Reglamento General de Protección de Datos (RGPD): guía definitiva para cliente

El Reglamento General de Protección de Datos (RGPD) que entra en vigor el 25 de mayo de 2018 es, de hecho, una consecuencia de lo que se establece en la Carta de los Derechos Fundamentales de la Unión Europea (Artículo 8 sobre protección de datos de carácter personal) donde se afirma que: Toda persona tiene […]

El Reglamento General de Protección de Datos (RGPD) que entra en vigor el 25 de mayo de 2018 es, de hecho, una consecuencia de lo que se establece en la Carta de los Derechos Fundamentales de la Unión Europea (Artículo 8 sobre protección de datos de carácter personal) donde se afirma que:

• Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
• Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.
• El cumplimiento de estas normas debe estar sujeto a control para garantizar que los suministradores de servicios, software y sistemas garanticen la protección de datos.

Tú no exhibirías tu nombre, edad, número de teléfono, raza, sexo u otros datos en un cartel publicitario, ¿verdad? ¡Claro que no! Sencillamente porque estás en tu derecho de controlar tus datos personales y con quién los compartes. En esto consiste, establecido por ley, el Reglamento General de Protección de Datos.

Existen diferentes interpretaciones del concepto de «datos personales». Por eso es necesario que quede perfectamente definido en el momento en que el RGPD entre en vigor.

1. ¿Qué son los datos personales?

Los datos personales se dividen en tres categorías:

• Datos personales
  • Se entiende como «datos personales» cualquier información personal que te identifique, directa o indirectamente, tal como el nombre, la dirección, el correo electrónico o el número de teléfono fijo o móvil, así como cualquier dato genético, físico, fisiológico, económico o cultural que apunte a una única persona. Puede ser la fecha de nacimiento del cliente como también algo tan subjetivo como «alguien que desayuna arena», si ello permite que otros lo identifiquen como una persona concreta y por tanto también se considera personal o privado.
• Datos despersonalizados o despojados de elementos identificativos.
  • La despersonalización de datos consiste en la conversión irreversible de datos privados en datos despojados de elementos identificativos y, como consecuencia, se eliminan esos datos del ámbito del RGPD. Esto se puede lograr bien a través de la sustitución de dichos datos o bien mediante la reducción de la granularidad que consiste en usar criterios amplios para clasificar a los sujetos dentro de un grupo de personas en vez de considerar un individuo específico, como por ejemplo el uso del código postal, con lo que se elimina parte de la granularidad.
• Datos  pseudodespersonalizados
  • La seudodespersonalización es un concepto semejante al anonimato, pero difiere al permitir el proceso de inversión (hace posible la reidentificación del sujeto) por lo que está al amparo del ámbito del RGPD. El seudoanonimato viene propiciado por el propio reglamento como forma de reducir los riesgos a datos para los sujetos y ayudar a responsables de tratamiento como E-goi a alcanzar la protección de datos necesaria. Un ejemplo de datos susceptibles de inversión son las cookies.

2. ¿Como ciudadanos, en qué nos afectan estos cambios?

Derecho de rectificación: las personas afectadas pueden solicitar que sus datos puedan ser actualizados o corregidos. Se puede llevar a cabo a través de la edición de su suscripción.

Derecho de supresión: las personas afectadas pueden solicitar que sus datos puedan ser eliminados de manera definitiva. Se lleva a cabo cuando el usuario se da de baja.

Derecho a la portabilidad: las personas afectadas pueden solicitar que sus datos se transfieran a otra organización o a un competidor.

Derecho de oposición: las personas afectadas pueden solicitar que sus datos no sean objeto de ciertos procesos o usos. Se lleva a cabo cuando el usuario se da de baja.

Derecho de acceso del interesado: las personas afectadas tienen derecho a conocer todos los datos recopilados sobre ellas y cuál es el uso que se les da.

3. ¿Cuál es el papel de tu empresa?

