RGPD

RGPD, diseñando el marketing desde la privacidad

RGPD, es el término mas escuchado los últimos meses para los profesionales de marketing digital que buscamos generar leads cualificados, conversión y transacciones económicas online.

En este desconcierto aparecen miles de artículos e informaciones al respecto, empiezan a surgir miles de “expertos” que quieren aconsejarnos y luego cobrarnos.

Como responsables de marketing y marketing digital de marcas y proyectos digitales debemos conocer la implicación que la RGPD o Reglamento General de Protección de Datos va a tener no solo en nuestra a web sino en cómo tratamos y recogemos el dato.

¿Por qué este matiz?

Porque es importante, la normativa afecta al tratamiento del dato en la empresa. No es solo adaptar los textos de política de privacidad, cookies y el proceso de aceptación por parte del usuario web.

Es una metodología y forma de trabajar centrada en el dato dentro de un marco  normativo y procedimentado. Por daros un símil, como si tuviéramos que implementar una pequeña norma ISO en nuestra empresa.

Pero vamos a entender con profundidad todos los matices.

Por qué surge el RGPD a nivel europeo

RGPD o Reglamento General de Protección de Datos , como su propio nombre indica es un Reglamento y, por tanto, a diferencia de la Directiva UE que sustituye, se aplica directamente en todos los Estados miembros sin necesidad de norma de transposición interna para su incorporación al Derecho nacional.

Sin embargo, cada uno de los Estados miembro tienen la necesidad de actualizar su legislación nacional de Protección de Datos con la finalidad de alinearla con los mandatos contenidos en el RGPD.

Además de dar contenido a ciertos aspectos que la norma europea permite que se legislen de acuerdo con el contexto del ordenamiento jurídico de cada país miembro.

A pocos días de la aplicación obligatoria del RGPD, pocos son los Estados miembros que han adaptado su normativa interna a los mandatos del Reglamento.

En España, el pasado mes de noviembre de 2017, se aprobó el Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD), que entrará en vigor y será de aplicación el mismo día que el RGPD sea de obligado cumplimiento, esto es el próximo 25 de mayo.

El RGPD y el PLOPD derogarán la actual normativa de Protección de Datos nacional, esto es tanto a la actual Ley Orgánica de Protección de Datos de 1999 como a su Reglamento de desarrollo de 2007.

En cualquier caso, al legislador español le queda un largo camino por recorrer que pasa, entre otros aspectos, por la redacción de un nuevo Reglamento de desarrollo del PLOPD.

Qué conlleva el RGPD para la empresa

El nuevo bloque normativo de Protección de Datos será de aplicación a todas las empresas que traten con datos de carácter personal. Da igual que sea digital o no.

Adoptando la empresa la figura de responsable o encargado de tratamiento, tanto si está ubicado su domicilio social en un Estado miembro como, sin estarlo. Ofrezca bienes o servicios a ciudadanos de la Unión Europea o haga tratamiento de datos sobre ciudadanos de la Unión.

Desde el punto de vista estratégico debemos entenderlo como una ventaja competitiva sin precedentes, ya que, por primera vez, en el mercado del dato, todas las empresas parten de la misma “casilla de salida”.

Aspectos a tener en cuenta del Reglamente General de Protección de Datos

Entre las principales novedades de la nueva normativa sobre Protección de Datos destacan:

– Las relacionadas con el consentimiento del interesado en el tratamiento de sus Datos Personales.

– Los nuevos derechos que se le atribuyen.

– Y de entre todos los principios que debe regir cualquier tratamiento de datos, el principio de accountability.

La nueva normativa obliga a que el consentimiento para el tratamiento de Datos Personales del interesado sea inequívoco, libre y revocable.

Añadiendo que deberá darse mediante un acto afirmativo claro, no admitiéndose el consentimiento tácito, para cada una de las finalidades del tratamiento.

En relación con los derechos de los interesados, además de recoger una revisión sobre los tradicionales derechos de acceso, rectificación, cancelación y oposición, conocidos como derechos A.R.C.O., incluye los siguientes derechos:

Derecho a la limitación del tratamiento

Este derecho supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.

Siempre que se den una serie de circunstancias determinadas.

Derecho de portabilidad

Mediante este derecho el interesado podrá solicitar al responsable del tratamiento que sus datos personales se transmitan directamente a otro responsable. Sin necesidad de que sean transmitidos previamente al propio interesado, siempre y cuando sea técnicamente posible.

Derecho de supresión (“el derecho al olvido”)

El interesado, en los casos que se cumplan una serie de circunstancias concretas, obtendrá, ejercitando este derecho, el borrado por el responsable del tratamiento de los datos personales que le conciernan, sin dilación indebida.

