Uno de los elementos clave que instaura el nuevo reglamento de protección de datos europeo (GDPR - RGPD) tiene que ver con el consentimiento expreso que debe otorgar cualquier cliente para que un tercero maneje sus datos personales. Y, para ello, es imprescindible disponer de mecanismos concretos en toda organización.
Un aspecto fundamental que quedará instaurado en Europa en 2018 es el derecho al olvido y el consentimiento expreso del titular necesario para que un tercero pueda procesar, gestionar y almacenar sus datos personales.
Esto obliga a gestionar de forma novedosa los derechos de consulta, corrección, borrado y portabilidad que tiene cualquier titular sobre sus datos personales, por ejemplo, para modificar o incluso revocar un consentimiento anterior. Así como dotarse de soluciones que faciliten estas solicitudes de acceso, y los derechos de todos los tipos de información personal que la empresa maneje.
El derecho al olvido, o asegurar la correcta actualización de los datos en todos los orígenes es ahora aspecto capital y el enmascaramiento de estos datos en entornos no productivos, algunas de las medidas a aplicar.
Se trata de dotarse de la capacidad, totalmente auditable, de gestionar la recopilación, conservación y eliminación justificada de los datos personales, conforme a políticas y procesos claramente definidos, para protegerlos del uso indebido y el fraude.
Ubicar los datos sensibles y gestionar sus metadatos, instaurar un servicio de consentimiento para toda la empresa, vinculando los datos de cada individuo a su uso, con políticas de gestión de datos personales (retención/eliminación/uso/privacidad), dentro del inventario creado durante el mapeo de datos, o asociar políticas y datos, de forma centralizada, para gestionar roles y responsabilidades sobre ellos, son algunos de los pasos a emprender.
Aparte de las ya mencionadas, la capacidad de seguimiento y aprobación de los cambios en las políticas, reglas y metadatos definidos, o la monitorización constante y reporting regulatorio son algunas de las posibilidades que añade la plataforma InfoSphere de IBM, a la vez que identifica las políticas a aplicar, ya sea sobre datos estructurados como no estructurados. InfoSphere Consent Management Asset permite, entre otras cosas, la gestión de plantillas de consentimiento y contratos de consentimiento del usuario.
Gestionar los derechos de consulta, de corrección, borrado y portabilidad de los datos, así como facilitar a los ciudadanos la posibilidad de revocar o modificar cualquier consentimiento intencional, se convierten así en aspectos resueltos de cara a GDPR. Además de administrar las implicaciones de este consentimiento de los clientes, en cuanto a almacenamiento, modificación y borrado de sus datos
Cumplir con términos como el derecho al olvido, o asegurar la correcta actualización de los datos en todos los orígenes, son elementos esenciales del próximo futuro. Se trata de que las organizaciones que procesen información personal deben solicitar al usuario su consentimiento, y facilitar su revocación, en cualquier momento y tan fácilmente como se otorgó.
Además, el propósito por el que se recaban los datos debe ser concreto, explícito y legítimo. Por ejemplo, términos como "Marketing" (o cualquier otro así de genérico) no será suficiente, sino que habrá que indicar qué acciones de marketing se van a desarrollar, si se crearán a partir de ellos perfiles u ofertas dirigidas, por ejemplo.
En cuanto a la recolección de datos pura, en el cumplimiento de obligaciones contractuales o para la venta de un producto, esta aportación de datos no requiere consentimiento, pero debe circunscribirse a los datos imprescindibles para el objeto del contrato, y no otros adicionales. Tampoco podrán utilizarse en el futuro para otros propósitos distintos a los inicialmente solicitados.
Este consentimiento además no es estático, sino que irá evolucionando en el tiempo para ajustarse al momento y contexto concreto. Por ello, requiere su propia gestión del ciclo de vida del consentimiento, que sea consistente en toda la organización.
Proporcionar los mecanismos necesarios para obtener el consentimiento e informar a los clientes de los datos almacenados y su uso (gestión de plantillas de consentimiento y contratos de consentimiento del usuario), es ahora crucial y debe formar parte de un sistema flexible y modificable por el consumidor en cualquier momento. Es decir, un servicio de consentimiento disponible para toda la empresa, que vincule los datos a su uso y que sea único y concreto para cada cliente.