Las claves para el cumplimiento RGPD en los diferentes modelos de negocio: B2B, B2C y B2B2C

El RGPD es un reglamento complejo en cuanto a su cumplimiento normativo: abarca muchos sectores, afecta a un ingente número de empresas y está presente en todo el ciclo de vida de un cliente o usuario. Pero, además, para garantizar que el tratamiento de datos se realiza según determina la normativa se han de tener en cuenta otras características como, por ejemplo el tipo de modelo empresarial en el que se puede clasificar cada compañía: B2B, B2C o B2B2C (más complejo).

En esta entrada de nuestra serie de contenidos sobre el RGPD repasamos el cumplimiento normativo del Reglamento General de Protección de Datos aplicado a estos modelos.

Cuando hablamos de negocios B2B hacemos referencia a aquellos modelos empresariales en los que “las transacciones de bienes o prestación de servicios se producen entre dos empresas”.

En este caso, las organizaciones establecen vínculos con otras compañías y, como consecuencia se generan, comparten y almacenan grandes cantidades de datos, en ocasiones de carácter personal. Algunos ejemplos son los nombres de las empresas, de sus directores o empleados, el capital, otros datos económicos e información confidencial como números de cuenta, nombres y apellidos, correos electrónicos, direcciones IP, etc. Un caso típico en el que se comparten algunos de estos datos es el intercambio de información contractual entre cualquier empresa y cualquier sector, como proveedores de bienes y/o servicios entre empresas (créditos, productos de inversión, medios de pago…).

Las empresas del modelo B2C son aquellas que venden o sirven sus productos y servicios directamente a los clientes finales, sin presencia de intermediarios. Estas organizaciones manufacturan sus productos por sí mismas y los comercializan sin pasar por sistemas de distribución externos.

En este caso, al igual que el anterior, también se tratan datos personales de forma masiva, tanto de carácter identificativo (nombre, dirección postal, documento de identidad, número de teléfono, etc) como datos de carácter económico (número de tarjeta bancaria o de cuenta entre otros). En algunas ocasiones incluso se pueden enviar comunicaciones de tipo comercial, que, dependiendo del producto que se trate, pueden o no precisar del consentimiento por parte de la persona receptora.

Un ejemplo claro de este caso son las empresas de suministros de energía o de seguros, cuando solicitas el consentimiento al cliente antes de enviarle la oferta de un producto distinto al que tuvieran contratado.

En este tipo de modelo de negocio las empresas llegan a un consumidor final a través de otras compañías. Pero al mismo tiempo tienen la capacidad de interactuar con el cliente final a través de su propia marca. Es decir, tenemos a una empresa con modelo de negocio B2B (Business-to-Business) que se asocia con otra B2C (Business-to-Consumer). Esta sinergia implica una combinación de esfuerzos en la que el proveedor (B2B) establece una alianza comercial con sus distribuidores, mayoristas o minoristas (B2C), con el objetivo de llegar a más clientes finales.

Un ejemplo de ello son las empresas de servicios financieros que ofrecen sus productos a través de bancos o corredores de seguros.

En cualquiera de los modelos de negocio anteriores, las empresas tienen que tratar datos de carácter personal y por tanto deben de cumplir con lo dispuesto en la normativa vigente del Reglamento General de Protección de datos, en los países y casos aplicables.

¿Quiere decir esto que una empresa no puede enviar correos electrónicos e intercambiar comunicaciones con el personal de otra compañía?

En este caso, con carácter previo, la empresa remitente tiene que verificar que puede comunicarse con esa persona conforme lo dispuesto en el RGPD. Existen seis bases legales para tratar los datos personales: consentimiento, contrato, obligación legal, intereses vitales, tarea pública e interés legítimo.

Bajo el interés legítimo, los datos se deben utilizar de la manera que la gente razonablemente espera, pero también tiene un impacto mínimo en la privacidad (en caso de que se infrinjan los derechos de una persona, sus derechos prevalecerán sobre el interés legítimo). Así, la compañía tendrá que asegurarse de que envían correos electrónicos a las personas adecuadas con un mensaje que les puede interesar.

En cambio, si la empresa que quiere enviar la comunicación ha obtenido un consentimiento verificable a través de un formulario de registro, por ejemplo, puede proceder sin problemas. Como responsable de tratamiento de los datos, es importante recoger el consentimiento de forma válida, y además es preciso custodiarlo. Por lo tanto, la obtención del consentimiento se tiene que realizar a través de cualquier canal que permita tener constancia de su recepción, email, llamada, y/o WhatsApp, entre otros.

Sin embargo, decidir qué base jurídica aplicar puede ser complicado y, por lo tanto, nuestra recomendación a cualquier responsable tratamiento es que consulte al delegado de Protección de Datos de su organización.

Por último, si la dirección de correo electrónico a la que se remite la información no está vinculada a ninguna persona (por ejemplo, info@company.com), puede quedar incluso fuera del alcance de los “datos personales”.

¿Qué más tenemos que considerar? En el caso de que se acuda al interés legítimo como base para el envío de comunicaciones comerciales, se tiene que facilitar que el usuario y/o cliente pueda oponerse con facilidad.

Si la base es el consentimiento, entonces la persona que recibe la comunicación tiene derecho a retirarlo en cualquier momento. Y la empresa está obligada a detener el tratamiento en cuanto esto ocurra.

Existen algunas claves para garantizar el cumplimiento del RGPD y, por tanto, evitar sanciones (en el caso de España, por parte de la Agencia Española de Protección de Datos, de las más activas de Europa). Estas recomendaciones son:

• Hay que aplicar el principio de minimización de datos: cuantos más tipos de datos se traten, mayor será el riesgo de incumplimiento.
• Es crucial identificar y analizar la base jurídica para el tratamiento de datos personales. Lo mejor es hacerlo junto con un profesional legal.
• Las políticas de privacidad deben ser fáciles de leer y comprender y ofrecer un acceso sencillo. Además, han de contener información correcta y permanentemente actualizada.
• Los sistemas tienen que ser revisados de forma habitual para comprobar que funcionan acordes con el RGPD.
• Se debe mantener un registro válido de consentimientos.

Desde 2018, el Reglamento General de Protección de Datos (RGPD) regula el tratamiento de los datos personales de personas físicas, lo que conlleva una compleja gestión que en el MailComms Group, a través de nuestra consultoría RGPD y tecnología propia, te podemos facilitar. Nuestra solución para la gestión de consentimientos RGPD te permitirá manejar de forma integral los consentimientos durante todo el ciclo de vida del cliente.