Una de las cuestiones que han generado más dudas en la implantación del nuevo Reglamento General de Protección de Datos (RGPD) es la responsabilidad relacionada con los datos personales que «nuestra organización almacena pero que son tramitados por nuestros clientes». En el ámbito del nuevo RGPD se plantea la cuestión de hasta dónde llega la responsabilidad de las empresas.

El nuevo reglamento se aplicará directamente en cada país de la Unión Europea y en los países no pertenecientes a ella que almacenen datos personales de ciudadanos de países de la UE, lo que permite la cohesión de la normativa entre países sobre los derechos de privacidad de las personas.

3.1 ¿Soy responsable o encargado del tratamiento de datos? ¿Qué significa?

En el artículo 4 del RGPD se establecen una serie de definiciones entre las que tenemos:

• Data controller (responsable del tratamiento): cualquier organización que recibe y usa datos personales. Si eres un cliente de E-goi serás un responsable del tratamiento.
• Data processor (encargado del tratamiento): cualquier organización, como E-goi, que trate y procese los datos personales en nombre del responsable del tratamiento.

3.2 ¿Y las multas?

La normativa aprobada por el Parlamento Europeo, según lo dispuesto en el apartado 4 del artículo 83, determina que las multas en casos menos graves pueden alcanzar los diez millones de euros o cuantía equivalente al 2 % del volumen de negocio total. Alguno de esos casos puede ser:

• Ausencia de comunicación de violación de datos a la autoridad que regula dichos datos, en el caso de España la Agencia Española de Protección de Datos (AEPD). En este caso debes ser tú quien informe a la institución.
• No cooperar con las autoridades.

En casos más graves las multas pueden alcanzar los veinte millones de euros o cuantía equivalente al 4 % del volumen de negocio total. Alguno de esos casos puede ser:

• Incumplimiento de las reglas de consentimiento
• Transferencias internacionales de datos (si los datos de los clientes están fuera de la Unión Europea)

Pero si eres cliente de E-goi no tienes nada que temer

E-goi almacena la información en servidores localizados en la Unión Europea y por ello no hay transferencia de datos.

En lo que concierne a la autorización, E-goi pone a tu disposición todas las herramientas necesarias para esclarecer la obtención de datos (opt in), así como el derecho de oposición o supresión. Te mostraremos más adelante cómo funciona en la práctica.

 

 

3.2.1 Multas: ¿Cómo funciona este proceso en la práctica?

1. Alguien recibe un mensaje a través de correo electrónico, de SMS o mediante otro medio.
2. A pesar de tener la opción en el mensaje para rechazarlo o eliminarlo mediante enlaces de eliminación,  prefieres buscar información para presentar una reclamación y entras en la página web de la AEPD y la presentas.
3. La AEPD se demora un tiempo hasta dar curso a la misma y, posiblemente, abrirá una investigación y la concluirá antes de que prescriba.
4. La empresa investigada se defenderá durante el proceso y presentará informes de opt in y opt out, privacidad, artículo 16 (comunicaciones no solicitadas), intereses legítimos, intromisión leve en los derechos y las libertades fundamentales de la persona, etc.
5. Con todo, la AEPD aplica la recomendación habitual para la mejora de procedimientos e incluso una multa acorde con la infracción del mensaje de marketing que no cumple totalmente el RGPD. La multa estaría muy por debajo de los importes máximos establecidos.
6. La empresa puede llevar el caso a los tribunales y el fallo correspondiente puede ser recurrible aunque la multa no se anule.

4. Tengo autorizaciones anteriores al RGPD ¿Debo pedir nuevas autorizaciones?

En la mayoría de los casos no hay necesidad de hacerlo. Pero hay una excepción:

• Si pediste autorización para enviar un determinado tipo de contenido diferente del que estás enviando (por ejemplo: en la inscripción te comprometiste a enviar solo consejos y material de contenido y después acabas enviando campañas de marketing o promociones).

 

4.1 ¿Prevé el reglamento otras cuestiones legales para el procesamiento de dados?

