¿Cómo enfrentar la GDPR?

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea, más conocido como GDPR. Por esta razón decidimos abordar el tema y presentarte el nuevo panorama que representa este cambio y un par de ideas para afrontarlo.

Para que no tengas que buscarlo, recordemos los principios básicos de la GDRP de manera sencilla: Todo debe ser con consentimiento explícito.

1.- Sólo se puede recopilar lo que es adecuado, necesario y no excesivo en relación al servicio específico que se ofrece.

2.- El público tiene derecho a la transparencia.

3.- La gente tiene derecho al olvido.

4.- Las direcciones IP también se consideran información personal.

Sin embargo, cuando escuchamos hablar de la GDPR, casi siempre escuchamos sobre sus implicancias legales, sus aspectos técnicos y por sobre todo, en sus excepciones, lagunas y de cómo salirse con la suya para continuar haciendo las cosas que siempre se han hecho.

Evidentemente, siempre hay formas de manipular la ley y clasificar los datos como “interés legítimo”, designar los rastreadores de terceros como “controladores” o establecer en los términos y condiciones que los datos no serán utilizados, aunque no sea cierto.

Sin embargo, hay un par de razones por los que utilizar esta estrategia no es la mejor idea.

Tendencia general del mercado

La principal razón de peso, es la tendencia general sobre la privacidad de datos. Si observamos a nuestro alrededor, podemos encontrar señales claras de que el público ya ha tenido suficiente, la mayoría han instalado Ad Blockers y no sólo para bloquear los anuncios, si no también para bloquear el seguimiento de sus datos.

El público no sólo está reaccionando al escándalo de Facebook, si no al uso de rastreadores utilizado por los sitios.

En redes sociales también podemos observar esta tendencia, es cosa de pensar en cuántos de nosotros las hemos bloqueado y/o configurado en privado y en cómo ha aumentado el uso de Snapchat, Instagram Stories o Twitch en vivo, las cuales eliminan las publicaciones tras una determinada cantidad de tiempo.

La tendencia es clara, e ir en contra de ella nos podría convertir en villanos.

¿Qué están haciendo Google y Facebook?

Cuando hay grandes cambios en la industria, es importante observar qué hacen los líderes del mercado.

Google y Facebook son las empresas que más se han beneficiado de la recopilación de datos, por lo que se podría pensar que harían todo lo posible para aprovechar las lagunas legales del GDPR, sin embargo, es todo lo contrario.

Ambas compañías llegaron a la conclusión de que no había manera de evitar la nueva normativa sin prolongadas y costosas peleas legales, las cuales sin duda generarían prensa negativa. Por esta razón han decidido que no pueden hacer nada hasta que los visitantes hayan entregado su consentimiento, por lo que en un futuro cercano,  no será extraño encontrarnos con mensajes como el siguiente:

Lo importante, es que las compañías tecnológicas han decidido reconsiderar la forma en que trabajan la privacidad y el camino que marcan es claro.

¿Qué pasa con los Publishers?

En cuanto a los publishers, todavía no vemos un cambio. Todos los sitios que visitamos siguen utilizando un montón de rastreadores y ninguno pide el consentimiento de los visitantes.

Esto ya no va a funcionar con la entrada en vigencia de la GDPR, ya que los publishers funcionan como controladores de datos, mientras que las herramientas de tercero como procesadores de estos y es el controlador el responsable de obtener el consentimiento, independiente de dónde se almacenen.

Por lo que nuestro consejo para ellos es que revisen su enfoque sobre la GDRP, ya que es la oportunidad de ser parte de la solución en lugar de ser parte del problema.

Para comenzar, pueden clasificar a su audiencia en 4 segmentos diferentes:

1.     Usuarios de una sola vez.

Considera a los visitantes que no han entregado su consentimiento. Esto significa que los anuncios no pueden contener identificación personal, no se puede cargar automáticamente contenido incrustado, no se pueden cargar widgets sociales y en los sitios propios, sólo se podrán realizar análisis no identificables, generando impacto en los ingresos de tráfico.

2.     Usuarios de interacción limitada

Son aquellos que se han registrado en una parte del sitio, como a un boletín informativo. En este caso, existe consentimiento implícito de los visitantes, pero limitado a un servicio específico.

Ya no se pueden recolectar y utilizar todos los datos disponibles, ya que su uso debe ser específico, limitado y relevante.

3.     Usuarios de interacción completa

Son los usuarios que se han registrado y han acordado tener todo lo que ofrece un sitio, sin embargo, no significa que se pueda agregar un montón de scripts de seguimientos de terceros, ya que cada dato recolectado debe ser relevante para lo que ofreces. Debes limitarte a recopilar lo que es relevante para lo que ofreces y no olvidar que eres el responsable de la transparencia y el control de datos.

4.     Usuarios cancelados

Con este tipo de usuarios, básicamente debemos eliminar toda su información recopilada, exceptuando los datos que debemos mantener legalmente, como por ejemplo los datos contables.

Seamos parte de la solución

Hay que considerar la GDPR como un punto de inflexión en la privacidad de datos y es el momento de cambiar. Aprovecha esta oportunidad para generar confianza y mostrar a los lectores que los respetas. No esperes a ver qué pasa y no intentes buscar la manera de evitarlo.

Simplemente adáptate al cambio.