El duro día después de la Protección de Datos

Cautivar a un consumidor al que ya no se puede «rastrear» sin permiso es ahora el reto de las marcas

FUENTE: LA RAZÓN – 24 DE JUNIO DE 2018

Cautivar a un consumidor al que ya no se puede «rastrear» para fines publicitarios sin su consentimiento mientras navega en internet es uno de los retos a los que se enfrentan las marcas con el nuevo reglamento europeo de privacidad de cuya entrada en vigor se cumplirá mañana justo un mes.

Cuando alguien busca en internet un viaje, unos pantalones, un dispositivo móvil, va dejando una hilera de datos que conforman su huella digital y que las empresas van siguiendo para mostrarle luego de forma personalizada los anuncios que más le puedan interesar.

La publicidad digital se basa en la creación de perfiles creados, entre otras maneras, por ese rastreo de la navegación web del usuario, fundamentalmente con el uso de «cookies», unos programas instalados en el navegador del internauta que contienen datos que los identifican.

Los datos son cada vez más accesibles en internet y fácilmente analizables en cantidades ingentes con nuevas tecnologías de inteligencia artificial que identifican gustos o necesidades de los consumidores, explica Mark Grether, consejero delegado de Sizmek, una de las multinacionales líderes de tecnología publicitaria.

Aunque el reglamento europeo de privacidad no prohíbe la elaboración de perfiles, sí exige que la persona haya dado previamente su consentimiento explícito para el posible uso de sus datos para ese tipo de actividades.

«El usuario tendrá que saber que su navegación va a ser rastreada y aceptarlo con claridad para que las empresas le puedan mandar publicidad», explica a Efefuturo el jurista Samuel Parra, socio de ePrivacidad y experto en protección de datos.

El nombre, la dirección, el teléfono, cualquier dato que permita identificar a alguien es considerado personal; la normativa europea de privacidad que entró en vigor el pasado 25 de mayo ha extendido ese concepto de dato personal a los indicadores «on line», entre los que se incluyen las direcciones IP, para cuyo uso las empresas deberán tener ahora también consentimiento explícito del usuario.

Combinadas las direcciones IP (conformadas por un número único e irrepetible con el que se identifica a un dispositivo conectado a una red) con otros muchos datos accesibles en internet se puede obtener información relevante de las personas e identificarlas para mandarles publicidad personalizada.

Esas direcciones IP son un dato «valioso» porque permiten geolocalizar al usuario, es decir, saber el país, ciudad o código postal desde donde navega, e incluso identificar su domicilio o puesto de trabajo, precisa por su parte a Efefuturo el profesor Ángel Cuevas, del Departamento de Ingeniería Telemática de la Universidad Carlos III de Madrid (UC3M).

«Aunque no nos demos cuenta, hay un montón de información en internet que las empresas van captando sobre nosotros con la que van creando una ficha sobre nuestros gustos e incluso sobre intereses que ni nosotros mismos conocemos», añade el jurista Samuel Parra.

Pero los anuncios personalizados no son malos, sino todo lo contrario, porque aportan grandes ventajas al consumidor, coinciden los responsables de la industria de la publicidad, consultados por Efefuturo.

Así, cuando un consumidor recibe un anuncio sobre algo que verdaderamente necesita o quiere su contenido pasa a convertirse en información relevante que incluso él demanda, y deja de ser publicidad en el sentido estricto de la palabra, insiste el consejero delegado de la plataforma Sizmek.

El proceso resulta similar a cuando un consumidor toma voluntariamente un folleto en un concesionario para conocer los detalles de un automóvil que le interesa, o en una inmobiliaria para interesarse por un inmueble concreto, añade Mark Grether.

Cada consumidor tiene «unas necesidades personales», uno busca un automóvil, otro un champú para su tipo de pelo, otro un libro sobre sus aficiones, y «cuanto más se ajuste la publicidad a lo que uno quiere, más efectivos y menos intrusivos serán los anuncios», continúa el responsable de Sizmek.

