El reglamento de protección de datos, que entrará en vigor el 25 de mayo, exige tener la autorización del destinatario de un email ante la posibilidad de que una empresa le envíe comunicaciones electrónicas. García &Asociados lleva quince años elaborando una amplia base de datos en la que figuran todos sus clientes, así como compradores potenciales que alguna vez se han interesado por sus productos. Una vez al mes, todos ellos reciben una newsletter con las últimas novedades de la compañía. El algo que ya está institucionalizado.
Y, aun así, después de tantos años, el email de la próxima semana será el último. La compañía no ha conseguido la autorización de todos sus contactos para poder enviarles comunicaciones electrónicas, algo que exige el nuevo reglamento de protección de datos y que entrará en vigor el próximo 25 de marzo. Ésta no es la única novedad, ya que a partir de ahora algunas acciones cotidianas que hasta ahora no revestían ninguna complicación legal, podrían convertirse en conductas sancionables por la Agencia Española de Protección de Datos.
Por ejemplo, algo tan sencillo como compartir una tarjeta de visita o un número de teléfono podría transformarse en un problema legal si se hace de forma masiva y se considera que se está cediendo una base de datos a un tercero. Las empresas no pueden enviar correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. Para que un email no sea considerado como ‘no deseado’, los destinatarios de la publicidad deben autorizar previamente el envío.
En todos los formularios de la empresa donde se recogen datos, hay que mencionar que los clientes autorizan expresamente a enviarles publicidad. Si el destinatario ya es cliente y se le envía información sobre productos o servicios similares a los que ya adquirió, no será necesaria la autorización.
El reglamento de protección de datos no entra a valorar si un particular facilita a otra persona el número de teléfono de un tercero, pero sí es muy estricto con el hecho de compartir bases de datos. Es decir, no se puede ceder una lista completa de contactos de móvil o direcciones de email y, mucho menos, con fines comerciales. La responsabilidad no sólo es para quien cede los datos, sino también para quien los utiliza. Aunque se adquieran de forma legal, hay que asegurarse de que todos los destinatarios han autorizado recibir emails. Además, hay que incluir una dirección donde solicitar la rectificación de datos.
La página web de la empresa es probable que utilice ‘cookies’, es decir, unos pequeños ficheros que almacenan información del usuario que accede a la web (como, por ejemplo, información sobre los hábitos de navegación de ese usuario para después enviarle publicidad personalizada). Hay que recordar que la ley obliga a informar a los usuarios y a obtener su consentimiento para utilizar o instalar ‘cookies’, y prevé sanciones importantes en caso de incumplimiento. Eso sí: no deberá cumplir esa obligación si su web sólo utiliza ‘cookies’ técnicas, que sirven para que la web se cargue correctamente, o si necesarias para prestar un servicio solicitado por el cliente (como, por ejemplo, el carrito de la compra virtual).
Cada compañía es responsable de la gestión de los datos personales que maneja y, sobre todo, de su seguridad. Por ejemplo, debe formar a los trabajadores en este ámbito y no permitir que los escritorios en la oficina estén desordenados y dejen a la vista los datos de clientes o terceras personas. Por eso, no se puede dejar a la vista de otras personas papeles con información sensible, desde contratos hasta tarjetas de visita, donde figure el nombre, teléfono o dirección de email de otro profesional. Lo mismo se aplica a la seguridad de las bases de datos, algunas de ellas alojadas en la ‘nube’. Hay que elegir bien al proveedor para reducir los riesgos de sufrir pérdidas de datos o ciberataques.