¿Que significa saber gestionar datos personales?
Tener un negocio, ya sea online o no, implica gestionar datos personales y hacerlo con garantías.
Y aunque parezca increíble, pocos pueden presumir de hacerlo perfectamente, sin fisuras y de forma proactiva.
Me pareció importante tratar este tema en mi blog ya que al igual que yo, estás expuesto a miles de contenidos en donde te bombardean con ideas peregrinas del espabilado de turno que propone recursos o estrategias que implican trabajar con datos personales sin analizar el impacto legal ni sus repercusiones en tu reputación.
Por eso hoy quiero contarte todo lo que debes tener en cuenta a la hora de:
- Requerir y gestionar información personal de otros.
- Poder cumplir con todos los requisitos legales necesarios.
- Reforzar la seguridad interna de tu negocio.
Conocer estos dos puntos te servirá de criba para analizar que estrategias son adecuadas y seguras y cuales son una bomba de relojería.
Es posible que hasta ahora no hayas pensando en la importancia de contar con un protocolo de gestión de datos personales, pero es incuestionable que el estado de la tecnología y las nuevas herramientas de marketing lo imponen.
También lo exigen los usuarios, que demandan un uso responsable de sus datos personales , muestran un hartazgo generalizado con el abuso de su confianza en las acciones de marketing intrusivo y premian a quienes asuman compromisos suficientes con su privacidad.
El proceso de recogida de datos, impone diferentes obligaciones, cuyo incumplimiento puede dar lugar a denuncias y sanciones, además de restarte credibilidad, por eso, toma nota de la siguiente lista si quieres avanzar a paso seguro y descartar de pleno a los mercenarios que te llevarán al camino de la amargura.
Como captar y gestionar datos legalmente
La captación y gestión de datos personales está regulada por la LOPD, que impone una serie de obligaciones a todos lo que capturen, gestionen o almacenen información personal.
También tenemos que hablar del Nuevo Reglamento de Protección de Datos que impondrá nuevas obligaciones en la gestión de información de carácter personal.
A continuación, voy a enumerar el resto de requisitos que debes considerar antes de recoger y almacenar datos personales de otros con plenas garantías y total seguridad.
#1 Canales adecuados de recogida de datos
En primer lugar, deberás asegurarte de recoger los datos personales en forma leal y lícita , por canales adecuados. Aquí te explico cómo captar registros lícitamente.
Esto excluye la compra de bases de datos, el captar datos personales de redes sociales, el incluir a todo correo que se cruce en el camino en tu lista de suscripción, a comprar o vender leads.
#2 Datos adecuados y pertinentes
Recopilar solamente los datos personales adecuados, pertinentes y no excesivos en relación con la finalidad del tratamiento.
Este requisito implica la prohibición de recabar información personal que no sea la estrictamente necesaria para la finalidad con la que fueron obtenidos.
#3 La anonimización y seudonimización de la información
Para que pueda hablarse de anonimización de datos, ésta debe garantizar que no es posible la identificación del titular de los datos en ningún momento, por tanto, anoniminizar consiste en impedir la identificación directa del interesado, por tanto, se trata de utilizar herramientas que permitan la modificación de atributos asignados entre la información adicional del interesado y los datos personales del mismo.
La seudonimización consiste en la Separación de los datos identificativos con “barreras” técnicas u organizativas que impidan la identificación posterior.
Estas técnicas son especialmente útiles en caso de que el tratamiento de los datos no esté basado en el consentimiento del individuo, la seudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo.
#4 Informar previamente
Siempre deberás informar adecuadamente antes de requerir datos personales.
Esa información debe incluir aspectos referentes a:
- La existencia, titularidad y finalidad del fichero.
- Las previsibles cesiones de datos que se pretendan realizar en el futuro.
- De los derechos que les asisten de acceso, rectificación, cancelación y oposición al tratamiento de los mismos.
- De la obligatoriedad o no, que tienen, de suministrarlos y de las posibles consecuencias que pudieran derivarse caso de negarse a facilitarlos.
El nuevo reglamento de protección de datos , se extiendo el principio de la información.
Para las personas físicas deben quedar totalmente claros los siguientes puntos a la hora de requerir o consultar su información:
- Que sus datos personales se están recogiendo, utilizando o consultando.
- La medida en que dichos datos son o serán tratados.
- De las posibles consecuencias de no facilitar tales datos.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto si es una novedad)
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control.
- La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
#5 Obtener el consentimiento con la recogida y finalidad
El consentimiento equivale al permiso otorgado por alguien para que puedas capturar y gestionar sus datos personales y es la base de todo tratamiento legítimo de información personal.
Si no cuentas con el consentimiento, no deberías hacer ningún uso de datos personales. En una web, un formulario de contacto con doble opt in es un recurso muy eficaz para conseguirlo.
Este consentimiento deberá ser informado y, en su caso, expreso y por escrito cuando se recaben datos extremadamente sensibles.
Debes abstenerte de recopilar datos nominativos extremadamente sensibles a no ser que el titular del fichero esté legalmente autorizado para ello y siempre y cuando la finalidad del fichero implique la necesidad de su recogida y tratamiento .
El Nuevo reglamento propone que una empresa pueda procesar información personal sólo si antes ha obtenido el permiso expreso de la persona afectada. Tal permiso puede ser retirado en cualquier momento.
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Es necesario por lo tanto, transformar los permisos tácitos en expresos.
#6 Almacenamiento y tratamiento de datos personales
El proceso de almacenamiento y tratamiento de los datos, genera también obligaciones de las que no puedes abstraerte si quieres trabajar con garantías.
Para eso, debes incluir una serie de hábitos en relación a los datos personales que almacenes y gestiones como:
- Comprobar siempre la exactitud de los datos en una forma acorde con el deber de diligencia.
- Actualizar tus bases de datos personales de forma continua, rectificando datos personales incorrectos, complementando los incompletos, cancelando los improcedentes para el objetivo del fichero y no conservándolos más allá del tiempo necesario para cubrir la finalidad para la cual fueron registrados, por ejemplo, los CV de candidatos que hayas descartado.
- Clasificar y almacenar los datos según el nivel de seguridad que se les ha asignado, poniendo un especial cuidado en la incorporación al fichero de aquellos datos personales extremadamente sensibles que hagan referencia a origen racial, opinión, creencias religiosas o de otro tipo, salud o vida sexual.
- Prohibir la realización de tratamientos de datos efectuados por personas o empresas con las que no hayas firmado contratos de encargo de tratamiento o sesión. Aquí te explico como puedes colaborar sin riesgos.
Toda esta información deberá constar en el documento de seguridad que tienes que mantener actualizado como una hoja de ruta que te indicará en todo momento los pasos a seguir para gestionar los datos personales que están bajo tu responsabilidad.
Conclusión: los datos personales son el centro de tu negocio
Esto es inapelable. Sin datos personales de clientes, usuarios, suscriptores, colaboradores, empleados, etc, no hay negocio y por tanto, saber recogerlos y gestionarlos de manera legal y segura es una prioridad para cualquier profesional o empresa.
