Actualizar nuestra política de privacidad, construir una base de contactos basada en un consentimiento demostrable o implementar un centro de preferencias son algunas de las medidas que podemos adoptar para cumplir con el GDPR.

Después de varios posts dedicados al nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y a sus principales novedades (aquí, aquí y aquí), en éste pasamos revista a algunas medidas que las empresas pueden adoptar para adaptarse a él.

Empieza a planificar tu estrategia de cumplimiento YA

Si todavía no has comenzado ya empieza a ser demasiado tarde. Cuando comiences a escribir lo que tienes que hacer te va a salir una lista con decenas de ítems… y las cosas no se hacen solas. Empieza hoy mejor que mañana.

Actualiza y remite a tu política de privacidad

La política de privacidad típica de cualquier empresa es una nota inmensa y farragosa, escrita en jerga de abogados, que hace imposible a cualquier mortal descifrar qué hace la empresa con sus datos. Esto debe cambiar con el GDPR, que impone unos requisitos de transparencia y claridad absolutas. Debemos actualizar nuestras políticas de privacidad de modo que sean perfectamente inteligibles y expliquen de una manera clara nuestra identidad y datos de contacto, los datos que se están recogiendo, los propósitos de los tratamientos que vamos a realizar y su base legal, las consecuencias de esos tratamientos, los receptores de los datos, cómo invocar los derechos de acceso, rectificación, cancelación, oposición, etc. Y remitir a ella desde cualquier punto de contacto de captura.

Construye una base de datos de marketing in-house basada en un consentimiento demostrable

Genera contenido valioso (blog, white papers, webinars, eventos…) para que los potenciales clientes se registren. Solicita un consentimiento granular para los diferentes tratamientos (incluyendo cookies, emailings) y utiliza doble opt-in (enviando un email automático para confirmar la suscripción) que permita demostrar el consentimiento.

Implementa un centro de preferencias

Para fomentar que los usuarios se subscriban u opten por recibir tipos específicos de contenido — frente a la alternativa de “todo o nada” — deberíamos construir centros de preferencias que permitan a los clientes controlar cómo prefieren relacionarse con nosotros. Por ejemplo, los usuarios podrían optar por excluirse de los emails de marketing generales, pero aceptar  invitaciones a eventos.

Centraliza los datos de tus clientes en un sistema de referencia

El tiempo de tener datos de clientes en hojas de cálculo dispersas por todos los ordenadores ha tocado a su fin. Sea en un CRM, en un sistema de automatización de marketing o en otra aplicación similar, es conveniente centralizar los datos de los clientes en un sistema que sirva de referencia y nos permita implementar fácilmente los derechos de los sujetos de datos en cuanto a su acceso, rectificación, cancelación, oposición, etc.

Utiliza más marketing social

Los dueños de redes sociales como Twitter, LinkedIn o Facebook han actualizado sus políticas de privacidad para adaptarlas al GDPR y, como consecuencia, los usuarios de estas redes sociales han otorgado su consentimiento para recibir mensajes de otros usuarios con los que están conectados. Este consentimiento preconstituido otorga un gran potencial al marketing social en este nueva era: es muy recomendable desarrollar una estrategia social que nos ayude a incrementar nuestros seguidores, conexiones, etc. y utilizar nuestro alcance orgánico para difundir nuestros mensajes. También podemos aprovechar la oferta de servicios publicitarios que ofrecen estas redes, que nos permiten segmentar nuestra audiencia y hacer llegar nuestro mensaje a personas con los que todavía no tenemos relación mediante campañas pagadas.

Lo que desde luego no estamos autorizados a hacer es descargar los datos de contacto (ej.: email) de nuestras relaciones en una red social y usarlos para contactarlos a través de otros canales (a menos, claro está, que nos hayan dado su consentimiento explícito para hacer eso).

¿Deberíamos refrescar el consentimiento (permission passing) para aquellos datos sobre los que veníamos haciendo tratamientos automáticos con anterioridad?

El GDPR sólo exige que se pueda demostrar que hubo un consentimiento válido en el momento en que éste se recogió (es decir, puede tratarse de un consentimiento tácito, no explícito, que resultaba válido antes de la entrada en vigor del reglamento). Pero si no se puede demostrar el consentimiento, éste habrá de refrescarse y -ahora sí- deberá tratarse de un consentimiento activo y explícito. Según algunos estudios, sólo el 25% de los datos existentes de clientes cumplen los requisitos del GDPR, así que empieza a auditar tus datos ya.

