¿Qué es el Reglamento general de protección de datos (GDPR) de la UE y cómo afectará a su negocio en línea?

¿Su bandeja de entrada está inundada de correos electrónicos que actualizan las políticas de privacidad? Hay una razón para ello, y esa razón es el Reglamento general de protección de datos, o GDPR.

Parece que todos están hablando del RGPD en estos días. ¿Pero por qué ahora?

Bueno, la cosa es que GDPR ha estado en proceso durante los últimos siete años. Pero recientemente, ha habido un acuerdo sobre lo que realmente implicará esta reforma de protección de datos.

Básicamente, el GDPR es un conjunto de regulaciones diseñadas para proporcionar más control sobre los datos personales a los ciudadanos europeos. Aparte de eso, esta reforma también regulará las leyes generales de consentimiento y privacidad en el mundo en línea, creando nuevos estándares para el procesamiento y almacenamiento de datos en general.

Al menos el 50 por ciento de las organizaciones han declarado que tendrán dificultades para cumplir con el RGPD a menos que cambien su operación de manera significativa. Y esta podría ser una regulación europea, pero no solo afecta a Europa.

Se recomienda a las empresas en línea de todo el mundo que cumplan con las nuevas regulaciones de GDPR: el GDPR se aplica a todas las empresas dentro de la Unión Europea Y a cualquier organización fuera de la UE que proporcione productos o servicios a clientes o empresas dentro de la UE. Lo más probable es que la mayoría de las empresas en todo el mundo tengan que cumplir con el RGPD ... incluido usted, si su empresa está sujeta a la Ley de Protección de Datos del Reino Unido.

Piénselo así: la sede principal de Facebook está en Estados Unidos, pero las personas que viven en Europa y en todo el mundo pueden registrarse en Facebook. Entonces, dado que Facebook ofrece servicios a los europeos y recopila sus datos, Facebook debe cumplir con GDPR, a pesar de que se encuentra principalmente en Estados Unidos.

Sin embargo, no tenga miedo de cumplir con el RGPD. Incluso si técnicamente no tienes que serlo.

El cumplimiento del RGPD solo puede hacerte bien. Utilizará un sistema que procesará información personal y confidencial sobre sus clientes (o suscriptores de correo electrónico) mientras mantiene todos esos datos seguros. En realidad, todos pueden beneficiarse del GDPR.

Lo bueno de GDPR es que viene con reglas y pautas estrictas con respecto a la recopilación de datos. Eso significa no más líneas borrosas y más regulación. Pero eso también significa que aquellos que deben cumplir con GDPR enfrentarán sanciones si no se adhieren a las nuevas regulaciones.

Hay dos tipos distintos de manejo de datos: las personas (o una agencia, autoridad, etc.) encargadas de procesar los datos y las personas encargadas de controlarlos. Con esta configuración, cada una de las dos partes es totalmente responsable si se produce un uso indebido, pero si todos siguen las reglas sobre protección de datos, las infracciones serán menos probables. Antes del RGPD, no existía una solución real si algo pasaba con los datos.

Cómo su empresa puede cumplir con el RGPD

El primer paso para cumplir con el RGPD es observar detenidamente los datos que recopila. ¿Son esos datos personales? Si es así, entonces debe aplicar las reglas y regulaciones de GDPR.

Si algún dato (una sola parte de él o todo el grupo) puede identificar a la persona, entonces son datos personales. En ese caso, debe obtener el consentimiento de estas personas, informarles cómo se utilizarán sus datos y durante cuánto tiempo. Además, debe brindarles información sobre los datos que tiene y permitirles que los eliminen si lo desean.

Algunos ejemplos típicos de datos personales incluyen nombres, direcciones, fotos e incluso la dirección IP se considera datos personales.

Además, si no quieren eliminar los datos, debe realizar una determinada actividad para proteger esos datos. Una de las formas de hacerlo es la seudonimización.

¿Qué es la seudonimización?

Si bien el nombre es complicado, la idea es bastante simple. La seudonimización es una técnica de gestión de datos en la que el objetivo principal es despersonalizar los datos para que no se puedan rastrear hasta una persona, a menos que utilice datos adicionales; esto es como una clave. Sin esa clave, no puede descubrir el dato original que lo encripta.

GDPR también tiene una lista de reglas sobre el almacenamiento de todas esas claves encriptadas para que el proceso de despersonalización y la información permanezcan seguros.

Tanto los datos personales como los encriptados representan diferentes piezas de rompecabezas, donde si sacas una de la ecuación, no puedes ver la imagen completa.

La diferencia entre seudonimización y cifrado

Si bien existen similitudes, la principal diferencia es clara. El cifrado no está escrito en piedra y hay varias formas de lograrlo. El resultado final es el mismo: los datos están protegidos y encriptados.

