Inicio

La protección de la reputación según el RGPD

Cuando se habla del RGPD, lo que más llama la atención son las multas. En verdad, el 4% del volumen de negocios total anual es ciertamente alarmante —y “el miedo, la incertidumbre y la duda” venden. Pero si pensamos cuál es el principal riesgo de no cumplir con la nueva regulación de privacidad, la respuesta lógica es: su reputación. Entonces, ¿qué medidas puede tomar para proteger la reputación de su organización con respecto a la protección de datos personales?
 

Cuando se trata de violaciones de privacidad, las empresas más grandes suelen ser el foco de atención: la violación de datos de Yahoo en 2014 que se hizo pública recién en 2016; el escándalo de Facebook/Cambridge Analytica, en el que se mezcló la violación de datos con manipulación política y que provocó una arremetida publicitaria a principios de 2018; el caso de LinkedIn, que filtró más de 100 millones de nombres de usuario y contraseñas en 2012. Todos estos son ejemplos de uso indebido de datos personales que resultaron contraproducentes para las organizaciones que supuestamente los causaron o que intentaron encubrirlos.

A menudo recibimos comentarios sobre nuestro cumplimiento de la privacidad. Algunos son claramente falsos (por ejemplo, los que dicen que la casilla para suscribirse al newsletter está activada por defecto, aun cuando no es así). Sin embargo, otros comentarios se refieren a temas que queremos abordar con más detalle, como por ejemplo, la tecnología de seguimiento que se usa en MailChimp de manera predeterminada. Aquí resumimos algunas pautas que intentamos seguir tanto como sea posible y que también pueden ser útiles para su organización.

Transparencia

Sí, según el RGPD, la conservación de datos "siempre que sea necesario para los fines para los que fueron recogidos" es una descripción válida de su política de retención. Sin embargo, llegamos a la conclusión de que es posible ser más precisos, por lo que pronto agregaremos información más concreta a nuestra política de privacidad. Esto permitirá que los interesados (clientes, empleados, etc.) comprendan las políticas de tratamiento de datos, que deben ser transparentes, de acuerdo con el Artículo 12.

En general, se considera un pecado capital eliminar los comentarios de los usuarios en lugar de responderles. Debo admitir que he considerado borrar los comentarios de LinkedIn que son claramente falsos, pero en principio, decidimos no hacerlo y, por lo general, les respondemos a todos. Actualmente, la política que muchas empresas utilizan es responder de forma educada, ateniéndose a los hechos, y agradecer los comentarios tanto positivos como negativos. Un buen ejemplo a seguir son las respuestas a las reseñas de hoteles y restaurantes de TripAdvisor.

Pragmatismo

Nuestra primera página web no tenía cookies. Ninguna. No sabíamos siquiera cuántas visitas tenía el sitio —sólo podíamos hacer un seguimiento si alguien completaba uno de los formularios. Si bien es cierto que tener un sitio web que proteja la privacidad al 100% es extraordinario, también resulta bastante contraproducente para el negocio. Por ello, decidimos que era necesario recopilar más información y comenzamos a utilizar un software de análisis para conocer los patrones de visita del sitio.

Por otro lado, realizamos un minucioso análisis previo de las herramientas de cumplimiento del RGPD que vamos a usar. Por ejemplo, rechazamos una excelente herramienta de chat porque recoge todo tipo de información del usuario. En su lugar, decidimos usar MailChimp —a pesar de que son muy "permisivos" con las tecnologías de seguimiento— porque es un estándar de facto, y continuamos trabajando en la comunicación al respecto. Además, estamos pensando en utilizar tecnologías de seguimiento de visitas con fines de retargeting. ¿Queremos esto? Y si es así, ¿cómo afectará a la privacidad del usuario? En cada decisión, debemos mantener el equilibrio entre nuestros objetivos comerciales y las formas de proteger la privacidad de los datos de los usuarios de nuestra página web.

Preparación

Esperar a que ocurra la primera violación de datos personales o a que se presente la primera la solicitud del interesado no es la estrategia más adecuada. Recuerde que, según el Artículo 30, su organización necesita una descripción general de los datos personales para cumplir con la mayoría de los derechos y obligaciones impuestas en el Reglamento. Esto es la columna vertebral de su gestión de privacidad. Por lo tanto, si usted cuenta con este registro y con un plan de acción para los casos de violación de datos (consulte nuestro whitepaper aquí), podrá tomar las medidas adecuadas cuando sea necesario.

Además, tenga en cuenta que las solicitudes de los interesados pueden convertirse rápidamente en la analogía de un "ataque distribuido de denegación de servicio". Si usted tiene cientos de miles de clientes y una pequeña parte de ellos le pide que le entregue los datos personales que usted tiene almacenados, esto puede significar un serio problema para su organización. En este caso, el registro del Artículo 30 le será de gran utilidad, pero no le eximirá de la necesidad de recoger datos reales para individuos reales.

Accesibilidad

Si un interesado confía en la organización que trata sus datos personales será poco probable que lo “moleste” con una solicitud. Una respuesta rápida y transparente a las consultas que reciba reducirá el riesgo de "ataques" a su política y cumplimiento de la privacidad. Sin embargo, tenga en cuenta que si trata datos personales (como nosotros) será blanco de las críticas del público. Y no hay ningún problema con ello.

Laurens Mommers

COO PrivacyPerfect

rgpd guia gratuit