Así, es posible adaptarse a la nueva ley sobre todo para empresas con mucha actividad en Marketing Digital.
Con la transformación digital, la importancia de los datos se ha vuelto aún más relevante, con diálogos inevitables sobre el tema. Algunos de estos activos se generan a partir del uso de sistemas informáticos, por personas. Sin embargo, también existen datos referentes a la vida personal de los usuarios, que se utilizan en las aplicaciones para determinados fines. A estos los llamamos datos personales.
En los últimos años, el debate sobre la evolución tecnológica y sobre el tratamiento de datos personales ha avanzado mucho. Tenemos personas más preparadas en las empresas y en los sectores del Marketing, al tanto de las limitaciones y principios éticos detrás del concepto de privacidad.
Para continuar comprendiendo mejor la relevancia de los datos personales y confidenciales en un contexto de diálogo posterior a la GDPR, ¡sigue leyendo!.
En este artículo, definiremos los datos en sus categorías y cómo se relacionan con la nueva ley, explorando temas como:
¿Qué son los datos personales?
La Ley General de Protección de Datos nace, sobre todo, con la firme intención de actuar en la protección de esta categoría de datos. Por lo tanto, los datos personales deben definirse adecuadamente para que entendamos el objeto de estudio y debate de la nueva ley.
Los datos personales son aquellos que permiten la identificación de una persona en concreto. Son activos que, aislados o cruzados, permiten encontrar a un individuo y referirse a él. En ese sentido, son referencias únicas, que distinguen a un ser humano de una masa de personas, para permitir una acción concreta.
Un ejemplo común en México son los Derechos ARCO, el cual señala que toda persona tiene el derecho de resguardar su información personal y, asimismo, el derecho de acceso, rectificación, cancelación y oposición sobre los mismos.
En Marketing Digital, un email puede considerarse un dato personal, ya que es único y es accedido por una persona con una contraseña privada. Un número de teléfono celular también es un gran ejemplo. Esta información permite a la empresa hablar directamente con el cliente y segmentar acciones, con base en una identificación.
Otras interpretaciones entienden los datos personales como aquellos que impactan directamente al individuo cuando se utilizan con fines sospechosos. Ahora bien, si se utilizan datos identificables para un delito, es fácil entender cómo esto genera un efecto directo en la persona identificada, ya que se convierte en objeto del incidente.
Como otros ejemplos, podemos mencionar: nombre y apellido, DNI, datos de direcciones electrónicas (IPs), edad, dirección, gustos, preferencias, hábitos, datos biométricos, entre otros.
¿Qué son los datos personales sensibles?
En la LGPD y en las discusiones sobre privacidad, han surgido nuevas categorías de datos. Una de ellas son los datos sensibles: son aquellas que pueden utilizarse para algún tipo de discriminación o daño directo a la persona en base a juicios desde una perspectiva moral.
Como ejemplos, tenemos datos sobre orientación política, vida sexual y salud, biometría, orientación religiosa y otros. Se trata de datos privados y, por tanto, aún más específicos.
Así, se trata de información que necesita un mayor secretismo e incluso un cuidado más estricto por parte de quienes los tratan, según la GDPR, como veremos en el último tema de este artículo.
¿Qué son los datos anónimos?
Los datos anónimos son datos personales que se someten a un proceso de anonimización. Es decir, se procesan para perder una conexión directa con un individuo específico. En este sentido, se utilizan datos que no tienen un impacto específico en un determinado ser humano.
Entendemos fácilmente cómo la anonimización puede representar tanto la posibilidad de explorar datos sin tener que lidiar con la legislación RGPD como la imposibilidad de administrar los datos para el propósito especificado. Después de todo, los datos están organizados en versiones generales, con características para evitar el acceso directo, lo que puede conducir a la pérdida del valor de la información para su uso.
Por ejemplo, para el Marketing, los datos anónimos pueden ayudar cuando sea necesario para evaluar la información del perfil del cliente o comprender las tendencias generales del mercado. En la definición de Buyer Persona en Marketing Digital, por ejemplo, es posible realizar una encuesta general sobre las preferencias, dolores y hábitos de los clientes de forma anónima, con el fin de llegar a un perfil específico y semificticio del cliente ideal.
