Tractament i organització de la informació d’atenció al client

En l’empresa és freqüent també la utilització de les bases de dades com a sistema d’arxivament d’aquella informació susceptible de ser utilitzada de manera freqüent.

Les bases de dades ens permetran tenir centralitzat tot un conjunt d’informació. A més, aquesta, en estar informatitzada, serà fàcilment editable i en conseqüència s’hi podran anar introduint modificacions quan sigui necessari sense haver d’emplenar una nova fitxa.

Pensem en un exemple: una fitxa d’un client o d’un proveïdor que ha de contenir tota la informació que ens permetrà posar-nos en contacte amb ell i generar documents com ara comandes, factures, etc. Podríem tenir aquest conjunt de dades en paper exclusivament, però això comportaria una sèrie d’inconvenients. Si diversos departaments de l’empresa haguessin de fer servir aquestes dades haurien de disposar d’una còpia. A més, si per exemple un client o un proveïdor canvia d’adreça i ho comunica a un departament de la nostra empresa podria ser que aquesta informació no arribés a la resta de departaments d’una manera suficientment àgil per evitar que s’originin problemes. També caldrà tenir en compte que aquesta modificació de les dades comportarà que s’hagi d’omplir una nova fitxa per al client amb les noves dades.

Si pel contrari fem servir una base de dades compartida, en ser única i accessible a totes les persones que l’han de fer servir, en modificar continguts del registre corresponent al client o proveïdor que ha variat la seva adreça, la nova informació estarà disponible immediatament per a tots els treballadors de la nostra empresa.

D’aquesta manera evitarem possibles problemes, ja que el client o proveïdor que comunica la modificació de les seves dades a la nostra empresa espera que aquest canvi sigui conegut pels diferents departaments de la mateixa.

Així doncs, els avantatges que suposa la utilització de les bases de dades estan determinats pel fet que es garanteixen les següents funcions:

• Concurrència d’usuaris. És a dir, hi poden accedir diferents usuaris al mateix temps sense que això suposi cap pèrdua en es dades.
• Redundància mínima. És a dir, el disseny de la base de dades ha de tenir com a objectiu que la repetició de dades sigui mínima.
• Consistència de les dades. Quan hi ha referències a una mateixa dada des de diferents taules cal garantir que en actualitzar-la en una de les taules també s’actualitzarà a la resta.
• Integritat de les dades. Cal establir les mesures de seguretat necessàries per evitar la pèrdua de dades en els processos d’actualització.
• Còpies de seguretat. Cal fer còpies de manera periòdica per tal que, en cas de pèrdua de dades, es pugui restaurar la còpia de seguretat.
• Independència de l’estructura. La base de dades ha de ser independent de les aplicacions que la fan servir, així no caldrà modificar-la perquè sigui operativa en les diferents aplicacions.
• Independència de la localització física. Els usuaris poden accedir a les dades sense haver de conèixer-ne la localització.
• Control d’accés. L’accés a la base de dades ha d’estar controlat amb un sistema de seguretat adequat.

La figura mostra l’estructura d’una base de dades amb tota la informació necessària per gestionar les comandes dels clients. Hi ha un total de set taules que contenen informació de departaments (“dept”), empleats (“emp”), clients (“customer”), comandes (“ord”), línies de comanda (“item”), productes (“product”) i preus d’aquests productes (“price”).

El camp clau de cadascuna de les taules és el que està marcat amb un tic. Per exemple, en la taula que conté les dades els empleats, “Emp”, el camp clau és Empno2, o sigui, el número de l’empleat. Es tracta de camps que contenen alguna dada que identifica els registres de cada taula de manera inequívoca. En les taules “Item” i “Price” la clau és composta, això vol dir que està formada per dos camps, atès que cap dels camps de la taula per ell sol permetria identificar els registres de manera inequívoca.

Les línies que uneixen les taules representen les relacions que hi ha entre aquestes. Les relacions són sempre entre dos camps iguals, i cal que almenys un d’aquests camps sigui clau en una de les taules. El nom del camp no cal que sigui el mateix, el que ha de ser igual és el seu contingut, o sigui, les dades que conté.

A part de la funció de registre i arxiu, l’organització de les dades sobre els clients en bases de dades i el seu manteniment i actualització és un procés realment profitós, ja que es tracta de persones amb les quals l’empresa ha tingut algun contacte previ, generalment perquè han respost de manera favorable a alguna iniciativa de comunicació (han sol·licitat rebre el catàleg de productes, han fet preguntes sobre el producte, etc.).

Les empreses se serveixen de l’anàlisi dels perfils i els comportaments dels consumidors que han recollit en les seves bases de dades per identificar les persones a les quals adreçaran les iniciatives de màrqueting i oferir-los una proposta adaptada a les seves necessitats i característiques.

La informació que s’obté amb l’anàlisi de les bases de dades de clients i persones contactades és, de fet, una les més valuoses per a l’empresa, atès que les iniciatives de màrqueting entre les persones que han adquirit els productes en alguna ocasió anterior, o que s’hi han mostrat interessades, són les que acostumen a obtenir els millors resultats quant a rendibilitat per client.

En l’actualitat, les organitzacions capturen una quantitat ingent d’informació dels seus clients mitjançant els diversos dispositius amb els quals aquests hi contacten. Aquest gran volum de dades es coneix com a dades massives o big data i té un enorme potencial per millorar la gestió tant interna com externa de les empreses.

Aquestes dades es poden utilitzar per prendre decisions en diferents àmbits, com ara conèixer més el client, personalitzar l’oferta i la informació que li dirigim, decidir preus, etc.

Les dades massives permeten canviar la segmentació tradicional, que s’utilitza per classificar els clients en grups d’acord amb determinades característiques per una segmentació molt més personalitzada. Aquesta segmentació tan acurada permet fer propostes més encertades, que incideixen només en les necessitats concretes de cada client en lloc de fer-ho també en allò que no necessita.

