Escrito por Nabeena Mali en febrero 27, 2018
"El contenido de está página es una traducción del artículo "The Ultimate GDPR Guide for Marketers and Businesses" publicado por Nabeena Mali en AppInstitute el 13 diciembre 2017. Damos las gracias a Nabeena Malik por su colaboración y por el interés mostrado en compartir este artículo sobre esta directiva europea a nuestros subscriptores."
El Reglamento general de protección de datos se propuso por primera vez en 2012 y lo que siguió fueron cuatro años de debates; debates y enmiendas y finalmente el Parlamento Europeo aprobó el reglamento en 2016. A los países, las empresas y las organizaciones se les concedió un plazo de dos años con la regulación vigente hasta en mayo 25, 2018. Lo que originalmente parecía ser una cantidad razonable de tiempo para prepararse ha pasado rápidamente; y en el momento de escribir estas líneas, la aplicación del GDPR está a apenas 3 meses de distancia.
Ya se ha escrito y discutido mucho sobre el dominio público en relación con el GDPR pero aún así, muchos propietarios de negocios no están seguros de lo que implica el GDPR, y de si se ven afectados o no. Con esta guía GDPR, espero aportar algo de claridad, explicando qué es el Reglamento General de Protección de Datos, a qué empresas afecta, junto con las respuestas a algunas preguntas frecuentes sobre el GDPR y algunos pasos que puede seguir, para avanzar en su negocio hacia el cumplimiento.
Hemos visto cómo la tecnología está transformando industrias nuevas y antiguas: Uber y Lyft están cambiando el mundo del transporte; Netflix está alterando la producción y el consumo de películas y programas de televisión y la Inteligencia Artificial amenaza con desbaratar cada negocio de una manera que nunca antes pensamos posible. Pero la tecnología también irrumpe en las leyes y regulaciones implementadas por los estados, con el GDPR como buque insignia diseñado para reemplazar una directiva moderna que ya no era suficiente: la Directiva 95/46 / EC (una directiva de protección de datos).
El Reglamento General de Protección de Datos está, obviamente, centrado en la protección de datos, pero no regula toda la protección de datos. En cambio, se centra en los datos personales de las personas; específicamente las personas que residen en cualquier estado miembro de la UE. Actualiza las regulaciones existentes e introduce nuevas, relacionadas con la recopilación y el procesamiento de los datos personales de cualquier individuo, que resida en cualquier estado miembro de la UE. Y no sólo se aplica a empresas y organizaciones con presencia física en cualquier estado miembro de la UE. Las empresas y organizaciones de todo el mundo deberán cumplir con el GDPR, si recopilan y procesan los datos personales de cualquier persona que resida en la UE.
El propósito de las regulaciones no es dificultar que las empresas vendan, comercialicen o realicen ninguna de sus funciones comerciales normales. En cambio, están diseñadas para brindarles a las personas un mayor control sobre quién recopila y procesa sus datos personales, para qué se utilizan y cómo se mantienen seguros.
Lo hace diferenciando primero entre datos personales y datos personales confidenciales, siendo los datos personales cualquier información que hace posible identificar a un individuo, ya sea directa o indirectamente. Incluye datos tales como nombres, números de identificación, datos de ubicación e identificadores en línea. Los datos personales confidenciales también permiten identificar a un individuo, pero a través de un alcance ampliado de factores específicos, que incluyen elementos de su apariencia física, fisiología, genética, salud mental, identidad económica, cultural o social. La recopilación y el procesamiento de datos personales confidenciales no está permitido, salvo en circunstancias muy específicas, con requisitos adicionales en términos de seguridad de los datos.
A continuación, el GDPR mejora el principio de consentimiento, que requiere:
Existen disposiciones dentro del GDPR para los momentos en que el consentimiento no es necesario, pero todos se relacionan con bases legales muy específicas, para la recopilación y el procesamiento de datos personales.
El GDPR acontinuación aclara los derechos de las personas en términos de sus datos personales, desglosados de la siguiente manera:
El GDPR trata con gran detalle la rendición de cuentas y la gobernanza en las empresas y organizaciones. Esto aborda asuntos tales como:
Finalmente, el GDPR introduce nuevos requisitos sobre cómo se procesan los datos personales para garantizar la seguridad, junto con requisitos sobre cómo las empresas y las organizaciones deben responder a las violaciones de datos.
