Blog VTEX - Como os varejistas podem se preparar após o GDPR entrar em vigor?

¿Qué deben saber los minoristas sobre el GDPR vigente?

Camilla Lichti
Camilla
28 May 2018
Reading Time: 9 min

Las empresas, gracias al uso de tecnología digital avanzada en sus operaciones, pueden obtener una gran cantidad de información de los clientes. Por ejemplo, los consumidores que navegan en algunos sitios de e-commerce dejan un rastro digital de su comportamiento de compra. Incluso aquellos que van a una tienda física dejan su marca cuando el comerciante usa la tecnología RFID (Radio Frequency Identification) o NFC (Near Field Communication) para conocer al comprador.

Gracias al acceso a información importante del cliente, el comerciante minorista conoce mejor a sus compradores y les puede ofrecer una experiencia de compra mejor. Sin embargo, manipular una gran cantidad de información personal implica algunas responsabilidades.

En especial, las empresas que venden sus productos y servicios a compradores ubicados en la Unión Europea deben enfrentar las consecuencias de los acuerdos de la UE que regulan la protección de datos. Hasta hoy, este tema se trataba en la Directiva de Protección de Datos de la Unión Europea de 1995. Sin embargo, existe una nueva directiva: el Reglamento General sobre Protección de Datos (GDPR, General Data Protection Regulation), que entrará en vigencia el 25 de mayo de 2018, y presenta algunas medidas más restrictivas para las empresas que utilizan los datos de clientes.

Aquí, usted encontrará una descripción del nuevo reglamento, los principales cambios con relación a la directiva actual, y sus consecuencias en el sector minorista. También conocerá de qué forma los comerciantes pueden prepararse y reaccionar ante las disposiciones reguladoras más rigurosas.

Directiva de Protección de Datos de la UE

Se adoptó en 1995. En la actualidad, la Directiva de Protección de Datos (DPD, también conocida como Directiva 95/46/EC), controla la privacidad y la protección de datos en la Unión Europea. La Directiva de la UE, implementada por los parlamentos nacionales de los estados miembros, establece por ley que solo se permitirá la utilización de datos cuando la persona haya dado su consentimiento de forma inequívoca.

La Directiva 95/46/EC establece los elementos esenciales de protección de datos que los estados miembros tendrán que convertir en ley nacional. Cada país controla las normas de protección de datos, y su aplicación dentro de cada jurisdicción. Los representantes de protección de datos de los estados miembros de la UE realizan contribuciones por medio de grupos de trabajo a nivel comunitario, de acuerdo con el artículo 29 de esta Directiva.

Según la Directiva de Protección de Datos, los “datos personales” se definen como cualquier material relacionado con una “persona física identificada o identificable”. De acuerdo con la DPD, el controlador de datos tendrá que garantizar el cumplimiento de las normas relacionadas con la calidad de la información, publicando una lista de los objetivos válidos al utilizar los datos. La obligación del controlador de datos es en relación al sujeto de los datos, siempre que la información personal haya sido recolectada directamente de la persona o adquirida de otra forma. Además, el controlador de datos deberá implementar procedimientos técnicos y organizativos adecuados contra la destrucción ilegal, pérdida casual o modificaciones no autorizadas, divulgación y acceso a los datos.

Como se definió en la Directiva, los derechos individuales de los sujetos de los datos son los siguientes:

  • derecho a saber quién es el controlador de los datos, quién recibe la información y cuál es el objetivo del uso de los datos;
  • derecho a corregir datos erróneos; derecho a interponer un recurso en el caso de que el procesamiento no haya sido autorizado;
  • y el derecho a anular el consentimiento del uso de datos en situaciones específicas.

Por ejemplo, la persona tiene el derecho de cancelar, sin que se le cobre ninguna tasa, la recepción de materiales promocionales directos. La Directiva 95/46/EC ofrece una mayor protección que se refiere al uso de datos personales sensibles que se relacionan, por ejemplo, con la salud, la vida sexual o las creencias religiosas o filosóficas.