¡Sí!

Incluso sin el tradicional opt-in, la ley permite que los datos a tratar cuando, por ejemplo, hay un interés legítimo por parte de los consumidores. A contrato donde ya se refleja el alcance y el tratamiento de los datos es también bastante teniendo en cuenta el RGPD.

Incluso sin opt-in estás de acuerdo con la ley cuando hay:

• Contrato con el titular de los datos/obligación legal:
  • Un buen ejemplo es la relación entre cualquier empresa y cada uno de sus trabajadores. Existe un contrato entre ellos, así como una exigencia legal para procesar los datos.
• Interés vital
  • El ejemplo de interés vital sería el obvio acceso a los registros médicos con relación a una persona que no responde, implicadas en una emergencia médica.
• Una misión pública
  • El ejemplo de misión pública sería solicitar datos de interés público a cualquier empresa privada de energía/agua/gas, que se consideran servicios de utilidad.
• Intereses legítimos
  • Un ejemplo de un interés legítimo sería una cadena de tiendas al por menor que pide códigos postales de sus clientes (IKEA, por ejemplo, ya lo hace), con el fin de abrir nueva filial en otra localización geográfica.
  • Otro buen ejemplo es la personalización del email marketing de mensajes y cómo mejorará la experiencia del usuario (¡por tanto es razonable esperar por ellos!).

4.1.1. Ahora «la pelota está de tu lado»

Revisa el análisis y la forma en que has construido tu base de datos para determinar si realmente necesitas solicitarles nuevamente consentimiento a todas las personas con las que te has relacionado a lo largo de estos años. ¡Si necesitas que el consentimiento sea creativo, pídelo antes de la entrada en vigor del nuevo reglamento!

Y, a partir del día 25 de mayo, garantiza el cumplimiento de estos 3 puntos:

1. Derechos de las Personas

• Pedir consentimiento para comunicarse, muy claro con relación al ámbito, tema, tiempo y todo lo que tenga sentido informar;
• Que sea muy fácil pedir la cancelación u oposición, en todos los mensajes enviados;
• Forma accesible para pedir la modificación de tus datos y la supresión

2. Procedimientos en Casos de Fallos

• Tener procesos pensados y descritos para que, en caso de fuga de información, se avise a la AGPD y a los titulares de los datos (en el caso grave de pérdida de datos sensibles);
• La existencia de estos procedimientos debe ser de la responsabilidad y del conocimiento de las personas responsables del tratamiento de datos.

3. Proteger Datos

• Intentar que todos los datos y sistemas estén seguros. No existe ninguna fórmula o regla específica aquí, pero es necesario demostrar que existe la preocupación y la acción
• Garantizar que los proveedores de Servicios, Software, Sistema son conscientes del RGPD y de ePrivacy y lo cumplen;
• Datos alojados en Europa

4.3. Consentimiento: Buenas prácticas

Conforme a lo indicado, el consentimiento debe ser muy claro con relación al ámbito, tema, tiempo y a todo lo que tenga sentido informar. Podemos, sin embargo, avanzar con algunos aspectos que debes tener en cuenta cuando solicita el consentimiento.

Recomendaciones:

• En caso de que tengas la intención de ceder tus dados a terceros, sé claro sobre cuáles son las entidades o empresas con las cuales estarás compartiendo los datos personales;
• Si tu público objetivo son menores de edad, no te olvides de preguntar la edad o solicitar la autorización de sus responsables legales antes de pedir el consentimiento;
• Verifica que guardas toda la información referente al momento en el que el consentimiento se da (fecha/hora, IP, datos proporcionados, etc). Si usas E-goi, no necesitas preocuparte, pues estas informaciones se registran automáticamente;
• Actualiza los términos y condiciones del servicio para aclararles a tus clientes la forma en que sus datos se tratan y cuál es la finalidad;
• En caso de duda, pídele a una asesoría jurídica consejo legal.

