Que el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD), va a suponer un reto importantisimo para las empresas, es algo que nadie duda ya. Pero si en un sector va a ser fundamental, es en el eCommerce. Los datos de crecimiento de este sector, que cada día que pasa cobra más importancia para las empresas, son mareantes: 85.000 tiendas online abiertas, solamente en España.
Son muchos y variados los retos que a las empresas se les plantean, pero más complejos son, si cabe, las que han hecho del eCommerce su canal de negocio principal. Vamos a intentar ver los más importantes:
- El ámbito de aplicación. Hasta ahora, la normativa en materia de privacidad era aplicable a aquellas empresas que se situaban dentro del marco de la UE. En adelante, y con el cambio reglamentario, este será de aplicación a todas las empresas que gestionen datos de ciudadanos de la UE. Con lo que el factor geográfico ya no será determinante: bastará con que preste servicios a ciudadanos europeos, para que tenga que estar sujeta a la norma.
- El BigData, definitivamente tomado en cuenta. Con la aprobación del nuevo reglamento se toma en consideración el tratamiento masivo de información y con él, aumentan los controles y garantías que de este tratamiento las empresas han de ofrecer.
- Modelo preventivo para las empresas. Hasta ahora las empresas seguían un modelo reactivo en cuanto a la gestión de las incidencias y la información. Con este nuevo escenario se impone un modelo preventivo que plantea que las empresas han de estar preparadas para afrontar los riesgos que corren en el manejo de la información.
- La privacidad por defecto. Siguiendo en la linea del punto anterior, las empresas tienen que preparar su modelo de negocio basándose en la privacidad de los datos y la información que gestionan. El punto de inicio ha de ser la seguridad de la información personal y alrededor de esta filosofía, se desarrollará todo lo demás.
- La Evaluación de Impacto, una herramienta fundamental. Se deberá realizar una evaluación de los riesgos que corren o pueden correr los datos y la información gestionada previa al inicio de su tratamiento. Las empresas que usen eCommerce, deberán por ejemplo evaluar si su sitio web ofrece las mínimas garantias posibles al comprador y ejecutar pruebas de estrés que puedan determinar los límites y brechas de seguridad que realmente tiene la plataforma.
- Las incidencias de seguridad tendrán que ser comunicadas. Será obligación de las empresas comunicar aquellas incidencias que afecten a la seguridad de la información en un plazo no superior a 72 horas, a las autoridades de control correspondientes. Además deberán comunicar también a los afectados de cualquier fallo en los sistemas que implique un riesgo para sus datos personales.
- Se regula el Derecho al Olvido. Este derecho es la aplicación efectiva de los anteriores Derechos de Cancelación y Oposición. Mediante este derecho, el usuario tendrá las garantías de que la empresa no va usar su información personal si este no lo desea.
- Mayor importancia del consentimiento. A partir de este nuevo escenario, la obtención del consentimiento previo para la gestión de la información cobra todavía más importancia y sobre todo, tiene más peso para las empresas demostrar que se ha obtenido de forma legal y leal, sin ambages. Se deberá también obtener el consentimiento, no solo para la gestión de los datos, sino para ser incluidos en la elaboración de perfiles de comportamiento o compra, que puedan ser de interés para las empresas eCommerce.
- La información sobre el tratamiento de datos, tiene que ser transparente. Se debe informar en todo momento y de forma clara y concisa de que tipo de tratamientos se están llevando a cabo con los datos de los usuarios, quien o quienes van a acceder a la información personal y el plazo durante este tratamiento se llevará a cabo. Esta información debe ser expuesta de forma clara y con un lenguaje sencillo de entender.
- Los Responsables de Tratamiento, serán responsabilidad de las empresas. Desde ahora, las empresas tendrán que tener mucho cuidado a la hora de contratar Encargados de Tratamiento, pues tendrán que analizar la solvencia en materia de seguridad de estos últimos. A la hora de contratar hostings o servicios online, las empresas tendrán que evaluar si los posibles proveedores son de confianza y pueden incluirse en la gestión de la información y datos personales de sus clientes.
Como vemos, estos y algunos más, son los principales retos que tiene por delante el eCommerce. Sin duda alguna supone un trabajo añadido para aquellas empresas que hasta ahora no hayan valorado la privacidad como un factor diferenciador. Pero para los clientes supone una garantía más de que sus datos personales están siendo tratados con el respeto y la lealtad que merecen.
Y además, con una previsión de crecimiento en nuestro país de un 18% para el próximo 2017, ¿quién se atreve a no hacer las cosas bien?.
Por José Manuel Sanz
Consultor LOPD