El estado de la privacidad de datos en 2024
Publicado: 2023-09-11El marketing solía ser una profesión relativamente sencilla. No fue fácil ni sencillo, pero había cierta claridad en cuanto a los límites del papel. Esto se aplicaba particularmente a las comunicaciones. Antes del auge de lo online y lo digital, nuestros canales de comunicación eran relativamente pocos. En las últimas décadas, y especialmente en los últimos cinco a diez años, ha habido una rápida expansión de las opciones disponibles para los profesionales del marketing, especialmente en el área de la privacidad de los datos.
La introducción del Reglamento General de Protección de Datos (GDPR) de la UE el 25 de mayo de 2018 fue en muchos sentidos una respuesta a esta expansión tecnológica. Los legisladores europeos buscaron proporcionar un conjunto de principios que protegerían los datos de los ciudadanos. Desde entonces, el RGPD ha marcado la pauta para que otras regiones del mundo consideren su propio enfoque para la regulación de datos.
Como algunos de los mayores usuarios de datos personales dentro de nuestras empresas, nos corresponde a nosotros, los especialistas en marketing, asegurarnos de que tenemos una comprensión sólida de las mejores prácticas de protección de datos. En particular, necesitamos entender bien los conceptos básicos. En este breve artículo, identificaré algunas de las áreas clave que los líderes de marketing y sus equipos deben tener en cuenta en este momento.
Consejo profesional : escuche a Steven Roberts cubrir Data Protection 101 en el podcast de DMI.
“La transparencia es un principio clave que sustenta el RGPD. Los especialistas en marketing que utilizan herramientas de inteligencia artificial que procesan datos personales deben poder explicar en términos claros y simples cómo se utilizan estos datos. ” Steven Roberts
Un ecosistema de privacidad que cambia rápidamente
El RGPD ha dado lugar a una serie de leyes similares en todo el mundo, con nuevas leyes en países como China, Singapur y Sudáfrica.
La Ley de Privacidad del Consumidor de California (CCPA) es la más conocida de una variedad de leyes locales y estatales en los EE. UU . Esto ha contribuido a un ecosistema internacional de privacidad de datos más complejo.
En el Reino Unido , el gobierno británico está considerando una revisión del RGPD del Reino Unido con un nuevo proyecto de ley de datos actualmente en desarrollo (a partir de septiembre de 2023). Las empresas que comercian con el Reino Unido deberán seguir de cerca esta evolución, especialmente si afecta a la decisión de adecuación entre la UE y el Reino Unido*.
En Europa , se está introduciendo una serie de leyes adyacentes de la UE. Esto incluye:
- La Ley de Mercados Digitales
- La Ley de Servicios Digitales
- Un reglamento sobre IA. Esto último es particularmente apremiante en un momento de rápida expansión en el alcance y uso de tecnologías de inteligencia artificial como ChatGPT.
También se están llevando a cabo debates para revisar la actual Directiva de privacidad electrónica, que en general se considera que ya no es adecuada para su propósito. Toda esta legislación tiene el potencial de afectar las actividades de procesamiento de datos de los especialistas en marketing que operan dentro de la Unión Europea.
La protección de datos debe estar incluida desde el principio
Según Chiefmartech.com, existen más de 11.000 plataformas de tecnología de marketing; una cifra que crece año tras año. Muchas de estas tecnologías utilizan datos personales para llegar y dirigirse de manera más efectiva a diversas audiencias de consumidores.
Los especialistas en marketing que contemplan una nueva plataforma, o incluso cualquier nueva estrategia que involucre el uso de datos personales, deben asegurarse de que se considere la privacidad de los datos desde el principio. El principio del RGPD de protección de datos desde el diseño y por defecto es clave aquí. Una de las mejores formas de cumplir con este principio es realizando lo que se conoce como Evaluación de Impacto de la Protección de Datos (DPIA).
Esto implica un proceso de dos pasos. En primer lugar, se lleva a cabo una EIPD previa, mediante la cual se formulan una serie de preguntas de alto nivel para evaluar si el proyecto tiene el potencial de plantear riesgos significativos para la privacidad. Si se identifican tales riesgos, se debe realizar una EIPD completa. En este punto se lleva a cabo un análisis detallado del proyecto, incluida la consulta con las partes interesadas clave. Este enfoque permite recalibrar un proyecto si los riesgos de privacidad son demasiado altos, o la adopción de acciones de mitigación para reducir el nivel de riesgo.
