Actualizar nuestra política de privacidad, construir una base de contactos basada en un consentimiento demostrable o implementar un centro de preferencias son algunas de las medidas que podemos adoptar para cumplir con el GDPR.

Después de varios posts dedicados al nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y a sus principales novedades (aquí, aquí y aquí), en éste pasamos revista a algunas medidas que las empresas pueden adoptar para adaptarse a él.

Empieza a planificar tu estrategia de cumplimiento YA

Si todavía no has comenzado ya empieza a ser demasiado tarde. Cuando comiences a escribir lo que tienes que hacer te va a salir una lista con decenas de ítems… y las cosas no se hacen solas. Empieza hoy mejor que mañana.

Actualiza y remite a tu política de privacidad

La política de privacidad típica de cualquier empresa es una nota inmensa y farragosa, escrita en jerga de abogados, que hace imposible a cualquier mortal descifrar qué hace la empresa con sus datos. Esto debe cambiar con el GDPR, que impone unos requisitos de transparencia y claridad absolutas. Debemos actualizar nuestras políticas de privacidad de modo que sean perfectamente inteligibles y expliquen de una manera clara nuestra identidad y datos de contacto, los datos que se están recogiendo, los propósitos de los tratamientos que vamos a realizar y su base legal, las consecuencias de esos tratamientos, los receptores de los datos, cómo invocar los derechos de acceso, rectificación, cancelación, oposición, etc. Y remitir a ella desde cualquier punto de contacto de captura.

Construye una base de datos de marketing in-house basada en un consentimiento demostrable

Genera contenido valioso (blog, white papers, webinars, eventos…) para que los potenciales clientes se registren. Solicita un consentimiento granular para los diferentes tratamientos (incluyendo cookies, emailings) y utiliza doble opt-in (enviando un email automático para confirmar la suscripción) que permita demostrar el consentimiento.

Implementa un centro de preferencias

Para fomentar que los usuarios se subscriban u opten por recibir tipos específicos de contenido — frente a la alternativa de “todo o nada” — deberíamos construir centros de preferencias que permitan a los clientes controlar cómo prefieren relacionarse con nosotros. Por ejemplo, los usuarios podrían optar por excluirse de los emails de marketing generales, pero aceptar  invitaciones a eventos.

Centraliza los datos de tus clientes en un sistema de referencia

El tiempo de tener datos de clientes en hojas de cálculo dispersas por todos los ordenadores ha tocado a su fin. Sea en un CRM, en un sistema de automatización de marketing o en otra aplicación similar, es conveniente centralizar los datos de los clientes en un sistema que sirva de referencia y nos permita implementar fácilmente los derechos de los sujetos de datos en cuanto a su acceso, rectificación, cancelación, oposición, etc.

Utiliza más marketing social

Los dueños de redes sociales como Twitter, LinkedIn o Facebook han actualizado sus políticas de privacidad para adaptarlas al GDPR y, como consecuencia, los usuarios de estas redes sociales han otorgado su consentimiento para recibir mensajes de otros usuarios con los que están conectados. Este consentimiento preconstituido otorga un gran potencial al marketing social en este nueva era: es muy recomendable desarrollar una estrategia social que nos ayude a incrementar nuestros seguidores, conexiones, etc. y utilizar nuestro alcance orgánico para difundir nuestros mensajes. También podemos aprovechar la oferta de servicios publicitarios que ofrecen estas redes, que nos permiten segmentar nuestra audiencia y hacer llegar nuestro mensaje a personas con los que todavía no tenemos relación mediante campañas pagadas.

Lo que desde luego no estamos autorizados a hacer es descargar los datos de contacto (ej.: email) de nuestras relaciones en una red social y usarlos para contactarlos a través de otros canales (a menos, claro está, que nos hayan dado su consentimiento explícito para hacer eso).

¿Deberíamos refrescar el consentimiento (permission passing) para aquellos datos sobre los que veníamos haciendo tratamientos automáticos con anterioridad?

El GDPR sólo exige que se pueda demostrar que hubo un consentimiento válido en el momento en que éste se recogió (es decir, puede tratarse de un consentimiento tácito, no explícito, que resultaba válido antes de la entrada en vigor del reglamento). Pero si no se puede demostrar el consentimiento, éste habrá de refrescarse y -ahora sí- deberá tratarse de un consentimiento activo y explícito. Según algunos estudios, sólo el 25% de los datos existentes de clientes cumplen los requisitos del GDPR, así que empieza a auditar tus datos ya.

