Gestión del consentimiento en España: 5 razones para acelerar

15 Noviembre 2022 | 126 0

Aunque España ha adoptado el RGPD (Reglamento General de Protección de Datos) como muchos otros países de la Unión Europea, su aplicación sobre el terreno sigue siendo contrastada.

Al igual que la CNIL en Francia, la AEPD (Agencia Española de Protección de Datos) ha emitido directivas y publicado guías para apoyar a las empresas y facilitarles el cumplimiento del RGPD; especialmente en lo que respecta a la gestión de las cookies y los consentimientos asociados. «Las directivas de la AEPD son muy similares a las de la CNIL, pero en la práctica no hay una fuerte presión oficial para que todos los actores asuman el tema de forma rápida y completa», dice Juan Vázquez, Director Regional Ibérico de Commanders Act.

Este sentimiento se refleja también en las cifras. Sí, España está a la cabeza de la tabla de clasificación si se mira el número de multas impuestas, pero está más bien a la cola si se mira el importe medio: 131.564 euros frente a los 10,79 millones de euros de Francia. En este contexto, ¿puede la experiencia francesa inspirar al mercado español? ¿Qué lecciones podemos aprender de ello? El resumen en 5 lecciones.

 

Enseñanza nº 1: No creas que se trata sólo de los demás

En España, la AEPD está prestando especial atención a las Telco como Vodafone, bancos como Caixabank y BBVA, y aerolíneas como Iberia y Vueling. Esta presión ha animado fuertemente a las empresas de estos sectores a ocuparse del tema. «Creo que hay diferencias significativas en el nivel de cumplimiento según el sector de actividad, estando claramente por encima de la media los actores del sector de las telecomunicaciones o del financiero, cuya actividad está directamente vinculada al tratamiento de datos personales», analiza Santiago Vázquez-Graña, DPO de Capgemini España.

¿Deben sentirse inmunes otros sectores y actores más pequeños? Probablemente no. Como ha demostrado la experiencia francesa, aunque la CNIL no tenga necesariamente los medios para investigar todos los sectores al mismo tiempo, las campañas se suceden para revisar los distintos ámbitos de la economía. Es difícil imaginar que el sector turístico, representando más del 10% del PIB, pueda escapar a las investigaciones de la AEPD.

En resumen, tanto si se trata de una gran empresa como de una PYME, todos los actores, y en particular aquellos cuya actividad está expuesta de una manera u otra, pueden aparecer en el radar de las autoridades.

 

Enseñanza nº 2: No esperar a la escasez de personal cualificado

El RGPD y las directivas emitidas por las autoridades nacionales forman un conjunto de normas complejas de interpretar. Más allá de las modalidades de gestión del consentimiento, temas como el periodo de conservación pueden requerir el apoyo de expertos. Lo mismo ocurre con la ejecución técnica. En otras palabras, es mejor no esperar a que se produzca un movimiento general de adopción del mercado antes de dar el paso, a menos que se quiera pagar un precio elevado por unas competencias que no son asequibles. En Francia, donde las empresas han esperado a menudo hasta el último momento para invertir en el tema, los bufetes de abogados especializados no han sido capaces de responder a las necesidades de los clientes.

 

Enseñanza nº 3: No crea que ha resuelto el problema con el server-side

El anunciado fin de las cookies ha llevado a las empresas a abordar la adopción del modelo ‘Server-Side’. En otras palabras, la recogida de información ya no se realiza en el lado del navegador, sino en el lado del servidor (lea nuestro libro blanco «¿Cómo prepararse para cookieless?”). Estas migraciones van a veces acompañadas de una pregunta: como la recogida se hace «cookieless «, ¿ya no es necesario el consentimiento?

Teniendo en cuenta los esfuerzos realizados para pasar al ‘Server-Side’, el atajo es tentador, pero… no. El ‘Server-Side’ es sólo una modalidad de recogida técnica sin impacto en los requisitos de gestión del consentimiento. Por eso, el CMP de Commanders Act se diseñó desde el principio para propagar la señal de consentimiento en modo server-side.

 

Enseñanza nº 4: Pensar en la gestión de las preferencias globales de los usuarios

¿Cómo gestionar el consentimiento? ¿Caso por caso, sitio por sitio, canal por canal? Entonces, ¿se trata del sitio, luego de la aplicación y más tarde del chatbot? Los comentarios demuestran que las empresas, como el Ejército francés (Armée de Terre) y Floa Bank, que optan por un enfoque global del tema disfrutan de un mayor rendimiento de la inversión; gracias a una mayor tasa de consentimiento positivo.

Al abordar el consentimiento de forma integral a través de un centro de gestión de preferencias de los usuarios, la empresa racionaliza sus esfuerzos y minimiza en gran medida el riesgo de incumplimiento. «Sin ese enfoque omni-canal, muchos  de los despliegues de chatbots en España no están controlados por un CMP», observa Juan Vázquez.

 

Enseñanza nº 5: Considerar la gestión de las preferencias como una inversión

Como corolario de la lección anterior, dar un paso adelante en el ámbito de la gestión del consentimiento significa dejar de considerar el tema como un coste, sino como una inversión, o incluso como una ventaja competitiva que la empresa puede aprovechar. En España, «los costes asociados al cumplimiento (…) y la visión generalizada del cumplimiento como un obstáculo para el negocio más que como una fuente de valor añadido a la relación con el cliente, explican que muchas empresas no inviertan los recursos necesarios para adaptarse a la nueva realidad regulatoria», según el bufete de abogados Legal Army en una entrevista con Silicon.es.

Sin embargo, la situación parece estar cambiando poco a poco. Esperemos que, como en Francia, un número creciente de empresas haga de la gestión del consentimiento una característica atractiva por derecho propio.

Para no perder ninguna de las últimas noticias de Commanders Act, ¡suscríbase a nuestro newsletter!