El reglamento de protección de datos, que entrará en vigor el 25 de mayo, exige tener la autorización del destinatario de un email ante la posibilidad de que una empresa le envíe comunicaciones electrónicas.
García &Asociados lleva quince años elaborando una amplia base de datos en la que figuran todos sus clientes, así como compradores potenciales que alguna vez se han interesado por sus productos. Una vez al mes, todos ellos reciben una newsletter con las últimas novedades de la compañía. El algo que ya está institucionalizado. Y aun así, después de tantos años, el email de la próxima semana será el último.
La compañía no ha conseguido la autorización de todos sus contactos para poder enviarles comunicaciones electrónicas, algo que exige el nuevo reglamento de protección de datos y que entrará en vigor el próximo 25 de marzo. Ésta no es la única novedad, ya que a partir de ahora algunas acciones cotidianas que hasta ahora no revestían ninguna complicación legal, podrían convertirse en conductas sancionables por la Agencia Española de Protección de Datos.
Por ejemplo, algo tan sencillo como compartir una tarjeta de visita o un número de teléfono podría transformarse en un problema legal si se hace de forma masiva y se considera que se está cediendo una base de datos a un tercero.
Lograr el permiso de los destinatarios
Las empresas no pueden enviar correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Para que un email no sea considerado como ‘no deseado’, los destinatarios de la publicidad deben autorizar previamente el envío. En todos los formularios de la empresa donde se recogen datos, hay que mecionar que los clientes autorizan expresamente a enviarles publicidad. Si el destinatario ya es cliente y se le envía información sobre productos o servicios similares a los que ya adquirió, no será necesaria la autorización.
Compartir la lista de contactos
El reglamento de protección de datos no entra a valorar si un particular facilita a otra persona el número de teléfono de un tercero, pero sí es muy estricto con el hecho de compartir bases de datos. Es decir, no se puede ceder una lista completa de contactos de móvil o direcciones de email y, mucho menos, con fines comerciales. La responsabilidad no sólo es para quien cede los datos, sino también para quien los utiliza. Aunque se adquieran de forma legal, hay que asegurarse de que todos los destinatarios han autorizado recibir emails. Además, hay que incluir una dirección donde solicitar la rectificación de datos.
A vueltas con las ‘cookies’
La página web de la empresa es probable que utilice ‘cookies’, es decir, unos pequeños ficheros que almacenan información del usuario que accede a la web (como, por ejemplo, información sobre los hábitos de navegación de ese usuario para después enviarle publicidad personalizada). Hay que recordar que la ley obliga a informar a los usuarios y a obtener su consentimiento para utilizar o instalar ‘cookies’, y prevé sanciones importantes en caso de incumplimiento. Eso sí: no deberá cumplir esa obligación si su web sólo utiliza ‘cookies’ técnicas, que sirven para que la web se cargue correctamente, o si necesarias para prestar un servicio solicitado por el cliente (como, por ejemplo, el carrito de la compra virtual).
Guardar los datos a buen recaudo
Cada compañía es responsable de la gestión de los datos personales que maneja y, sobre todo, de su seguridad. Por ejemplo, debe formar a los trabajadores en este ámbito y no permitir que los escritorios en la oficina estén desordenados y dejen a la vista los datos de clientes o terceras personas. Por eso, no se puede dejar a la vista de otras personas papeles con información sensible, desde contratos hasta tarjetas de visita, donde figure el nombre, teléfono o dirección de email de otro profesional. Lo mismo se aplica a la seguridad de la bases de datos, algunas de ellas alojadas en la ‘nube’. Hay que elegir bien al proveedor para reducir los riesgos de sufrir pérdidas de datos o ciberataques.
Prohibido divulgar vídeos y fotos personales sin autorización
La protección de los datos personales va mucho más allá de proteger una dirección de email o un número de teléfono. El contenido, por ejemplo, de un móvil también se considera información personal. Por eso, la legislación penaliza el acceso a estos dispositivos sin permiso, con el agravante de quienes además publican fotos o vídeos sin la autorización del interesado. En esta misma categoría se incluye la divulgación de datos disponibles de forma restringida, como puedan ser, por ejemplo,
Suplantar la identidad en perfiles de redes sociales
Cuando en Internet se utiliza la identidad de otra persona para hacerse pasar por ella o para decir u ofrecer algo en su nombre se está suplantando su identidad, además de constituir un ataque con la privacidad. No hace falta robar el DNI de otra persona y contratar servicios en su nombre. Actos que aparentemente pueden considerarse una broma, como abrir un perfil en redes sociales utilizando la identidad de un tercero ya se considera suplantación. Además, puede ir acompañada de otros delitos, como revelación de secretos o acoso.
Informar y explicar para qué se utilizarán los datos recogidos
Cuando es el propio empleado de una compañía el que recoge datos de carácter personal, no es suficiente con exhibir el documento para lograr el consentimiento. Es el caso, por ejemplo, del recepcionista de un hotel. Además de solicitar al cliente que marque la casilla de autorización para tratar los datos personales, este empleado debe avisar de algunos aspectos básicos, como cuál es la finalidad de recopilar esa información. Además, si el empleado percibe cualquier tipo de brecha de seguridad, debe alertar a su superior inmediato.
(Noticia extraída de Expansión)