Precisamente la publicidad digital automatizada o programática «sólo será intrusiva si no consigue ser relevante para el consumidor», prosigue el experto.

Por su parte, Paula Ortiz, directora legal de la asociación de publicidad y comunicación digital IAB Spain, precisa que «es importante que el usuario entienda que la publicidad personalizada no es mala»; de hecho, continúa, «la que se nos muestra con esos métodos permite que sea más afín a nuestros gustos, sin estar bombardeados por la que no es de nuestro interés».

Incluso si en el marco del nuevo reglamento el usuario no da su consentimiento, «seguirá viendo publicidad» pero no de su interés, sino de cualquier ámbito o aspecto.

Así es como las empresas se lucran con tus datos

FUENTE: MERCA2 – JUAN PEDRO DE FRUTOS 16/06/18

Cambiar de seguro, informarse sobre la oferta de Internet de la tele, mirar el precio de alarmas para el hogar o descargar una “app” para hablar con los amigos son decisiones del día a día que, sin saberlo, pueden hacer que nos arrepintamos del momento en que las tomamos. Y las empresas lo saben.

Una acción inocente como la de buscar un viaje o pedir un presupuesto e indicar nuestro email y teléfono a cambio de esa información nos convierte en leads. En español: clientes potenciales. En jerga empresarial: oro.

No en vano, nuestros datos son la moneda de cambio con la que acceder a servicios que de otra manera deberíamos pagar. Hecho que no implica que las empresas puedan ganar dinero aunque no les paguemos en ese momento, pues poseen algo más valioso: nuestros datos.

Compras de bases de datos, cesión de estos entre empresas del mismo o distinto grupo, antiguos empleados que optan por utilizar ‘una cartera propia’ o una venta de información a un tercero son solo uno de los procesos que culminaron con una compra por nuestra parte. Un ejemplo sería esa cámara que compramos por Internet la semana pasada y que nos enviaron anteayer junto con la satisfacción de encontra. Esa misma que “vimos por casualidad” en la Red después de indicar en Facebook que somos amantes de la fotografía y tras un comentario en una tienda online del último móvil que adquirimos. Esto es solo el caso más benévolo, pues no sufrimos ‘acoso publicitario’ durante el trayecto u otras suertes más retorcidas.

Quizá más de uno quite hierro al trajín de los datos personales; pero ¿sabemos cuán valiosos son en realidad? La respuesta es alarmante: la presidencia de los Estados Unidos. Al menos, eso es lo que aprendimos de Mark Zuckerberg y de Donald Trump.

EL CASO FACEBOOK

Una red social que no requiere un solo euro por parte de los usuarios para estar en contacto con las amistades, encontrar trabajo o ligar a base de mensajes y fotos parece una ganga. En realidad es un verdadero trueque de nuestra intimidad con cada renglón o foto que publicamos.

Esto se traduce en publicidad sesgada y personalizada que ha sido usada con ánimo de lucro o fines similares por terceros. Resumen rápido y grosso modo del escándalo que acabó con Donald Trump en el Despacho Oval y con Mark Zuckerberg con sus mejores galas ante el Congreso de los EEUU.

Una vulneración de los datos de millones de ciudadanos recogidos en una empresa billonaria, cuyo activo es nuestra privacidad. Un potencial casi ilimitado en esta nueva era para las empresas, aunque no todos los casos no son tan sutiles.

Este hecho fue el detonante perfecto para poner en marcha el Reglamento General de Protección de Datos de la Unión Europea (GDPR) dos años después de su aprobación. En España, este reglamento sustituye a la Ley Orgánica de Protección de Datos (LOPD). El objeto es evitar lo acaecido con Facebook en el Viejo Continente.

¿EL GDPR MANTENDRÁ A RAYA A LAS EMPRESAS?