La aplicación del marco regulatorio sobre el manejo de información personal se realiza por medio de medidas administrativas de la autoridad que realiza la supervisión, o por medio de procesos legales. Las autoridades de supervisión de los estados miembros poseen poderes de investigación e intervención, pueden ordenar el bloqueo, la exclusión y destrucción de información, o imponer una prohibición temporal o definitiva.

Cualquier persona que sea perjudicada por una operación de procesamiento ilegal tiene el derecho a ser indemnizada por el controlador responsable. La Directiva de Protección de Datos establece un mecanismo para intercambiar datos personales fuera del territorio de la UE. Deberá presentar un nivel de procesamiento “adecuado” al recomendado en la Directiva.

Reglamento General sobre Protección de Datos (GDPR)

Todas las empresas relacionadas con el manejo y procesamiento de datos personales de ciudadanos de la Unión Europea tienen que cumplir con las nuevas exigencias legales establecidas en la Directiva conocida como GDPR (Reglamento General sobre Protección de Datos). Este reglamento se promulgó en abril de 2016, y les concedió a las organizaciones un plazo de dos años para el cumplimiento de las exigencias previstas en sus disposiciones.

Los minoristas enfocados en clientes europeos tendrán que prepararse para cumplir con la nueva ley, incluso si están ubicados fuera de la UE. La Directiva se aplica al uso de datos de personas físicas de la UE, independientemente de la ubicación del controlador y del procesador de los datos. A diferencia de la actual DPD, el GDPR se impone directamente a los estados miembros de la UE, sin la necesidad de la intermediación legislativa de los parlamentos nacionales. De este modo, el GDPR restringirá las posibles divergencias de interpretación del reglamento en cada jurisdicción.

Las empresas británicas también deberán cumplir el GDPR, debido al “Brexit”, ya que el reglamento entrará en vigencia antes de la fecha de conclusión de las negociaciones entre el Reino Unido y la Unión Europea (el plazo más favorable es de dos años a partir de marzo de 2017, cuando entre en vigencia el artículo 50). Además, incluso luego de la salida del Reino Unido de la UE, los comerciantes minoristas británicos enfocados en consumidores europeos tendrán que cumplir aun así con el GDPR debido a la extraterritorialidad del reglamento.

El objetivo es fortalecer tanto el derecho de los ciudadanos a proteger sus datos como hacer que el procesamiento de datos sea más simple para las empresas. Sin embargo, esta transición para cumplir con el GDPR no resulta tan simple para el comerciante minorista. El nuevo reglamento establece una serie de exigencias que hasta entonces las organizaciones no consideraban en su cotidiano.

Debido al poco tiempo disponible para que los comerciantes se adapten al nuevo reglamento, el tema ha sido considerado como una prioridad en la mayoría de las empresas europeas, exigiendo la elaboración de diversos proyectos. Las exigencias más comunes incluyen el análisis de algunas aplicaciones, el ajuste de arquitecturas (datos y procesos) y, principalmente, acciones relacionadas a la Gestión de Datos Maestros, incluyendo algunos factores referentes a la gestión y calidad de los datos.

El texto del GDPR explica claramente su aplicación al procesamiento de datos personales de sujetos de datos en cuanto a la oferta de bienes y servicios, o el monitoreo de su comportamiento. Además, el texto determina qué identificadores online, como etiquetas de RFID, se podrán usar para elaborar el perfil de una persona. Se desarrolla, en este caso, la aplicación de los principios de protección de datos en el uso de la tecnología RFID.