Es importante recordar que el GDPR no afecta a todas las empresas y organizaciones, sólo a aquellas que recopilan y / o procesan datos personales, ya sea de sus clientes o en nombre de otra organización. Si no recopila ni procesa datos personales de personas, no tiene nada de qué preocuparse. Y si lo hace, el asunto principal que le debe preocupar es asegurarse de que cumpla con los requisitos del GDPR. El GDPR no debe de ninguna manera impedir que su negocio continúe operando, aunque puede forzarlo a cambiar algunos de sus procesos, lo que hace más difícil realizar algunas tareas, pero nunca imposibilita su funcionamiento.
Las fuertes multas posibles bajo el GDPR no están destinadas a perjudicar a las empresas, sino que sirven como un elemento de disuasión contra las empresas y organizaciones relevantes, al ignorar las reglamentaciones y poner en riesgo los datos personales de las personas.
Pero al igual que con cualquier nueva regulación, tendremos que esperar hasta que se aplique y se establezca una nueva jurisprudencia, para determinar cualquier impacto material real en las organizaciones y las personas, y si esto cambiará con el tiempo.
La respuesta corta es sí. Como individuo, el GDPR establece cuándo y cómo las organizaciones y las empresas pueden procesar o controlar cualquier información de identificación personal relacionada con usted. Y si usted es parte de una organización o empresa, que procesa o controla datos personales de cualquier individuo de la UE, el GDPR le indica cuándo puede hacerlo y cómo debe hacerlo. Eso significa que el GDPR, no sólo se aplica a empresas y organizaciones con presencia física en cualquier estado miembro de la UE; sino también a aquellas que ofrecen bienes o servicios a ciudadanos de cualquier estado miembro de la UE, incluso si no tienen presencia física en la Unión Europea .
El GDPR seguirá aplicándose después del Brexit, porque el GDPR está diseñado para regular cómo cualquier empresa u organización procesa y controla los datos personales de cualquier ciudadano de la UE, independientemente de dónde se encuentre el negocio o la organización. Además, en septiembre 13, 2017 se presentó la Ley de Protección de Datos del Reino Unido a la Cámara de los Lores. La Ley de Protección de Datos reemplaza la antigua Ley de Protección de Datos, y no sólo garantiza la implementación de los estándares GDPR en lo que respecta al procesamiento y control de datos; sino también la implementación de requisitos específicos del Reino Unido. Esto incluye modificaciones acordadas en áreas tales como investigación académica, servicios financieros y protección infantil.
El Reglamento General de Protección de Datos (GDPR) definitivamente afectará todas las formas de llamadas en frío, incluido el marketing por correo electrónico frío. El GDPR establece un estándar alto para el consentimiento, poniendo énfasis en dejar a la persona (el posible cliente) el control y generando confianza y compromiso.
El consentimiento apropiado bajo el GDPR significa lo siguiente:
¿Se retrasará el GDPR?
Cualquier demora en la aplicación del GDPR es altamente improbable. El GDPR fue aprobado por el Parlamento de la UE en 2016, y los Estados miembros otorgaron dos años para prepararse para la aplicación.
El GDPR fue aprobado por el Parlamento de la UE en 2016, entrando en vigor en mayo 25, 2018. La demora en la aplicación del GDPR es muy poco probable; con la perspectiva de que el Brexit tampoco ofrezca ningún aplazamiento.
El GDPR se aplica específicamente a las personas, por lo que en el contexto de las relaciones B2B (existentes y nuevas), el impacto del GDPR dependerá de la información de contacto que utilice para comunicarse con sus clientes B2B. Siempre que su información de contacto incluya datos personales, deberá cumplir con las reglamentaciones relacionadas con el consentimiento explícito y registrado para la aceptación. Esto se extendería para incluir también regulaciones con respecto a la protección de datos.
Sin embargo, si sus registros sólo incluyen información de contacto genérica (un número de contacto o una dirección de correo electrónico sin nombre adjunto), no necesariamente tiene que registrar el consentimiento explícito; pero debe facilitar que la empresa u organización opte por no participar y mantener un registro de esto.
