¿Estás preparado para la GDPR / RGPD‎?

GDPR-RGPD‎

¿Estás preparado para la GDPR / RGPD‎?

¿Qué mejor propósito para este 2018 que estar al día con la Regulación General de Protección de Datos? Aunque a partir del 25 de Mayo, más que un propósito, será una obligación para todos.

Más allá de querer hacer revisión de lo que ya deberíamos tener hecho y planificado para cuando esta nueva normativa sea de obligado cumplimiento –que seguro que en tu empresa ya tienes al departamento legal detrás de cada cookie que están generando tus herramientas y revisando al detalle los formularios de recogida de datos–, quiero, desde la silla de consultor, darte algunos consejos y recordatorios en torno a la recogida del dato en la herramienta de analítica web.

La RGPD nos pone de nuevo encima de la mesa, y con mucho detalle, los derechos de un usuario cuando se almacenan datos personales o cuando esta persona es identificable a partir de ellos: derecho al olvido, derecho a rectificación y a borrado.

Las herramientas de analítica no se pensaron para almacenar dato personal. Su modelo de datos no está preparado para ello y mucho menos la interfaz de explotación. Es más, en esencia, las herramientas sacan su potencial cuando recopilas gran cantidad de datos y puedes identificar audiencias significantes; pero quien más, quien menos, ha hecho uso de trucos para tener algún dato que permita cruzar con los CRM. Es por esto que, si eres uno de ellos, debes seguir estas pautas:

1– Si recoges dato personal, asegúrate que este dato está relacionado con el resto del dato anónimo del usuario. Si la persona solicita el borrado, te puedes encontrar con que tengas que borrar todo dato del periodo en que esa persona navegó, ya que no serás capaz de diferenciar entre un dato suyo y otro de otro usuario.

2– Encripta en origen el dato que recoges. No sirve un “hash MD5” o similares, debes hacerlo con un algoritmo con clave. Por ejemplo, Google recomienda como mínimo un “SHA256”, sin embargo, ese es el mínimo y mi recomendación es ir a otros con más seguridad.

Hasta ahora valía con que el usuario leyera el pie de notificación de que se usaban cookies o que “siguiera navegando”. Esto no será válido a partir de mayo. La ley exige que el usuario dé su consentimiento explícito, es decir, que realice una acción y sea consciente de lo que implica. Es muy probable que estas cortinillas que tantos dolores de cabeza nos han dado desaparezcan por dos razones:

– Si tan solo recogemos información anónima, sin más uso que el análisis estadístico (por ejemplo, tenemos un Google Analytics en nuestro site y nada más), esto no supondrá tratamiento de datos personales ni requerirá aceptación.

– En caso de que hagamos recogida de datos personales (encriptados) o un uso diferente –como el de retargeting, envío del dato a terceros, cruce con otras plataformas, etc.–, nuestros visitantes tendrán que aceptar explícitamente por cada uso diferente de cada dato recogido. Es probable que los navegadores también entren en juego aquí, facilitando la tarea de aceptación, opt-in y opt-out.

Por último, ante cualquier duda de cómo actuar en tus activos, es el Delegado de Protección de Datos (o “DPO” por sus siglas en inglés) la figura de referencia para las compañías.

A pesar del tiempo que hemos tenido y la atención que se le ha dado a esta ley en los últimos meses, estoy seguro de que el próximo mayo nos va a traer mucho entretenimiento en materia de datos personales y legislación. Stay tuned!

¡Suscríbete a nuestra newsletter mensual Stay Sharp!

Para más información

CONTÁCTANOS