Lo que las marcas pueden aprender de un año de GDPR al prepararse para la Ley de Privacidad del Consumidor de California

La siguiente es una publicación de invitado de Jack Carvel, asesor general de Qubit.

Mayo de 2019 marca el primer aniversario de la implementación del Reglamento General de Protección de Datos (GDPR), el cambio más sustancial en la regulación de privacidad de datos en décadas. Si bien el RGPD ha hecho mucho bien en crear conciencia sobre los derechos de las personas en lo que respecta a los datos, la historia de la aplicación ha sido completamente diferente.

La sorprendente falta de grandes multas y el uso indebido continuo de datos de terceros, que muchos pensaron que dejarían de existir por completo, ha sido evidente el año pasado. Sin embargo, esto aún puede cambiar con la implementación de nueva legislación, como el componente de privacidad electrónica anticipado, el próximo elemento del régimen de protección de datos de la UE que se prevé que entre en vigencia pronto, y un importante desarrollo de privacidad de datos que llegará a EE. UU. en enero. 2020: la Ley de Privacidad del Consumidor de California (CCPA). En esta publicación, analizaré las lecciones aprendidas del RGPD después de un año y consejos sobre cómo prepararse mejor para la CCPA y otras leyes más estrictas que se anticipan en el futuro cercano.

GDPR: "A+" para conocimiento, "D" para cumplimiento

Primero, demos crédito donde se debe: el RGPD ha sido muy bueno para las empresas que lo han tomado en serio. Ha llevado a bases de datos de clientes más saludables con una comprensión más clara de los clientes y una mejor percepción de su comportamiento.

La primavera pasada fue un poco como aplicar el Método Kondo o la limpieza de primavera a los datos, ya que las empresas de todo el mundo estaban experimentando el proceso de comprender dónde se almacenan sus datos y qué sucede con ellos. Todos se centraron en la protección de datos durante solo unos meses, haciendo que el mundo en línea fuera más seguro y protegido. Y, el escrutinio ha mejorado enormemente. Ha habido un puñado de multas, y entre ellas una importante para Google de 50 millones de euros. Al principio, muchos en la industria asumieron que tales multas se convertirían en la norma, pero aún no lo hemos visto.

Un área en la que el RGPD ha sido particularmente deslucido es en sus tratos con intermediarios de datos de terceros. Hay muchas malas prácticas con empresas cuyo modelo de negocio completo se basa en la venta de datos de segunda o tercera mano. Estos datos se pueden copiar, divulgar y enviar fácilmente a las partes sin que el consumidor lo sepa, y probablemente se obtuvieron sin el consentimiento o la comprensión de qué datos se recopilaron y por qué. Con el RGPD, muchos esperaban que terminara, pero los reguladores no han perseguido estas prácticas abusivas de datos.

También hay empresas más pequeñas en los EE. UU. (y en otras jurisdicciones fuera de la UE) que no cumplen con los estándares. No tienen los recursos para cumplir con diferentes regímenes de datos y no cuentan con un abogado interno para monitorear el cumplimiento, por lo que simplemente asumen el riesgo. Con estas empresas, cuando hay una infracción, hay muy poca transparencia, ya que los reguladores no pueden verificar la exactitud de las declaraciones. Sin embargo, el incumplimiento es una estrategia muy arriesgada. Los consumidores son cada vez más conscientes de sus derechos de datos y el valor de sus datos, por lo que, si bien una empresa puede evitar multas, está arriesgando el valor de su marca y su reputación si experimenta una violación de datos, y eso puede ser incluso peor que las multas.

Podría venir una aplicación más estricta

Hay regulaciones de privacidad de datos que se anticipan que pueden cambiar el juego con su aplicación. Un desarrollo importante que se avecina es el Reglamento de privacidad electrónica, que define políticas sobre cookies, qué consentimiento se necesita, a quién pueden enviar correos electrónicos las empresas y por qué motivos, seguimiento, etc., agregando una capa más definitiva al concepto más amplio de datos personales. Es probable que esto desencadene una mayor aplicación porque los reguladores utilizarán la regulación GDPR y ePrivacy de forma conjunta, aunque todavía faltan meses.