El GDPR fue aprobado por el Parlamento de la Unión Europea en 2016 y la entrada en vigencia tendrá lugar en mayo 25, 2018. Cualquier organización que no cumpla con los requisitos después de esta fecha, podría enfrentar fuertes multas.
El GDPR no es una sentencia de muerte para el marketing, es simplemente una forma de regular ciertos aspectos del marketing. No mata al marketing directo, simplemente da el control del marketing directo a las personas. Esto significa que los especialistas en marketing ahora deben asegurarse de contar con el consentimiento explícito de las personas para comercializarlos directamente (ya sea a través de llamadas telefónicas, campañas por correo electrónico o incluso por correo directo). Significa que los especialistas en marketing ahora deben informar a las personas sobre:
Los profesionales del marketing también deben comprender que ya no se permite el consentimiento general. Según el GDPR, las personas dan su consentimiento para una campaña o propósito específico, y si esa campaña o propósito cambia, necesitan dar su consentimiento nuevamente. Si su cliente da su consentimiento para recibir comunicaciones de mercadotecnia relacionadas con su gama de muebles de jardín; no puede cambiar repentinamente a la comercialización de su nueva gama de productos de baño.
Las empresas y organizaciones que recopilan y procesan los datos personales, de las personas que residen en la UE, independientemente de la ubicación física de la empresa; deben tener en cuenta lo siguiente:
Los artículos 6 (1) (c) y (e) del GDPR permiten a los Estados miembros introducir disposiciones más específicas en términos de bases legales para el procesamiento de datos personales. Se debe cumplir al menos una de las seis condiciones, con dos condiciones específicas:
Esto sugiere que el procesamiento de datos personales de los empleados para ciertas operaciones legítimas de recursos humanos, no requiere un consentimiento explícito. Sin embargo, todos los demás aspectos del GDPR en términos de datos personales, se seguirían aplicando, incluidos:
El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en la UE; independientemente de la ubicación física de la empresa. Esto significa que las regulaciones son aplicables en cualquier empresa, incluso aquellas que no tienen presencia física en ningún estado miembro de la UE.
Aún no hay una respuesta definitiva a esta pregunta; pero la opinión actual de los intermediarios es que es poco probable que las multas relacionadas con el GDPR sean asegurables. Y con multas de hasta el 4 % de la facturación global anual de una compañía, cualquier incumplimiento del GDPR puede terminar siendo muy costoso para cualquier organización. La orientación adecuada sólo será posible una vez que la nueva legislación entre en vigencia y se haya establecido una nueva jurisprudencia. Sin embargo, las pólizas de seguro cibernético especializadas, podrían cubrir los costos asociados con una violación de datos, tales como reclamos de compensación, costos legales, notificación y gestión de la reputación, etc.
El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en la UE, independientemente de la ubicación física de la empresa. Como tal, aún se espera que las empresas de los EE. UU. y las empresas de otros países del mundo, cumplan con las nuevas reglamentaciones si alguno de los datos personales que recopilan y procesan es de residentes de un estado miembro de la UE. Esto sigue siendo cierto incluso si la empresa no tiene presencia física en ningún estado miembro de la UE. Si bien es poco probable que el GDPR afecte a una pequeña floristería en Rock Springs, Wyoming, cualquier negocio (basado en los EE. UU. U u otro país) que recopile y procese datos personales de los residentes de la UE; deberá implementar medidas para cumplir con el GDPR. Esto incluye, entre otros, garantizar:
Muchas empresas están acostumbradas a utilizar las páginas de destino y los formularios de suscripción a los boletines, para construir su base de datos de clientes. Según el GDPR, esto ya no será aceptable cuando se trate de los datos personales de los residentes de la UE; ya que no se permite el consentimiento general. El GDPR sólo reconoce el consentimiento explícito otorgado para un propósito específico, que debe establecerse cuando el individuo da su consentimiento. Si un residente de la UE se registra en su boletín informativo semanal por correo electrónico; estará dando su consentimiento explícito para recibir exactamente eso: un boletín semanal por correo electrónico. No se puede cambiar a enviarles ofertas diarias por correo electrónico porque no aceptaron eso. Siempre que el propósito de recopilar y procesar datos personales cambie, debe otorgarse un nuevo consentimiento.
