad de los datos, lo que, a su vez, supondrá una magnífica oportunidad para mejorar su gestión. Hablando de oportunidades, estas son algunas de las más relevantes:
- Mejor comprensión -por parte de las organizaciones- del valor de sus datos. Esto permitirá generar vínculos de confianza con sus clientes y/o ciudadanos para quienes podrán, incluso, personalizar el tipo de mensaje o comunicación en función de sus preferencias, gustos o necesidades, lo que representa, además, un empoderamiento mayor del cliente/ciudadano con todo lo que ello implica.
- Protección como propósito de marca. La percepción de una compañía sensible con aspectos tan delicados como la protección de los datos personales, ya proporciona una imagen de garantía y responsabilidad respecto a la privacidad, que resulta muy positiva para las marcas. GDPR impulsará a las empresas a utilizar la privacidad y seguridad de su información -desde un punto de vista ético- como un propósito de marca y los usuarios responderán en positivo ante este ejercicio de compromiso y transparencia.
- Procesos de negocio más seguros = propuestas de soluciones más eficientes. Esta es la máxima con la que las organizaciones empezarán a familiarizarse para impulsar el cambio positivo. Explicar de forma transparente cómo se utilizan los datos personales, para qué, en qué momento se pueden o se deben eliminar, quién tiene acceso a la información, quién es el responsable de velar por la seguridad de los datos, …, implica una profunda revisión de los procesos de negocio, pero también generará una mayor confianza dentro de la organización que se proyectará en sus propuestas de valor hacia el exterior.
Nadie dijo que fuera sencillo, pero tampoco es imposible. Es más una cuestión de mentalización, de cambio de cultura, de adoptar una serie de buenas prácticas e identificar las herramientas disponibles en el mercado que son capaces de resolver gran parte de los desafíos a los que ahora nos enfrentamos con la entrada en vigor del RGPD. El premio – convertirse en una marca de confianza, referente para nuestros usuarios- merece la pena.