Nuevos principios del tratamiento de Datos Personales

La nueva normativa ademas presenta una serie de nuevos principios del tratamiento de Datos Personales, como son:

  • Los de protección de datos por defecto y desde el diseño, implicando a las empresas a adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se cree la empresa, el producto o servicio o la actividad que implique tratamiento de los datos.
  • El principio de transparencia que implica que todas las comunicaciones con el interesado (desde los textos legales Web hasta las formas de ejercitar sus derechos) deberán ser simples e inteligibles, siempre facilitando su comprensión.
  • Por último el principio de accountability, una de las piedras angulares e importante novedad respecto de la anterior normativa que, por su importancia y efectos, merece mención aparte.

Qué es el DPD o Delegado de Protección de Datos

Junto con el citado principio, otra de las importantes novedades de la RGPD es la creación de la figura del Delegado de Protección de Datos (en adelante, DPD).

Tiene que tener un conocimiento jurídico en general y en especial en las materias de Protección de Datos, Privacidad y Seguridad. Debiendo existir en determinadas tipologías de empresas, podrá DPD ser interno o externo.

En cualquier caso, el DPD, deberá reportar al más alto nivel jerárquico de la empresa, actuar de manera independiente y cooperar con la autoridad de control, Agencia Española de Protección de Datos (AGPD), no pudiendo ser despedido en el ejercicio de sus funciones.

Las empresas que el día 25 de mayo no estén preparadas para la nueva normativa se enfrentan a importantísimas sanciones.

Optando por la de mayor cuantía, de hasta 20 millones de euros o de una cuantía equivalente al 4% del volumen de negocio total anual mundial del ejercicio financiero anterior.

RGPD y Marketing Digital

La situación puede resultar más inquietante para aquellas empresas dedicadas a campos como el marketing digital. Y que una de sus principales fuentes de ingresos sea trabajar con la monitorización del dato.

La cuestión que debemos plantearnos es: ¿se puede continuar haciendo negocio?

La respuesta es ¡sí!.

Pero siempre que la entidad sea capaz de adaptarse al cambio, siguiendo una estrategia y un sistema de gestión de Datos Personales que se sustente en el principio de accountability.

El principio de accountability

Este principio implica que nace una obligación del responsable del tratamiento de aplicar las medidas técnico/organizativas apropiadas con el fin de garantizar y poder demostrar, en cualquier momento, que el tratamiento que realiza es conforme con la norma.

Esto se traduce en que todas las empresas deberán hacer un análisis de:

1. Qué datos tratan.

2. Con qué finalidades lo hacen.

3. Y qué tipo de operaciones de tratamiento llevan a cabo.

Partiendo de estos puntos deberán determinar de forma explícita la forma en la que aplican las medidas que la normativa prevé. Asegurando que estas sean las adecuadas para el cumplimiento del mandato legal y de poder demostrarlo, en cualquier momento, tanto a los interesados, como ante las autoridades de control y supervisión.

¿Qué novedades en materia de Protección de Datos conlleva la aplicación del principio de accountability del RGPD?

• Registro de las actividades del tratamiento de datos.

Una de las consecuencias de este principio es que las empresas deberán llevar a cabo un registro de las actividades del tratamiento de los datos. Esto  sustituye a la obligación de notificación de ficheros a la autoridad de control.

Pero se deberá determinar cuál es la base que legitima a la empresa para el tratamiento de datos personales y la finalidad del tratamiento.

• Seleccionar a los encargados del tratamiento.

Otra de las consecuencias es que el responsable del tratamiento tiene la obligación de seleccionar solo a aquellos encargados del tratamiento que aporten suficientes garantías de cumplimiento normativo.

La adhesión a códigos de conducta o contar con la certificación de entidades autorizadas, servirá como medio acreditativo del cumplimiento de las obligaciones legales.

• Medidas de seguridad diseñadas.

Consecuencia del principio de accountability será, también, la obligatoriedad de determinar qué medidas de seguridad deben aplicarse al tratamiento de datos personales.

Siempre teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

La normativa habla de la aplicación de las medidas técnico/organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, sin concretar qué tipo de medidas deben aplicarse.

Entre las medidas cabe destacar que se deberán realizar las denominadas evaluaciones de Impacto sobre la privacidad en aquellas ocasiones que el tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de los ciudadanos.

• Control y comunicación.

La última de las consecuencias a destacar del citado principio es la obligatoriedad del establecimiento de formas de control y comunicación tanto a los afectados como a la autoridad de control de las violaciones de seguridad.

En cualquier caso, para la violación de seguridad deberá ser comunicada y solventada en un plazo máximo de 72 horas.

Como decíamos en líneas anteriores, tenemos que entender este cambio legislativo como el momento oportuno de realizar una inversión. Inversión que, sin duda, se traducirá en una ventaja competitiva sin precedentes, teniendo en cuenta que, como todas las empresas parten de la misma “casilla de salida”, aquellas empresas que mejor se asesoren y mejor cumplan con el principio de accountability.

Es el momento de adaptarse a la nueva cultura del dato y la privacidad, para generar la confianza en los interesados, posicionando nuestra marca por delante de los competidores.