Un major coneixement del client permet comprendre’l millor i com a conseqüència millorar les propostes comercials que se li adrecen i, per tant, la qualitat del servei.

Abans de les dades massives, el risc d’errors en l’oferta i l’atenció al client era més gran. Ara la informació disponible permet mesurar l’efectivitat del contacte amb el client i, a partir d’aquí, establir els filtres oportuns per millorar l’oferta i augmentar la vinculació amb els usuaris.

Les sigles CRM (Customer Relationship Management o gestió de la relació amb els clients) fan referència a l’estratègia de negoci basada a satisfer les necessitats del client, però també a les eines informàtiques que donen suport a aquesta estratègia.

Aquestes eines permeten que les empreses puguin recopilar dades que permetin cada vegada dibuixar un perfil més acurat del client i atendre’l adequadament i d’una manera més personalitzada, és a dir, donant-li exactament allò que espera. Tot això amb l’objectiu d’aconseguir millorar la seva satisfacció i, com a conseqüència, incrementar les vendes.

Una aplicació CRM permet identificar i conèixer millor els clients, saber qui són, quins són els productes o serveis que més contracten, amb quina freqüència ho fan, des de quin lloc i a través de quin canal.

En centralitzar tota la informació disponible, el CRM, a més, facilita enormement els processos interns de l’empresa perquè funciona com a recordatori i ens proporciona de manera automàtica tota aquella informació rellevant per al tracte amb el client, com ara les vegades que se li ha trucat, les accions comercials realitzades i la resposta que se n’ha obtingut, els problemes recurrents i els productes que els generen, etc.

A part, com que la relació d’un usuari amb una companyia varia al llarg del temps, les aplicacions CRM permeten dibuixar-ne un perfil dinàmic. És possible que un client que inicialment estava satisfet tingui algun problema i deixi de tenir una visió positiva del servei que li estem prestant. Si disposem d’aquesta informació podrem adaptar la comunicació amb el client per resoldre incidències i aconseguir així una millora del servei.

Els CRM permeten crear gràfics amb ràtio de pèrdua de clients i associar-hi les causes. D’aquesta manera, la planificació de les campanyes comercials pot ajustar-se a la realitat de manera molt més acurada i amb moltes més possibilitats d’èxit.

La personalització del tracte i la segmentació de les ofertes en funció de les necessitats de cadascú produeix més satisfacció al client i potencia la fidelització i la lleialtat d’aquest. Els clients lleials acostumen a parlar bé de l’empresa i en fan una promoció gratuïta i molt eficaç.

El funcionament d’un CRM es basa en dues eines bàsiques, un data warehouse i un data mining:

• Els data warehouse s’encarreguen d’extreure i filtrar les dades que procedeixen de les diverses aplicacions operatives de l’empresa per tal d’integrar-les i organitzar-les en un magatzem comú que permet un fàcil accés cada vegada que es necessiten.
• La mineria de dades o data mining engloba un conjunt de tècniques estadístiques que permeten analitzar aquestes grans masses de dades. Gràcies a aquestes tècniques es poden identificar patrons de comportament i afinitats, que ajuden a comprendre millor els consumidors.

Hi ha diversos models d’aplicacions CRM que automatitzen el control de la relació amb el client i que faciliten el procés de venda, des de les que ofereixen les grans companyies fins a les que es basen en programari lliure, i la major part ofereixen també una solució en línia.

Tot i que les funcionalitats que ofereix cada aplicació poden variar, totes tenen una estructura bàsica similar que comprèn un mòdul de vendes, un mòdul de suport o incidències i un mòdul de màrqueting. A més d’aquests mòduls, també incorporen altres eines administratives com ara un calendari, un gestor documental, activitats (reunions, trucades, tasques) o informes.

El mòdul de vendes permet gestionar els clients i els contactes de cada empresa de manera eficient i tenir un historial ordenat i actualitzat. Des d’aquest mòdul podrem fer l’anàlisi del nostre embut de vendes o pipeline i veure les oportunitats de venda, el seu comportament en el temps, l’eficiència de la nostra força de vendes, etc.

Per a l’anàlisi de l’embut de vendes cal familiaritzar-se amb els diferents conceptes que s’utilitzen amb cadascuna de les fases del procés: comptes, contactes, clients potencials i oportunitats.

Els comptes són totes les entitats amb les quals ens relacionem, empreses, clients, proveïdors, competència. Les persones amb les quals tenim una relació són els contactes, algunes de les quals poden estar vinculades a un compte.

Els clients potencials o candidats són els contactes que es troben en un primer estadi dins del procés de venda. Les oportunitats són les accions que ens obren una ocasió de venda real. Per a algunes empreses, les oportunitats neixen amb la presentació d’un pressupost formal, però per a d’altres poden néixer amb l’acceptació d’una reunió. Cada empresa haurà d’establir quina “fita” suposarà l’obertura d’una oportunitat i fer-ho saber a tots els empleats que utilitzin el CRM. A mesura que la relació s’estrenyi, les oportunitats es podran anar convertint en contactes.

L’organització de les tasques es fa mitjançant projectes. Cada projecte constitueix un esforç temporal, únic i progressiu, emprès per crear un producte o un servei. Els projectes permeten organitzar i administrar recursos de manera que es pugui culminar la feina requerida amb l’abast i dins del termini definits.

Els CRM permeten anar vinculant als diferents contactes o projectes les activitats que ens ajudaran a portar a terme la feina, com ara reunions, trucades, enviament de correus electrònics, notes, etc.

