El Delegado de Protección de Datos (DPO) de ZEROSIX responde a 6 preguntas sobre los comerciantes y el RGPD (Reglamento General de Protección de Datos), en el contexto de un programa de fidelización.
Al poner en marcha un programa de fidelización, los comerciantes buscan satisfacer a sus clientes para fidelizarlos a largo plazo.
Este objetivo sólo puede alcanzarse si el minorista desarrolla una verdadera estrategia para conocer a sus clientes, lo que implica recopilar y tratar sus datos personales.
Sólo si disponen de esta información podrán ofrecerles ofertas personalizadas que se ajusten a su perfil y comportamiento de compra.
En virtud del RGPD, al decidir recopilar y utilizar los datos personales de sus clientes, el minorista asume entonces la condición de responsable del tratamiento, lo que le obliga a cumplir con varias obligaciones legales.
El comerciante debe adoptar una actitud responsable y transparente en la recogida y tratamiento de los datos personales de sus clientes. Debe comportarse con sus datos como desearía que alguien se comportara con sus propios datos personales.<
En primer lugar, el comerciante debe solicitar el consentimiento explícito e inequívoco del individuo cuando recopile datos sobre él. Para ello, deberá informar a la persona de los fines que persigue con la recogida de esta información.
Deberá solicitar de nuevo su consentimiento y explicar el nuevo uso de sus datos, si tiene previsto reutilizarlos para otros fines.
El minorista debe absolutamenteconservar un registro de este consentimientot y de los fines perseguidos por el tratamiento, ya que debe poder justificarlo en cualquier momento, en particular en caso de inspección por parte de la CNIL.
En segundo lugar, el minorista sólo debe recabar los datos estrictamente necesarios para la ejecución del programa de fidelización y no solicitar información que no le sea de utilidad.
En tercer lugar, el minorista debe organizarse para responder a cualquier cliente que solicite un historial del tratamiento de sus datos dentro del programa, la supresión total o parcial de sus datos (derecho al olvido) o su devolución en un formato estándar y legible (para cambiar eventualmente de proveedor de servicios) (derecho a la portabilidad)
.
Para ello, los comercios deben velar por la seguridad de los datos utilizados en su programa de fidelización (durante su transferencia, almacenamiento, acceso, archivo) para que no sean robados ni utilizados para fines distintos de aquellos para los que fueron recogidos.
Por último, recomiendo a los comerciantes que se aseguren de utilizar aplicaciones que incorporen todas estas obligaciones en los formularios de alta en el programa de fidelización y también en los correos electrónicos/sms en relación con la puesta en marcha del programa.
En este contexto, los avisos de información al cliente (periodo de retención de datos, propósito exacto de la recopilación, derecho a rectificar la información personal...) deben adaptarse a las nuevas medidas del RGPD, y debe proporcionarse un mecanismo para la recopilación explícita del consentimiento ("casilla de verificación") a menos que la recopilación de datos se base en una base legal (por ejemplo, en el cumplimiento de un contrato, legislación, etc.).
Para que todo vaya lo mejor posible, el comerciante debería:
- con respecto a la autoridad de control (CNIL): disponer internamente de toda la documentación de conformidad que describa sus procesos de recogida y tratamiento de datos, documentar sus medidas de seguridad, aunque sea de forma sencilla. Lo importante es demostrar que sabe exactamente dónde se conservan los datos personales de sus clientes, en qué condiciones y con qué fines;
- con respecto a sus clientes miembros del programa de fidelización: hacer que sus sitios web, aplicaciones móviles y cualquier otro medio de comunicación que trate con los datos de sus clientes cumpla con el RGPD (banner de cookies, formularios, menciones obligatorias...);
- con respecto a sus subcontratistas (proveedores, socios): pedirles oficialmente su plan de cumplimiento y asegurarse de que están en regla, ya que, en caso de sanción por parte de la CNIL, se aplicará el principio de corresponsabilidad.
- con respecto a sus empleados: informarles y formarles en el RGPD introduciendo, por ejemplo, un código de buena conducta (deben saber que existe este nuevo reglamento y sus implicaciones para ellos y la empresa). El comerciante puede nombrar a alguien que entienda el reglamento para que se lo explique (esta persona no tiene por qué estar a tiempo completo, ni ser un empleado de la empresa).
Bajo el GDPR, cualquier dato que identifique directa o indirectamente a una persona física constituye "datos personales".
En el marco de un programa de fidelización, el minorista gestiona esencialmente datos personales como el apellido, nombre, fecha de nacimiento, dirección, correo electrónico y número de teléfono de sus clientes.
Se pueden recoger otros datos siempre que sean relevantes para la ejecución del programa (por ejemplo, una oferta promocional dirigida únicamente a padres requiere saber si el cliente tiene hijos o no).
Por el contrario, no serán relevantes los datos relativos a lugar de nacimiento, nacionalidad, opinión política o religiosa, número de tarjeta bancaria, etc.
El reglamento abre la vía a acciones civiles para particulares: el nivel de sanción será proporcional al nivel de cumplimiento ya establecido por el comerciante.
El reglamento también prevé 2 multas administrativas:
- el 2% del volumen de negocios (o 10 millones de euros) para una empresa que no haya establecido en absoluto los elementos organizativos y funcionales para cumplir el reglamento;
- el 4% del volumen de negocios (o 20 millones de euros) en el caso de una empresa que haya hecho uso a sabiendas de datos personales fuera del marco evocado por este reglamento (reventa a terceros, falta de consentimiento, recogida de datos no relacionados con el tratamiento previsto).
El reglamento delega el poder de investigación en las autoridades locales (en Francia, la CNIL), ante las que el comerciante tendrá que demostrar que ha cumplido con los requisitos del reglamento.
Cuidado con los datos personales.
Para un responsable o encargado del tratamiento mercantil, el RPD sólo es obligatorio si sus actividades principales consisten en operaciones de tratamiento que requieren un seguimiento regular y sistemático a gran escala de los interesados O si sus actividades principales consisten en el tratamiento a gran escala de datos sensibles (como datos sanitarios, datos biométricos, opiniones políticas, etc.) o datos relativos a delitos y condenas penales.
Fuera de estos supuestos, el comerciante no tiene que nombrar a un RPD, aunque éste pueda resultar útil gracias a sus avanzados conocimientos técnicos y jurídicos.
;Cuando el nombramiento de un RPD no es obligatorio, recomiendo que el minorista nombre a un responsable de cumplimiento que dirija el proyecto internamente y ponga en marcha los procedimientos. Esta persona también concienciará a los empleados de los retos del RGPD y de las buenas prácticas en materia de confidencialidad de datos.