¿Deberíamos contratar a un Data Protection Officer?

La definición del Delegado de Protección de Datos y de su papel en las organizaciones es una de las principales novedades del GDPR. El reglamento establece las condiciones bajo las cuales se exige designar un Delegado de Protección de Datos:

• El tratamiento lo lleva a cabo una autoridad u organismo público (excepto los tribunales)
• Las actividades principales del controlador o el procesador consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una monitorización habitual y sistemática de sujetos de datos a gran escala
• Las actividades principales del controlador o el procesador consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Si ese no es el caso, estamos exentos de designar un Delegado de Protección de Datos

¿Deberíamos llevar un registro de actividades de tratamiento?

El reglamento establece que la obligatoriedad llevar un registro de actividades de tratamiento no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice

• Pueda entrañar un riesgo para los derechos y libertades de los interesados
• No sea ocasional, o
• Incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

Por lo tanto, su nuestra empresa emplea a menos de 250 personas y no estamos sujetos a las anteriores condiciones, estamos exentos de llevar un registro de actividades de tratamiento.

Actúa ahora, pero permanece atento a cambios inmediatos

El GDPR no representa la última palabra sobre todos los aspectos relacionados con la protección de datos personales. Algunos temas polémicos que hemos mencionado aquí, como la gestión de las cookies o los datos de empresarios individuales y personas de contacto en empresas, no quedarán aclarados hasta que no se aprueben algunos textos legales complementarios como el nuevo reglamento ePrivacy o la nueva Ley Orgánica de Protección de Datos española. Habrá que seguir atentos a la evolución de estas normas. Nuestra adaptación a este nuevo territorio legal de protección de datos no ha hecho más que empezar.

El GDPR no es sólo una amenaza, es una gran oportunidad

Muchos están viendo el GDPR como una gran amenaza por lo exigente de su regulación, el riesgo de multas y las inversiones que nos va a obligar a realizar para adaptarnos. Pero también es una oportunidad: algo que nos va a empujar a “apretar el acelerador” en algunos aspectos muy positivos para nuestro marketing. Efectivamente, nos va a obligar a “jugar limpio” con nuestros contactos y a impulsar la creación de contenido realmente valioso para conseguir su consentimiento. Descubriremos que es más provechoso trabajar con una base más reducida de usuarios interesados y comprometidos que con una lista enorme de contactos que no tienen relación con nosotros.

Y hasta aquí este repaso al GDPR. Espero que os haya sido útil.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (4)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

El nuevo GDPR impone unos derechos ampliados de los sujetos de datos, mayores restricciones a la toma de decisiones automáticas y a las transferencias internacionales de datos y nuevos procesos y responsabilidades organizativas.

Seguimos hablando del nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y continuamos centrándonos en algunos de sus aspectos más relevantes y novedosos.

Derechos reforzados

El GDPR amplía los derechos de las personas sometidas al procesamiento de sus datos, que pasan a incorporar los siguientes:

• Derecho de acceso: el sujeto tiene derecho a recibir, en un formato comprensible, una copia de sus datos recogidos y procesados, así como información completa sobre el procesamiento: propósito, categorías, destinatarios, plazos…
• Derecho de rectificación: el sujeto podrá obtener la rectificación de los datos inexactos o incompletos que le conciernan.
• Derecho de supresión (“derecho al olvido”): los sujetos de datos pueden solicitar al controlador el borrado de sus datos personales si el procesamiento continuado de esos datos no está justificado o si el sujeto ha revocado su consentimiento.
• Derecho a limitar el procesamiento: en determinadas circunstancias los sujetos de datos no pueden requerir la supresión de sus datos pero sí limitar los propósitos para los cuales el controlador puede procesar esos datos.
• Notificación a terceros en relación al ejercicio de la rectificación, la supresión o la limitación: el controlador debe notificar a cualquiera con quien haya compartido datos de un sujeto que éste ha ejercido los mencionados derechos.
• Derecho de portabilidad de datos: bajo ciertas circunstancias los sujetos de datos tienen derecho a recibir una copia de sus datos personales en un formato comúnmente usado legible por una máquina y a transferir sus datos de un controlador a otro o a hacer que un controlador se lo transmita directamente a otro.
• Derecho de oposición al procesamiento: los sujetos de datos tienen derecho a oponerse por motivos relacionados con su situación particular a que datos personales que les conciernan sean objeto de procesamiento basado en el interés público o el interés legítimo del controlador. Cuando el objeto del procesamiento es el marketing directo los sujetos de datos pueden oponerse en todo momento a dicho procesamiento, incluyendo el perfilado.