Per a un òptim funcionament de l’aplicació és imprescindible el manteniment i l’actualització de les dades. Cal, per exemple, registrar qualsevol canvi que es produeixi en les oportunitats gràcies a les gestions de venda, i és també molt important que aquestes oportunitats estiguin quantificades amb un import al més real possible, ja que d’aquí extraurem la informació relativa als pressupostos presentats i a les vendes guanyades o perdudes.

Una bona anàlisi de l’embut de vendes ens ajuda a entendre la gestió comercial de l’empresa i a mesurar la seva eficiència en el temps. Podrem saber, per exemple, si l’ acció comercial de la nostra empresa és impulsada majoritàriament cap al desenvolupament de nous clients o, pel contrari, es basa en la penetració del mercat amb clients existents, i podrem saber també davant de quin tipus d’embut de vendes ens trobem:

• Embut fals: quan tenim més possibilitats que oportunitats.
• Embut dens: quan tenim moltes oportunitats estancades.
• Embut aturat: quan tenim moltes oportunitats a punt per tancar i no arribem a fer-ho.
• Embut equilibrat: quan el nombre d’oportunitats en les diferents etapes de desenvolupament està equilibrat.

El mòdul de màrqueting permet gestionar les diferents campanyes de comunicació que es portin a terme. Un dels principals objectius de qualsevol empresa és establir una comunicació fluïda i eficaç amb els seus clients, i una de les tècniques més utilitzades per aconseguir aquesta comunicació és el màrqueting per correu electrònic. Aquest tipus de màrqueting directe s’utilitza per fer arribar als clients i als clients potencials determinada informació comercial mitjançant el que s’anomena campanyes.

En general, una campanya és una acció divulgativa que té com a objectiu arribar a un públic determinat. Les campanyes es poden dur a terme per diferents mitjans: ràdio, TV, premsa, correus electrònics, etc.

En tots els casos podem obrir al CRM una fitxa informativa i descriptiva de la campanya amb els seus objectius i la informació rellevant que considerem per tal de planificar-la en el temps. En el cas de les campanyes de correu electrònic, a més de planificar-les, el CRM ens permetrà també monitoritzar-les i controlar-les: podrem segmentar el públic objectiu, personalitzar els missatges, identificar les oportunitats i mesurar-ne els resultats.

Algunes de les aplicacions CRM més conegudes al mercat són:

• Zoho: www.zoho.com
• Insightly: www.insightly.com
• Sugarcrm: www.sugarcrm.com
• Odoo: www.odoo.com/es_ES (és un ERP, que inclou un CRM entre altres eines)

No obstant això, la tecnologia per si mateixa no determina l’èxit o el fracàs de la implantació d’un CRM, que s’ha d’acompanyar d’una redefinició dels objectius de diferents àrees de l’empresa i de la implicació dels treballadors. Perquè la implantació tingui èxit és imprescindible que les diferents àrees de l’empresa estiguin alineades amb la gestió de la relació amb els clients i que treballin en la mateixa direcció.

Gran part de la informació de l’empresa es troba escrita en documents. Molts són documents en suport paper i d’altres ja són documents originalment generats en format digital. Treballar amb documents en format digital permet estalviar paper, però també consumibles d’impressió, arxivadors, espai físic, etc. A més, el format electrònic permet agilitzar els fluxos d’informació dins de l’empresa i fins i tot automatitzar-ne alguns, atès que ens permet compartir informació entre els ordinadors connectats en xarxa.

A part de compartir arxius, la gestió documental és també un mitjà per distribuir i gestionar la documentació en format digital d’una organització. Les aplicacions que podem trobar al mercat, conegudes també com ECM (Enterprise Content Manager o gestors de contingut empresarial) disposen d’un gran nombre de funcionalitats que permeten portar a terme una gran diversitat de tasques. Les funcionalitats més habituals que ofereixen aquestes aplicacions són:

• Repositori documental. És a dir, un lloc centralitzat on emmagatzemar i mantenir informació digital, com ara bases de dades, documents informàtics, etc. El repositori permetrà la gestió centralitzada i integrada de qualsevol tipus de document de l’empresa,i sovint és accessible via web tant des de la intranet com des de l’extranet de l’empresa.
• Fluxos de treball o workflows ajustats a les necessitats de diversos processos de negoci o de gestió: notificació, validació, etc.
• Control de versions i històric de documents. Mantenen un historial de les accions dels usuaris i sovint permeten la notificació automàtica de determinats esdeveniments, de forma que les persones interessades poden rebre avisos dels canvis que es facin en els documents que siguin del seu interès.
• Indexació de continguts. Sovint disposen de sistemes d’etiquetatge automàtic o d’autoclassificació dels documents que en faciliten l’organització i agilitzen les cerques. També solen incorporar un sistema de reconeixement òptic de caràcters, l’OCR, que permet convertir a text els diferents formats.
• Gestió de continguts web. Els sistemes de gestió de continguts permeten crear, modificar i gestionar de manera àgil i controlada els continguts de les pàgines web.

Així doncs, entre els avantatges del programari de gestió documental en destaquen els següents:

• Facilita l’organització de les diferents versions d’un document. Deixa com a vigent la més actualitzada i manté les versions antigues emmagatzemades. Això genera un gran estalvi en la recerca de documentació, ja que evita la ineficiència de les persones en la cerca de documents, sovint distribuïts en carpetes compartides o bústies de correu electrònic, on ningú recorda quina era la darrera versió.
• Dóna informació sobre les darreres modificacions dels documents. Normalment, aquest tipus de programes incorporen un control de canvis on s’especifiquen les modificacions que s’han anat introduint.
• Es poden predeterminar permisos d’accés i d’edició a cada tipus de document. S’estableix un circuit per a cada document on es detalla qui el crea, qui el revisa i qui l’aprova. La resta d’usuaris només el podran visualitzar o descarregar, però no podran desar-lo al programa. Així qualsevol pot accedir al programa i tenir una certa garantia que es troba davant del document vigent.
• Té un accés ràpid a la documentació des de qualsevol lloc (molts cops aquestes plataformes són accessibles des de qualsevol lloc amb accés a Internet).
• Permet indexar tot el contingut dels documents, de manera que es pot agilitzar molt la cerca utilitzant paraules clau o combinant criteris de cerca en el cercador integrat.
• Permet automatitzar els processos, assegurant així la qualitat i evitant la generació d’un gran nombre de documents. Per exemple, si es defineixen fluxos de validació de la documentació que es vagi generant s’eviten trucades o correus electrònics superflus per demanar que un document es revisi abans de passar-lo a la següent persona en la cadena de validació.
• Permet reduir les despeses i incrementar la productivitat. Si la informació i la documentació està centralitzada i és accessible de manera eficaç i eficient, el personal podrà desenvolupar millor les seves funcions i s’evitaran els problemes derivats de la circulació i de l’acumulació innecessària de paper.

En la vida quotidiana de l’empresa es gestionen contínuament dades de clients, proveïdors, treballadors, etc. Les dades personals d’aquests poden ser diverses: noms, cognoms, DNI, circumstàncies personals, poder adquisitiu, etc. Una qüestió de vital importància en relació amb la recollida i l’arxiu d’aquesta informació és el compliment del que estableix la legislació sobre els drets que assisteixen les persones respecte a la protecció de les seves dades personals, concretament:

• Reglament general de protecció de dades, RGPD (UE2016/679), en vigor des del maig de 2016 i que és d’aplicació efectiva des del maig del 2018.
• Llei orgànica 3/2018, de 5 de desembre, de Protecció de dades personals i garantia dels drets digitals (LOPDGDD), que va derogar la Llei orgànica 15/1999, de 13 de desembre (LOPD), i que té per objectiu adaptar l’ordenament jurídic espanyol al Reglament general de protecció de dades (RGPD), i complementar-ne les disposicions, i garantir els drets digitals de la ciutadania.
• Reial decret llei 994/1999, d’11 de juny, que regula les mesures de seguretat dels fitxers que contenen dades de caràcter personal.

El Reglament general de protecció de dades (RGPD) és d’aplicació efectiva des del maig del 2018 i la Llei orgànica 3/2018, de Protecció de dades personals i garantia dels drets digitals (LOPDGDD), va entrar en vigor el 7 de desembre de 2018.

Cal tenir en compte que, d’acord amb el Tractat de Funcionament de la Unió Europea, els Reglaments europeus tenen abast general i són obligatoris i directament aplicables a tots els Estats membres. A diferència de les Directives, els Reglaments no han de ser transposats a l’ordenament intern dels estats membres.

Així, tot i que un dels objectius de la LOPDGDD és adaptar l’ordenament jurídic espanyol a l’RGPD, la protecció de dades queda regulada en part pel Reglament i en part per la Llei, atès que la Llei no ha de reiterar, necessàriament, allò que ja està regulat a la norma europea.

L’RGPD exigeix que totes les empreses, autònoms i organismes públics o privats, que tracten amb dades de caràcter personal, siguin proactius a l’hora de protegir aquestes dades.

La creació i manteniment d’un fitxer de dades personals exigeix l’aplicació d’unes determinades mesures de seguretat, tant tècniques com organitzatives, que poden variar en funció de la major o menor sensibilitat de les dades que l’integren.

L’RGPD no fa una relació dels punts que cal complir, sinó que exigeix que cada empresa porti a terme una anàlisi de riscos als quals poden estar sotmeses les dades personals que tracta, els avaluï i, en funció d’això, decideixi i determini quins mitjans i mesures ha d’aplicar. .

Aquestes mesures són les que han de figurar al registre d’activitats de tractament que exigeix l’RGPD, on cal explicar quines dades es tracten, per a què i a qui se cedeixen, entre d’altres.

A més, l’RGPD també estableix que les bretxes de seguretat del sistema que puguin tenir un impacte en la privacitat s’han de comunicar a l’AEPD i, si és el cas, als afectats, de manera individual.

L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’LOPD, però sí que estableix unes categories especials de dades equivalents a aquelles a les quals corresponia un nivell alt de protecció i estableix, també, dues noves categories de dades de caràcter personal: les dades biomètriques, relatives a les característiques físiques, fisiològiques o conductuals d’una persona, i les dades genètiques, sobre característiques heretades o adquirides que s’hagin extret d’una mostra biològica.

Així, l’RGPD distingeix, entre d’altres, dades identificatives, característiques personals, dades laborals, acadèmiques o economicofinanceres o dades relatives a infraccions o sancions administratives. Quant a les categories especials, distingeix dades sobre l’origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques, biomètriques, relatives a la salut o a la vida o l’orientació sexual, o dades relatives a condemnes i infraccions penals.

L’RGPD deixa a criteri del responsable i de l’encarregat del tractament, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit però, en qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc que suposin les diferents categories de dades.

Les empreses, autònoms i organismes públics o privats, que tracten amb dades de caràcter personal, com a responsables del tractament d’aquestes dades, són els que determinen el propòsit i els mitjans del tractament.

L’administració i les empreses que gestionen dades sensibles o de risc, o que realitzen estudis de mercat, han de tenir la figura del delegat de protecció de dades. El delegat de protecció de dades (DPD) ha de ser una figura independent dins de l’empresa, per evitar qualsevol conflicte d’interessos, i ha d’acreditar coneixements especialitzats en dret i en la pràctica de protecció de dades, a través d’una titulació universitària.

