Autorizo, ¿y ahora qué?
A pesar de que el nuevo reglamento está aquí para quedarse, debemos continuar poniendo el foco en asegurar que integramos los principios de la normativa en el ADN de la empresa
En las últimas semanas hemos vivido una avalancha de notificaciones en nuestros correos electrónicos donde, a pesar de que se han empleado distintas fórmulas, textos y aproximaciones, hay dos palabras que siempre están presentes: consentimiento y autorización.
Y sí, es que la GDPR ya está aquí y no sólo LinkedIn, Twitter, Facebook y Google están solicitando autorizaciones “ante cambios en la normativa”, sino otras muchas empresas se acumulan en nuestra bandeja de entrada pidiendo nuestro consentimiento, y todos tendremos emails de nuestro banco, de empresas de retail, etc.
El Reglamento General de Protección de Datos de la UE (GDPR) es el cambio más importante en la regulación sobre la privacidad de datos en 20 años y tiene grandes implicaciones para las compañías, no solo las que operan en la UE, sino a nivel mundial.
Hay extensa literatura sobre qué es la GDPR, cuáles son las implicaciones, y cómo afectará a las empresas y a la relación con sus clientes y usuarios. Pero tras más de dos años de periodo de preparación, ha entrado en vigor y cabe empezar a plantearse nuevas preguntas: ¿Cómo estamos de preparados? ¿Qué pasará el día D+1?
Se han realizado multitud de estudios y encuestas acerca de cómo hemos llegado en España a la fecha de entrada en vigor. Y a pesar de los esfuerzos de la Agencia Española de Protección de Datos, tanto pedagógicos como en dotar de instrumentos, los resultados de dichos informes señalan que más del 50% de las empresas declaran no sentirse preparadas para la GDPR.
¿Sabe dónde están los datos de su cliente? ¿Puede demostrar claramente el consentimiento de sus clientes y el ámbito del mismo? ¿Son sus controles internos de privacidad robustos y sus productos y servicios amigables con la privacidad de sus clientes? ¿Confía en que los terceros, socios y proveedores con los que desarrolle actividades cumplirán con la GDPR? ¿Tiene personal capacitado y formado de acuerdo al nuevo entorno? ¿Podría reportar una incidencia relacionada con los datos de sus clientes en 72 horas? Si no tiene una respuesta clara a alguna de estas preguntas, lo más seguro es que en los próximos meses vaya a tener problemas relacionados con la gestión de los datos de sus clientes, y las multas que prevé la ley por incumplimiento son de hasta el 4% de los ingresos….
Si se encuentra en esta situación, la recomendación sería, dependiendo de la sensibilidad de los datos que maneje su empresa, que acuda a la herramienta Facilita_RGPD que la AEPD ha puesto a disposición de las empresas para valorar su nivel del cumplimiento con la nueva normativa. O, en caso de que maneje datos de mayor sensibilidad o en un contexto más complicado, como transferencias internacionales, que lleve a cabo un análisis del impacto que el GDPR pueda tener en sus actividades y operaciones para poder evaluar los riesgos y poder elaborar un plan de acción para asegurar el cumplimiento en el periodo de tiempo más breve posible.
Pero, ¿qué ocurre con aquellas empresas que sí tienen respuestas claras para las preguntas que plantea el GDPR? Esto significa que han ejecutado los planes necesarios para poder adaptar su funcionamiento y, por tanto, han incurrido en los costes, inversiones y dolores de cabeza necesarios para poder dar respuesta a los requerimientos que se plantean. En este contexto la recomendación pasa por dos frentes:
1. Evangelización. Por mucho esfuerzo que se haya puesto, el impacto de la GDPR en el día a día de las operaciones de su empresa sigue siendo un reto. Los encargados de gestionar, operar y controlar los datos de sus clientes se van a ver expuestos en los próximos meses a un nuevo entorno desconocido. Es fundamental crear nuevos procesos para la gestión de dudas y mantener formación que, de manera progresiva, vaya asentando las nuevas políticas y criterios de actuación en el día a día de nuestros empleados.
2. Apostar por la oportunidad. El GDPR tendrá un gran impacto, tanto en la operación como en la sensibilidad de los clientes al uso que se hacen de sus datos. Aquellas empresas que sepan convertir el riesgo en una oportunidad y apalancar las inversiones realizadas y convertirlas en elementos diferenciales en el mercado, percibidos y valorados por el cliente tendrán una magnífica oportunidad para conseguir sus objetivos de negocio incluso de manera acelerada.
Por ello, y a pesar de que el nuevo reglamento está aquí para quedarse, debemos continuar poniendo el foco en asegurar que integramos los principios de la normativa en el ADN de la empresa. Solo así conseguiremos cumplir de verdad.
Miguel Vergara y Beltrán García Durán son managing directors de Accenture Strategy