Perfilado y decisiones automáticas

La redacción del GDPR hace difícil diferenciar entre actividades de perfilado y decisiones automáticas, ya que las suele mencionar conjuntamente. Sin embargo, son muy diferentes, y también lo son las condiciones para realizarlas legalmente. Un procesamiento puede catalogarse como “perfilado” cuando implica usar un proceso automático de datos personales para evaluar ciertos aspectos relacionados con una persona natural, en particular para analizar o predecir aspectos sobre su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.

Un tipo de procesamiento muy ligado al perfilado es la toma de decisiones automáticas, sin intervención humana, sobre las personas físicas: se pueden basar en el perfilado o en algún otro tipo de tratamiento automático. Y dentro de las decisiones automáticas merecen especial atención aquéllas que producen efectos jurídicos en la persona o le afecte significativamente de modo similar. Ejemplos de perfilado que no lleva a decisiones automáticas con efectos jurídicos o significativos serían el aplicado a la analítica web o a la presentación de publicidad enfocada; ejemplos de perfilado que sí lleva a decisiones automáticas con efectos jurídicos o significativos serían la concesión automática de una solicitud de crédito o los servicios de contratación laboral en red en los que no medie intervención humana alguna.

El GDPR establece que toda persona tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en ella o le afecte significativamente de modo similar. Las excepciones son el consentimiento explícito, su necesidad para la celebración o ejecución de un contrato o que esté autorizada por el Derecho de la Unión o de los Estados.

El sujeto que se somete a perfilado y decisiones automáticas tiene derechos y recursos adicionales: el controlador debe informar al sujeto no solo de que va a tener lugar un perfilado, sino también de la lógica aplicada  y de las consecuencias previsibles de dicho procesamiento. Además, las decisiones automáticas no podrán basarse en categorías especiales de datos personales (p.ej., información racial o religiosa) salvo en contadas excepciones. En resumen, los sujetos tienen una serie de derechos con respecto al perfilado, algunos de los cuales –como los de aviso y acceso- requieren procesos similares a los de los procesos que no son de perfilado, pero otros -como el derecho a objetar y detener el perfilado o a evitar decisiones basadas en el perfilado- requerirán de atención y procesos especiales para su cumplimiento.

Transferencia de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Edward Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015, que invalidó la decisión de Safe Harbour de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de cloud computing. Puerto Seguro fue sustituido por Privacy Shield como sistema para poder transmitir datos a los EEUU.

El RGPD establece que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes (entre ellas, las normas corporativas vinculantes) o se den algunas de las circunstancias previstas como excepciones (consentimiento, ejecución de un contrato…), y siempre y cuando se observen los demás requisitos del Reglamento.

Registro de actividades de tratamiento

Excepto para pequeñas empresas y otras excepciones el GDPR requiere llevar un registro de actividades de tratamiento que sustituye a la notificación de ficheros a las autoridades de protección de datos. Este registro constará por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite. Tanto en el caso de los controladores como de los procesadores el registro debe reflejar, entre otros, los datos de contacto, los fines, las categorías de tratamientos y las transferencias a terceros países.

Delegado de Protección de Datos

En determinadas circunstancias el GDPR exige a las organizaciones el nombramiento de un Delegado de Protección de Datos (Data Protection Officer), un puesto directivo relacionado con la seguridad corporativa y responsable de supervisar la estrategia de protección de datos y su implementación conforme a los requisitos del GDPR. Entre las funciones de estos delegados están asesorar a la compañía y a sus empleados sobre requisitos normativos importantes, formar al personal involucrado en el procesamiento de datos y realizar regularmente auditorías de seguridad. Los delegados sirven asimismo de punto de contacto entre la empresa y las autoridades de supervisión de las actividades relacionadas con los datos. Sean o no empleados directos de la organización, los delegados deben estar en condiciones de cumplir sus cometidos de manera independiente y rendir cuentas únicamente al más alto nivel jerárquico. No se define una capacitación mínima para desempeñar la función de Delegado de Protección de Datos, aunque su nombramiento se hará atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

En el próximo post hablaremos de algunas medidas que se pueden tomar para asegurar el cumplimiento del GDPR en nuestra organización.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (3)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

El nuevo GDPR se basa en unos principios mucho más exigentes en cuanto a la protección de los sujetos de datos, especialmente en la necesidad de que el consentimiento para su tratamiento sea totalmente libre, informado, explícito y demostrable.