En E-goi, tendrás disponible un modelo de formulario que puedes personalizar a tu gusto para solicitar el consentimiento de acuerdo con el nuevo reglamento. Un formulario como este se facilitará en breve:

 

4.3.1. ¿Tienes un servicio en línea o un e-commerce?

Entonces puedes utilizar este modelo de formulario perfectamente. En este ejemplo, la autorización para el envío de comunicaciones (ej.: correos de bloqueo de cuenta, informaciones de pago, expedición de pedidos, etc.) es obligatoria si quieres usar el servicio.

Los contenidos informativos, promocionales o de marketing no serán, en este ejemplo, de suscripción obligatoria para la utilización del servicio, pero son otro tipo de consentimiento que debe solicitarse separadamente y de forma opcional.

4.3.2. ¿Eres un blogger o un afiliado?

Entonces probablemente solo envías contenido informativo (ej.: las últimas publicaciones de tu blog) y, de ser así, no existe un contrato de prestación de servicios, por ello solo deberá ser necesario pedir este tipo de consentimiento. Sin embargo, si usas tu base de datos para promover servicios, lo que es habitual si también eres un afiliado y trabajas con sistemas de afiliación, entonces debes solicitar también ese tipo de consentimiento.

4.3.3. ¿Eres una agencia?

Aquí asumes el papel de procesador al lidiar con las bases de datos de tus clientes. Debes por lo tanto educar a tus clientes con relación a los consentimientos anteriores a la entrada en vigor del RGPD y ayudar en su puesta en funcionamiento.

4.3.4. Ejemplos de comunicaciones

Dependiendo del tipo de negocio y de tus objetivos se usan tipos de comunicaciones diferentes. Reunimos algunos que pueden ser transversales a distintos tipos de negocio o actividades y que deben tener consentimiento anticipado.

• Bienvenida de un suscriptor
• Confirmación de un webinario
• Cuestionarios o reseñas
• Anuncios de pasatiempos
• Contenido promocional
• Lanzamiento de nuevos productos
• Anuncios de eventos
• Up selling/Cross Selling

5. Voy a enviar comunicaciones electrónicas (correo electrónico, SMS, etc.): ¿Necesito tener algún cuidado especial?

El reglamento no prevé cualquier tipo de obligatoriedad en las comunicaciones. Sin embargo, hemos reunido algunas buenas prácticas que puedes poner en marcha.

5.1. Si vas a enviar correos electrónicos:

• Sitúa los botones borrar o editar datos (puedes personalizarlos en las opciones de tu campaña) de modo bien visible en el correo electrónico, por ejemplo en el encabezado, para garantizarle al cliente de forma clara el derecho de rectificación, oposición y supresión.
• Personaliza el double opt-in y aprovecha para poner un mensaje que explique el motivo por el que estás solicitando la inscripción. De este modo, reforzarás la prueba de consentimiento.

Nosotros aquí en E-goi, como procesadores tenemos desde hace varios años nuestro propio formulario público que le permite a cualquier usuario borrarse de las bases de datos de todas las empresas que usan E-goi. Ese derecho a la oposición/supresión puede ejercerse a través de esta página de borrado a la que puede accederse mediante un sello presente en el pie de página de todas las campañas de correo electrónico enviadas por E-goi.

5.2. Si vas a enviar un SMS o un Smart SMS:

• Tratándose de la comunicación de una marca debes identificarse y hacer que el mensaje sea fácilmente identificable (uno de los principios del RGPD); por eso, usa el nombre de la marca como remitente de tus SMS;
• Para garantizar el derecho de oposición/supresión, informa al cliente de que, si no quiere recibir más mensajes, basta con responder al mensaje (si utilizas un número de móvil como remitente), o incluye un enlace a un formulario de borrado. Si usas Smart SMS basta con incluir el código !remove para que el usuario realice el borrado.

 

 

¿Te has quedado con alguna duda? ¡Entonces ponte en contacto con nosotros o déjanos un comentario y comparte tu opinión!