Cómo utilizar la correspondencia de datos para el GDPR

El GDPR protege a los usuarios de Internet de las empresas que adquieren su información sin consentimiento. Tiene un impacto directo en las operaciones cotidianas de las empresas que hacen negocios en línea. La mayoría de estas empresas dependen de las «cookies» para crear anuncios personalizados y dirigir a los consumidores a sitios web y productos, sin su consentimiento. Antes del RGPD, los datos de los clientes se registraban para marketing, publicidad e incluso para uso empresarial, ¡de lo que el usuario no tenía ni idea! Como parte del tratamiento del RGPD, el ciudadano tendrá derecho a saber qué datos se recogen y cómo se utilizan. Además, la empresa tendrá que revelar durante cuánto tiempo va a almacenarlos. Esto significa que deberás actualizar tus políticas de privacidad más a menudo. De hecho, tendrás que actualizarlas cada vez que emplees una nueva forma de utilizar los datos. De lo contrario, seguirás pudiendo recoger datos. Pero no podrás utilizarlos. A pesar de que el GDPR tiene fama de ser la ley de protección de datos más dura del mundo, las empresas siguen encontrando formas de ser escurridizas. Gigantes como Facebook, Amazon y WhatsApp se han enfrentado a multas millonarias por infringir las políticas del GDPR. Por ejemplo, Irlanda impuso a WhatsApp una multa de 225 millones de euros en virtud del GDPR por no explicar adecuadamente su tratamiento de datos en su aviso de privacidad. Por si las infracciones deliberadas no fueran suficientes, algunas empresas se convierten accidentalmente en víctimas de multas del GDPR. Estos «accidentes» suelen deberse a la falta de gobernanza y seguridad de los datos. Las empresas no se dan cuenta de la gravedad de la situación hasta que se les impone una sanción.

Uno de los componentes más potentes del GDPR es el hecho de que los ciudadanos pueden presentar demandas legales contra las empresas que se nieguen a pedir el consentimiento o sigan utilizando datos personales a pesar del «no» explícito del cliente. Ahora bien, aquí es donde la cosa se complica. La mayoría de las empresas no infringen deliberadamente las normas del GDPR, pero si tienen datos antiguos, obsoletos, duplicados o sin tratar, podrían infringir las normas del GDPR sin saberlo. He aquí cinco casos habituales de empresas que incumplen las directrices del GDPR.

Escenario 1: Transferencias y migración de datos

Las políticas de la GDRP establecen estrictamente: ‘Antes de que una organización transfiera cualquier dato personal a un tercer país u organización internacional, la Comisión Europea debe decidir que ese país u organización garantiza un nivel adecuado de protección. Las propias transferencias deben estar protegidas». La transferencia de datos durante las fusiones y migraciones es muy crítica. Un ejemplo de cómo las empresas pueden meter la pata es cuando dos empresas combinan sus bases de datos de clientes, pero no etiquetan correctamente qué empresa es responsable de gestionar y controlar esos datos en el futuro. Peor aún, no solicitan permiso a los clientes antes de incluirlos en su nueva base de datos combinada. El requisito del GDPR establece que todo tratamiento de datos personales requiere una documentación clara de quién es responsable de garantizar el cumplimiento de la normativa del GDPR. Además, cualquier transferencia de datos personales debe hacerse de forma segura y cumplir otros requisitos, como tener una base jurídica adecuada (es decir, obtener el consentimiento explícito de los clientes) antes de iniciar la transferencia. No tomar estas medidas puede acarrear fuertes multas según las normas del GDPR, ya que podría constituir un incumplimiento de las expectativas de seguridad de la información personal que tienen los clientes cuando facilitan sus datos a una empresa u organización.

Escenario 2: Recoger demasiados datos

Nos guste o no, lo cierto es que a las empresas les encanta acaparar datos. Existe la creencia errónea de que más datos significa más información. Es un mito que muchos de nuestros invitados han desmentido activamente en nuestros seminarios web. Demasiados datos no te conducen a conocimientos precisos, sino que pueden causar estragos y hacer que tu empresa infrinja directamente las normas del GDPR. Uno de los principales requisitos del GDPR es que las empresas deben recopilar sólo la información que sea necesaria, como las cookies que garantizan que la función principal de un sitio web y su seguridad no se vean obstaculizadas. Otras cookies para publicidad o marketing deben ser opcionales. Un ejemplo clásico de este escenario fue cuando la agencia de protección de datos de Portugal (CNPD) multó al proveedor portugués de telecomunicaciones NOS con 400.000 euros por recopilar demasiados datos personales de sus clientes. NOS recopilaba la dirección completa, la fecha de nacimiento y los números de cuenta bancaria de los clientes cuando suscribían un contrato o pagaban su factura por Internet. Esta recopilación excesiva de información infringía el artículo 5 del RGPD, que exige que las empresas sólo recopilen lo necesario para fines específicos. Evidentemente, ¡recopilar el número de cuenta bancaria de un cliente no era necesario! La multa impuesta por la CNPD fue un recordatorio para todas las empresas de que deben cumplir la normativa GDPR y garantizar el tratamiento adecuado de los datos personales.

