Gestión de datos de clientes: cómo hacerlo cumpliendo la LOPDGDD

Desde la implementación de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la gestión de datos personales de clientes se ha convertido en un asunto central para multitud de empresas.  

Las infracciones con respecto a esta ley son como para tomárselo en serio: las más graves pueden acarrear multas de hasta el 4% del volumen de negocios anual global de una empresa. Pues bien, ¿qué obligaciones supone la LOPDGDD en la gestión de datos personales de clientes y cómo pueden las empresas garantizar las mejores prácticas? Te lo contamos.

¿Qué obligaciones tienen las empresas respecto a la gestión de datos de clientes?

La LOPDGDD establece unos principios de protección de datos a los que hay que atender para tratar datos personales.  La transparencia e información al afectado en todo lo relacionado con el tratamiento de sus datos personales, mantener los datos exactos y adecuados a los fines perseguidos, mantener los datos protegidos y confidenciales, que el tratamiento esté basado principalmente en el consentimiento del afectado y conocer la sensibilidad de los datos personales tratados, es una responsabilidad a la que se debe hacer frente de manera ineludible.  

Relacionamos algunos puntos que merecen una especial mención:

1. Transparencia e información

La LOPDGDD establece que las empresas deben informar al afectado sobre la identidad de la empresa y de su representante en su caso, de la finalidad del tratamiento, si el tratamiento incluye la elaboración de perfiles y de la posibilidad de ejercer los derechos que le asisten.

2. Consentimiento

La LOPDGDD establece que las empresas deben obtener el consentimiento explícito y libremente otorgado de los clientes antes de recopilar, procesar o almacenar sus datos personales. Este consentimiento no puede ser puesto en marcha de cualquier forma: debe ser informado a través de un proceso que garantice que los clientes son plenamente conscientes de cómo se utilizarán sus datos y lo aceptan.

3. Finalidad

La gestión de datos de clientes y su utilización solo puede darse de acuerdo con los fines específicos para los que se obtuvo el consentimiento.

4. Minimización de datos

Las empresas solo deben recopilar la información que sea relevante y adecuada para el propósito específico para el que se va a utilizar.

5. Ejercicio de derechos

Las empresas están obligadas a informar a los clientes sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado y el ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.

Los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, junto al derecho a oponerse al uso de sus datos para fines de marketing directo, asisten a todos los clientes y deberán ser atendidos en tiempo y forma según se establece en la reglamentación aplicable.

6. Datos protegidos y confidenciales

Normalmente nos fijamos más en los requisitos de licitud que establece la legislación para el tratamiento de datos personales, pero no menos importante es implementar medidas de seguridad adecuadas para proteger los datos personales de los clientes contra el acceso no autorizado, la divulgación, la alteración o la destrucción. 

En caso de producirse una violación de seguridad que pueda comprometer los datos personales de los clientes, las empresas están obligadas a notificar a las autoridades de protección de datos y, en algunos casos, también a los propios clientes afectados. De hecho, la ley establece plazos y requisitos legales para este proceso.

Se incluyen aquí medidas orientadas a garantizar la ciberseguridad de las empresas.

Medidas clave en la protección de datos personales

Es fundamental analizar la necesidad de contar con un Delegado de Protección de Datos, figura que asistirá a la empresa en la implementación de todos los requisitos que establece el Reglamento General de Protección de Datos europeo (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y en especial en la implementación de las medidas de seguridad que requiere la mencionada legislación.

Contar con un programa de ciberseguridad frente a ataques informáticos se convierte en una medida proactiva clave que añadir al establecimiento de políticas internas claras para la gestión de datos de clientes de acuerdo con la legislación.

Aparecen aquí también los acuerdos de confidencialidad y cláusulas contractuales específicas en los contratos con los proveedores de servicios orientados a la protección de los datos personales.  Respecto a herramientas tecnológicas, es posible poner en marcha:

• Plataformas de encriptación y seguridad de los datos.
• Sistemas de gestión de cumplimiento, que ayudan en áreas como la gestión de consentimientos, entre otras.
• Plataformas para anonimización y seudonimización, que reducen el riesgo de identificación de los datos personales.
• Plataformas CRM que incluyan funcionalidades para gestionar el consentimiento de los clientes y registrar sus preferencias de privacidad.