La designació d’un delegat de protecció de dades és necessària en els sectors següents:

• Col·legis professionals (Col·legi d’Advocats, Col·legi de Metges, Col·legi d’Arquitectes, etc.).
• Universitats públiques i privades.
• Entitats que explotin xarxes socials i prestin serveis de comunicacions electròniques.
• Entitats que desenvolupin activitats de publicitat i prospecció comercial .
• Centres sanitaris.
• Empreses de seguretat privada.
• Establiments financers de crèdit.
• Entitats asseguradores i reasseguradores.
• Empreses de serveis d’inversió regulades per la legislació vigent i aplicable en Mercat de Valors.

El responsable del tractament, o el delegat si és el cas, ha de garantir el compliment de la normativa legal que fa referència a la protecció de dades i a la formació del personal i té l’obligació de notificar, a l’Agència Espanyola de Protecció de Dades i en un termini de 72 hores, les bretxes de seguretat que es produeixin en la seva organització.

Si el responsable del tractament encarrega el tractament de les dades a una empresa aliena que, per tant, té accés a les dades cal signar un contracte de tractament de dades que reguli la relació que els vincula.

El contracte de tractament de dades ha d’establir, com a mínim, l’objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i les categories d’interessats, així com les obligacions i els drets del responsable. Concretament, ha d’incloure:

• Les instruccions del responsable del tractament.
• El deure de confidencialitat.
• Les mesures de seguretat.
• El règim de la subcontractació.
• Els drets dels interessats.
• La col·laboració en el compliment de les obligacions del responsable.
• El destí de les dades en finalitzar la prestació.
• La col·laboració amb el responsable per demostrar el compliment.

El responsable del tractament ha de triar un encarregat del tractament que ofereixi garanties suficients respecte de la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d’acord amb el que estableix l’RGPD, i que garanteixi la protecció dels drets de les persones afectades.

A les bases de dades s’han de guardar únicament les dades que exigeix el marc legislatiu, i sempre amb l’autorització de cada titular. La protecció d’aquestes dades és fonamental i és per aquest motiu que el personal de l’empresa amb accés a aquestes dades ha d’estar registrat, declarat i ha de signar el compromís de confidencialitat amb l’empresa.

Cal assegurar que les empreses on s’allotgen les bases de dades proporcionen el nivell de protecció exigit per l’RGPD. L’RGPD s’aplica als responsables i encarregats de tractament de dades establerts a la Unió Europea i també als responsables i encarregats no establerts en la UE sempre que realitzin tractaments derivats d’ofertes de béns o serveis de ciutadans de la Unió Europea o com a conseqüència d’un monitoratge i seguiment del seu comportament.

D’acord amb l’RGPD, la transferència de dades a un tercer país no pot suposar en cap cas una reducció del nivell de protecció que estableix el Reglament. Aquest principi també s’aplica en les transferències posteriors de dades personals, des del tercer país a un altre tercer país o a una organització internacional.

Amb relació a l’LOPD, es tracta d’una garantia addicional per als ciutadans de la Unió Europea, ja que abans de l’aplicació de l’RGPD, aquestes empreses podien estar tractant dades de persones de la UE, i no obstant això, es regien per normatives d’altres països que no sempre ofereixen el mateix nivell de protecció. Per això, fins a l’entrada en vigor de l’RGPD, es recomanava que els servidors de les empreses d’allotjament estiguessin ubicats en un dels estats membres de la Unió Europea.

L’RGPD amplia les qüestions sobre les quals cal informar les persones a les quals se’ls sol·liciten dades personals i modifica alguns aspectes de la manera com s’ha de proporcionar aquesta informació.

L’obligació d’informar s’ha de complir sense necessitat de cap requeriment i el responsable ha de poder acreditar amb posterioritat que l’ha complert.

Així, en tot formulari on es recullin dades personals d’usuaris o clients, ja sigui per subscriure’s a un butlletí electrònic o per ingressar en una comunitat, és obligatori incloure un avís legal amb relació a la protecció de dades. D’acord amb l’RGPD, el contingut de l’avís legal ha d’incloure la informació següent:

• La identitat i les dades de contacte del responsable i, si escau, del seu representant.
• Les dades de contacte del delegat de protecció de dades, si escau.
• Les finalitats i la base jurídica del tractament al qual es destinen les dades personals.
• L’interès legítim perseguit pel responsable o per un tercer, quan el tractament es basa en aquest interès legítim.
• Els destinataris o les categories de destinataris de les dades personals, si escau.
• La previsió, si escau, de transferències a tercers països i l’existència d’una decisió d’adequació o de garanties adequades, i els mitjans per obtenir-ne una còpia.
• El termini o els criteris de conservació les dades personals.
• El dret a sol·licitar al responsable del tractament l’accés a les dades personals relatives a l’interessat, a rectificar-les o suprimir-les, a limitar-ne el tractament i a oposar-s’hi, així com el dret a la portabilitat de les dades.
• Quan el tractament està basat en el consentiment, el dret a retirar-lo en qualsevol moment, sense que això afecti la licitud del tractament basat en el consentiment previ a la retirada.
• El dret a presentar una reclamació davant una autoritat de control.
• Si la comunicació de dades personals és un requisit legal o contractual, o un requisit necessari per subscriure un contracte, i si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no fer-ho.
• L’existència de decisions automatitzades, inclosa l’elaboració de perfils. Si produeix efectes jurídics en l’interessat o l’afecta significativament, o afecten categories especials de dades, ha de contenir informació significativa sobre la lògica aplicada i sobre les conseqüències previstes d’aquest tractament per a l’interessat.

Quan la informació no s’obté de l’interessat, cal informar, a més, sobre els aspectes següents:

• Les categories de dades personals de què es tracta.
• La font d’on procedeixen les dades personals i, si escau, si procedeixen de fonts d’accés públic.