Otra ley en el horizonte que cambiará la forma en que operan las empresas es la CCPA. Lo que es clave aquí es que esta es la primera de este tipo de legislación que tiene sus raíces en los EE. Sorpréndase muy desagradablemente con multas, como hasta $7500 por infracción de la CCPA y $750 por cada registro comprometido, lo que puede sumar una suma considerable y puede ser devastador para una empresa más pequeña.

Algunos consejos para los minoristas

Los minoristas, especialmente aquellos en los EE. UU. que no han pasado por el riguroso proceso de preparación para el RGPD que tienen las empresas globales, deben considerar la importante preparación previa necesaria para cumplir con las próximas políticas. Es probable que California sea más estricta en la imposición de fuertes multas por incumplimiento de lo que hemos observado con el RGPD. Es posible que las grandes marcas globales ya estén preparadas para la CCPA debido en parte a sus preparativos para el RGPD y el minucioso escrutinio de datos que ha existido en Europa desde hace algún tiempo. Sin embargo, las empresas más pequeñas pueden verse sorprendidas por las rigurosas investigaciones de cumplimiento y privacidad de datos que se avecinan. Estos son algunos consejos que pueden ayudar a las empresas estadounidenses y a aquellas que deseen continuar haciendo negocios en California a prepararse para la próxima legislación:

1. Aunque no es un requisito firme de la CCPA, crear un "registro de procesamiento" debería ser el primer paso: identifique qué datos está recopilando y exactamente qué está haciendo con ellos. Al someterse a este proceso, comprenderá en qué ámbito se encuentra dentro de la CCPA. Debe entrar en el proceso con un conocimiento profundo de todo esto.
2. Por supuesto que los datos son valiosos, pero más datos no significan necesariamente más valor. Si no sabe por qué lo está recolectando, deshágase de él. Los datos que no son útiles para su empresa solo le cuestan dinero en costos de almacenamiento y aumentan su exposición a las filtraciones de datos. La eliminación de datos puede dar miedo, pero es un paso increíblemente enriquecedor y, en última instancia, hará que su toma de decisiones basada en datos sea más eficiente. Muchas empresas han visto mayores tasas de conversión y una orientación más efectiva al usar conjuntos de datos limpios.
3. Según el RGPD, en algunos casos se requiere un oficial de protección de datos. Esta es una buena idea en general: responsabilizar a alguien por la privacidad de los datos y por preparar a la empresa para cumplir con sus obligaciones bajo los regímenes legales aplicables. Además, asegúrese de que esta persona tenga una alta visibilidad. Con la CCPA, no existe el requisito de que esta persona informe a la alta dirección, como en el RGPD; sin embargo, sería una muy buena idea asegurarse de que la alta gerencia esté bien al tanto de lo que encuentra el auditor interno.
4. Comuníquese de manera proactiva con sus proveedores y socios para comprender lo que sucede en escenarios específicos; ¿Podrían ayudarlo con los requisitos dentro de plazos específicos? Habla sobre el proceso. Cuando inicie esta conversación con las otras partes con las que trabaja su negocio, rápidamente quedará claro si podrán ayudar y cumplir.
5. Comprenda los beneficios positivos de las leyes de privacidad de datos para su empresa. Estas políticas permiten a las empresas hacer que sus bases de datos de clientes sean más saludables y activas, reducir los costos relacionados con el almacenamiento de datos y desarrollar comunicaciones más personales para aquellas personas que desean recibirlas.
6. Hazlo divertido. Es mucho más probable que los usuarios finales entiendan y consientan sus prácticas de manejo de datos si utiliza un lenguaje claro y simple, y les muestra los beneficios de lo que está haciendo. Si no puede justificar la colección, tal vez valga la pena reconsiderar si realmente la necesita.

Puede que no sea fácil desarrollar y ejecutar procesos para el cumplimiento, pero cuando esto se haga, hará del mundo un lugar mejor. Y para las empresas bien preparadas, puede incluso significar un impulso para su negocio.