Actualizar nuestra política de privacidad, construir una base de contactos basada en un consentimiento demostrable o implementar un centro de preferencias son algunas de las medidas que podemos adoptar para cumplir con el GDPR.

Después de varios posts dedicados al nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y a sus principales novedades (aquí, aquí y aquí), en éste pasamos revista a algunas medidas que las empresas pueden adoptar para adaptarse a él.

Empieza a planificar tu estrategia de cumplimiento YA

Si todavía no has comenzado ya empieza a ser demasiado tarde. Cuando comiences a escribir lo que tienes que hacer te va a salir una lista con decenas de ítems… y las cosas no se hacen solas. Empieza hoy mejor que mañana.

Actualiza y remite a tu política de privacidad

Keep Calm and GDPRLa política de privacidad típica de cualquier empresa es una nota inmensa y farragosa, escrita en jerga de abogados, que hace imposible a cualquier mortal descifrar qué hace la empresa con sus datos. Esto debe cambiar con el GDPR, que impone unos requisitos de transparencia y claridad absolutas. Debemos actualizar nuestras políticas de privacidad de modo que sean perfectamente inteligibles y expliquen de una manera clara nuestra identidad y datos de contacto, los datos que se están recogiendo, los propósitos de los tratamientos que vamos a realizar y su base legal, las consecuencias de esos tratamientos, los receptores de los datos, cómo invocar los derechos de acceso, rectificación, cancelación, oposición, etc. Y remitir a ella desde cualquier punto de contacto de captura.

Construye una base de datos de marketing in-house basada en un consentimiento demostrable

Genera contenido valioso (blog, white papers, webinars, eventos…) para que los potenciales clientes se registren. Solicita un consentimiento granular para los diferentes tratamientos (incluyendo cookies, emailings) y utiliza doble opt-in (enviando un email automático para confirmar la suscripción) que permita demostrar el consentimiento.

Implementa un centro de preferencias

Para fomentar que los usuarios se subscriban u opten por recibir tipos específicos de contenido — frente a la alternativa de “todo o nada” — deberíamos construir centros de preferencias que permitan a los clientes controlar cómo prefieren relacionarse con nosotros. Por ejemplo, los usuarios podrían optar por excluirse de los emails de marketing generales, pero aceptar  invitaciones a eventos.

Centraliza los datos de tus clientes en un sistema de referencia

El tiempo de tener datos de clientes en hojas de cálculo dispersas por todos los ordenadores ha tocado a su fin. Sea en un CRM, en un sistema de automatización de marketing o en otra aplicación similar, es conveniente centralizar los datos de los clientes en un sistema que sirva de referencia y nos permita implementar fácilmente los derechos de los sujetos de datos en cuanto a su acceso, rectificación, cancelación, oposición, etc.

Utiliza más marketing social

Los dueños de redes sociales como Twitter, LinkedIn o Facebook han actualizado sus políticas de privacidad para adaptarlas al GDPR y, como consecuencia, los usuarios de estas redes sociales han otorgado su consentimiento para recibir mensajes de otros usuarios con los que están conectados. Este consentimiento preconstituido otorga un gran potencial al marketing social en este nueva era: es muy recomendable desarrollar una estrategia social que nos ayude a incrementar nuestros seguidores, conexiones, etc. y utilizar nuestro alcance orgánico para difundir nuestros mensajes. También podemos aprovechar la oferta de servicios publicitarios que ofrecen estas redes, que nos permiten segmentar nuestra audiencia y hacer llegar nuestro mensaje a personas con los que todavía no tenemos relación mediante campañas pagadas.

Lo que desde luego no estamos autorizados a hacer es descargar los datos de contacto (ej.: email) de nuestras relaciones en una red social y usarlos para contactarlos a través de otros canales (a menos, claro está, que nos hayan dado su consentimiento explícito para hacer eso).

¿Deberíamos refrescar el consentimiento (permission passing) para aquellos datos sobre los que veníamos haciendo tratamientos automáticos con anterioridad?

El GDPR sólo exige que se pueda demostrar que hubo un consentimiento válido en el momento en que éste se recogió (es decir, puede tratarse de un consentimiento tácito, no explícito, que resultaba válido antes de la entrada en vigor del reglamento). Pero si no se puede demostrar el consentimiento, éste habrá de refrescarse y -ahora sí- deberá tratarse de un consentimiento activo y explícito. Según algunos estudios, sólo el 25% de los datos existentes de clientes cumplen los requisitos del GDPR, así que empieza a auditar tus datos ya.

¿Deberíamos contratar a un Data Protection Officer?

La definición del Delegado de Protección de Datos y de su papel en las organizaciones es una de las principales novedades del GDPR. El reglamento establece las condiciones bajo las cuales se exige designar un Delegado de Protección de Datos:

  • El tratamiento lo lleva a cabo una autoridad u organismo público (excepto los tribunales)
  • Las actividades principales del controlador o el procesador consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una monitorización habitual y sistemática de sujetos de datos a gran escala
  • Las actividades principales del controlador o el procesador consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Si ese no es el caso, estamos exentos de designar un Delegado de Protección de Datos

¿Deberíamos llevar un registro de actividades de tratamiento?

El reglamento establece que la obligatoriedad llevar un registro de actividades de tratamiento no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice

  • Pueda entrañar un riesgo para los derechos y libertades de los interesados
  • No sea ocasional, o
  • Incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

Por lo tanto, su nuestra empresa emplea a menos de 250 personas y no estamos sujetos a las anteriores condiciones, estamos exentos de llevar un registro de actividades de tratamiento.

Actúa ahora, pero permanece atento a cambios inmediatos

El GDPR no representa la última palabra sobre todos los aspectos relacionados con la protección de datos personales. Algunos temas polémicos que hemos mencionado aquí, como la gestión de las cookies o los datos de empresarios individuales y personas de contacto en empresas, no quedarán aclarados hasta que no se aprueben algunos textos legales complementarios como el nuevo reglamento ePrivacy o la nueva Ley Orgánica de Protección de Datos española. Habrá que seguir atentos a la evolución de estas normas. Nuestra adaptación a este nuevo territorio legal de protección de datos no ha hecho más que empezar.

El GDPR no es sólo una amenaza, es una gran oportunidad

Muchos están viendo el GDPR como una gran amenaza por lo exigente de su regulación, el riesgo de multas y las inversiones que nos va a obligar a realizar para adaptarnos. Pero también es una oportunidad: algo que nos va a empujar a “apretar el acelerador” en algunos aspectos muy positivos para nuestro marketing. Efectivamente, nos va a obligar a “jugar limpio” con nuestros contactos y a impulsar la creación de contenido realmente valioso para conseguir su consentimiento. Descubriremos que es más provechoso trabajar con una base más reducida de usuarios interesados y comprometidos que con una lista enorme de contactos que no tienen relación con nosotros.

Y hasta aquí este repaso al GDPR. Espero que os haya sido útil.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (4)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

Anuncios