La informació s’ha de proporcionar en un llenguatge clar i senzill, adequat al nivell de comprensió de l’usuari. La informació ha de ser concisa i intel·ligible i s’han d’evitar les ambigüitats, les explicacions excessives o l’abús de cites legals, cercant un equilibri entre concisió i precisió.

Per trobar aquest equilibri, especialment quan la informació es recull per mitjans electrònics, les autoritats de protecció de dades recomanen que s’adopti un model d’informació per capes o nivells que consisteix a presentar una informació bàsica en un primer nivell, de manera que se’n pugui tenir un coneixement general, i oferir la informació addicional en un segon nivell.

Convé situar la informació bàsica en el mateix camp de visió que el lloc on s’ha de manifestar la conformitat amb el que se sol·licita i completar-la amb un o diversos enllaços cap a la informació més detallada.

L’avís legal ha de ser visible i s’acostuma a ubicar just a sota del formulari o se sol inserir al web un enllaç permanent visible a la política de privacitat.

Amb caràcter general, qui recull dades personals ha de poder acreditar que ha obtingut les dades amb el consentiment de les persones afectades. Cadascuna de les pàgines web des d’on s’obtenen les dades de caràcter personal ha d’incloure la informació mencionada anteriorment, de forma que l’usuari pugui obtenir-la amb facilitat i de forma directa i permanent.

El consentiment de l’usuari per al tractament de les seves dades no pot ser tàcit, ha de ser explícit. Perquè el consentiment es pugui considerar un consentiment inequívoc, hi ha d’haver una declaració de l’interessat manifestant la seva conformitat. Així, es prohibeixen pràctiques com ara el consentiment per inacció (“Si en un termini de 30 dies no manifesta …, entendrem …”) o, als webs, les caselles marcades prèviament. El consentiment s’ha d’obtenir per a cadascuna de les finalitats de tractament i el responsable del tractament de les dades ha de poder provar que el titular va portar a terme l’autorització.

També cal tenir constància de la data en què l’usuari facilita les dades a través del web, perquè la informació s’ha de conservar durant tot el temps que es tractin les dades i s’ha de poder demostrar que s’ha rebut el consentiment necessari per poder-ho fer.

En els casos en què les dades siguin recollides per a una finalitat diferent de la principal de la recollida, s’ha de donar l’opció a la persona que emplena les dades de manifestar que no desitja que les seves dades siguin tractades per a aquestes altres finalitats accessòries.

Les persones que faciliten les dades tenen dret a conèixer quines dades emmagatzema l’empresa i per què, a rectificar-les o suprimir-les, a limitar-ne el tractament i a oposar-s’hi, i també tenen el dret a la portabilitat de les dades:

• Dret d’accés. És el dret d’un mateix a sol·licitar i obtenir informació gratuïtament sobre si les seves dades personals es tracten, amb quina finalitat i quins usos concrets, d’on s’han tret, si s’han comunicat o es pretenen comunicar i a qui.
• Dret de rectificació. És el dret d’un mateix a rectificar gratuïtament les seves dades personals quan siguin errònies o incompletes.
• Dret de supressió. És el dret d’un mateix a suprimir gratuïtament les seves dades personals i a impedir-ne la difusió a internet (dret a l’oblit) quan:
  • Ja no són necessàries per a la finalitat per a la qual es van recollir.
  • Es revoca el consentiment en el qual es basava el tractament.
  • Hi ha oposició al tractament.
  • Les dades s’han tractat il·lícitament.
  • Les dades s’han tractat per complir una obligació legal o s’han obtingut en relació amb l’oferta de serveis de la societat de la informació adreçada a menors.
• Dret d’oposició. És el dret d’un mateix a sol·licitar gratuïtament que no es tractin les seves dades personals.
• Dret a la limitació del tractament. És el dret d’un mateix a restringir les operacions de tractament de les seves dades personals.
• Dret a la portabilitat. És el dret d’un mateix a rebre, en un format estructurat, d’ús comú i de lectura mecànica, les dades personals que ha facilitat a un responsable del tractament.

El responsable ha d’atendre la sol·licitud d’exercici d’un dret en el termini d’un mes des que la rep, prorrogable dos mesos més si és necessari, segons la complexitat i el nombre de sol·licituds. S’ha d’informar l’interessat de la pròrroga dins el termini del primer mes (des que es rep la sol·licitud) i indicar els motius de la dilació.

Si el consumidor no rep una resposta en el termini previst i la reclamació és contra una entitat del sector públic de Catalunya o contra una entitat privada vinculada a aquest sector públic, el consumidor s’ha d’adreçar a l’Autoritat Catalana de Protecció de Dades.

Si la reclamació és contra una entitat privada, la competència és de l’Agència Espanyola de Protecció de Dades. No obstant això, les reclamacions adreçades a aquesta entitat també es poden presentar davant l’Autoritat Catalana de Protecció de Dades, que s’encarregarà de traslladar-les a aquella institució.

L’empresa té la necessitat de garantir la confidencialitat i la seguretat de la informació i de la documentació que està en el seu poder i, per tant, ha de revisar constantment les normes preventives i els procediments establerts per a la protecció de la informació per tal d’adequar-los als nous riscos i emprendre les accions que permetin reduir-los i, en el millor dels casos, eliminar-los.

L’evolució dels mitjans per a l’elaboració, la transmissió i l’arxivament de la documentació digital ha representat una revolució en la manera com es desenvolupa la feina administrativa. Ara bé, també ha generat un nou escenari amb nous reptes. Tot i que els avantatges de la implementació de les noves tecnologies són patents i superen àmpliament els inconvenients (en són una bona prova la gran implantació que aquests mitjans tenen avui dia), el cert és que aquestes tecnologies també impliquen certs riscos que cal tenir presents per prevenir maldecaps.