El GDPR no modifica de manera radical las normas de protección de datos expresadas en la Directiva anterior. De acuerdo con el GDPR, los datos individuales tendrán que procesarse de forma legítima, justa y transparente, y deberán recolectarse con precisión y seguridad, siendo almacenados con un propósito específico en mente. El controlador será responsable y deberá tener la competencia para demostrar el cumplimiento de las normas de protección de datos. Además, el GDPR espera que los procesadores cumplan compromisos específicos como mantener una documentación adecuada, ya que están sujetos de forma directa a sanciones si no cumplen con estos criterios.

Sin embargo, el GDPR también introduce modificaciones interesantes en la protección de datos, lo que significa un avance importante en relación con las disposiciones de la DPD actual.

GDPR: principales modificaciones y el impacto potencial en los minoristas

Modificación

Significado

Impacto potencial en los minoristas

Alcance territorial más amplio El GDPR se aplica a las empresas que tienen su sede fuera de la UE y que recolectan datos dentro de esa región. El GDPR se aplica a todos los minoristas que operan en la UE.
Sanciones más rigurosas Las sanciones que se aplican por violación de protección de datos pueden alcanzar hasta el 4 % de la facturación global anual de una empresa. Los comerciantes minoristas con operaciones internacionales podrán sufrir sanciones aún mayores, que representarán un porcentaje de la facturación global, incluso cuando la infracción suceda dentro de una única división de la empresa.
Definición más amplia de datos personales El GDPR amplía la definición de datos personales e incluye información como números de identificación, datos de ubicación, identificadores online y otros factores que puedan identificar a una persona física. Los identificadores online son la dirección de IP, cookies y etiquetas de RFID. Los minoristas que recolectan datos podrán estar sujetos a más procesos de protección de datos impulsados por personas físicas o grupos de individuos organizados.
Más derechos para las personas físicas Gracias al GDPR, será más fácil para los individuos o grupos de individuos iniciar acciones privadas contra el procesamiento de datos realizado por empresas. Por ejemplo, el sujeto de datos podrá reclamar una indemnización por “daños no materiales”. Asimismo, tendrá derechos más avanzados, como el derecho a mayor transparencia, y los derechos adicionales, incluso el derecho al olvido, que exige que las empresas excluyan los datos de la persona de sus bases de datos si la empresa no cuenta con fundamentos legales para el procesamiento de la información. Los minoristas que recolectan datos podrán estar sujetos a más procesos de protección de datos impulsados por personas físicas o grupos de individuos organizados.
Los procesadores son responsables El GDPR también reglamenta los procesadores y exige que mantengan la documentación adecuada, implementen normas de seguridad apropiadas, y contraten a directores de protección de datos, entre otras obligaciones. El GDPR aumenta la responsabilidad por el cumplimiento al hacer que el procesador sea responsable de ello. Como los procesadores y controladores pueden encontrarse en departamentos diferentes dentro de una misma empresa, algunas disposiciones pueden resultar en una duplicación de tareas dentro de la organización.
Obtener el consentimiento del cliente será más difícil El consentimiento para la recolección de datos de una persona tendrá que estar totalmente separado de los demás términos y condiciones, y podrá suspenderse en cualquier momento. A partir del GDPR, será más difícil que los comerciantes minoristas puedan usar una justificación legal para recolectar datos a través del uso de la tecnología RFID.
Notificación de violación de datos El GDPR exige que las empresas (los controladores y procesadores) notifiquen sobre la violación de datos a las autoridades y personas afectadas. La violación de datos debido a algunos delitos informáticos, robo o hurto de dispositivos y de correos electrónicos enviados a direcciones inapropiadas es bastante común. Los minoristas deben adoptar una estrategia coordinada para reducir los riesgos en lo que respecta al uso de tecnología, la violación de procedimientos de respuesta y el entrenamiento del equipo.
Derechos adicionales del sujeto de los datos Los controladores tendrán que proporcionar más transparencia a los sujetos de los datos en las comunicaciones relacionadas con el uso de datos personales. Los sujetos de datos poseen derechos adicionales, como el derecho de objeción y el derecho al olvido. Los comerciantes tendrán que revisar sus procedimientos de recolección de datos para asegurar la conformidad.
Ubicación de los datos La ubicación de los servidores y el proveedor de servicios de nube de la empresa son temas importantes que se deben considerar. Los comerciantes minoristas deberán almacenar los datos en servidores ubicados en la UE. Si usted contrata terceros para procesar los datos, tendrá que asegurarse de que ellos también cumplan con los principios de la Estructura de Protección de la Privacidad.
Directores de Protección de Datos (DPO) En algunos casos, el GDPR exige que las empresas designen a un DPO, como por ejemplo, cuando la organización procesa datos a gran escala. Es posible que los comerciantes minoristas no tengan que cumplir con esta obligación. Sin embargo, deberán realizar una evaluación para determinar si esta disposición se aplica o no al tipo de datos que utilizan.
Rendición de cuentas Las organizaciones tendrán que demostrar su conformidad con los principios de protección de datos del GDPR. Los comerciantes minoristas tendrán que elaborar registros detallados sobre sus operaciones de procesamiento de datos.
Aplicación transnacional Un controlador que tiene presencia en varios estados miembros de la UE estará potencialmente sujeto a las autoridades reguladoras de distintos países. Los minoristas que mantengan o procesen datos de clientes deberán determinar las autoridades que tendrán jurisdicción en sus actividades.
Fuente: Europa.eu / DLAPiper.com / FungGlobalRetailTech.com