El GDPR establece disposiciones para las organizaciones que recopilan y procesan datos personales con fines de investigación, aunque tendremos que esperar hasta que se haga cumplir el GDPR para ver si son suficientes, o si se han interpretado de manera demasiado vaga. El GDPR permite la recopilación y el procesamiento de datos personales sin consentimiento, pero sólo para fines legales específicos. En términos de investigación, el artículos 9 de la GDPR mencionan específicamente la salud, la asistencia social, la investigación científica y la investigación histórica. Lo que todavía se aplicaría en todos los casos son los requisitos en términos de protección de datos, privacidad y violaciones de datos; que son menos estrictos cuando los datos se han anonimizado a tal grado, que los sujetos de datos ya no son identificables.
Las áreas clave dentro de la ciencia de datos que se verán afectadas por el GDPR incluyen:
¿Cómo afectará el GDPR a los colegios?
Las escuelas y los administradores escolares deben tener en cuenta lo siguiente:
Tanto Google como Facebook confían en la extensa recopilación y procesamiento de los datos personales de sus usuarios. Algunos de estos datos se ofrecen de forma voluntaria, cuando se registran para servicios de Google o Facebook; pero también se recopilan a través del seguimiento, tanto a través de plataformas como a través de servicios conectados. Esto se usa no sólo para mejorar la experiencia del usuario, sino también para crear perfiles detallados con fines de personalización y publicidad. Y bajo el GDPR, esto es problemático. Por un lado, excepto cuando se trata de fines legales específicos, cualquier recopilación y procesamiento de datos sólo puede ocurrir después de que se haya otorgado el consentimiento explícito. Y no se permite el consentimiento general, siempre que una persona da su consentimiento, es para un propósito o razón específica.
Esto significa que tanto Google como Facebook -y cualquier servicio similar- deberán presentar a los usuarios múltiples diálogos de aceptación; cada uno vinculado a un propósito específico que se comunica claramente. La opción de inclusión no puede ser preseleccionada, y tampoco puede estar condicionada al uso continuado del servicio. Al mismo tiempo, las personas deben poder darse de baja (revocar el consentimiento) en cualquier momento.
Si bien hay pocas dudas de que una organización tan grande como Google y Facebook puedan cumplir con el menor impacto posible en las personas; esto no significa que no habrá ningún impacto en el modelo comercial. Ambas plataformas utilizan la gran cantidad de datos personales que recopilan, para crear perfiles detallados; lo que permite a los anunciantes enfocarse específicamente en datos demográficos específicos, etc., y con individuos que ahora pueden optar por no participar; la solidez de los perfiles de audiencia de Google y Facebook podría verse afectada .
Otros aspectos del GDPR que tendrán un impacto en Google y Facebook, incluyen la portabilidad de datos, el intercambio de datos con terceros, el derecho a borrar y el derecho de acceso, entre otros. Google ya prevé el derecho de borrado y el derecho de acceso, pero es posible que deba ajustarse para cumplir con los requisitos específicos del GDPR.
Por supuesto, el verdadero impacto del GDPR en negocios como Google y Facebook ,sólo será evidente una vez que las regulaciones se hayan aplicado durante varios meses.
Al igual que con el marketing, el GDPR no suena como la sentencia de muerte de las agencias de contratación, especialmente si ya cumplen con la Ley de protección de datos, que pronto será reemplazada. El GDPR se ha compilado de tal manera, que muchas de las regulaciones se aplican casi de manera uniforme a varias industrias, con poco margen para la desviación. Lo que los reclutadores deben conocer específicamente, por encima de todos los demás derechos individuales, incluyen:
¿Cómo afectará el GDPR a las ONGs ?
El GDPR establece un estándar alto para el consentimiento, poniendo énfasis en dejar a la persona (el posible cliente / donante) el control y generar confianza y compromiso.
