(The English version of this blog post can be found on Mind Your Analytics. Please click here to read it.)

Me encanta Berlín y me encanta Xchange, sin duda es el mejor evento de analítica digital y da lugar a debates abiertos y sinceros. Aquí, gracias a Semphonic, al Sr. Angel y a todos los huddle leaders y participantes, han conseguido que compartir y aprender vayan de la mano.

Llegué a Scandic con Gemma Muñoz un día antes de que diera comienzo el evento y participamos en la reunión informativa para huddle leaders dirigida por Gary Angel, que nos dio algunos consejos sobre buenas prácticas y donde pudimos conocer a otros participantes.  He debutado como huddle leader en Berlín, aunque había participado en anteriores ediciones de Xchange celebradas en EE.UU.  A decir verdad, en este formato me encuentro en mi salsa: siempre me han gustado los grupos pequeños y el intercambio de ideas en círculos reducidos. Va a ser que soy un poco tímida ;-)

Después de disfrutar de un abundante desayuno, el primer día empezó con las presentaciones antes de dar paso a una mesa redonda moderada por Gary sobre cómo dar el salto de la analítica digital al almacenaje de datos, que contó con la participación de empresas tan importantes como Comcast, el FT, Nokia y, uno de mis favoritos, Meinstadt.de.

Nicolas Malo ha dado en el clavo con su resumen de dicho debate y del primer día y las conclusiones de Peter O’Neill sobre su experiencia en Xchange; también son de lectura obligada.

A continuación la gente se marchó a sus huddles respectivos y yo me inicié como huddle leader con una sesión sobre Privacidad, los efectos de las nuevas normativas de la UE sobre analítica web, que compartí con Christian Putter. Allí nos encontramos frente a 22 personas que nos miraban muy serios y estaban listos para aprender.  El tema de la Privacidad me interesa mucho desde hace varios años, tanto es así, que hemos decidido lanzar Mind Your Privacy dentro de Mind Your Group.

Durante la fase preparatoria, Christian se había encargado de decidir los temas y las preguntas que analizaríamos mientras que yo me había decantado por explicar el panorama actual y cómo íbamos a avanzar, ¡sobre todo en vista del revuelo que ha armado la llamada “ley de cookies de la UE” en Reino Unido!

Un mensaje claro y conciso sobre la protección de datos personales

Les trasladé un mensaje bastante conciso. Lo podría resumir como ya hizo la EUSIG de la DAA Geddy VanElburg en su blog: ¡Toca hacer limpieza!

Me alegra que haya recogido la noción de respetar la protección de datos personales como propuesta única de venta (USP) en un campo cada vez más centrado en los clientes como es el nuestro. En medio del revuelo mediático que se ha formado alrededor de las cookies hay que aclarar que, si bien la protección de datos tiene que ver con las cookies, también está relacionada con las condiciones de servicio, con cómo se recogen y se procesan los datos dentro de la política de privacidad. Hay que centrarse en el cliente, no limitarse a cumplir con los aspectos legales.

Y por qué no decirlo, ¡también hay que dejar de obsesionarse con cómo se aplica la normativa en cada país! La nueva normativa está al caer, pero eso no significa que hacer negocios con la UE vaya a conllevar adaptarse a 27 legislaciones diferentes. En Europa nos ponemos un poco especialitos con la protección de datos de carácter personal, ¡pero tampoco somos tontos!

No obstante, si quieres enterarte de lo que se cuece con Google Analytics con pelos y señales, échale un ojo al magnífico post de Brian Clifton para ir empezando.

La diferencia entre Europa y EE.UU.

La UE y EE.UU. también entienden de manera diferente este tema tan sensible. Mientras que los europeos hablamos de la protección de datos personales, la privacidad es un término que se ha acuñado recientemente, sobre todo aquí en España, dado que es una palabra importada.

Aquí en Europa tratamos el asunto como un derecho natural mientras que nuestros amigos estadounidenses han abierto un debate sobre el tema. Para nosotros la privacidad entra en juego en cuanto se recopilan y procesan datos de carácter personal que posibilitan una elaboración de perfiles. Por lo tanto, no se trata de regular únicamente cookies propios o de terceros, ¡sino de analizar lo que se hace con esos datos!