¿Cómo deben prepararse los minoristas para el GDPR?

El GDPR implica un aumento considerable de responsabilidad, en términos de protección de datos y trabajo administrativo para los comerciantes que manejan información de los consumidores. Sin embargo, no creemos que el GDPR ponga en duda la capacidad de los minoristas de explorar la información del consumidor, siempre y cuando la organización se prepare para el nuevo reglamento.

Particularmente, los comerciantes tendrán que realizar lo siguiente:

  1. Analizar la premisa legal sobre el uso de la información: Verificar si el uso de la tecnología de rastreo cumple con las exigencias del GDPR. Por ejemplo, en algunos casos, la RFID se puede usar para rastrear los movimientos de los productos dentro de una tienda, en lugar de utilizarlo para observar el comportamiento del consumidor. En esos casos, el uso de la RFID podría no estar sujeto al reglamento.
  2. Analizar las tácticas de uso y almacenamiento de datos: Analizar y mejorar la técnica aplicada para rastrear los registros de acciones de procesamiento de información y garantizar el mantenimiento de la documentación adecuada.
  3. Establecer procesos claros de rendición de cuentas en relación con el cumplimiento: Como varias divisiones de la misma empresa tendrán responsabilidades más importantes, es fundamental establecer procedimientos exactos que deleguen de forma clara las responsabilidades dentro de la organización.
  4. Capacitar a los empleados en cuanto a la protección de datos: El aumento de la responsabilidad en distintas divisiones de la organización delega la responsabilidad del cumplimiento en más cantidad de empleados, y exige que se incluyan a algunos empleados que antes no estaban incluidos y se los capacite.
  5. Evaluar nuevamente la inclusión de contratados: Al seleccionar un tercero responsable de recolectar datos, es imprescindible elegir una organización que pueda garantizar el cumplimiento.
  6. Prepararse para las violaciones de datos: Establecer una estructura de notificaciones bien organizada e implementar procedimientos claros que garanticen respuestas rápidas ante las violaciones de datos.
  7. Prepararse para los reclamos de los individuos: Evitar los reclamos de los clientes, establecer una política de consentimiento de datos clara y explícita, y estar preparado para el uso de los derechos por parte de los consumidores, a través de acciones que aseguren respuestas eficientes.
  8. Conocer a los controladores con jurisdicción sobre las operaciones internacionales: Es fundamental que el comerciante minorista con operaciones internacionales conozca a las autoridades con jurisdicción sobre las actividades de uso de datos en los diferentes países.