Reglamento General de Protección de Datos (RGPD): Todo lo que necesitas saber
March 15, 2018 6 min read
El nuevo Reglamento General de Protección de Datos (RGPD) tiene como objetivo fortalecer y unificar el tratamiento de los datos personales de los ciudadanos europeos armonizando las regulaciones estatales para adaptarlas a un entorno cada vez más internacional.
Actualmente, los 28 países que forman la Unión Europea tienen sus propias legislaciones al respecto, y aplican estas leyes en sus relaciones comerciales internacionales, lo que hace que sea difícil el ejercicio del derecho a la protección de los datos de carácter personal.
El nuevo Reglamento General de Protección de Datos contiene un amplio rango de requerimientos que impactan en todas las empresas, dando igual el sector o el tamaño, y que con frecuencia requerirán estar preparados con un enfoque distinto en las diversas áreas de un negocio.
Entra en funcionamiento el 25 de mayo del 2018 cumpliendose dos años desde la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales. En este artículo queremos ayudarte a comprender que debes de hacer para cumplir con este nuevo reglamento y darte a la vez la seguridad de que Benchmark, tu herramienta de Email Marketing, también se ha adecuado al mismo.
El nuevo RGPD no elimina las legislaciones nacionales sino que las armoniza en muchos aspectos, así como delega en las mismas decisiones con respecto a otros, pero sí que es cierto que los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales.
Si actualmente ya cumples con la LOPD, ya tienes una buena base de partida pero sin lugar a dudas deberás hacer cambios de acuerdo a una correcta aplicación de este nuevo Reglamento.
Hay tres aspectos fundamentales que debes de tener en cuenta en tu estrategia de email marketing, ellos son: consentimiento, acceso y recopilación de datos.
CONSENTIMIENTO
Según el artículo 4 (11), define el «consentimiento del interesado» como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Tal y como menciona la definición, el consentimiento del usuario debe de ser inequívoco y además explicito. Con estas dos palabras se elimina cualquier escenario de ambigüedad.
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
A continuación te damos un ejemplo:
Acabo de participar en una feria, a lo largo del día, he ido recolectando una serie de tarjetas de visita, con las que crearé una base de datos, que posteriormente, subiré a mi cuenta de Email Marketing de Benchmark con el fin de mandarles newsletters.
A los ojos del RGPD, ¿es legal?
No. El hecho que hayas interactuado y establecido relaciones comerciales con diferentes individuos, no te otorga el derecho a tratar sus datos personales, inclusive aunque de manera verbal, la persona te haya dado su consentimiento.
El RGPD establece que este consentimiento debe de ser inequívoco y explícito, y por ende, demostrable ante una auditoría. Por lo que tiene que existir un documento o medio demostrable donde el usuario final otorgue al responsable del tratamiento de datos el fin con el que se utilizarán los datos y su consentimiento.
RECOMENDACIÓN:
- Revisa los métodos de obtención de datos y elimina cualquier ambigüedad.
- Analiza tus bases de datos, y quédate con los datos que puedas comprobar su consentimiento.
ACCESO
Los responsables del tratamiento de los datos deben de facilitar a los usuarios un acceso sencillo y visible. El responsable debe de articular procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos.
El responsable tendrá un mes para dar respuesta al cliente, prorrogable a dos en el caso de solicitudes complejas, de que está tomando las actuaciones necesarias en relación a la solicitud del usuario.
En el caso de nuestra herramienta de Email Marketing, el Centro de Preferencias, permite al usuario poder acceder para rectificar sus datos o directamente darse de baja.
Dentro de este punto, hay un derecho nuevo, que es el DERECHO AL OLVIDO (Artículo 17), el usuario podrá ejercer su derecho a ser eliminados sus datos para siempre. Hemos seleccionado dos de las seis razones que incluye el sub-punto 1 dentro de los cuales el usuario final podría ejercer su derecho:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
d) los datos personales hayan sido tratados ilícitamente;
RECOPILACIÓN
El RGPD aboga por una simplicidad en la recolección de los datos. Los marketers solemos pedir más datos de los necesarios para acabar enviando una newsletter a la semana, por ello en este nuevo Reglamento anima a recoger los datos mínimos, necesarios para nuestra estrategia actual y no recoger más datos innecesarios pensando en que quizás los necesitemos en un futuro.
Si lo que queremos lograr es informar a nuestra base de datos de nuestras promociones, con que recopilemos el nombre y el correo eléctronico es suficiente.
BREXIT
El 2019 es el año en que UK dejará de formar parte de la UE, y con ello este Reglamento no tendrá aplicación. Aún no se sabe como UK afrontará la adaptacion de sus empresas al tratamiento de datos personales, pero se prevé que formule un reglamento similar que equipare a ambas regiones.
¿Qué ocurre si no cumplo con el RGPD?
El Reglamento General de Protección de Datos establece un conjunto de herramientas para hacer cumplir las nuevas reglas, incluidas sanciones y multas. Cuando se imponga una multa, esta se basará en la evaluación cuidadosa y se tendrán en cuenta una serie de factores:
- la gravedad y duración de la violación;
- el número de personas afectadas y el nivel de daño sufrido;
- el carácter intencional de la infracción;
- cualquier acción tomada para mitigar el daño;
- el grado de cooperación con la autoridad supervisora.
La regulación establece dos topes de multas si las reglas no son respetadas. El primer límite establece multas de hasta un máximo de 10 millones de euros o, en el caso de una empresa, hasta el 2% de la facturación anual en todo el mundo. Esta primera categoría de multa se aplicaría, por ejemplo, si un controlador no realiza evaluaciones de impacto, tal como exige el Reglamento. El techo máximo de multas alcanza hasta 20€ millones o el 4% de la facturación anual en todo el mundo. Un ejemplo sería una infracción de los derechos de los interesados en virtud del Reglamento. Las multas se ajustarían en función de las circunstancias de cada caso individual.
Estos tres aspectos comentados a lo largo del artículo son los principales que debes de tener en cuenta a la hora de desarrollar tu estrategia de email marketing.
BENCHMARK
Como siempre Benchmark, dentro de su Política de Privacidad desarrolla y cumple con los requerimientos de este Reglamento, habiendo adaptado nuestra forma de trabajo al mismo. Así como ocurría con el Acuerdo Privacy Shield donde nos dan una certificación de adherencia, en el caso del RGPD consiste en el cumpliento del mismo sin ningún tipo de certificación.
Desde Benchmark, te trasladamos la tranquilidad y seguridad, de que tus datos están siendo tratados de acuerdo al nuevo RGPD.
Para ayudarte en este periodo transitorio de adaptación, hemos diseñado una webinar “El Email Marketing unido al RGPD: qué puedes y qué no puedes hacer” que daremos el 12 de abril del 2018 a las 13.00h de España. Para ver el horario en tu zona local, puedes seleccionarlo en la URL de registro a la webinar. En ella además de resolverte todas las dudas, compartiremos contigo una Guía del Reglamento, con todas las claves del mismo.
Por primera vez, la UE se muestra unida y marca un liderazgo en como los datos personales deben de ser tratados y obliga al mundo, al resto de países, sin excepción, a seguir dicho reglamento si quieren trabajar con datos del ciudadano europeo.
No te olvides de compartir este artículo con tu audiencia y de dejarnos tus comentarios al respecto. ¡Gracias por la lectura!