La privacidad no es un lobo solitario

Hay que tener en cuenta que la normativa sobre la protección de datos personales convive con otras leyes sobre el comercio, la seguridad, etc., y huelga decir que algunos aspectos de estos textos afectarán a la protección de datos. El ejemplo más habitual es el de la seguridad de organismos como Interpol, que pueden saltarse determinadas limitaciones, o el de las instituciones europeas. Que la web de la Sra. Reding emplee Google Analytics no debería levantar ampollas jurídicas. Por último, el debate entre el derecho al olvido y la obligación de almacenar determinados datos durante un número X de años para según qué transacciones requerirá una decisión consensuada sobre lo técnica y lo legalmente posible.

Ejemplos de buenas prácticas actuales

El debate en sí debería centrarse en los datos y las personas, y no en el hecho de que una cookie se integre o no en una máquina.  El quid de la cuestión es establecer quién va a gestionar los datos y con qué fin. También es importante informar a los usuarios sobre los datos que necesita una página para ofrecer un servicio correcto y sobre cómo se van a usar dichos datos para la publicidad, la venta cruzada y la venta dirigida. Por último, también es importante que los clientes tengan la opción de aceptar algunas cosas y de rechazar otras.

En España (cuya normativa sobre protección de datos es una de las más estrictas de la UE) existen ya algunos casos de buenas prácticas en el sector de las telecomunicaciones que ofrecen a los usuarios diferentes niveles de participación:

Fuente: simyo.es

Asimismo, el respeto a la privacidad debe centrar la estrategia de recogida de datos si se aspira a convertir la privacidad en una propuesta única de venta (USP):

Fuente: pepephone.com.

Niveles de seguridad

Este tema no es nuevo y debería enmarcarse dentro de lo que ya sabíamos sobre seguridad: algunos tipos de datos son más sensibles que otros.

Por lo tanto, al analizar el riesgo de protección de datos hay que emplear una clasificación basada en el nivel de seguridad requerido en cada caso:

  • Nivel 1: NDSG, nombre, dirección y situación geográfica.
  • Nivel 2: datos económicos y perfil.
  • Nivel 3: religión, datos médicos, preferencias sexuales y tendencia política.

La necesidad de incrementar el nivel de protección de datos personales y de privacidad surge de la evolución histórica de nuestra sociedad. No me sorprende que España, una democracia joven, considere la tendencia política como un dato sensible, y con razón.

¿Qué hacer?

¡Hay que auditar! Las auditorías sirven para obtener información sobre las cookies pero también sobre bases de datos y sobre cómo se están tratando los datos recogidos. Deberían verse como una oportunidad para ordenar los datos y determinar exactamente qué se recoge y aprovechar para compararlo con qué se necesita.

Para ello no solo hay que analizar cómo se procesan los datos en la empresa propia, sino intentar ayudar también a las empresas con las que trabajamos para que refuercen sus conocimientos acerca de la protección de datos personales, la privacidad y la seguridad.

Una empresa global que trabaja con más de 200 proveedores de servicios en todo el mundo debe definir las responsabilidades entre dicha empresa y los subcontratistas para evitar infracciones o meteduras de pata involuntarias.  Los contratos están muy bien pero, en realidad, solo sirven para acumular polvo.

De ahí que un representante de una empresa de International Life Sciences haya hablado de colaborar con los proveedores de servicios de diferentes maneras para concienciarles de la creciente necesidad de emplear buenas prácticas. Hay muchas maneras de hacerlo, ya sea a través de talleres, de darles tiempo para replicar la infraestructura, de analizar situaciones de crisis, etc.

Lo que tienen que hacer los 27 países de la Unión es demostrar que están avanzando en la protección de datos y que están poniendo en marcha procedimientos relacionados.

No podemos perdernos en otro drama como el que está afectando ahora a los Países Bajos, y que nos recuerda a cómo estaban las cosas en Reino Unido antes del 26 de mayo de 2012.

El anuncio de la normativa en enero de 2012 ha arrojado algo de luz sobre cómo se está gestionando esta cuestión en cada uno de los países europeos: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

¡Espero que os haya resultado interesante!

Fue genial conocer a gente nueva, reencontrarme con viejos conocidos y pasar 48 horas debatiendo qué ha cambiado y qué sigue igual en el sector desde que me tomé un respiro para dedicarme a mi hija Sofía.

Ya estoy contando los días para la cita del año que viene en… ¿Mallorca?

The English version of this blog post can be found on Mind Your Analytics. Please click here to read it.