 

Muchas gracias a Shutterstock por la imagen destacada de portada

Compartir:

También te puede gustar

8 comentarios

  • Esta es una temática que hoy en día a todos los que nos dedicamos al Marketing Online nos trae de cabeza. Y de la cuál a mí hay dos temas que me preocupan que no se han tratado en el post.
    Uno es en qué afecta la aplicación de la RGPD al consentimiento de las cookies, en el caso de que se usen pero no recojan datos personales, aunque sí ayuden a crear perfiles de usuarios y ofrecerles publicidad comportamental, ¿Es necesario recoger consentimiento para instalar estas cookies?

    La otra es en lo que a blogs se refiere, cómo afeceta a la publicación de comentarios en los que se recogen datos personales como el correo electrónico? hay que explicar finalidad y recoger consentimiento para permitir publicar un comentario en tu blog?

    Si arrojáis un poco de luz sobre esto, sería de gran ayuda. Gracias como siempre por los contenidos.

    • Rubén Fernández Vela

      Buenas noches Jon,

      Ante todo, muchas gracias por la lectura del blog y por transmitirnos tus inquietudes.

      Respecto a la primera de las cuestiones que planteas sobre cómo afecta la nueva normativa de Protección de Datos al uso de cookies, hasta ahora, el uso de las cookies se regula por la Ley 34/2002 de 11 de junio, de servicios de la sociedad de la información y de comercio electrónico, en lo relativo al uso de “dispositivos de almacenamiento y recuperación de datos en equipos terminas”, esto son las cookies.

      Cuando se aplique el RGPD, tendremos que estar a lo establecido en el mismo, no perdiendo de vista la Propuesta de Reglamento de Privacidad electrónica (previsto que entre en vigor durante el segundo semestre de este año).

      El Considerando 30 del RGPD indica que “(…) las personas físicas pueden ser asociadas con identificadores en línea (…) como son las cookies (…)”. Apreciamos que, en estos casos, las cookies se consideran un “dato de carácter personal” y, por tanto, regirnos por lo dispuesto en el RGPD, con independencia de estar en el contexto de las comunicaciones electrónicas.

      En los demás casos, cuando la cookie no sea considerada un dato personal, deberemos atender a lo dispuesto por el futuro Reglamento de Privacidad electrónica, que se aplicará con independencia de si se captan o no datos personales.

      Dicho lo anterior, en aquellos casos en los que las cookies se consideren datos de carácter personal, por imperativo del RGPD, el consentimiento del afectado deberá ser expreso, específico, informado e inequívoco, requiriéndose para que sea válido una acción clara y afirmativa.

      Para finalizar con la primera de las cuestiones, el Proyecto de Reglamento de Privacidad electrónica establece un sistema en el que el usuario no tendrá, en cada web, que “aceptar las cookies” sino que podrá hacerlo de previamente en el navegador que utilice de forma obligatoria antes de usurarlo.

      En relación con la segunda de tus cuestiones, en todo momento que recabes un dato de carácter personal deberás recoger el consentimiento del interesado e informar sobre la finalidad de su tratamiento. Entiendo que en tu blog para poder publicar comentarios se tendrán que dar de alta como usuarios previamente; será en esa página del blog donde deberás implementar una casilla no pre – marcada con el texto “he leído y acepto la política de privacidad” y que en la página de política de privacidad indiques la finalidad de la información recabada.

      Espero que las explicaciones a tus preguntas te ayuden, en cualquier caso, si tienes más dudas no dudes en contactar.

      Un abrazo,

      Rubén

      • Muchas gracias Rubén, me aclara bastante las dudas sobre las lagunas que el apartado de cookies, ha creado esta nueva normtiva. Entiendo entonces que cuando se ponga en marcha el Proyecto de Reglamento de Privacidad electrónica, los mensajes de cookies ya no serán necesarios porque los navegadores deberán haber recabado ya la decisión del usuario.

        En cuanto el tema de comentarios, el sistema de mi blog no es diferente al mismo que tiene este, es decir, una caja para poner el comentario, y otra para el nombre, email, web… es decir, que WordPress, debería permitir incluir una casilla para aceptar la política de privacidad.

        Otra opción podría ser indicarle con un texto del estilo…”Los datos personales recogidos al realizar comentarios sólo se usarán para gestionar los mismos y responder a las consultas y permitir dejar tu opinión”

        Gracias de nuevo!

  • Muy buen artículo. En el caso de usar aplicaciones o plataformas de email marketing donde se puedan etiquetar a personas y enviar correos dependiendo esas etiquetas, para ti es una elaboración de perfiles? Y otra pregunta, por qué se suelen decir que los ecomerce tienen que hacer evaluación de impacto si o si?

  • Francisco Bellido

    Toda información sobre este tema es poca, gracias por compartirla

    • Muchas gracias Francisco, la verdad es que si. Mi consejo, si hay dudas en RGPD ir a un abogado especializado en TI o Derecho Digital.
      Un abrazo.

  • Me ha parecido muy interesante, gracias por aportar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Publicidad de alto valor

Master de Marketing Digital Avanzado de Windup School

Suscríbete al Boletín

¡Recibe las últimas noticias e información!

Ads




Publicidad de alto valor

alojamiento wordpress

Ads