Tranquilos. No voy a pedirles que acepten mi política de privacidad, ni que me permitan seguir remitiéndoles comunicaciones comerciales.
En las últimas semanas, estamos sufriendo un goteo de mensajes y comunicaciones de distintas compañías informando de la actualización de la Política de Privacidad, con mayor o menor detalle, de los tratamientos que se realizan y, en otros casos, mensajes con la solicitud de confirmación para continuar remitiéndonos comunicaciones por medios electrónicos. Muchos amigos y compañeros se me acercan para preguntarme si estos emails que están recibiendo estos días es lo que me tiene ocupada durante los últimos meses.
Así es, el Reglamento General de Protección de Datos (RGPD) ya está aquí. Desde hoy es aplicable y detrás de esos avisos de actualización de la Política de Privacidad o “renovación” de consentimientos que las empresas se están apresurando a comunicar, hay un trabajo de varios meses en los que las empresas han invertido tiempo y recursos en identificar de forma rigorosa qué tratamientos de datos de carácter personal están realizando en su organización, con qué finalidad recaban los datos, cómo los obtuvieron, la necesidad o no de recabarlos, o cómo deben informar a los usuarios de esos usos, entre otros aspectos.
Inventariar estos flujos y procesos de tratamiento es una ardua tarea, porque ha obligado a las compañías a cambiar su mentalidad y el formato al que se asociaba el uso de los datos de carácter personal, concebido bajo ficheros conceptuales que no contemplaban el ciclo de vida de dichos datos, ni los subtratamientos que podían estar realizándose.
La casuística es amplísima, desde el análisis de los tratamientos que se realizan con los datos de los empleados, hasta los de los clientes y proveedores, o con los anunciantes y su interacción en redes sociales.
En este arduo ejercicio para su adecuación, se identifican tratamientos que, por ejemplo, en el entorno laboral, van desde la mera recogida de datos para la gestión de la relación contractual, hasta el uso de los mismos con una finalidad de geolocalización, perfilado de los empleados con una evaluación sistemática y exhaustiva de aspectos personales para analizar o predecir aspectos relacionados con el rendimiento en el trabajo o de predisposición al cambio.
Mayor complejidad comporta el análisis de los tratamientos que se realzan de los clientes y prospects en el entorno online, donde operan la práctica totalidad de las empresas que manejan un importante volumen de datos de carácter personal, buscando una población significativa de usuarios registrados a los que poder estudiar, analizando su comportamiento, hábitos de navegación y consumo, con dos objetivos principales. El primero, mejorar su oferta de productos y servicios y la funcionalidad de sus páginas web o Apps. Y, el segundo, poder ofrecerle publicidad basadas en sus preferencias -no solo cuando accede a los espacios digitales del anunciante, sino siguiéndole a través de su navegación e interactuación en otros sites-.
Este cambio de planteamiento, ha permitido a las propias compañías tener un conocimiento exhaustivo y minucioso de los procesos corporativos y de negocio, y afrontar la gestión de la privacidad de una forma más inteligente y ajustada a la realidad del mismo, tomando conciencia de si esa utilización de los datos de carácter personal puede realmente comportar un impacto en la privacidad del afectado.
En este terreno, los responsables del tratamiento han tenido que cambiar también su concepción, porque el ejercicio que debían hacer ha sido el de analizar qué riesgo puede suponer la forma en la que se lleva a cabo una determinada actividad para los derechos y libertades de los interesados, traducido en daños económicos, reputacionales e incluso físicos, en lugar de analizarlo bajo la óptica del daño o impacto en los estados financieros de la sociedad.
Superado lo anterior, la RGPD no tenía bastante, y obliga a las empresas a llevar a cabo un análisis igualmente exhaustivo, de qué base legal legitima los distintos tratamientos previamente identificados, y las finalidades suficientemente informadas, y si cabía orillar el temido consentimiento expreso.
Quizás ese ejercicio ha sido demasiado aventurado, porque como habrán podido comprobar, son numerosos los ejemplos en los que sigue utilizando la renovación del consentimiento por omisión, o simplemente se informa de la actualización de la Política de privacidad, sin requerir nuevas aceptaciones de los tratamientos específicos.
De la misma forma, se percibe con estos envíos una gran preocupación por regularizar el consentimiento para el envío de comunicaciones comerciales y menos, tal vez, para comunicar de forma transparente y pedagógica los usos o finalidades más complejas mediante el uso de cookies y otros dispositivos de almacenamiento de datos, que, por otra parte, el regulador no ha abordado a tiempo con el Reglamento de e-privacy.
Y ahora, si, denme su consentimiento, porque el opt-out y la omisión, ya no son válidos.