Un dels grans avantatges d’Internet és que permet fer moltes gestions de manera no presencial. Ara bé, això també suposa certs riscos, com el fet que una tercera persona es pugui fer passar per nosaltres i fer gestions que la beneficiïn (la qual cosa ens pot causar greus perjudicis). També pot passar que terceres persones intentin accedir a les comunicacions i llegir els nostres missatges.

Per aquest motiu, les empreses poden prendre una sèrie de precaucions, com ara l’encriptació dels missatges o els certificats digitals.

Amb l’objectiu de millorar la seguretat de les gestions i les transaccions que es produeixen per mitjà d’Internet, i per evitar la suplantació per tercers, la Fábrica Nacional de Moneda y Timbre (FNMT) ofereix a qui ho sol·liciti el servei de certificació digital.

El Centre de Seguretat de la Informació de Catalunya (CESICAT) fa les següents recomanacions per protegir la confidencialitat de la informació que s’envia per correu electrònic:

• Si s’utilitzen llistes de distribució cal assegurar-se que, efectivament, tothom qui és a la llista pot tenir accés a la informació que s’envia.
• Si en respondre un missatge s’hi incorporen també altres destinataris cal assegurar-se que tots aquests poden tenir accés a la informació del missatge original. Si no, cal esborrar el que no s’hagi de difondre.
• Per enviar informació confidencial per correu electrònic cal utilitzar mitjans de seguretat addicional, com ara el certificat digital. Si no se’n disposa cal adjuntar la informació en fitxers protegits amb contrasenya.
• Si cal garantir jurídicament la identitat de l’emissor, el contingut del missatge i la recepció s’ha d’utilitzar un certificat digital.
• No s’han d’escriure en un mateix correu totes les dades d’accés a un document. Si, per exemple, s’envia un fitxer amb contrasenya, és millor enviar un correu amb el fitxer i un altre amb la contrasenya.
• Cal incorporar al peu dels correus una clàusula estàndard per informar de la possible confidencialitat de la informació i la responsabilitat associada a qui el rep.
• Cal emmagatzemar només aquells correus que siguin necessaris per a la feina i desar els missatges que s’hagin de conservar, en format no xifrat, en una ubicació que tingui garanties de confidencialitat, integritat i continuïtat.
• S’ha d’utilitzar únicament programari autoritzat per l’organització.

En els escrits i les comunicacions que es lliuren per mitjans informàtics, electrònics o telemàtics, la identificació de la persona signant s’ha de fer mitjançant la signatura electrònica.

La signatura electrònica és un conjunt de dades en forma electrònica que poden ser emprades com a mitjà d’identificació de la persona signant, i està regulada per la Llei 59/2003, de 19 de desembre, de firma electrònica, que regula la signatura electrònica, la seva eficàcia jurídica i la prestació dels serveis de certificació.

La Llei 59/2003 equipara la signatura electrònica, pel que fa a les dades consignades de manera electrònica, a la signatura manuscrita respecte a les dades consignades en paper.

Depenent de les seves característiques hi ha tres tipus de signatura electrònica:

• Signatura electrònica ordinària: és un conjunt de dades en forma electrònica consignades juntament amb altres o associades amb altres que poden ser utilitzades com a mitjà d’identificació de la persona signant. No permet assegurar que hagi estat creada per la persona signatària o que no sigui reproduïble.
• Signatura electrònica avançada: és la signatura electrònica que permet identificar la persona signant i detectar qualsevol canvi ulterior de les dades signades. Garanteix que està vinculada a la persona signant de manera única i a les dades a què es refereix, i que ha estat creada per mitjans que la persona signant manté sota el seu control exclusiu. Tot i que tampoc permet assegurar que hagi estat creada per la persona signatària o que no sigui reproduïble, és més senzill acreditar-ne l’autenticitat que no pas amb la signatura electrònica ordinària.
• Signatura electrònica reconeguda: és la signatura electrònica avançada basada en un certificat digital reconegut i generada mitjançant un dispositiu segur de creació de signatura. Els certificats reconeguts són els certificats electrònics expedits per un prestador de serveis de certificació que compleixi els requisits que estableix la Llei 59/2003 quant a la comprovació de la identitat i altres circumstàncies de les persones sol·licitants i quant a la fiabilitat i les garanties dels serveis de certificació que prestin.

Definim a continuació els elements que defineixen la signatura electrònica reconeguda:

• Certificat digital. És un document electrònic identificatiu signat per un prestador de serveis de certificació que garanteix a les terceres persones que el reben o l’utilitzen la identitat i altres circumstàncies personals de la persona titular i la fiabilitat dels serveis de certificació. Garanteix la seguretat dels tràmits informàtics des de les vessants següents:
  • Identitat: el certificat digital assegura que la persona interlocutora amb qui s’està mantenint la relació és realment qui afirma ser.
  • Integritat: el certificat digital garanteix que el document electrònic al qual està associat no ha estat modificat ni manipulat durant la seva transmissió entre la persona emissora i la persona destinatària.
  • Autenticitat, no-repudi, irretractabilitat: el certificat digital garanteix que el document electrònic rebut és l’original i procedeix de manera indubtable de la persona emissora.
  • Confidencialitat: el certificat digital assegura que només poden accedir a la informació enviada per mitjans telemàtics la persona emissora i la receptora del document.
• Dispositiu segur de creació de signatura. És un programa o sistema informàtic que serveix per aplicar les dades de creació de signatura i ofereix almenys les garanties següents:
  • Que les dades utilitzades per a la generació de signatura poden produir-se només una vegada i n’assegura raonablement el secret.
  • Que existeix una seguretat raonable que les dades utilitzades per a la generació de signatura no poden ser derivades de les dades del sistema de verificació de signatura o de la mateixa signatura.
  • Que la signatura està protegida contra la falsificació amb la tecnologia existent en cada moment.
  • Que les dades de creació de signatura poden ser protegides d’una manera fiable per la persona signatària contra la seva utilització per terceres persones.
  • Que el dispositiu utilitzat no altera les dades o el document que s’hagi de signar ni impedeix que aquest es mostri a la persona signant abans del procés de signatura.