¿Deberíamos contratar a un Data Protection Officer?

La definición del Delegado de Protección de Datos y de su papel en las organizaciones es una de las principales novedades del GDPR. El reglamento establece las condiciones bajo las cuales se exige designar un Delegado de Protección de Datos:

• El tratamiento lo lleva a cabo una autoridad u organismo público (excepto los tribunales)
• Las actividades principales del controlador o el procesador consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una monitorización habitual y sistemática de sujetos de datos a gran escala
• Las actividades principales del controlador o el procesador consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Si ese no es el caso, estamos exentos de designar un Delegado de Protección de Datos

¿Deberíamos llevar un registro de actividades de tratamiento?

El reglamento establece que la obligatoriedad llevar un registro de actividades de tratamiento no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice

• Pueda entrañar un riesgo para los derechos y libertades de los interesados
• No sea ocasional, o
• Incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

Por lo tanto, su nuestra empresa emplea a menos de 250 personas y no estamos sujetos a las anteriores condiciones, estamos exentos de llevar un registro de actividades de tratamiento.

Actúa ahora, pero permanece atento a cambios inmediatos

El GDPR no representa la última palabra sobre todos los aspectos relacionados con la protección de datos personales. Algunos temas polémicos que hemos mencionado aquí, como la gestión de las cookies o los datos de empresarios individuales y personas de contacto en empresas, no quedarán aclarados hasta que no se aprueben algunos textos legales complementarios como el nuevo reglamento ePrivacy o la nueva Ley Orgánica de Protección de Datos española. Habrá que seguir atentos a la evolución de estas normas. Nuestra adaptación a este nuevo territorio legal de protección de datos no ha hecho más que empezar.

El GDPR no es sólo una amenaza, es una gran oportunidad

Muchos están viendo el GDPR como una gran amenaza por lo exigente de su regulación, el riesgo de multas y las inversiones que nos va a obligar a realizar para adaptarnos. Pero también es una oportunidad: algo que nos va a empujar a “apretar el acelerador” en algunos aspectos muy positivos para nuestro marketing. Efectivamente, nos va a obligar a “jugar limpio” con nuestros contactos y a impulsar la creación de contenido realmente valioso para conseguir su consentimiento. Descubriremos que es más provechoso trabajar con una base más reducida de usuarios interesados y comprometidos que con una lista enorme de contactos que no tienen relación con nosotros.

Y hasta aquí este repaso al GDPR. Espero que os haya sido útil.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (4)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

El nuevo GDPR impone unos derechos ampliados de los sujetos de datos, mayores restricciones a la toma de decisiones automáticas y a las transferencias internacionales de datos y nuevos procesos y responsabilidades organizativas.

Seguimos hablando del nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y continuamos centrándonos en algunos de sus aspectos más relevantes y novedosos.

Derechos reforzados

El GDPR amplía los derechos de las personas sometidas al procesamiento de sus datos, que pasan a incorporar los siguientes:

• Derecho de acceso: el sujeto tiene derecho a recibir, en un formato comprensible, una copia de sus datos recogidos y procesados, así como información completa sobre el procesamiento: propósito, categorías, destinatarios, plazos…
• Derecho de rectificación: el sujeto podrá obtener la rectificación de los datos inexactos o incompletos que le conciernan.
• Derecho de supresión (“derecho al olvido”): los sujetos de datos pueden solicitar al controlador el borrado de sus datos personales si el procesamiento continuado de esos datos no está justificado o si el sujeto ha revocado su consentimiento.
• Derecho a limitar el procesamiento: en determinadas circunstancias los sujetos de datos no pueden requerir la supresión de sus datos pero sí limitar los propósitos para los cuales el controlador puede procesar esos datos.
• Notificación a terceros en relación al ejercicio de la rectificación, la supresión o la limitación: el controlador debe notificar a cualquiera con quien haya compartido datos de un sujeto que éste ha ejercido los mencionados derechos.
• Derecho de portabilidad de datos: bajo ciertas circunstancias los sujetos de datos tienen derecho a recibir una copia de sus datos personales en un formato comúnmente usado legible por una máquina y a transferir sus datos de un controlador a otro o a hacer que un controlador se lo transmita directamente a otro.
• Derecho de oposición al procesamiento: los sujetos de datos tienen derecho a oponerse por motivos relacionados con su situación particular a que datos personales que les conciernan sean objeto de procesamiento basado en el interés público o el interés legítimo del controlador. Cuando el objeto del procesamiento es el marketing directo los sujetos de datos pueden oponerse en todo momento a dicho procesamiento, incluyendo el perfilado.

