El nuevo GDPR está a punto de empezar a aplicarse. En este post presentamos algunos de sus conceptos básicos, como paso previo a analizar sus principales novedades y sus implicaciones sobre el marketing.

El 25 de mayo de 2018 comenzará a exigirse el cumplimiento del Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation), que sustituirá a la actual normativa europea vigente, la Directiva de Protección de Datos 95/46/CE. Este nuevo enfoque de protección de datos es la vía de la Unión Europea para hacer a las empresas más responsables de sus acciones en este campo y va a tener profundas implicaciones en muchas áreas de las empresas.

GDPR

Los reguladores de la Unión piensan que las compañías han estado aprovechando la disparidad de normas para explotar los datos personales en su propio beneficio y no han sido transparentes sobre cómo los estaban empleando. El GDPR  ha sido diseñado para acabar con todo esto y devolver el poder a los consumidores. En esta serie de posts presentamos las implicaciones del GDPR para el marketing, terminando con unas recomendaciones para implementarlo. Por supuesto, al tratarse de un tema tan delicado esta lectura no os debe eximir de estudiar el reglamento y buscar asesoramiento profesional.

¿Por qué ahora va en serio?

Hay que tomarse muy en serio este inicio de la aplicación de la GDPR por varios motivos:

  • No hay más demoras. Al tratarse de un reglamento comunitario entra en vigor en todos los países miembros a la vez en la fecha acordada. No hay que esperar, como ocurre con las directivas comunitarias, a que se traspongan en forma de leyes en los diferentes países con los consiguientes retrasos y adaptaciones.
  • Multas mucho más que simbólicas. Las multas por infracción son mucho más altas que con la anterior regulación, con unos máximos que llegan a los 20 millones de euros o al 4% de la cifra de negocio anual de la empresa infractora, la cantidad que sea más alta. Estos riesgos harán pensarse mucho el incumplir el reglamento.
  • Alcance más allá de la Unión Europea. El nuevo reglamento extiende el alcance territorial de la legislación de protección de datos y no solo obliga a las empresas europeas, sino a todas las que manejan datos personales de europeos. Así, el reglamento se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento en la Unión Europea de una empresa responsable o una encargada de realizar un procesamiento, con independencia de si ese procesamiento tiene lugar en la Unión o no. Además, el reglamento se aplica al procesamiento de datos personales de sujetos de datos que están en la Unión por una empresa no establecido en la Unión, cuando las actividades de procesamiento están relacionadas con: (a) la oferta de bienes y servicios, independientemente de si se requiere un pago del sujeto de datos, a esos sujetos de datos en la Unión; o (b) la monitorización de su comportamiento, con tal que ese comportamiento tenga lugar en la Unión.

Todavía muchos interrogantes

El GDPR será complementado en un futuro próximo con el reglamento ePrivacy, que se encuentra en las fases finales de aprobación y que se aplicará a los negocios que proporcionan servicios de comunicaciones online, que utilizan técnicas de seguimiento online o que realiza marketing directo electrónico. Es de esperar que ePrivacy sea mucho más específico que GDPR en áreas como las cookies.

Y aunque el GDPR es bastante exhaustivo, permite que los Estados publiquen legislación específica en determinados puntos que quedan abiertos en el reglamento, siempre y cuando no contradigan a éste. Por eso en España se encuentra en trámite parlamentario un nuevo proyecto de Ley Orgánica de Protección de Datos y hasta que este trámite no finalice no tendremos una respuesta concreta a temas como algunos de los que mencionamos en esta serie de posts.

Conceptos básicos

Estos son los conceptos básicos del GDPR:

Datos personales

Protección de datos“Datos personales” significa cualquier información relacionada con una persona natural identificada o identificable (“sujeto de datos”). Una persona natural identificable es una que puede ser identificada, directa o indirectamente, en particular mediante la referencia a un identificador tal como un nombre, un número de identificación, datos de ubicación, un identificador online, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de cookies u otros identificadores, etiquetas de identificación por radiofrecuencia, handles online, direcciones de email, identificadores de usuario de aplicación, datos GPS, direcciones MAC, identificadores UDID, identidades IMEI. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

Pseudonimización

“Pseudonimizar” significa procesar los datos personales de tal manera que estos ya no pueden ser atribuidos a un sujeto de datos específico sin el uso de información adicional, con tal que esa información adicional se mantenga separadamente y se sujete a medidas técnicas y organizativas que aseguren que los datos personales no se atribuyen a una persona natural identificada o identificable. Los datos pseudonimizados pueden caer bajo el ámbito del GDPR dependiendo de cómo de fácil es atribuir el pseudónimo a un individuo particular.

Datos sensibles

Como categorías especiales de los datos personales están los “datos sensibles”, tales como aquellos datos que revelan opiniones políticas, creencias religiosas o filosóficas, origen racial o étnico, pertenencia a sindicatos, detalles de la vida sexual o la orientación sexual, información médica o datos biométricos (huellas dactilares, fotografías, etc.) dirigidos a identificar de manera unívoca a una persona natural. Su procesamiento está prohibido excepto en una serie de circunstancias, entre ellas que el sujeto de datos haya dado su consentimiento explícito.

Naturaleza del procesamiento

El GDPR se aplica tanto a procesamiento automático de datos personales como al procesamiento manual de datos contenidos en sistemas de archivo donde se puede acceder a ellos de acuerdo a criterios específicos.

Legalidad del procesamiento

El procesamiento será legal solo si aplica al menos una de entre las siguientes circunstancias:

  • El sujeto de datos ha otorgado su consentimiento al procesamiento de sus datos personales para uno o varios propósitos específicos.
  • El procesamiento es necesario para la ejecución de un contrato del cual el sujeto de datos es una parte o para la aplicación a petición de éste de medidas precontractuales.
  • Otras circunstancias: cumplimiento de obligaciones legales, protección de intereses vitales del sujeto, interés público, interés legítimo del controlador (éste es importante, como veremos en los próximos posts), etc.

En el próximo post hablaremos de algunas de las novedades más importantes que introduce el GDPR.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (1)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]