Seguimos hablando del nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, en este caso centrándonos en algunos de sus aspectos más relevantes y novedosos.

Controlador y procesador

El reglamento distingue entre los papeles del controlador y el procesador de datos. El controlador (“responsable del tratamiento”) es la persona natural o jurídica, autoridad pública, agencia u otra organización que determina, solo o conjuntamente con otros, el propósito (los objetivos que se persiguen) del procesamiento de datos y los métodos (para recoger y procesar) que se van a usar en dicho procesamiento. El procesador (“encargado del tratamiento”) es la persona natural o jurídica, autoridad pública, agencia u otra organización que procesa datos personales en nombre del controlador.

Si eres un procesador el GDPR te impone obligaciones legales específicas: por ejemplo, estás obligado a mantener registros de datos personales y actividades de procesamiento y tendrás responsabilidad legal si eres responsable de una violación de datos.

Sin embargo, si eres un controlador, aunque esté involucrado un procesador no estás liberado de tus obligaciones. El GDPR te impone deberes adicionales para asegurar que tus contratos con los procesadores cumplen con el GDPR.

El GDPR refuerza el principio de transparencia y el deber de información respecto a los individuos cuyos datos se recogen y procesan. Como controlador del procesamiento, estás obligado en todos los casos a proporcionar a esos individuos información clara, precisa, inteligible y accesible relacionada en particular con los métodos y el propósito del procesamiento, junto con sus derechos y sus posibilidades para reclamar. Así  que deberías tener cuidado de incluir toda esta información en tu Política de Privacidad, que debe ser también fácilmente accesible en todo momento. Finalmente, cualquier individuo debería podar contactarte eficazmente en relación a cualquier pregunta o queja.

Pertinencia y minimización

El GDPR trata de limitar el impacto del procesamiento de datos, imponiendo (a) que estos sólo pueden ser recogidos y tratados  con unos fines determinados, explícitos y legítimos; (b) restringiendo los datos que pueden ser tratados a aquéllos que son estrictamente necesarios en relación a dichos fines y (c) limitando el plazo de conservación de los datos al necesario para los mencionados fines.

Un consentimiento más exigente

El consentimiento sigue siendo una de las circunstancias en las que se permite el tratamiento de datos personales bajo la GDPR; sin embargo, la definición de consentimiento se restringe significativamente. Esto limitará a quién podemos enviar mensajes (por ejemplo, vía email) y de quién hacemos seguimiento (en nuestras propiedades digitales). Si bien hasta ahora se permitía a los controladores aprovechar un consentimiento implícito y de “opt-out” en algunas circunstancias, la GDPR requiere que el sujeto de los datos exprese su acuerdo mediante una afirmación o una acción explícita realizada libremente, específica, informada y no ambigua.

Como consecuencia, opciones como el silencio, las casillas premarcadas o la inactividad se presumen inadecuadas para otorgar consentimiento. El consentimiento debe ser específico para las operaciones de procesamiento y el controlador no puede solicitar un consentimiento abierto o de “cheque en blanco” para dar cobertura a futuros procesamientos. El consentimiento debe cubrir todas las actividades de procesamiento llevadas a cabo con un mismo propósito y si el procesamiento tuviera diversos propósitos debería otorgarse consentimiento para todos ellos.

Asimismo la nueva regulación mantiene unos requisitos diferentes de procesamiento para ciertas categorías especiales de datos personales, particularmente sensibles en relación al ejercicio de derechos y libertados individuales. También el GDPR introduce restricciones a la capacidad de los menores para consentir el procesamiento de sus datos sin contar con autorización paterna.

Finalmente, el individuo debe poder retirar su consentimiento en cualquier momento, y hacerlo tan fácilmente como lo otorgó. Y por supuesto, esta retirada no tiene efecto sobre la legalidad de cualquier operación de procesamiento que estuviera basada en un consentimiento otorgado con anterioridad a esta retirada (en otras palabras, la retirada de consentimiento no tiene efectos retroactivos).