Perfilado y decisiones automáticas

La redacción del GDPR hace difícil diferenciar entre actividades de perfilado y decisiones automáticas, ya que las suele mencionar conjuntamente. Sin embargo, son muy diferentes, y también lo son las condiciones para realizarlas legalmente. Un procesamiento puede catalogarse como “perfilado” cuando implica usar un proceso automático de datos personales para evaluar ciertos aspectos relacionados con una persona natural, en particular para analizar o predecir aspectos sobre su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.

Un tipo de procesamiento muy ligado al perfilado es la toma de decisiones automáticas, sin intervención humana, sobre las personas físicas: se pueden basar en el perfilado o en algún otro tipo de tratamiento automático. Y dentro de las decisiones automáticas merecen especial atención aquéllas que producen efectos jurídicos en la persona o le afecte significativamente de modo similar. Ejemplos de perfilado que no lleva a decisiones automáticas con efectos jurídicos o significativos serían el aplicado a la analítica web o a la presentación de publicidad enfocada; ejemplos de perfilado que sí lleva a decisiones automáticas con efectos jurídicos o significativos serían la concesión automática de una solicitud de crédito o los servicios de contratación laboral en red en los que no medie intervención humana alguna.

El GDPR establece que toda persona tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en ella o le afecte significativamente de modo similar. Las excepciones son el consentimiento explícito, su necesidad para la celebración o ejecución de un contrato o que esté autorizada por el Derecho de la Unión o de los Estados.

El sujeto que se somete a perfilado y decisiones automáticas tiene derechos y recursos adicionales: el controlador debe informar al sujeto no solo de que va a tener lugar un perfilado, sino también de la lógica aplicada  y de las consecuencias previsibles de dicho procesamiento. Además, las decisiones automáticas no podrán basarse en categorías especiales de datos personales (p.ej., información racial o religiosa) salvo en contadas excepciones. En resumen, los sujetos tienen una serie de derechos con respecto al perfilado, algunos de los cuales –como los de aviso y acceso- requieren procesos similares a los de los procesos que no son de perfilado, pero otros -como el derecho a objetar y detener el perfilado o a evitar decisiones basadas en el perfilado- requerirán de atención y procesos especiales para su cumplimiento.

Transferencia de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Edward Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015, que invalidó la decisión de Safe Harbour de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de cloud computing. Puerto Seguro fue sustituido por Privacy Shield como sistema para poder transmitir datos a los EEUU.

El RGPD establece que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes (entre ellas, las normas corporativas vinculantes) o se den algunas de las circunstancias previstas como excepciones (consentimiento, ejecución de un contrato…), y siempre y cuando se observen los demás requisitos del Reglamento.

Registro de actividades de tratamiento

Excepto para pequeñas empresas y otras excepciones el GDPR requiere llevar un registro de actividades de tratamiento que sustituye a la notificación de ficheros a las autoridades de protección de datos. Este registro constará por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite. Tanto en el caso de los controladores como de los procesadores el registro debe reflejar, entre otros, los datos de contacto, los fines, las categorías de tratamientos y las transferencias a terceros países.

Delegado de Protección de Datos

En determinadas circunstancias el GDPR exige a las organizaciones el nombramiento de un Delegado de Protección de Datos (Data Protection Officer), un puesto directivo relacionado con la seguridad corporativa y responsable de supervisar la estrategia de protección de datos y su implementación conforme a los requisitos del GDPR. Entre las funciones de estos delegados están asesorar a la compañía y a sus empleados sobre requisitos normativos importantes, formar al personal involucrado en el procesamiento de datos y realizar regularmente auditorías de seguridad. Los delegados sirven asimismo de punto de contacto entre la empresa y las autoridades de supervisión de las actividades relacionadas con los datos. Sean o no empleados directos de la organización, los delegados deben estar en condiciones de cumplir sus cometidos de manera independiente y rendir cuentas únicamente al más alto nivel jerárquico. No se define una capacitación mínima para desempeñar la función de Delegado de Protección de Datos, aunque su nombramiento se hará atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

En el próximo post hablaremos de algunas medidas que se pueden tomar para asegurar el cumplimiento del GDPR en nuestra organización.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (3)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]