Desmontando mitos del Reglamento europeo de Protección de Datos

Robert Streeter, responsable de protección de datos y privacidad en News UK, ha subrayado la importancia de separar los hechos de la ficción en lo que se refiere a la regulación. “Cuando leas un comentario ‘experto’ en GDPR mi consejo es tomarlo con precaución y examinar tu propio enfoque, porque hay mucha información errónea circulando por ahí”. He aquí algunos de los mitos desmontados:

Mito 1: La mayor amenaza son las multas desorbitadas

Si bien es cierto que las compañías que no cumplan con la nueva legislación se enfrentan a multas de hasta el 4% de sus ingresos o a un máximo de 17 millones de libras (14 millones de euros), este tipo de sanciones no serán muy habituales, al menos en el Reino Unido. Sólo se aplicarán a las empresas que incumplan las leyes o no notifiquen a la Oficina del Comisionado de Información (ICO) las violaciones de la privacidad de los datos que “afecten a los derechos y libertades de las personas”.

La ICO ya ha dejado claro que prefiere ‘la zanahoria al palo’ en este caso, por lo que pese a poder poner multas tan elevadas, ése será su último recurso. En este sentido Elizabeth Denham, la comisionada de información del Reino Unido, ha escrito en un reciente post que “es alarmista sugerir que daremos pronto ejemplo a organizaciones por infracciones leves o que las multas máximas se convertirán en la norma”. Otras sanciones que la ICO utilizará para que las empresas cumplan serán advertencias, reprimendas y órdenes correctivas, que no impactarán en el bolsillo de las compañías pero sí en su reputación y en su percepción pública, ha añadido Denham.

Mito 2: El consentimiento es la única manera de procesar los datos

Las reglas más estrictas del GDPR en torno a las empresas que obtienen el consentimiento explícito para recopilar y procesar los datos del cliente han causado una gran controversia en el mercado publicitario. La nueva serie de adjetivos utilizados para describir diferentes formas de consentimiento del consumidor (explícito, inequívoco, informado) son suficientes para acelerar el corazón. Pero como con la mayoría de las cosas, hay muchas maneras de conseguirlo.

Las compañías necesitan saber con qué socios están trabajando y dónde y cómo los datos son compartidos y comercializados por esos socios.

“El consentimiento es la opción más viable y quizá la única cuando se trata de algunos aspectos de recopilación y uso de datos personales con fines de publicidad online. Pero, lo que es más importante, hay otras formas que pueden funcionar para otros aspectos del uso de datos”, según ha apuntado Yves Schwarzbart, responsable de política y asuntos regulatorios en el Internet Advertising Bureau. Por ello es recomendable no esperar hasta que la ICO dé una orientación sobre el consentimiento. De hecho hay otras seis formas en que el GDPR permite procesar datos personales, subraya Schwarzbart.

Por ejemplo, antes de determinar qué base legal tienen para procesar los datos, las compañías necesitan saber con qué socios están trabajando y dónde y cómo los datos son compartidos y comercializados por esos socios, según ha señalado Nick Stringer, consultor de políticas públicas de Entropy Data. También deberían analizar si necesitan nombrar un responsable de protección de datos que ayude a establecer un mapa de cumplimiento, ha añadido. Eso es lo que está haciendo ahora News UK. Como ha indicado Streeter, “estamos buscando cómo darle sentido a recopilar información del usuario y cómo los diferentes terceros con los que trabajamos lo están utilizando más allá de la cadena”.

Mito 3: El GDPR es un problema sólo de Europa

Más allá de ser una cuestión típicamente burocrática que se aplica a los 28 miembros de la Unión Europea (incluido el Reino Unido, pues el Brexit no le exime de su cumplimiento), el GDPR también afectará a cualquier compañía estadounidense que ofrezca bienes o servicios a los consumidores de la UE o que monitorice el comportamiento de personas en Europa, independientemente de dónde estén localizados sus oficinas o servidores de publicidad.

Mito 4: GDPR se limita a información de identificación personal

GDPR no se limitará a la recopilación de datos sensibles relacionados con los individuos. Los datos personales bajo su regulación también incluirán las direcciones IP y el seguimiento de las cookies. Como ha afirmado Stringer, “tradicionalmente el sector de la publicidad online ha tratado las cookies y las direcciones IP como anónimas, pero ya no será así. La gente está utilizando el lenguaje al que están acostumbrados, como PII (Información de Identificación Personal) o no PII, lo que genera confusión. Es importante que las personas traten la información no PII también como datos personales”.

Mito 5: Google y Facebook se beneficiarán

Aunque se han escrito muchos artículos detallando cómo Facebook y Google pueden beneficiarse de las leyes de privacidad de los datos, no todo el mundo cree que sea así. En este sentido Jason Kint, CEO de Digital Content Next, incide en que “en términos de ingresos, ambos tienen el mayor riesgo vinculado a elevar el nivel de privacidad del consumidor en la UE”.

La información de referencia se encuentra disponible en la web de Digiday.