Es lo que se intentará conseguir, pues basta con un teléfono o el email para que estas comiencen a girar la rueda. Las empresas, desde las pymes hasta las multinacionales, se dejan la piel por contactar con clientes potenciales. Unos acabarán contratando los servicios de inmediato, algunos lo harán más adelante, otros llegarán por referencias de los propios leads.

Los caminos para llegar a estos clientes potenciales son diversos y en algunos casos dudosos: las Páginas Amarillas, otras bases de datos, antiguos clientes, vecinos, amables, referencias, una tarjeta de visita o cualquier anuncio a pie de calle, ya sea en un coche de empresa o los pegados en farolas y marquesinas, son formas de generar esos leads. La cuestión es saber qué podemos esperar del GDPR.

En primer lugar, el nuevo reglamento europeo rebaja la edad mínima de catorce a trece años en cuanto al tratamiento de datos de los menores. También establece que nuestro consentimiento en cuanto al uso de nuestros datos debe ser explícito y afirmativo, siempre y cuando se nos haya especificado qué usos les darán a nuestros datos y el por qué. Este debe estar enmarcado en el ámbito de actuación de la empresa y restringido a la misma materia. En resumen, nos ‘obliga’ a aceptar la publicidad o el uso de nuestros datos.

En cuanto a los datos que cubre el reglamento, se mantienen los ya recogidos por la LOPD: nombre, dirección o formas de contacto entre otros. A ellos les sumaremos nuestros datos biométricos y genéticos desde el pasado 25 de mayo.

Es cierto que el cambio obliga a que exista un registro interno de actividades y gestión de datos, así como una garantía demostrable de que su tratamiento se ciñe al GDPR y se respeta la privacidad. Pero no aclara nada a los consumidores más allá de comprometer a que cada compañía debe diseñar y adoptar las medidas oportunas de seguridad. Es decir, sigue existiendo cierta opacidad.

Por otro lado, la responsabilidad pasa a ser proactiva, por lo que la empresa es la responsable de aplicar los principios de privacidad durante todo el proceso. Asimismo, tienen un margen de 72 horas para notificar brechas de seguridad o fugas de datos, sea por algún hacker o negligencia, en caso de conocerse.

De incumplir el reglamento, las empresas pueden ser sancionadas con una multa de hasta veinte millones de euros o el cuatro por ciento de su actividad anual del ejercicio anterior. Cantidades nada desdeñables en comparación con el tope de 600.000 euros estipulado en la LOPD. Un incentivo que no implica que sea infalible en todos los casos.

Además, el GDPR establece en múltiples supuestos la obligatoriedad de un delegado de protección de datos. Este debe poseer conocimientos especializados hasta en el campo de la seguridad. Por ejemplo, las empresas del sector financiero y de ámbitos similares requieren la presencia de este delegado.

En la teoría y en el marco legal todo parece mucho más estructurado; los gobiernos ven aumentadas sus competencias y se recogerán los derechos a la portabilidad de datos y al olvido. Pero, ¿será realmente efectivo para evitar casos como el de Facebook? ¿Realmente cambiará algo? Por desgracia, no tanto como cabría esperar, ya que se mantendrán viejos ‘vicios’.

PRÁCTICAS DUDOSAS

A casi todos nos habrá ocurrido que sin haber contactado previamente con alguna de las operadoras que comercializan sus productos en España, estas nos habrán contactado con sus nuevas ofertas. Puede ser a nuestro móvil o al fijo, e incluso a los terminales de empresa.

Este contacto puede ocurrir mensualmente o semestralmente, y en ninguno de los casos se nos facilita cómo han obtenido nuestro teléfono. Solo responden con divagaciones: una búsqueda en su web que no recordamos o un contacto del titular de otro contrato. De ser cierto, nunca dimos nuestro consentimiento para esa clase de contacto, al menos explícitamente. Es en este momento cuando adquieren relevancia esos caminos para conseguir leads que indicamos con anterioridad.

