Estamos a un día de que sea de
obligado cumplimiento el Reglamento General del Protección de Datos
y en los próximos meses continuará la incertidumbre tanto de
empresas como usuarios sobre como llevarla a cabo. Si bien es cierto
que las prórrogas se terminan y la gestión de los datos personales
debe llevarse a cabo bajo las directrices del Reglamento, puede
evitarse muchos problemas con una serie de consejos básicos hasta
que la adaptación sea sólida. Sobretodo para las pymes y los
autónomos que deben tener unos conocimientos básicos sobre
protección de datos aunque dispongan de asesoramiento externo.
A pesar de las guías que la Agencia
Española de Protección de Datos (AEPD) lleva publicando y los
consejos del Instituto Nacional de Ciberseguridad (INCIBE) sobre
ciberseguridad, el usuario no es consciente de sus derechos y
obligaciones para preservar sus derechos y libertades referentes a la
privacidad. Los medios de comunicación aportan más confusión
debido fundamentalmente a los últimos escándalos de Facebook y la
intensa propaganda de políticas de privacidad. Incluso se están
detectando malas prácticas por parte de no profesionales.
Por tanto, antes de que cunda el pánico
es importante tener presente algunas cuestiones.
Las reclamaciones son una segunda
oportunidad
Durante los primeros meses la confusión
puede generar reclamaciones por parte de clientes que consideren
vulnerada su privacidad. Independientemente de que tengan razón, es
importante tener en cuenta que el mero hecho de un primer contacto es
positivo porque ayuda a localizar un problema, solucionarlo y
satisfacer al cliente consiguiendo su fidelidad. Para la empresa
también supone una mejora en el tratamiento de datos personales al
aprender de los errores.
La gestión o tratamiento de un fichero
de datos personales no es infalible al cien por cien ya que la
tecnología, el comercio y la interacción con los clientes es
dinámica. Y aunque exista un seguimiento y control de actividades,
siempre surgirán potenciales amenazas que, en muchas ocasiones, se
detectan a tiempo gracias a la información que el cliente aporta con
su reclamación.
Protección de los derechos
Por un lado, el artículo 8.f)
del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el
que se aprueba el texto refundido de la Ley General para la Defensa
de los Consumidores y Usuarios y otras leyes complementarias
exige "la protección de sus derechos [del cliente o consumidor]
mediante procedimientos eficaces, en especial ante situaciones de
inferioridad, subordinación e indefensión". En el caso de la
protección de datos los derechos son los siguientes:
Transparencia de la información
El responsable del fichero o
tratamiento debe informar “en forma concisa, transparente,
inteligible y de fácil acceso, con un lenguaje claro y sencillo”
(art. 12.1 del RGPD). El reglamento no especifica el
tiempo máximo para que el responsable informe al cliente o afectado,
limitando a decir “sin dilación indebida”. No obstante, para
evitar una demora desproporcionada o la negativa a informar, la AEPD
establece el plazo de un mes desde que se recibe la solicitud o
reclamación. Transcurrido ese tiempo, el cliente o afectado puede
acudir a la AEPD para que esta obligue al responsable del tratamiento
proporcionar la información.
Cuando el responsable recopile los
datos personales obtenidos por el mismo interesado, se le informará
automáticamente. Es preferible por escrito para dejar constancia y
probar que se facilitó toda la información.
Sin embargo, cuando los datos
personales no se hayan obtenido del interesado, el art. 14.3
del RGPD sí establece un límite de tiempo:
- Dentro de un mes a partir de la obtención de los datos personales.
- En el momento de comunicarse con el interesado cuando los datos personales se utilicen para ello.
- Cuando los datos personales se comuniquen a otro destinatario, se informará al interesado en el momento en que sean comunicados los datos.
- En el caso de que los datos personales se destinen a otros fines, previamente deberá informar al interesado y obtener su consentimiento.
Si se produce una rectificación o
supresión de los datos personales, así como la comunicación a
terceros, limitación del tratamiento o amenazas que afecten sus
derechos y libertades, el responsable debe informar inmediatamente al
interesado.
Acceso a los datos personales
El interesado tiene derecho a solicitar
el acceso a sus datos personales y conocer:
- Qué información es tratada
- Para qué fines
- Qué categoría se les otorga a dichos datos
- En caso de comunicar los datos a terceros, tanto dentro de la UE como afuera, quienes son las personas físicas o jurídicas que tienen acceso a dichos datos
- El plazo de conservación de los datos personales
- El origen de los datos cuando estos no se han obtenido directamente del interesado
- La posibilidad de automatización o elaboración de perfiles a través de sus datos personales
El responsable dará una copia de la
información bien en papel o en formato electrónico de “uso
común”. El RGPD contempla la posibilidad de cobrar un canon en
caso de facilitar una segunda copia.
Rectificación
Cuando el interesado tenga conocimiento
de los datos que se están tratando, puede solicitar que estos sean
rectificados. Este punto es muy importante ya que el mismo RGPD
en su art. 5.1.d) exige que los datos personales sean “exactos
y actualizados”. Si una empresa o autónomo tiene muchos
clientes y es difícil actualizar los datos personales de forma
exhaustiva, el que reclame el cliente o interesado la rectificación
supone una ayuda extra al obtener la información de manera veraz.
Supresión
El conocido Derecho al olvido supone
una novedad dentro de la legislación europea. El interesado puede
solicitar que sus datos personales sean suprimidos de los ficheros,
de las copias de seguridad y los enlaces. En este caso, el RGPD dice
que ha de suprimirse “sin dilación indebida” quizás porque
puede tratarse de grandes volúmenes de información o pocas. No es
lo mismo los datos personales que trate un autónomo que los de una
gran empresa.