Los ejemplos para los especialistas en marketing podrían incluir la introducción de una nueva estrategia de datos propios o la introducción de una plataforma CRM. En general, se considera una mejor práctica que cualquier nueva herramienta de marketing que pueda utilizar datos personales esté sujeta a una EIPD.
IA y privacidad de datos
Las plataformas de inteligencia artificial (IA) se están volviendo cada vez más populares entre los especialistas en marketing, impulsando actividades como los chatbots automatizados en sitios web. La introducción de ChatGPT y otros grandes modelos de lenguaje (LLM) ofrece un potencial significativo para que los especialistas en marketing aumenten su productividad. Por ejemplo, generar blogs y artículos como parte de una estrategia de marketing de contenidos.
Los especialistas en marketing que estén considerando dicha tecnología deben ser conscientes de los riesgos de protección de datos. La transparencia es un principio clave que sustenta el RGPD. Los especialistas en marketing que utilizan herramientas de inteligencia artificial que procesan datos personales deben poder explicar en términos claros y simples cómo se utilizan estos datos. Este es un desafío considerable, ya que a menudo no es fácil identificar exactamente cómo la tecnología de inteligencia artificial procesa los datos.
Además, el artículo 22 del RGPD otorga a las personas el derecho a oponerse a decisiones automatizadas que puedan tener un efecto jurídico. Por ejemplo, el "rechazo automático de una solicitud de crédito en línea o las prácticas de contratación electrónica sin intervención humana". En estos casos, tienen derecho a obtener intervención humana como parte del proceso de toma de decisiones.
Destacando los posibles problemas de protección de datos derivados del uso de la IA, Google se vio obligado a retrasar la introducción de un nuevo chatbot de IA, Bard, tras una intervención de la Comisión de Protección de Datos (DPC) de Irlanda. La Comisión afirmó que el gigante tecnológico necesitaba proporcionar más información sobre cómo se protegerían los derechos de privacidad de los ciudadanos de la UE. Posteriormente, Google lanzó Bard en la UE, tras lo que el DPC describió como "una serie de cambios, en particular una mayor transparencia y cambios en los controles para los usuarios".
“El cumplimiento de los datos es un viaje continuo. La prioridad inicial es lograr lo básico correctamente. ” Steven Roberts
Aumento de multas y concienciación de los consumidores
Como especialistas en marketing, somos la voz del consumidor, responsables de proteger la marca y la reputación de nuestras empresas. Los consumidores tienen una mayor conciencia de sus derechos en materia de protección de datos. Gran parte de esto se debe a la publicidad que ha rodeado a las grandes multas.
Según el bufete de abogados DLA Piper, las autoridades supervisoras de la UE impusieron multas por valor de 1.600 millones de euros en los 12 meses transcurridos desde el 28 de enero de 2022. Esta tendencia continuó en 2023, sobre todo con la multa de 1.200 millones de euros por parte de la DPC irlandesa contra Meta por transferir usuarios de la UE. 'datos personales a los EE.UU. sin contar con mecanismos adecuados de protección de datos.
En abril de 2023, la Oficina del Comisionado de Información (ICO) del Reino Unido impuso una multa de £12,7 millones de libras a TikTok por infracciones relacionadas con el uso indebido de datos de niños.
Mientras tanto, en Estados Unidos, la privacidad de los datos ha visto más posturas políticas, con intentos de prohibir TikTok a nivel estatal, como en Montana, y un nuevo liderazgo notablemente más duro en la FTC que demanda a Amazon por inscribir clientes en Prime sin consentimiento. En Irlanda, el personal de las agencias gubernamentales y estatales debe eliminar la aplicación TikTok de los dispositivos oficiales; aunque también se han introducido restricciones en jurisdicciones como el Reino Unido y los Países Bajos.
Vale la pena señalar que, si bien la tecnología publicitaria y la publicidad comportamental eran prioridades de aplicación de la ley para la DPC y otras autoridades supervisoras, se han impuesto sanciones a empresas en muchos sectores de la economía; aunque no a los niveles deslumbrantes que hemos visto en las empresas de tecnología.
Transferencia de datos internacionales
Las transferencias internacionales de datos han causado importantes dolores de cabeza a las empresas que intentan transferir datos personales fuera de la Unión Europea. Es un aspecto de la privacidad de los datos que ha experimentado cambios sustanciales en los últimos años. En julio de 2020, el Tribunal de Justicia de la Unión Europea dictaminó que el acuerdo existente del Escudo de Privacidad para las transferencias de datos entre la UE y EE. UU. no era válido. Desde esa decisión, conocida como Schrems II , ambas jurisdicciones han estado buscando un mecanismo alternativo que cumpla con el RGPD.