Escenario 3 – Mala calidad de los datos

La mala calidad de los datos, como los datos duplicados, puede provocar una infracción directa de las políticas del GDPR. Por ejemplo, en octubre de 2019, la autoridad de protección de datos de Austria multó con 10,5 millones de euros a Hotel Reservation System (HRS) por almacenar información sobre más de 35 millones de clientes sin su consentimiento. La empresa almacenaba datos duplicados de clientes y no los eliminó a pesar de las peticiones de los clientes, que ya habían solicitado que se borraran sus datos. El incumplimiento por parte de HRS de los requisitos del RGPD de eliminar los datos de los clientes previa solicitud infringía los artículos 5 y 6 del Reglamento, lo que dio lugar a una cuantiosa multa.

Escenario 4 – Poca seguridad de los datos

Las empresas que no protejan adecuadamente los datos de sus clientes también pueden ser multadas por infringir el RGPD. Esto incluye los sistemas de datos que pueden ser fácilmente pirateados, lo que conduce a la violación de información privada y sensible, como los datos financieros de los clientes de un banco. Cuando las empresas no invierten lo suficiente en software, sistemas y tecnologías con los últimos parches de seguridad, corren el riesgo de ser atacadas, como hemos visto que ha ocurrido muchas veces con gigantes financieros como Experian. Dado que el GDPR exige a las empresas que tomen las medidas necesarias para proteger los datos personales que manejen de ciudadanos de la UE/Reino Unido, no hacerlo puede acarrear multas y sanciones cuantiosas.

Escenario 5 – Utilizar los datos para fines distintos de los previstos

A veces, las empresas toman la mala decisión de traicionar la confianza de un cliente utilizando sus datos para otros fines o servicios que no están relacionados con su objetivo principal. Por ejemplo, una empresa puede recopilar los correos electrónicos de los clientes para enviarles ofertas promocionales, pero luego utiliza los mismos datos para dirigirse a ellos en las redes sociales o para que su equipo de generación de clientes potenciales les siga en las redes sociales sin su consentimiento. Esto sería una clara violación de las políticas del GDPR. Las empresas deben asegurarse de que los datos personales que recopilan se utilicen únicamente para los fines previstos y no se conserven más tiempo del necesario, de lo contrario pueden enfrentarse a graves consecuencias por parte de las autoridades. Hay docenas de escenarios de este tipo y ejemplos del mundo real en los que las empresas, deliberada (como Amazon) o accidentalmente, se encuentran pagando cuantiosas multas del GDPR sólo porque no se hicieron cargo de sus procesos de gobernanza y calidad de los datos.

Por muy pesimistas que sean algunas personas, el GDPR es también una oportunidad para que tu organización adopte un enfoque holístico de tu gobernanza de datos y mejore tu estrategia de datos, asegurándose de que cumple las sanciones y los requisitos del GDPR. Recuerda, ser multado por el GDPR no sólo tiene un impacto financiero, sino que también arruina la credibilidad y la reputación empresarial. Puedes evitar todos estos contratiempos y dolores financieros desarrollando una estrategia de datos conforme al GDPR. Algunos pasos básicos por los que puedes empezar son ✅ Identificar dónde se almacena la información personal identificable (IPI) y cómo se utiliza. ✅ El GDPR exige que mantengas registros de tus actividades de procesamiento de datos. En el caso de los datos personales, tendrás que documentar su origen y también con qué terceros los compartes. ✅ Si eres una autoridad pública o realizas operaciones de tratamiento que, en virtud de su naturaleza, su alcance y/o sus fines, requieran un seguimiento regular y sistemático de los interesados a gran escala e incluyan categorías especiales de datos especiales (salud, religión, etc.) y datos personales relacionados con condenas e infracciones penales, será obligatorio nombrar a un Delegado de Protección de Datos. Sin embargo, teniendo en cuenta el amplio alcance del GDPR y su complejidad, te aconsejamos que designes a alguien que asuma la responsabilidad del cumplimiento del GDPR incluso si no entras en ninguna de las categorías anteriores. ✅ Identifica el tipo de datos recopilados y si cumplen las directrices del GDPR. ✅ Identifica los riesgos y lagunas que puedan tener tus socios terceros. ¿Tienen vulnerabilidades en su sitio web que los piratas informáticos puedan descifrar fácilmente para obtener información de los clientes? ✅ Realiza una evaluación de riesgos de todas las actividades de tratamiento de datos mediante auditorías y evaluaciones periódicas. ✅ Crea registros maestros de tus datos más precisos, completos y verificados. ✅ Aplica las medidas técnicas y organizativas adecuadas para garantizar un almacenamiento seguro y proteger contra el acceso no autorizado o el uso indebido de datos sensibles. ✅ Invierte en tecnologías que te permitan realizar tareas básicas como el cotejo y la consolidación de datos con relativa facilidad. ✅ Invierte en formar a los empleados para que sean conscientes de los retos que plantean los datos sucios, las amenazas de una seguridad de datos deficiente y cómo deben manejar los datos sensibles de los clientes. ✅ Es fundamental que las empresas se ocupen de los datos duplicados y los riesgos de seguridad para evitar una violación de datos, cada vez más frecuente a medida que los piratas informáticos identifican vulnerabilidades en los sistemas.