En este caso, no es importante saber quiénes son los clientes que respondieron, sino qué dijeron realmente para establecer las características que respaldarán las acciones y campañas. Por tanto, es más fácil adaptarse a la GDPR, ya que estos datos no generan tanto impacto para los titulares.
Sin embargo, cuando se trata de buscar leads para una conversación posterior que conduzca a una compra, no son útiles. En este escenario, es fundamental contar con datos personales y acceso directo.
Una de las características de los datos anónimos es, precisamente, la capacidad de que no puedan ser revertidos a datos personales tras un proceso de transformación. Es decir, datos que no se pueden volver a identificar.
Por lo tanto, los datos anónimos son diferentes de los datos seudónimos. La seudonimización de datos consiste en anonimizar los datos, pero con la posibilidad de que puedan volver a ser personales más adelante.
Ahora, veamos algunos métodos de anonimización de datos para comprender mejor cómo funciona este tipo de información.
Anonimización
Un tipo de proceso común es el que transforma por completo los datos, eliminando los vínculos con el individuo, sin reversión, como ya hemos mencionado.
La eliminación completa de una columna con información personal en una base de datos, por ejemplo.
Supresión
La eliminación utiliza datos fijos para reemplazar partes identificables de una base de datos. Algunos ejemplos son el uso de asteriscos u otras formas estandarizadas de datos.
Generalización
La generalización consiste en transformar datos específicos en categorías generales para eliminar conexiones individuales. Un ejemplo de esto es la transformación de información sobre un cliente en datos sobre una clase o grupo (como la definición clásica de audiencia).
Esta es una buena estrategia, ya que permite el uso activo de los datos, sin que sean personales.
Seudonimización
Un método común de seudonimización es utilizar una tabla paralela a la que contiene los datos personales. En tablas paralelas, los datos se anonimizan, pero permite una conexión a los datos originales a través de una clave, por ejemplo.
Criptografía
Otra característica muy popular es el cifrado. Este enfoque se basa en el uso de claves públicas y/o privadas para permitir el acceso a los datos originales. Después de la transformación criptográfica, se generan datos anónimos protegidos, que solo se pueden desbloquear con claves.
¿Cuál es la diferencia entre datos personales, sensibles y anónimos?
Cuando ponemos estas tres definiciones en perspectiva, podemos sacar algunas conclusiones interesantes. Los datos personales son los más generales, ya que incluso establecen el principal objetivo de estandarización.
Los datos sensibles son diferentes, ya que son más específicos y delicados ante una valoración moral, pero están dentro del concepto de personal. Los datos personales sensibles pueden implicar algún tipo de incomodidad que generalmente se puede evitar con los datos personales.
Por ejemplo, alguien puede discriminar a una persona por su visión de la religión, sus preferencias políticas o aspectos de su vida privada. También se pueden rechazar puestos vacantes, proyectos y oportunidades o confirmaciones en protocolos/solicitudes.
Las leyes de seguridad y privacidad están muy preocupadas por los sucesos que dependen de estos datos personales específicos. Por eso, hay que tener más cuidado con los sensibles, al fin y al cabo, la no discriminación es uno de los principios de la ley.
Los datos anónimos, por otro lado, pueden entenderse como lo opuesto a los datos personales, como ya hemos desarrollado aquí. En ningún momento pueden volver a ser identificables, ya que esto anula la idea misma del anonimato. En este sentido, los anónimos son muy diferentes a los sensibles.
Por lo tanto, los datos seudonimizados se encuentran entre los datos personales (identificables) y los anonimizados. Pasan por un proceso de transformación, pero no es radical hasta el punto de hacer que esos datos sean imposibles de revertir. Generalmente, todavía están bajo la protección de las leyes de privacidad y seguridad.
¿Para qué sirven estos datos en el RGPD?
El Reglamento General de Protección de Datos ha arrojado luz sobre las nociones de datos personales, sensibles y anónimos recientemente. Asimismo, estableció unos estándares y prescripciones que deben ser considerados por todo tipo de empresas, ya que todo aquel que procesa datos está sujeto a esta ley.