Cuando este contacto pasa a ostentar una cierta agresividad, y las interacciones se producen con un agente, corredor o bróker que nos ofrece una gran oportunidad de negocio o un servicio revolucionario, lo mejor es desconfiar. Casi seguro que nos encontramos ante una estafa y hayan pagado generosas cantidades para adquirir una base datos o bien se valieran de alguna de dominio público, como las Páginas Amarillas.

Por lo general, no nos tratarán de vender el producto en la primera llamada, pero nos acotarán un tiempo determinado para decidirnos así como algún ‘premio’. De ser necesario, también nos darán algunas ‘píldoras’ a lo largo de los dos o tres días venideros durante los que nos llamarán. Su objetivo es ganarse nuestra confianza tras haber empatizado con nosotros. Hecho que aprovecharán en ocasiones para pedirnos un correo y así lanzarnos un gancho.

También existen empresas que deciden optan por una mayor agresividad, lo que les lleva a acosar a los clientes en algún punto. Bien puede ser por anomalías en los sistemas informáticos, o de manera intencional. En cualquier caso es molesto, y a veces solo se puede remediar con el ingreso en la lista Robinson. Tratamiento que no siempre se respeta.

Esta estrategia trata de forzar la venta desde la primera llamada. Ya sea yendo a su hogar tras el contacto o durante la conversación. Las tácticas para conseguirlo son variadas, pero siempre se apela a los sentimientos de los clientes potenciales: necesidad, envidia o miedo.

Lamentablemente para los consumidores, en España existen varios casos que se corresponden con los ejemplos anteriormente mencionados.

El LUCRO CON LOS DATOS

Compañías aseguradoras, por ejemplo, tienen pleitos relacionados con la privacidad de los datos de sus clientes, resultado de su metodología y de una alta rotación de personal. Su procedimiento se basa en tres apartados. Estos comienzan con la recogida de datos de los clientes potenciales, le sigue el contacto que se mantiene con ellos hasta la venta, y finaliza con el tratamiento de los datos personales tras esta.

Los clientes potenciales online se gestan a través de Internet al rellenar un formulario y disponer de su teléfono. Todo gracias a una política de precios opaca que rara vez se desvela antes de que el comercial visita el inmueble.

En cuanto a la manera de conseguir leads ‘offline’, se agudiza el ingenio. La publicidad basada en el ‘miedo’ se convierte en el argumento de los comerciales. Con el robo y la okupación como punta de lanza, han llegado a ser amonestados por ayuntamientos al desplegarse bloque por bloque comunicando falsos avisos de robo. Un ejemplo de las variadas argucias de las que se valen.

A este primer paso le sigue el contacto telefónico. Los ya clientes sabrán cómo ha evolucionado el guion comercial con cierto paralelismo al miedo que transmiten los comerciales. La ausencia de filtros en la etapa anterior deriva en llamadas a personas que han expresado no querer recibir ningún tipo de contacto o que no están interesadas en el servicio, incluso a los mismos clientes de la compañía o a personas que no se corresponden con el contacto.

Es cierto que esta situación es más común de lo que creemos en nuestro país, tanto como que las empresas tengan objetivos que cumplir. El problema reside en que cuando se prioriza lo segundo se llega a unos extremos poco agradables para los consumidores antes de que se formalice una venta.

Desconfianza, publicidad negativa y hasta denuncias por acoso telefónico son una consecuencia de su procedimiento. No en vano se han dado casos de que presentar una oposición reiterada a contratar el servicio ha conllevado media decena de llamadas al día durante una semana, o incluso reclamaciones de personas contactadas que están inscritas en la lista Robinson. Situación que no atisba mejora con la llegada del GDPR.

Los testimonios de los consumidores inundan las redes junto a las demandas por estafa. Se denuncian prácticas como falsificar la firma de clientes en las tablets de los comerciales para que les conceda un préstamo la entidad financiera colaboradora, el envío del contrato pasando los quince días legales de desistimiento, no registrar los contratos originales en el Ministerio del Interior y apilarlos en cajas a la vista de terceros mientras circulan sin control.

