La entrada en vigor del Reglamento General de Protección de Datos (RGD), con el fin de proteger los datos personales de los ciudadanos europeos, ha reforzado las restricciones impuestas a las empresas que recogen y comparten datos en el curso de sus actividades.

Como “torre de control” de las etiquetas (que son piezas de código ejecutadas por el navegador que activan el depósito de cookies y el envío de datos al exterior), el Sistema de Gestión de Etiquetas (TMS) está en realidad en el centro del tema. Se basa en una capa de datos -el datalayer- que puede alojar datos sensibles (dirección de correo electrónico, número de tarjeta de fidelización, nombre/nombre, etc.), gestiona el contenido de las etiquetas -por lo tanto, la naturaleza de los datos compartidos- y permite o no el desencadenamiento de estas últimas y, por lo tanto, el depósito de cookies y la puesta en común de datos con otros actores. Veamos cómo hacer de las prácticas de gestión de etiquetas una verdadera palanca de cumplimiento.

El TMS es una herramienta central en el proceso de cumplimiento de la RGPD

Declaraciones de la rentaAlgunos proveedores han aprovechado esta oportunidad desarrollando módulos específicos. Para ser compatibles, los sitios deben permitir al usuario consentir o no la colocación de cookies (ya que son estas últimas las que identifican a las personas), a menudo en función del tipo de uso al que se vinculan dichas cookies. Los propios modulos puede permitir esto con la adición de un módulo de privacidad electrónica (o una herramienta de terceros como OneTrust puede conectarse al TMS para obtener el mismo resultado) y supeditar la activación de las etiquetas (y, por lo tanto, el depósito de cookies) al consentimiento.

En concreto, esto significa que el responsable del TMS deberá clasificar los diferentes tags integrados en un sitio a través de este TMS (tags estrictamente necesarios para el buen funcionamiento del sitio, tags de “conocimiento del cliente” -análisis, test A/B….- y tags publicitarios -redes sociales y partners). Este último gestionará entonces la activación de las etiquetas en función del tipo o tipos de consentimiento recogidos. Este es un primer (gran) paso hacia el cumplimiento!

A continuación, la capa de datos -la capa de datos en la que se basan las etiquetas gestionadas por el TMS- debe cumplir con las restricciones reglamentarias: todos los tipos de datos personales o de identificación deben ser anonimizados (mediante hashage, encriptación o tokenización) tan pronto como se instancien en el datalayer.

Entrada en vigor del Reglamento General de Protección de Dato

También es necesario validar previamente la necesidad de mantener tal o cual dato dentro del datalayer, de acuerdo con el principio de minimización de datos, que exige la adecuación entre el tratamiento de un dato y su uso en el contexto de la actividad de la empresa. Esto reduce en gran medida el riesgo de filtraciones de datos confidenciales, especialmente a socios o actores malintencionados.

Por último, dado que los emplazamientos evolucionan con el tiempo (y las etiquetas que se activan con ellos), es muy importante establecer procedimientos de control regulares para garantizarlo:

  • Las etiquetas no se activan sin consentimiento previo
  • Llos datos compartidos a través de la activación de etiquetas se comparten en un formato seguro
  • Los socios que reciben los datos a través de etiquetas activadas en un sitio son efectivamente “socios autorizados”.

librosCon este fin, soluciones de supervisión como Seenaptic permiten automatizar estos controles o incluso someter la activación de las etiquetas a una lista blanca previa (en particular, para gestionar el problema del “piggybacking”, es decir, la activación de las etiquetas por otras etiquetas, en cascada) y justificar así la aplicación de medios avanzados en la protección de los datos personales a la CNIL. A modo de recordatorio, pueden imponerse multas de hasta 20 millones de euros o el 4% del volumen de negocios internacional en caso de que se demuestre la existencia de una infracción.