La implantació de la tecnologia informàtica en els llocs de treball ha suposat un augment important de la capacitat d’emmagatzematge de la informació si aquesta està en format digital.

Associada a la possibilitat d’emmagatzemar fàcilment la informació trobem, però, la facilitat de perdre-la. Un parell de clics equivocats poden suposar l’eliminació involuntària d’una carpeta i, per tant, la desaparició d’un volum enorme d’informació. Tanmateix, aquesta no és l’única manera de perdre informació. En aquest sentit, la proliferació de virus informàtics -programes que, entre altres accions, poden fer malbé les unitats d’emmagatzematge, com ara els discos durs- és una altra amenaça per a la informació important.

Podem trobar dos tipus de virus informàtics: d’una banda, n’hi ha que són nocius per a l’ordinador, ja que poden fer malbé alguns components o arxius que conté. De l’altra, hi ha els que són innocus per a l’ordinador, ja que les accions que fan no alteren ni l’ordinador ni la informació que aquest contenia abans que el virus s’executés.

Davant de la facilitat de perdre la informació emmagatzemada digitalment cal establir algunes mesures de prevenció, entre les quals destaquen les següents:

• Fer còpies de seguretat amb certa periodicitat. D’aquesta manera es podrà recuperar la informació que s’ha perdut involuntàriament.
• Revisar la paperera de reciclatge de l’ordinador abans de buidar-la per tal d’assegurar-nos que no hi hem col·locat involuntàriament arxius que en realitat no volem esborrar.
• Generar una estructura d’arxius eficient i establir protocols d’eliminació de documentació digital per tal d’evitar que s’elimini informació de manera involuntària.
• Tenir instal·lat i actualitzat un programa antivirus. La seva actualització és especialment important per poder detectar i eliminar els nous virus que apareixen cada dia.

Una de les principals preocupacions de directius que utilitzen agendes electròniques, telèfons mòbils o ordinadors portàtils és la facilitat d’aquests aparells per ser perduts o robats. Succeeix el mateix amb els sistemes d’emmagatzematge digital, com ara els discos durs portàtils i les memòries USB. Especialment aquestes darreres es perden molt fàcilment.

En general, en l’ús de memòries USB cal seguir les següents recomanacions:

• Utilitzar contrasenyes per dificultar l’accés de terceres persones a la informació.
• Canviar les contrasenyes periòdicament, sobretot quan és possible que algú les conegui.
• Xifrar la informació sensible, com ara les dades personals.
• Portar sempre la memòria a sobre, no deixar-la en maletes o facturar-la.
• No inserir els dispositius en equips de tercers si no és imprescindible. Si s’ha de fer, utilitzar sempre eines antivirus.
• Destinar cada unitat extraïble a una sola finalitat.
• Establir polítiques d’ús d’aquests dispositius.
• Deshabilitar l’autoexecució de software.
• Eliminar la informació del dispositiu tan bon punt deixi de ser útil.
• Fer periòdicament còpies de seguretat de la informació continguda en aquests mitjans, especialment si el risc de pèrdua o robatori és gran (per exemple, quan es fan viatges). Molts d’aquests mitjans disposen de programari de sincronització amb l’ordinador, fet que facilita la transmissió de dades entre si.
• Evitar emmagatzemar-hi informació sensible per a l’empresa, de manera que ens assegurem que un desconegut no hi podrà tenir accés si perdem o ens roben el mitjà.

Tot i que les empreses que lloguen espais d’emmagatzematge al núvol solen oferir elevats nivells de seguretat, també és cert que aquest tipus d’emmagatzematge presenta uns riscos afegits que cal tenir en compte.

Els riscos associats a aquests tipus de serveis són els derivats de l’accés indegut a la informació per part de tercers o els derivats de la impossibilitat d’accedir a la informació, que poden suposar en ambdós casos la pèrdua de dades.

Per tal de minimitzar aquests riscos cal assegurar que el proveïdor aplica les mesures necessàries. La informació relativa als controls de seguretat de cada plataforma, però, no sempre és fàcilment accessible, i si és així caldrà posar-se en contacte amb el proveïdor del servei i sol·licitar-la de manera específica.

Els aspectes crítics als quals cal prestar atenció per tal de minimitzar els riscos són:

• Esquema d’autenticació: cal que els mecanismes d’autenticació siguin robustos, amb noms d’usuari que no siguin fàcils d’endevinar i contrasenyes segures. Cal canviar les contrasenyes amb freqüència per evitar que es puguin esbrinar o encertar.
• Registre d’accés: cal que hi hagi un registre dels accessos al servei que permeti detectar qualsevol accés no autoritzat. Així mateix, és important bloquejar els dispositius mòbils en què tenim habilitat l’accés a aquestes aplicacions i utilitzar aplicacions que permetin esborrar-los en cas de pèrdua o robatori. També cal evitar accedir a aquests serveis des d’ordinadors públics o utilitzant xarxes Wi-Fi públiques.
• Xifrat d’informació: cal xifrar els arxius importants o els que continguin dades personals abans de pujar-los al núvol.
• Integritat i recuperació de dades: és important que el servei inclogui comprovacions d’integritat i que es disposi d’un sistema de control de versions perquè, en cas que hi hagués algun problema, es pugui detectar la modificació no autoritzada i es pugui recuperar el contingut dels fitxers des d’una versió anterior.
• Accés sense connexió a la xarxa: és recomanable tenir una còpia local dels arxius per poder-hi accedir en cas que no hi hagi accés a la xarxa o que hi hagi una suspensió temporal del servei.