Los datos personales deben ser tratados únicamente por motivos legales. Uno de ellos es el consentimiento del interesado, que debe ser claro, proporcionado después de demostrar la finalidad real del uso de los datos.
Otros requisitos son:
- obligación legal,
- protección de la vida del titular,
- ejecución de políticas públicas,
- protección crediticia,
- entre otros.
Los datos sensibles también solo pueden ser manipulados bajo condiciones preestablecidas, como estudios para organismos de investigación, ejercicio de derechos, prevención de fraudes, protección de la vida, entre otros. En otras palabras, se necesita un cuidado especial, de acuerdo a lo que ya hemos hablado.
Los datos anonimizados, por definición, están libres de RGPD. Si los datos realmente no son identificables, no es necesario prestar atención a los requisitos de la ley, ya que no se trata de datos personales.
Asimismo, se adoptan algunas de las técnicas de anonimización mencionadas como solución para gestionar el problema de adaptación al estándar.
Lo que se debate mucho estos días es el nivel de anonimización que es posible con las técnicas actuales. Hay investigadores que apoyan la idea de que los métodos nunca logran revertir este vínculo con los datos originales, por lo que siempre se vuelven pseudoanónimos. En este caso, es fundamental comprender la ley y cumplirla.
Además de estas consideraciones generales, el RGPD propone algunas preocupaciones estructurales que deberían formar parte de la mentalidad y la cultura de la empresa. Primero, es necesario estipular un propósito muy específico y claro para el uso de los datos y expresarlo sin ambigüedades a los interesados. Una vez establecida esta finalidad, solo es necesario conservar los datos hasta que se cumpla.
Otro punto importante es el acceso gratuito. El titular debe tener libertad para consultar sus datos, modificarlos, transferirlos a otras bases de datos e incluso eliminarlos en cualquier momento, incluso después de haber otorgado su consentimiento. Este es el gran tema diferencial de las leyes de privacidad como el GDPR (Reglamento General de Protección de Datos) y las leyes de cada país para el tema: el enfoque total en el titular.
Actualmente se reconocen de manera oficial los siguientes derechos del individuo en cuanto a sus datos:
- a ser olvidado;
- derecho de información;
- derecho de acceso;
- a solicitar modificaciones en sus datos;
- a retirar el consentimiento;
- derecho de oposición;
- a la portabilidad de datos.
Profesional dedicado
Además, la empresa debe establecer una autoridad general interna para supervisar los datos, y esa persona debe informar a los órganos generales y externos. En algunos casos, es un Data Protection Officer.
En los casos de incidencias que involucren datos personales o sensibles, es necesario notificar a los titulares y a los principales organismos, con una clara definición de las medidas que se tomarán para la intervención. Es fundamental tener claro lo que se hará.
Si las empresas no administran adecuadamente la seguridad y la privacidad, pueden ser multadas hasta por MX$ 27 millones de pesos, o pueden sufrir advertencias y bloqueo de datos, cada acción según el nivel del problema y el impacto en los titulares.
En el mundo moderno basado en datos, la preocupación por las leyes y la privacidad debe ser central. Al fin y al cabo, para un uso consciente y saludable de estos activos, las empresas deben recurrir a los principios de la ley y preocuparse activamente por los derechos de sus clientes, ya que esto se traduce en confianza en la relación comercial.
A partir de ese momento, los datos deben administrarse con cuidado a lo largo de su ciclo de vida. Será fundamental mapearlos por uso y buscar una visión general de cómo se están aplicando estos activos, para que sea posible realizar una inspección completa y segura.
Como hemos visto, la división entre datos personales, confidenciales y anónimos es fundamental para una cultura que ve los datos como activos y se preocupa por la privacidad. Comprender estas concepciones y sus diferencias es el primer paso para adaptarse a la GDPR y avanzar en la discusión sobre privacidad y seguridad. De esta forma, la empresa puede reducir fricciones en este cumplimiento y optimizar sus resultados.
¿Te gustó el contenido? Descubre más detalles de cómo funciona el marketing basado en cuentas o ABM.