No obstante, es posible que el
interesado reclame la supresión de los datos y el responsable tenga
la obligación de mantenerlos cuando:
- Se trate de ejercer el derecho a la libertad de expresión e información
- Para el cumplimiento de una obligación legal
- Por razones de interés público en el ámbito de la salud, con fines de investigación científica o histórica o fines estadísticos
- En caso de reclamaciones
Limitación del tratamiento
Puede limitarse el tratamiento de datos
personales y reclamarlo el interesado cuando:
- Haya que verificar la exactitud de los datos
- El tratamiento sea ilícito pero el interesado no solicita la supresión de los datos para formular reclamaciones
- Se verifique los motivos por los que el interesado se opone a que sus datos sean tratados.
Portabilidad de los datos
El interesado o cliente puede pedir que
sus datos sean entregados para transmitirlos a otro. No significa
acceder a los datos (derecho de acceso) sino la entrega de los
mismos. El caso más conocido es el de solicitar la baja de los
servicios de telefonía y pedir la portabilidad de los datos de una
compañía a otra, de forma que los datos no se pierden (sobretodo el
número de teléfono).
Según el art. 20.2 del RGPD, los datos
pueden ser portados directamente de uno a otro responsable cuando
técnicamente sea posible.
Oponerse al tratamiento de los
datos
En cualquier momento el interesado
puede oponerse a que sus datos sean tratados, incluida la elaboración
de perfiles. Salvo que existan motivos legítimos por parte del
responsable del tratamiento, este debe dejar de tratar dichos datos.
El art. 21 del RGPD hace
mención a la mercadotecnia directa estableciendo que dejarán de
tratarse los datos para dicho fin si el interesado así lo solicita.
En el caso de que la finalidad del
tratamiento sea para investigación científica o histórica, también
podrá el interesado oponerse excepto si existen razones de interés
público.
Como hacer frente a la reclamación
Puede darse el caso de que el
interesado quiera ejercer sus derechos frente a intereses legítimos
del responsable del tratamiento o por interés público. Así mismo,
puede solicitar la hoja de reclamaciones o acudir directamente a la
Oficina Municipal del Consumidor o a la Agencia Española de
Protección de Datos. Existen muchas posibilidades de que una
petición, mala comunicación o incidente desemboque en un problema.
Ante esta situación, si el interesado
tiene razón es mejor ser honesto, reconocer el error y subsanarlo.
De esta forma se fideliza al cliente y mejora el servicio.
En caso de que la AEPD se ponga en
contacto con el responsable del tratamiento, no significa que sea
para imponer directamente una sanción. Solo en casos extremos se
actúa contundentemente. A la AEPD hay que verla como un aliado ya
que puede ayudar en la gestión del tratamiento y la corrección de
cualquier incidente. Si un cliente acude a la agencia lo mejor es
colaborar y buscar la solución lo más rápido posible.
Buscar la vía amistosa
Con eludir el problema no se soluciona,
se empeora la situación. La UE y la AEPD está tomando muy en serio
la protección de datos ante el abuso de muchas empresas y el mercado
de los Data brokers o Corredores de datos. Así que
siempre existe una vía amistosa que evite la sanción de la AEPD o
la justicia.
Puntos a tener en cuenta
- Para gestionar eficazmente una
reclamación hay primero que prestar atención, comprender lo
que el cliente dice y evitar confusiones.
- Es posible que el cliente se queje y
haga comentarios que puedan parecer un ataque personal. No
todos actúan de igual manera ante una misma situación y algunos
ejercen la ira o el descontento contra la primera persona con la que
hablan.
- La empatía ayuda a
tranquilizar al cliente y reconducir la situación de forma positiva.
También es importante realizar las preguntas de forma clara y
efectiva para comprender el problema.
- La atención debe ser
personalizada, que el cliente tenga la sensación de que se le
tiene en consideración y su problema es prioritario.
Ejemplo:
Supongamos que un cliente ha cambiado
de domicilio (dato personal que debe ser rectificado) y no le llegan
las facturas, por lo que en el departamento de contabilidad tienen
constancia de la devolución de varios recibos.
Inicialmente el departamento de gestión
de cobro llama al cliente para reclamar los recibos y este dice que
no le ha llegado factura alguna porque ha cambiado de domicilio. No
se paga la deuda.
Tras varias llamadas insistentes para
reclamar los recibos devueltos, el cliente llama pidiendo que se
actualice la dirección postal para que le lleguen las facturas y,
además, va a poner una denuncia a la empresa porque está enviando
información personal a otra dirección con el peligro de que
terceras personas no autorizadas puedan tener acceso a sus datos
personales.
La persona que atiende tiene dos
opciones: a) desentenderse del problema y derivar la llamada a otro
departamento sin que se proponga una solución; o b) rectificar la
dirección postal confirmando que el cliente tiene razón.
En el primer supuesto, el problema no
se arregla y tendrá que intervenir la AEPD.
En el segundo, la dirección postal se
actualiza, las facturas llegan al interesado y este puede comprobar
que efectivamente no ha pagado.
Conclusión
A lo largo de estos meses vamos a
encontrarnos con muchas situaciones que hasta ahora carecían de
importancia. El trabajo diario con los clientes y la gestión de los
datos personales hará qué problemas pueden surgir y como
solucionarlo. Eso sí, teniendo muy en cuenta los derechos de los
interesados y manteniendo una actitud positiva y transparente.