¿Puedo acceder a tus fotos, contactos, imágenes, navegador… a toda tu vida?

Seguro que te has bajado muchas apps en tu vida. Y habrás dado muchas veces al “sí” cuando te preguntan si pueden acceder a tus datos. Pero ¿te has fijado en los datos personales a los que estás dando acceso? Y, todavía más, ¿te has fijado en que cada vez te piden acceso a más y más datos? Tus fotos, tus contactos, tu historial de navegación, tu ubicación, tu cuenta de Facebook… En fin, que te piden acceso a prácticamente tu vida entera. Y eso la más mínima app, cualquier juego sencillo. Pero ni nos fijamos en eso. Damos rápidamente nuestra autorización y procedemos a bajarla.

Pero quizá esta práctica tenga los días contados. Por dos motivos. Uno, porque cada vez somos más conscientes de la importancia de los datos. De nuestros datos. Sabemos perfectamente que son nuestros y a nosotros nos corresponde decidir sobre ellos. Y dos, en poco más de un año (25 de mayo de 2018) llegarán importantes cambios respecto a la privacidad de nuestros datos. A partir de esa fecha será de aplicación directa en toda la Unión Europea el Reglamento General de Protección de Datos (RGPD), que tiene como objetivo dotar al individuo de un mayor control sobre sus datos personales.

El Reglamento, más riguroso que la normativa ahora vigente en España –que ya de por sí es de las más restrictivas de Europa-, contempla importantes novedades, pero en este artículo nos vamos a centrar solo en una, un aspecto de los que más inquietud despierta entre las empresas: conseguir el consentimiento de los clientes para capturar y analizar sus datos.

Y es que, frente al consentimiento tácito que ahora era suficiente en España, es decir, el silencio por parte del cliente es indicativo de su aceptación, el nuevo Reglamento exige un acto afirmativo claro (en caso de que el tratamiento se base en el consentimiento). Y no de cualquier manera. Esa autorización debe ser, además, verificable, auditable. Por si fuera poco, los datos que se quieran recoger del cliente deben de ser adecuados, pertinentes y limitados a lo necesario para la finalidad del tratamiento y servicios ofrecidos.

“La proporcionalidad en la recolección de los datos personales, así como la incorporación de los conceptos de privacy by design y privacy by default, hace que las organizaciones deban replantearse su enfoque al respecto, el RGPD sitúa la privacidad del individuo como piedra angular”, señala Javier Aznar, Senior Manager y responsable de los servicios de privacidad en KPMG IT Advisory.

Al margen de que habrá que ser comedido a la hora de recabar datos de los clientes –salvo que la empresa quiera arriesgarse a recibir negativas-, en principio, parece que las organizaciones van a tener que recabar de nuevo el consentimiento para el tratamiento de datos (salvo que este se fundamente en otra base legal). Se avecina un trasiego de papeles, emails u otro tipo de fórmulas entre clientes y empresas para recabar ese consentimiento auditable, como exige el reglamento. Quizá la vía digital puede ser lo más rápido y cómodo. Porque cumple todos los requisitos regulatorios con un solo click. Para curarse en salud, muchas empresas aprovechan actualizaciones (de la web, de la app, etc.) para renovar el consentimiento de clientes… y añadir nuevas captaciones de información. Pero no todo el mundo tiene app o no todos los servicios se sustentan en un marco digital.

Las empresas están preocupadas por el trasiego que les va a suponer recabar de nuevo el referido consentimiento, en especial en el caso de clientes. Algunas se plantean si llevar a cabo campañas o mailings masivos. Otras temen que una petición con demasiadas cláusulas les espante o se convierta en un arma de doble filo. “Las organizaciones están concienciadas de los requisitos y retos que esta norma plantea, así como de la necesidad de adaptarse en plazo a ellos””, dice Ana López, Directora de KPMG Abogados.

 Por cierto, que estos cambios y todo lo demás que llegará en mayo de 2018 con el Reglamento General de Protección de Datos no es aplicable sólo a las empresas europeas. No es una cuestión de nacionalidad de la organización o lugar de implantación, sino de a quién pertenecen esos datos. Es decir, que afecta a todos los gigantes americanos y chinos como Google, Facebook, Twitter, Linkedin, Amazon, Alibaba, etcétera con los que los ciudadanos europeos interactuamos y donde acabamos dejando nuestra huella digital.