A principios de julio, la Unión Europea aprobó un nuevo marco de privacidad de datos. Si bien es bienvenido, queda por ver si esto estará sujeto a desafíos similares por parte de los defensores de la privacidad como fue el caso con sus dos predecesores. Mientras tanto, las empresas han tenido que encontrar enfoques alternativos, como el uso de cláusulas contractuales estándar (conocidas como SCC)***.
Para las empresas que comercian con el Reino Unido, el Gobierno británico ha indicado su intención de simplificar ciertos aspectos del RGPD del Reino Unido con la ambición de hacer que las normas actuales sean menos gravosas para las empresas ****.
Cómo mantenerse informado sobre la privacidad de los datos
Muchos especialistas en marketing están luchando por seguir el ritmo de este ritmo de cambio, particularmente aquellos en pymes que tal vez no tengan acceso a los mismos recursos que los equipos de las grandes empresas multinacionales.
Vale la pena recordarnos que el cumplimiento de los datos es un viaje continuo. La prioridad inicial es lograr lo básico correctamente. Teniendo esto en cuenta, una serie de aspectos son cruciales como parte de cualquier cultura de privacidad de datos eficaz dentro de una empresa:
1. La formación es vital
La capacitación debe ser regular y continua, tanto para el personal nuevo como para el existente. Es particularmente importante dados los niveles de abandono que estamos presenciando en muchos roles de marketing en la actualidad, junto con el ritmo de desarrollo en el área de cumplimiento en general. Algunos expertos estiman que el 90% de todas las filtraciones de datos son resultado de errores humanos. La formación es esencial para compensar este riesgo.
2. Conoce las 6 bases legales y los 7 principios fundamentales del RGPD
Muchas de las infracciones que hemos visto en los últimos cinco años podrían haberse reducido o eliminado si las empresas hubieran considerado las siguientes preguntas;
- En primer lugar, ¿existe una base legal clara sobre la cual procesar estos datos personales?
- En segundo lugar, ¿el tratamiento se ajusta a los principios del RGPD?
3. Establece el tono desde arriba
Todas las empresas siguen el liderazgo de los altos directivos. Se debe ver que la junta directiva y el equipo ejecutivo apoyan y abogan abiertamente, a través de palabras y acciones, por una sólida cultura de privacidad de datos en toda la organización.
4. Establecer registros y procesos detallados
La responsabilidad es uno de los principios generales del RGPD. El artículo 30 del Reglamento exige el mantenimiento de registros precisos como parte de una cultura de privacidad eficaz. Las empresas también obtienen importantes beneficios de productividad y eficiencia al contar con procesos claros, por adelantado, para aspectos como solicitudes de acceso de sujetos y informes de violaciones de datos.
5. Comprenda los requisitos de cumplimiento más estrictos para los datos de categorías infantiles y especiales.
Los especialistas en marketing deben tener en cuenta los requisitos de cumplimiento adicionales cuando se trata de datos de menores, y también una variedad de datos de categorías especiales identificadas en el RGPD.
Conclusión
La protección de datos ha evolucionado rápidamente en los últimos años. La introducción del RGPD en 2018 ha generado una mayor concienciación de los consumidores y sanciones más elevadas para las empresas que no lo cumplan. También ha sido el catalizador de una ola de legislación similar a nivel internacional en países como China, Singapur y Sudáfrica. Este ritmo de cambio, y la mayor complejidad que conlleva, significa que es crucial que los especialistas en marketing y sus empresas establezcan una cultura de protección de datos eficaz.
Las nuevas tecnologías con uso intensivo de datos, como la IA, no hacen más que reforzar este requisito. Al centrarse en lograr los conceptos básicos correctos, con capacitación periódica sobre los aspectos centrales del Reglamento, procesos claros y mantenimiento de registros, y apoyo desde la cima de la organización, los especialistas en marketing y sus equipos están bien posicionados para garantizar que sigan cumpliendo.
Notas
* La decisión de adecuación de la UE, acordada en 2021, establece esencialmente que el Reino Unido opera un entorno de protección de datos similar al de la UE. La decisión se revisará después de cuatro años y podría verse comprometida si se considera que el Reino Unido se ha desviado del nivel de protección de datos actualmente vigente.
** Considerando 71, RGPD
*** Cuando se incorporan a un contrato, las SCC pueden cumplir con las obligaciones de transferencia de datos del RGPD.
**** Proyecto de Ley de Protección de Datos e Información Digital (Nº 2).