El consentimiento apropiado bajo el GDPR significa lo siguiente:
Las organizaciones benéficas y otras organizaciones que anteriormente se basaron en el consentimiento implícito o el consentimiento por defecto (recuadros previamente marcados, etc.) deberán actualizar sus bases de datos de donantes / clientes buscando el consentimiento explícito y registrado, para continuar procesando los datos personales de las personas que residen en cualquier estado miembro de la UE. Muchas organizaciones benéficas también dependen de voluntarios, por lo que deberán asegurarse de que todos los voluntarios también conozcan todas las partes relevantes del GDPR que afectan sus operaciones.
Si bien el cumplimiento del GDPR sí trae consigo preparativos que ciertamente, gravan a cualquier empresa u organización, junto con el riesgo de multas paralizantes; las regulaciones no son intrínsecamente malas. Al brindar a los individuos mayor control y protección de sus datos personales, el GDPR brinda oportunidades para que las organizaciones creen una mayor confianza con sus clientes. El GDPR también se puede ver como una clarificación, simplificación y optimización de las reglamentaciones que existían anteriormente; lo que hace que las organizaciones actualmente sólo tengan que hacer algunos ajustes para seguir cumpliendo con las nuevas reglamentaciones. Desgraciadamente, tendremos que esperar hasta que se cumplan las normativas y se establezca una nueva jurisprudencia, para determinar cualquier impacto material real en las organizaciones y las personas, y si esto cambiará con el tiempo.
El GDPR trae consigo oportunidades para que las organizaciones creen una mayor confianza con sus clientes, y esto siempre es positivo. Para muchas organizaciones, también brinda la oportunidad de limpiar sus bases de datos de marketing y ventas, no sólo actualizando los datos personales, sino también asegurándose de que ahora esté lleno de personas que aún están activas y que aún están interesadas en sus productos o servicios. También trae consigo la oportunidad para que las organizaciones analicen cómo recopilan y procesan los datos con nuevos ojos; identificando nuevas vías para el crecimiento del marketing y las ventas que nunca antes existieron, o que simplemente se pasaron por alto. Pero al igual que con cualquier nueva regulación, tendremos que esperar hasta que se aplique y se establezca una nueva jurisprudencia para determinar cualquier impacto material real en las organizaciones y las personas; y si esto cambiará con el tiempo.
Hay un proverbio africano que es particularmente apto para el GDPR y su negocio: La mejor manera de comer el elefante que está en tu camino es cortarlo en pedacitos.
Y la mejor manera de minimizar el impacto del Reglamento General de Protección de Datos en su negocio, es romper los requisitos de cumplimiento en tareas más pequeñas.
La Agencia Española de Protección de datos ha creado herramienta de ayuda FACILITA RGPD, para prepararse para el Reglamento General de Protección de Datos.
El primer paso es bastante obvio e implica garantizar que todos los empleados y contratistas relevantes conozcan el GDPR y lo que se requiere de ellos y de la organización para cumplir la directiva.
La responsabilidad comienza con una auditoría de datos completa, y dependiendo del tamaño de su organización y la cantidad de datos personales que pose; una auditoría de datos será una de las tareas más importantes que debe realizar antes de la aplicación del GDPR. También es una de las tareas más importantes.
Su auditoría de datos debería llevarle a compilar un inventario completo de todos los datos personales que posee y responder a las siguientes preguntas en relación con cada registro:
El GDPR no sólo requiere que las organizaciones puedan demostrar las formas en que cumplen con los requisitos de procesamiento de datos; en muchos casos requiere documentación para respaldar esto.
El cumplimiento del GDPR también dependerá de que su organización actualice todos los avisos de privacidad, o que agregue avisos de privacidad si aún no están vigentes. Al considerar o actualizar los avisos de privacidad, es importante hacer una evaluación adecuada de cómo se recopilan los datos reconociendo que, además de las formas tradicionales de recopilación de datos, ahora también podría ser cualquiera, o una combinación, de lo siguiente:
Los avisos de privacidad deben ser concisos, escritos en lenguaje sencillo y de fácil acceso. El GDPR también espera que las organizaciones incluyan información específica en los avisos de privacidad, con ligeras variaciones dependiendo de si los datos se recopilan directamente de individuos o no.