Cuando el procesamiento está basado en el consentimiento el controlador deberá poder demostrar en todo momento que el sujeto de datos ha consentido el procesamiento de de sus datos personales. Esta prueba de consentimiento debe comprender tres elementos: la identidad del sujeto de datos, el momento en el que dio su consentimiento y el propósito para el cual se dio.

Responsabilidad proactiva

Del mismo modo que «no basta que la mujer del César sea honesta, también tiene que parecerlo» el GDPR impone que el controlador no sólo será responsable del cumplimiento de éste, sino que además deber ser capaz de demostrarlo. Para ello deberá establecer procedimientos y controles diseñados efectivamente para implementar este cumplimiento. “No incumplir”, en el sentido de no llegar a realizar un tratamiento prohibido sobre datos, ya no es suficiente. Unos procesos defectuosos que pueden dar lugar a tratamientos prohibidos, aunque no se hayan ejecutado efectivamente sobre ningún dato, ya constituyen un incumplimiento.

Información y transparencia

Tanto si los datos relacionados con un sujeto son recogidos directamente del mismo sujeto como si no, el controlador le proporcionará información exacta y completa sobre todos los aspectos relevantes, entre otros:

• La identidad y los detalles de contacto del controlador y, cuando sea aplicable, del representante del controlador.
• Los detalles de contacto del Delegado de Protección de Datos (Data Protection Officer), cuando sea aplicable.
• El propósito del procesamiento al cual se destinan los datos, así como la base legal para ese procesamiento.
• Los destinatarios o las categorías de destinatarios de los datos personales.

Un tema polémico: empresarios individuales y personas de contacto en empresas

El GDPR cambia la consideración del tratamiento de datos personales de empresarios individuales y de personas de contacto en empresas, que hasta ahora quedaban fuera del ámbito de protección de las leyes vigentes. Por un lado el nuevo reglamento explica que no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (aunque no aclara si estos datos de contacto pueden ser de personas).

Sin embargo, por otro lado el Anteproyecto de Ley Orgánica de Protección de Datos (en trámite parlamentario) establece sobre los datos tanto de personas físicas que prestan sus servicios en una persona jurídica como de empresarios individuales, que si el tratamiento se refiera únicamente a los mínimos datos imprescindibles y si la finalidad del tratamiento es únicamente mantener relaciones de cualquier índole con la persona jurídica, dicho tratamiento será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. En conclusión, si este extremo del Anteproyecto resulta finalmente aprobado no será necesario recurrir al consentimiento para tratar datos de empresarios individuales y personas de contacto en empresas.

En el próximo post seguiremos hablando de algunas novedades del GDPR.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (2)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

El nuevo GDPR está a punto de empezar a aplicarse. En este post presentamos algunos de sus conceptos básicos, como paso previo a analizar sus principales novedades y sus implicaciones sobre el marketing.

El 25 de mayo de 2018 comenzará a exigirse el cumplimiento del Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation), que sustituirá a la actual normativa europea vigente, la Directiva de Protección de Datos 95/46/CE. Este nuevo enfoque de protección de datos es la vía de la Unión Europea para hacer a las empresas más responsables de sus acciones en este campo y va a tener profundas implicaciones en muchas áreas de las empresas.

Los reguladores de la Unión piensan que las compañías han estado aprovechando la disparidad de normas para explotar los datos personales en su propio beneficio y no han sido transparentes sobre cómo los estaban empleando. El GDPR  ha sido diseñado para acabar con todo esto y devolver el poder a los consumidores. En esta serie de posts presentamos las implicaciones del GDPR para el marketing, terminando con unas recomendaciones para implementarlo. Por supuesto, al tratarse de un tema tan delicado esta lectura no os debe eximir de estudiar el reglamento y buscar asesoramiento profesional.

¿Por qué ahora va en serio?

