Si en tu Linkedin te aparecen muchos artículos de GDPR (Reglamento General de Protección de Datos) y los saltas porque crees que no van contigo, siento decirte que te estás equivocando. Más allá de que a nivel empresarial, diseño y tecnología se deban implementar ciertos cambios, también como ciudadanos vamos a tener nuestros datos más protegidos, y vamos a ser capaces de decidir sobre los mismos de forma más autónoma. Vamos al tema.
La LOPD (Ley Orgánica de Protección de Datos) es la ley española que desde 1999 disponía cómo debían ser tratados los datos personales en bases de datos. Con la evolución tecnológica y la integración europea, se da un paso más allá de estos derechos de intimidad y control. Un paso de gigante, a mi juicio. La GDPR es una norma de la Unión Europea que afecta a todos los países de la Unión Europea, aunque éstos no hayan trasladado a sus leyes locales la GDPR. Es decir, un organismo supranacional que obliga y defiende a los países, empresas, entidades y personas de su territorio. Esto, para bien y para mal de la soberanía nacional y regional de toda la UE. Pero centrémonos en el contenido, que del gobierno ya hablaremos la semana que viene.
En primer lugar, los textos legales deberán ser fáciles de encontrar y fáciles de entender. Todo un torpedo a la línea de flotación de los engorrosos muros de palabras que todos aceptamos sin leer. Pero una oportunidad para los especialistas en comunicación.
En segundo lugar, los ciudadanos deberemos dar consentimiento expreso de la recogida y uso de los datos personales para finalidades concretas. Ya no se admiten consentimientos genéricos o tácitos para finalidades difusas. Por defecto la privacidad será la más estricta y las empresas deberán guardar un registro de quién, cuándo, dónde y cómo se dio ese consentimiento de ampliar el uso de sus datos. Y ojito con usar los datos de formas diferentes a las que se les permitieron de forma expresa.
En tercer lugar, los ciudadanos podremos retirar ese consentimiento expreso de forma sencilla, de la misma manera en la que lo concedimos. Si se hace click para consentir, para retirar el consentimiento no tendremos que mandar un correo certificado con nuestro DNI y sangre del cordón umbilical de nuestro primogénito; sino que se debe implementar un mecanismo para retirarlo de la misma manera, con un simple click. Si nos paramos a pensarlo, cuando tengamos cincuenta datos, con su consentimiento para cada dato y finalidad, vamos a crear un dashboard de una complejidad interesante. Sin olvidarnos de la primera premisa: todo esto debe ser fácil de encontrar y de entender.
Aparte de los temas de consentimiento y claridad, hay un nuevo derecho muy interesante que presumo ayudará a crear empresas dedicadas específicamente a esto: la portabilidad de los datos, es decir, que los datos que recabe la empresa X los gestione la empresa que el ciudadano decida, que puede ser esa u otra. Por ejemplo, llevarte tu histórico de compras de Amazon a El Corte Inglés o viceversa. La complejidad de concordar campos en las bases de datos puede ser épica.
Más derechos interesantes: el derecho al olvido, o lo que es lo mismo, que si queremos, borren absolutamente todos nuestros datos, como si nunca hubiéramos interactuado con esa empresa. Es decir, que si una persona se ha borrado de una web, si quiere volver a registrarse, hay que tratarle como un nuevo usuario a todos los efectos, incluso con sus promociones para nuevos clientes. Esto no les va a hacer felices a las empresas que tratan mejor a los nuevos clientes que a los antiguos.
Otro derecho nuevo es el de saber si tus datos han sido hackeados. Las brechas de seguridad deben ser notificadas en menos de 72 horas para que los ciudadanos sepamos qué ha pasado y podamos actuar en consecuencia. Por ejemplo, si el sitio donde han entrado tenía almacenada nuestra tarjeta de crédito, poder cancelarla antes de que nos hagan un roto. Aquí los especialistas en comunicación deben estar atentos no solo al tiempo de actuación, sino a la forma de explicar lo sucedido en un tono claro y fácil de entender, mientras mantienen el tono de la empresa.
Estos especialistas en comunicación deberán trabajar de la mano de un nuevo profesional dentro de las empresas, el DPO (Data Protection Officer), que será el intermediario entre los ciudadanos, las empresas y las autoridades. Este DPO puede ser interno o externo, lo que genera nuevas oportunidades de negocio en el sector del Derecho y las Relaciones Públicas.
Estas son las principales novedades, pero hay más: datos biométricos y genéticos, lugar de almacenamiento de datos, medidas de seguridad, responsabilidades… Las consecuencias de la GDPR empezaremos a verlas realmente en mayo del año que viene, que es cuando entra en vigor, pero las empresas ya se están (o se deberían estar) poniendo las pilas con este tema: ríete tú de las sanciones de la Agencia de Protección de Datos comparadas con las nuevas de hasta 20 millones de euros o el 4% de la facturación global de la compañía.
Los cambios a realizar en la experiencia de usuario de los sitios web pasa por redactar mejor los textos legales, proveer de mecanismos de concesión y retirada de consentimientos, gestión de derechos, crear flujos de consentimientos informados, nuevas secciones de privacidad, planes de comunicación… Todo con coherencia en entornos multidispositivo, con entradas de datos de diferentes fuentes, y con la dificultad añadida de hacerlo usable y agradable para el usuario.
Un reto en el que el departamento legal de cada empresa cliente es el líder del proyecto. Un bonito y gran reto.