Vuelva a evaluar todos sus procedimientos relacionados con la recopilación y el procesamiento de datos personales, para asegurarse de que cumple todos los derechos individuales arraigados por el GDPR. Considere lo siguiente:
El GDPR requiere que las solicitudes de acceso sean procesadas y respondidas sin demora, y al menos dentro del mes posterior a la solicitud. Las solicitudes no sólo se realizarán para copias de los datos personales retenidos; sino también para obtener información adicional, como confirmación de que sus datos se están procesando, junto con información complementaria similar a la que deben cubrir sus políticas de privacidad: cómo son los datos que se recopilan, con qué fines, si se comparte con cualquier persona, etc. Además de esto, también se ocupará de solicitudes de eliminación y solicitudes para corregir información personal. Revise sus procesos actuales para ver si son suficientes en términos de procesos internos y en términos de cumplir con el GDPR.
Si bien el GDPR pone un gran énfasis en el consentimiento individual, sí permite el procesamiento de datos sin consentimiento, en circunstancias especiales. Revise todas las formas en que recopila y procesa información personal para establecer cuáles son las bases legales. Esto es necesario tanto para sus políticas de privacidad como para confirmar si se requiere o no consentimiento.
El GDPR espera que el consentimiento sea 'libremente dado, específico, informado y no ambiguo'. Las personas deben ser conscientes de que están dando su consentimiento, exactamente qué están consintiendo, y no se puede forzar como una condición de venta o servicio. Revise todas las formas en que recopila y procesa datos, y que requieren consentimiento. Concentrarse en lo siguiente:
Al mismo tiempo, es necesario revisar todo el consentimiento existente antes de la aplicación de GDPR, para garantizar que cumple con el estándar requerido.
Si recopila y procesa los datos de niños menores de 16 años, es posible que deba revisar sus sistemas actuales, para introducir medidas para verificar la edad de las personas y para obtener el consentimiento de los padres o tutores para el procesamiento.
Verifique y / o implemente los procedimientos adecuados para detectar, investigar y denunciar infracciones de datos. Según el GDPR, las organizaciones deben informar ciertos tipos de violaciones de datos a la autoridad de supervisión pertinente dentro de las 72 horas. Además de esto, algunas infracciones también requieren que las personas afectadas sean notificadas. El incumplimiento puede dar lugar a graves multas impuestas a las organizaciones.
Si bien éstos siempre han sido una buena práctica en términos de procesamiento de datos, el GDPR ahora hace de la protección de datos por diseño y por defecto un requisito, con IPD obligatorio para cualquier organización involucrada en el procesamiento de datos de alto riesgo. Además de sus políticas de privacidad, también debe observar lo siguiente:
No todas las organizaciones deberán nombrar oficiales de protección de datos, pero debe familiarizarse con estos requisitos y responder según corresponda.
El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en cualquier estado miembro de la UE, incluso si la empresa u organización no tiene presencia física en toda la UE. Cada estado miembro de la UE tiene su propia Autoridad de Protección de Datos; pero las organizaciones internacionales pueden trabajar con una sola Autoridad de Supervisión Principal (LSA) cuando se trata de protección de datos y otros elementos del GDPR.
"El contenido de está página es una traducción del artículo "The Ultimate GDPR Guide for Marketers and Businesses" publicado por Nabeena Mali en AppInstitute el 13 diciembre 2017. Damos las gracias a Nabeena Malik por su colaboración y por el interés mostrado en compartir este artículo sobre esta directiva europea con nuestros subscriptores."
Norteamérica: Si necesita comunicarse con nosotros, por favor llame al +1 646 206 6071.
Horario de oficina:
Lunes - Viernes: 08:00 am - 12:00 pm, 14:00 pm - 18:00 pm EDT. Ahora son las 11:45 am del Sabado en New York, USA.
Europa España: Si necesita comunicarse con nosotros, por favor llame al +34 605 074 544.
Horario de oficina:
Lunes - Viernes: 09:00 am - 14:00 pm, 16:00 pm - 19:00 pm CEST. Ahora son las 17:45 pm del Sabado en Palma de Mallorca, Spain.
OpenKM en el mundo: