El mundo del marketing y la privacidad no siempre se han llevado bien, aunque estén obligados a entenderse.
Si a día de hoy consultamos la mayoría de webs de empresas de marketing podemos detectar cómo cookies analíticas y publicitarias se descargan sin consentimiento, como sus políticas de privacidad están desactualizadas o no cumplen la normativa y como no tienen un Delegado de Protección de Datos (DPO) designado ante la AEPD, a pesar de tratar datos de millones de usuarios de sus clientes.
Desde aquí, somos firmes defensores no solo de que se deben hacer las cosas bien, sino que, si lo haces bien, mejorarás las relaciones con tus clientes, evitarás problemas que puedan suponer una sanción y tendrás una mejor organización interna que te permitirá ser más productivo.
Porque, además, vas a poder hacer lo mismo que estás haciendo, pero cumpliendo la normativa, lo que mejorará tú imagen y valor de empresa.
¿Necesitan un DPO las empresas de marketing?
La respuesta dependerá en gran medida del tipo de servicio que presten, del tamaño de los clientes que tengan y especialmente del volumen de datos que traten.
No tener un DPO, cuando lo necesitas, e incluso cuando es una decisión voluntaria puede marcar la diferencia entre que un cliente confíe en ti para trabajar o no. También para que puedas evitar una sanción si alguien decide reclamar por cualquier cuestión ante tu compañía o ante cualquiera de tus clientes.
Muchas de las empresas de marketing tienen entre los servicios prestados a sus clientes la gestión de páginas web, la gestión de redes sociales o un servicio de growth marketing para el que necesitan tratar miles o incluso millones de datos personales. Este criterio podría ser suficiente para tener designado un Delegado de Protección de datos ya que según se establece en el RGPD necesitarán un DPO de manera obligatoria aquellas entidades públicas o privacidad cuya actividad “consista en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.
En este sentido tanto el Comité Europeo de Protección de Datos, como varias autoridades nacionales ya han establecido algunos parámetros para determinar que se considera observación habitual y sistemática de interesados a gran escala, y no cabe duda de que el seguimiento online de miles o millones de usuarios es uno de dichos tratamientos.
Por todo ello, podemos determinar que la mayoría de empresas de marketing sí necesitarán designar un Delegado de Protección de datos. Además, si atendemos al listado que establece la propia AEPD, también podría ser necesaria dicha designación.
¿Qué deben tener en cuenta este tipo de empresas para cumplir la normativa?
Aunque cumplir la normativa de protección de datos y privacidad parece fácil, ni mucho menos es así.
No solo hay que atender al RGPD o la LOPDGDD, en esta materia hay normas sectoriales fundamentales para cumplir la norma y no ser objeto de una sanción. La principal norma, además de estas, que debemos cumplir sería la LSSICE. Esta norma afectará a todo el tratamiento de cookies y también a toda comunicación comercial efectuada por vía electrónica (correos electrónicos, SMS, push, etc.). También debemos tener presente la Ley General de Telecomunicaciones, la cuál afecta a todas aquellas llamadas efectuadas con finalidad comercial, todo ello sin mencionar las directrices, resoluciones, opiniones y sentencias que el Comité Europeo de Protección de Datos, la AEPD o el Tribunal de Justicia de la Unión Europea puedan publicar. No nos meteremos con la normativa publicitaria y de competencia desleal que daría para otra entrada del blog.
Como vemos no es sencillo, y sin un profesional experto en esta normativa estamos expuesto a sanciones de miles o, incluso, de cientos de miles de euros.
¿Cuáles son las principales exigencias que debo cumplir en el sector del marketing y la privacidad?
Las obligaciones de la normativa de protección de datos son exigentes para cualquier tipo de empresa ya que tienes que cumplir y poder demostrarlo, lo que implica documentar todos los procesos (esto no quiere decir hacer un copia pega).
Entre otras cosas necesitarás tener un Registro de Actividades con todas las operaciones de tratamiento documentadas (Todas son todas, no sirve con incluir las 10 o 12 más generales y ya estaría), un análisis de riesgos por cada una de las mismas de las cuales se establezcan las medidas técnicas y organizativas necesarias para cumplir la norma, documentar las Evaluaciones de Impacto si son necesarias, cumplir y tener una evaluación de proveedores, además de los contratos de encargo de tratamiento pertinentes, adecuar cláusulas informativas, trasferencias internacionales, evaluaciones de interés legítimo, protocolo de comunicación de brechas de seguridad y un sinfín de documentos.
Si, además realizas llamadas de captación, correos comerciales o gestionas páginas webs de tus clientes o tienes cookies publicitarias o analíticas no exentas también deberás estar atento/a a la normativa ya citada arriba. Todo esto es estrictamente necesario y si eres una empresa de marketing y ahora mismo te suena extraño esto que lees, puede que tengas un problema.
¿Qué puede suponer que no cumpla la normativa en esta materia?
Además de la respuesta más lógica y evidente que sería una sanción en materia de protección de datos o privacidad, cada vez más, los clientes, especialmente los de determinado volumen, realizan evaluaciones de proveedor más exigentes. Esto se verá acentuado en los próximos años ya que normativas como Dora, exigen evaluaciones detalladas de proveedores para no incurrir en responsabilidades económicas y reputacionales muy importantes.
Cumplir, o no, la normativa y poder demostrarlo, no solo ante Autoridades de Control, sino ante los propios clientes se ha convertido en fundamental para seguir creciendo y no perder competitividad respecto a otro proveedor que sí haga las cosas bien en la materia.
En Zenigma Consulting somos especialistas en el cumplimiento de este tipo de cuestiones y tenemos un alto expertise en el sector marketing y publicitario. Si necesitas ayuda, contacta con nosotros y podemos agendar una llamada en la que además de hacerte una oferta, te aportaremos un análisis inicial del estado de cumplimiento de tu empresa.