Desde Intersindicalmadrid.es se ha dado voz a estas irregularidades, para intentar demostrar que personas ajenas a estas compañías tienen los datos de miles de clientes con sus contratos originales.

A la luz de los hechos, lo mejor es pensarse dos veces a quién le facilitamos nuestros datos y por qué. Asimismo, lo más conveniente es que como consumidores seamos consecuentes con nuestras decisiones y sepamos cómo responder y a quién acudir en caso de que sea necesario. Al fin y al cabo, nuestros datos son oro para las empresas; pero nuestra privacidad, el mayor tesoro que tenemos.

El delegado de protección de datos: el protagonista del RGPD.

FUENTE: DIARIO EXPANSIÓN 7 JUNIO 2018

Esta nueva figura será obligatoria para las empresas que traten datos personales y deberá tomar todas las medidas de seguridad necesarias para velar por la correcta aplicación del reglamento.

El Reglamento General de Protección de Datos (RGPD) ha sido el protagonista de todos los titulares en las últimas semanas. Sin embargo, dentro de esta regulación europea, el intérprete con mayor importancia es, sin duda, el delegado de protección de datos (DPO, por sus siglas en inglés).

Esta nueva figura del organigrama empresarial resulta esencial para muchas compañías, puesto que el texto legal insiste en su obligatoriedad para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles.

El DPO debe desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, según especifica el artículo 39 del RGPD, esta figura tiene entre sus funciones informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen de la gestión de las obligaciones que les incumben en virtud del reglamento; supervisar el cumplimiento de lo dispuesto en el RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento.

Enlace

Por otro lado, el reglamento europeo insiste en la importancia de que el DPO coopere siempre con la autoridad de control y actúe como punto de contacto del regulador para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Según especifica la Agencia Española de Protección de Datos (AEPD) en su Guía del Reglamento General de Protección de Datos para responsables de tratamiento, la posición del DPO en las organizaciones tiene que cumplir diferentes requisitos, como que cuente con una total autonomía en el ejercicio de sus funciones; que tenga una relación directa con el nivel superior de la dirección; así como la obligación de que el responsable o el encargado de tratamiento de datos faciliten al DPO todos los recursos necesarios para desarrollar su actividad.

El delegado de protección de datos debe ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, los conocimientos jurídicos en materia de protección de datos y privacidad son, sin duda, necesarios. Además, deben contar con otras nociones ajenas a lo estrictamente jurídico, como, por ejemplo, en materia de tecnología aplicada al tratamiento de datos.

Certificación

Frente a los posibles profesionales poco fiables o que no cuenten con la formación adecuada, la AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPO reúnan las cualificaciones profesionales y los conocimientos requeridos. Las certificaciones serán otorgadas por entidades debidamente acreditadas por la Entidad Nacional de Acreditación, siguiendo criterios elaborados por la AEPD en colaboración con los sectores afectados.

Según explica la autoridad española de protección de datos en su Esquema de certificación, todos los que estén interesados en lanzarse a esta nueva aventura laboral y tratar de acceder a la fase de evaluación, deberán cumplir alguno de los siguientes requisitos: justificar una experiencia profesional de, al menos, cinco años en proyectos o actividades relacionadas con las funciones del DPO; tener una experiencia demostrable de, al menos, tres años en proyectos o actividades y tareas relacionadas con las funciones del delegado de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del Esquema; acreditar una experiencia profesional de, al menos, dos años en proyectos o actividades y tareas relacionadas con las funciones del DPO y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa; o, por último, justificar una formación mínima reconocida de 180 horas en relación con las materias incluidas en el programa del texto elaborado por la AEPD

A pesar de todo lo indicado, es importante tener en cuenta que la certificación no será un requisito indispensable para el acceso a la profesión, sino que será sólo una opción a disposición de responsables y encargados de tratamiento para facilitar su selección de los profesionales llamados a ocupar el puesto de DPO. Pero estos profesionales pueden tomar en consideración otras cuestiones u otros medios para demostrar la competencia de los DPO.