Los registros maestros son la versión final, fiable y precisa de tus datos. Necesitas registros maestros si quieres cumplir la GDPR. Por otro lado, una visión 360 del cliente es la capacidad de tu empresa de ver el recorrido del cliente desde el momento en que inicia una interacción con tu organización hasta el momento en que paga por un servicio y decide si se queda como cliente fiel o se marcha con una mala crítica. Ambas formas de gestión de datos pueden ayudarte a identificar riesgos, vulnerabilidades y mostrar qué parte de tu ecosistema de datos necesita atención. Para crear registros maestros y vistas 360 de clientes, necesitarás ✅ Una solución de cotejo de datos que permita la preparación, limpieza y consolidación de datos ✅ Una dirección que esté dispuesta a trabajar proactivamente en la salud de los datos e invertir en registros maestros y vistas 360 de clientes ✅ Una estrategia escalable que empiece por los conjuntos de datos más críticos, como los datos financieros o los de CRM Las empresas que comprenden sus ecosistemas de datos y toman medidas activas para mejorarlos suelen ir por delante de la curva y son capaces de afrontar las infracciones de riesgos, así como de identificar las oportunidades, antes que sus competidores.

La mayoría de las organizaciones temen adentrarse en su sistema de datos: el trabajo, la mano de obra y los costes suelen suponer años de costosos esfuerzos. Por ejemplo, un analista de datos tardaría un año entero sólo en completar la fase de identificación y propuesta de solución. Luego otros 6 meses para obtener la aprobación, luego otro para empezar, y otro para contratar a más gente….. y así sucesivamente. Cinco años después, la empresa sigue anclada en el pasado, sin registros maestros a la vista. Preferirían pagar una multa antes que molestarse en arreglar sus datos, pero ¿es un planteamiento viable teniendo en cuenta que el presente y el futuro se basan totalmente en los datos? Puede que no. En el mundo actual, basado en la IA, no necesitas pasar semanas y meses limpiando o cotejando tus datos. Puedes utilizar una solución sin código como WinPure para crear una estrategia que cumpla con el GDPR basándote en tres funciones clave:

1. Cotejo de datos sin esfuerzo: Dedica una fracción del tiempo a limpiar y cotejar los datos. Si generalmente tu equipo tarda 3 semanas en limpiar y preparar los datos para un informe, con WinPure pueden hacerlo en 3 días. Con el tiempo restante, pueden trabajar en perfeccionar la vista única del cliente, optimizar los procesos de recopilación de datos y solucionar los problemas de calidad de los datos.
2. Marco completo: Prepara, limpia, transforma, coteja y consolida los datos permaneciendo dentro de un cuadro de mandos.
   Todo lo que tienes que hacer es introducir los datos y dejar que la herramienta utilice su propio algoritmo junto con una combinación de algoritmos difusos para eliminar los duplicados y los campos de datos problemáticos.
   Ya no tendrás que pasar de un panel a otro o de una plataforma a otra.
3. Sin código, diseñado para usuarios empresariales e informáticos: Crea registros maestros sin tener que escribir una sola línea de código.
   Somos sin-código/código-cero porque capacitamos tanto a los usuarios empresariales como a los informáticos.
   Creemos que ambos deben trabajar en colaboración porque ambos poseen aspectos diferentes de un conjunto de datos: el usuario empresarial entiende el contexto, mientras que el usuario informático entiende la función.
   Con esta colaboración, es mucho más fácil identificar las lagunas y evitar las crisis del GDPR.

Con el uso de una solución como WinPure, puedes probar tu estrategia de datos, mostrar resultados y convencer a los líderes de la organización para que inviertan en una estrategia de datos completa que cumpla con el GDPR.

En lugar de esperar a que te multen, sé proactivo y hazte cargo de tus datos. Empresas como Facebook y Amazon son titanes que pueden sobrevivir a muchas multas y cargos, pero si eres una empresa mediana, no puedes permitirte una multa millonaria sólo porque tienes datos duplicados en tu base de datos. ¡Prevenir es mucho más barato que curar!