Hay que tomarse muy en serio este inicio de la aplicación de la GDPR por varios motivos:

• No hay más demoras. Al tratarse de un reglamento comunitario entra en vigor en todos los países miembros a la vez en la fecha acordada. No hay que esperar, como ocurre con las directivas comunitarias, a que se traspongan en forma de leyes en los diferentes países con los consiguientes retrasos y adaptaciones.
• Multas mucho más que simbólicas. Las multas por infracción son mucho más altas que con la anterior regulación, con unos máximos que llegan a los 20 millones de euros o al 4% de la cifra de negocio anual de la empresa infractora, la cantidad que sea más alta. Estos riesgos harán pensarse mucho el incumplir el reglamento.
• Alcance más allá de la Unión Europea. El nuevo reglamento extiende el alcance territorial de la legislación de protección de datos y no solo obliga a las empresas europeas, sino a todas las que manejan datos personales de europeos. Así, el reglamento se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento en la Unión Europea de una empresa responsable o una encargada de realizar un procesamiento, con independencia de si ese procesamiento tiene lugar en la Unión o no. Además, el reglamento se aplica al procesamiento de datos personales de sujetos de datos que están en la Unión por una empresa no establecido en la Unión, cuando las actividades de procesamiento están relacionadas con: (a) la oferta de bienes y servicios, independientemente de si se requiere un pago del sujeto de datos, a esos sujetos de datos en la Unión; o (b) la monitorización de su comportamiento, con tal que ese comportamiento tenga lugar en la Unión.

Todavía muchos interrogantes

El GDPR será complementado en un futuro próximo con el reglamento ePrivacy, que se encuentra en las fases finales de aprobación y que se aplicará a los negocios que proporcionan servicios de comunicaciones online, que utilizan técnicas de seguimiento online o que realiza marketing directo electrónico. Es de esperar que ePrivacy sea mucho más específico que GDPR en áreas como las cookies.

Y aunque el GDPR es bastante exhaustivo, permite que los Estados publiquen legislación específica en determinados puntos que quedan abiertos en el reglamento, siempre y cuando no contradigan a éste. Por eso en España se encuentra en trámite parlamentario un nuevo proyecto de Ley Orgánica de Protección de Datos y hasta que este trámite no finalice no tendremos una respuesta concreta a temas como algunos de los que mencionamos en esta serie de posts.

Conceptos básicos

Estos son los conceptos básicos del GDPR:

Datos personales

“Datos personales” significa cualquier información relacionada con una persona natural identificada o identificable (“sujeto de datos”). Una persona natural identificable es una que puede ser identificada, directa o indirectamente, en particular mediante la referencia a un identificador tal como un nombre, un número de identificación, datos de ubicación, un identificador online, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de cookies u otros identificadores, etiquetas de identificación por radiofrecuencia, handles online, direcciones de email, identificadores de usuario de aplicación, datos GPS, direcciones MAC, identificadores UDID, identidades IMEI. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

Pseudonimización

“Pseudonimizar” significa procesar los datos personales de tal manera que estos ya no pueden ser atribuidos a un sujeto de datos específico sin el uso de información adicional, con tal que esa información adicional se mantenga separadamente y se sujete a medidas técnicas y organizativas que aseguren que los datos personales no se atribuyen a una persona natural identificada o identificable. Los datos pseudonimizados pueden caer bajo el ámbito del GDPR dependiendo de cómo de fácil es atribuir el pseudónimo a un individuo particular.

Datos sensibles

Como categorías especiales de los datos personales están los “datos sensibles”, tales como aquellos datos que revelan opiniones políticas, creencias religiosas o filosóficas, origen racial o étnico, pertenencia a sindicatos, detalles de la vida sexual o la orientación sexual, información médica o datos biométricos (huellas dactilares, fotografías, etc.) dirigidos a identificar de manera unívoca a una persona natural. Su procesamiento está prohibido excepto en una serie de circunstancias, entre ellas que el sujeto de datos haya dado su consentimiento explícito.

Naturaleza del procesamiento

El GDPR se aplica tanto a procesamiento automático de datos personales como al procesamiento manual de datos contenidos en sistemas de archivo donde se puede acceder a ellos de acuerdo a criterios específicos.

Legalidad del procesamiento

El procesamiento será legal solo si aplica al menos una de entre las siguientes circunstancias:

• El sujeto de datos ha otorgado su consentimiento al procesamiento de sus datos personales para uno o varios propósitos específicos.
• El procesamiento es necesario para la ejecución de un contrato del cual el sujeto de datos es una parte o para la aplicación a petición de éste de medidas precontractuales.
• Otras circunstancias: cumplimiento de obligaciones legales, protección de intereses vitales del sujeto, interés público, interés legítimo del controlador (éste es importante, como veremos en los próximos posts), etc.

En el próximo post hablaremos de algunas de las novedades más importantes que introduce el GDPR.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (1)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]