Management

Mirant el RGPD amb altres ulls

"L'objectiu de protegir el ciutadà en un món global, a la xarxa i totalment connectat suposa un pas endavant en aquesta protecció"

Hildebrand Salvat

Director Tècnic i Soci del Gabinet Ceres

En aquests darrers mesos molta gent s'ha tornat experta en la legislació sobre protecció de dades i ens donen consells sobre què cal fer en cada situació. Passa tot sovint en qualsevol tipus de conversa entre empresaris, entre directius, responsables de màrqueting, mestresses de casa o companys d'equip de futbol sala. Sempre hi ha qui sap què s'ha de fer i com s'ha de fer, però després entren els dubtes i ja no és tot tant clar. La nova legislació ens demana que ens deixem assessorar per experts de veritat, professionals i sobretot que tinguin experiència de la famosa LOPD.

Jo mateix no sóc un expert i per això em guardaré prou de baixar al detall de la legislació i de fer assessorament, el que sí que és veritat és que a Ceres ens ha tocat de ple gestionar el nou RGPD, no només per a l'activitat comercial sinó per l'activitat de tractament de dades estadístiques, enquestes i altres eines d'investigació sociològica.

Canvi en la filosofia

La llei ha passat de basar-se en uns instruments, que moltes vegades no suposaven cap garantia, a centrar-se en uns objectius de garanties i protecció de les dades personals. Les dades són dels usuaris, dels ciutadans, no de les empreses o les administracions que les recollim i tractem. D'alguna manera, passem d'aspectes formals a un enfocament molt més efectiu sobre el tractament de les dades: respecte en cada procés, en cada eina i en tot moment.

Com es tradueix aquesta filosofia?

  • Les empreses hem de poder acreditar que prenem les mesures necessàries per al tractament de dades personals. I això voldrà dir desenvolupar polítiques de protecció de dades, protocols i procediments concrets així com mesures de control d'aquestes.
  • La protecció de les dades personals s'ha de preveure des del disseny. És a dir cada vegada que planegem una acció comercial, el desenvolupament d'un nou servei, una campanya,... hem de tenir present com es gestionaran les dades personals. La protecció de les dades personals, ha d'existir per defecte.
  • Les polítiques de privacitat de les dades i els avisos legals han de ser simples, clars, fàcils d'entendre. Cal ser clars i transparents. Cal un compromís clar amb aquells dels qui recollim informació.
  • Minimitzar les dades que es recullen

I aquests principis ens porten a la necessitat de consentiments expressos i específics sobre els usos que es fan sobre les dades. Així doncs, cal una acceptació per a cada un dels usos que es faran de les dades: enviar informació sobre productes, enviar enquestes, enviar informació genèrica,... i en cadascuna d'elles l'usuari haurà d'acceptar-la activament. Massa vegades les clàusules sobre protecció de dades eren incomprensibles, il·legibles, recaragolades, escrites amb un text legal difícil d'entendre per a la majoria de la gent. Cal que l'usuari tingui clar que accepta i també com pot fer valer els seus drets de forma clara. La Unió Europea fa una pas important primer, per unificar les legislacions i establir unitat de mercat i després perquè el RGPD és un pas essencial per enfortir els drets fonamentals dels ciutadans en l'era digital.

Però, què és una dada personal?

Qualsevol informació relacionada amb una persona física que es pot utilitzar per identificar-la o descriure-la. Pot ser el nom, una foto, un correu electrònic, una publicació a Facebook, dades mèdiques,... Un número de telèfon aïllat no és una dada personal, però associada a un nom ja ho és.

Amenaces i riscos per a les empreses

Els aspectes legislatius són aspectes en els que rarament les empreses tenen capacitat d'influir-hi, però en canvi aquests aspectes poden tenir una gran capacitat d'afectar la forma com les empreses funcionen, són competitives o fins i tot generen negoci. El nou reglament és molt dur i exigent per a les empreses i organitzacions i això complica la seva gestió i l'encareix. Per tant, las fa menys competitives. Una petita empresa haurà d'assumir uns costos més que proporcionals en relació a una gran empresa per tal d'adaptar-se a la nova legislació.

L'objectiu de protegir el ciutadà en un món global, a la xarxa i totalment connectat suposa un pas endavant en aquesta protecció com molt bé avança el nou reglament. Estem pensant en empreses que recullen grans quantitats d'informació sobre els seus usuaris i això els permet després oferir-los els productes més adequats, comercialitzar amb les dades amb tercers,... Estem pensant en els rastres de navegació que deixem: les nostres ubicacions, els programes que fem servir, les pàgines web que visitem, els productes que ens agraden, ... dades que no som conscients que estem generant i tampoc som conscients que estem transmetent a tercers.

Aquest món està molt lluny però d'un petit taller de xapa i pintura que guarda en una base de dades els clients que han passat pel taller i sobre els quals no realitza cap mena d'acció de comunicació o comercialització. Aquest taller també s'haurà d'adaptar a la nova legislació amb costos rellevants per a ell.

Pot ser el nou RGPD una oportunitat?

  • Les primeres oportunitats surten directament de la pròpia entrada en vigor de la llei que fa que les empreses i organitzacions tinguin la necessitat de cobrir serveis d'assessorament i acompanyament per tal d'adaptar-se a la nova legislació. En segon terme la creació de llocs de treball lligats a la figura dels Delegats de Protecció de Dades que determinades empreses i institucions han de tenir. També serà una oportunitat per formadors i especialistes en l'àmbit jurídic. Les empreses de software han i hauran de desenvolupar noves aplicacions adaptades a la legislació vigent.
  • Si aconseguim transmetre al mercat en general i als consumidors en particular que la nostra organització no només actua seguint la llei sinó que té cura de les seves dades i que no en fa mal ús, ja sigui maldestre o malintencionat, és possible que generi una major confiança i vinculació cap a l'empresa. Per tant una aplicació correcta i reconeguda dels aspectes relacionats amb la protecció de les dades pot generar una reputació positiva.
  • El consumidor de mica en mica, sobretot a partir de l'allau de correus de la setmana del 25 de Maig, ha començat a interioritzar que les dades personals són seves i que les ha de protegir. Encara que no sigui aplicable a tots els casos, es destil·la la idea que diu que "quan el servei és gratuït el producte ets tu". Cada vegada serà més curós a l'hora de facilitar les dades, a l'hora de llegir-se els acords i també a l'hora de subscriure's a nous serveis. Així doncs, és repte per a les empreses i emprenedors trobar noves maneres de fer les coses, noves maneres de prestar els serveis sense la necessitat de recollir dades personals o minimitzar-ne la recollida.
  • En el mercat B2B donar confiança als clients conforme es fan les coses correctament, tant des del punt de vista del procediment, com del tractament de les dades dels usuaris i ciutadans com de cara al compliment de la llei, demostrar que es disposa dels diferents mecanismes i controls necessaris pot esdevenir un aspecte diferenciador en la contractació. De fet, si hi ha un problema amb el tractament de dades, el client institucional no s'eximeix fàcilment de la responsabilitat. Cal posar en valor doncs davant el client que l'empresa compleix la llei amb escreix.