La diferencia entre el cifrado y la seudonimización radica en el hecho de que no puede procesar los datos cifrados a menos que los devuelva a su estado original sin cifrar. Con la seudonimización, solo anonimiza temporalmente los datos personales para que durante el procesamiento de datos, nadie pueda conectarlos con la persona real.

Básicamente, si bien el cifrado es mucho más seguro y completo, también es técnicamente muy complejo de lograr, y la seudonimización le permite cifrar solo las partes sensibles de los datos. Podría traducirse aproximadamente a una situación de la vida real en la que está realizando un cuestionario público y las respuestas son anónimas, pero el resultado final es el mismo: obtiene los datos que buscaba.

GDPR y protección de datos efectiva

Para procesar datos, las empresas deben utilizar la seudonimización si quieren cumplir con el RGPD. Pueden optar por no serlo, pero se enfrentarán a múltiples multas que podrían ascender a millones de dólares.

Con la seudonimización, los datos se pueden utilizar en investigaciones analíticas, exploratorias y estadísticas, pero también con el consentimiento del propietario de los datos. Y las empresas también deberán tener ese consentimiento fácilmente disponible.

Además de la seudonimización, existen varias soluciones técnicas que las empresas pueden implementar para asegurarse de que estos datos estén protegidos. Es mejor alcanzar el cifrado completo si es posible, pero aparte de eso, las empresas pueden asegurarse de que sus sistemas actuales puedan soportar los cambios de política.

Otra forma de proteger los datos es fortalecer los sistemas existentes. Construya las salvaguardas necesarias en los sistemas, pero también asegúrese de que estén integradas en los productos y servicios desde las primeras etapas de desarrollo.

Las reglas de GDPR comenzarán a aplicarse el 25 de mayo de 2018. A partir de esta fecha, todas las organizaciones y empresas de la UE deberán cumplir con GDPR.

¿Cuáles son los beneficios del GDPR?

• Menos violaciones de datos, piratería y uso indebido.
• La protección de datos estará integrada en cada producto o servicio desde el principio.
• Las empresas seguirán teniendo acceso a los datos necesarios si utilizan mecanismos de protección de datos como la seudonimización.
• Se crearán nuevos puestos de trabajo.
• Las personas tendrán un control total sobre sus datos.
• Las empresas deberán notificar a los consumidores si sus datos han sido pirateados, lo que limitará los encubrimientos.

¿Le preocupa cómo afectará la legislación a su negocio? Permanecer en-el-saber mediante la firma de la DesignRush dosis diaria!

Sanciones y multas del RGPD

Si bien muchas empresas piensan que GDPR es solo una molestia, se les incentiva a cumplir con las nuevas reglas de GDPR porque las multas son gigantes. Las sanciones pueden oscilar entre 10 millones de euros (más de 11,5 millones de dólares) y 20 millones de euros (23 millones de dólares), o entre el dos y el cuatro por ciento de la facturación global anual de una empresa, que podría valer miles de millones de dólares para algunas empresas.

Las empresas pueden ser multadas si transfieren datos sin autorización, ignorando la solicitud de las personas de información y eliminación de datos. Las multas también pueden afectar a las empresas que no notifican a los usuarios y las autoridades en las primeras 72 horas después de que se haya producido una infracción. Otra instancia que puede incurrir en una multa es no nombrar a una persona a cargo de las reglas y el cumplimiento de GDPR, una persona responsable de la protección de datos dentro de la organización.

Nombramiento de un controlador de datos

Toda organización que maneja datos sensibles, incluido el procesamiento, la supervisión y el seguimiento del comportamiento, debe designar un responsable de protección de datos. Eso significa que las empresas que utilizan estrategias de marketing digital probablemente deban cumplir con el RGPD.

Ser un DPO no requiere un certificado, y solo hay un conjunto de pautas, no una legislación real, sobre quién debe ser un Oficial de Protección de Datos. Básicamente, esa persona debe tener experiencia y comprensión de las leyes de protección de datos y debe llevar a cabo actividades para asegurarse de que la empresa cumpla con las normas. Esa persona también es responsable si la empresa no cumple con los requisitos.

Además, dependiendo del tamaño de la empresa, podría haber solo un DPO o todo el departamento dedicado a minimizar los riesgos y maximizar la protección de datos.

Hacer del RGPD un valor fundamental

Hay varias formas en que las empresas pueden asegurarse de que la empresa se tome en serio y ejecute el RGPD.

• La formación del personal
• Revisiones de políticas
• Regulaciones de recursos humanos
• Auditorías internas
• Documentar todos los procesos y actividades que involucran el uso de datos.
• Minimizar el uso de datos
• Usar tácticas como la seudonimización

Cómo las empresas pueden preparar la legislación GDPR

Los departamentos de marketing dentro de las empresas son los que generalmente utilizan datos confidenciales de los usuarios, pero no importa quién maneja los datos dentro de la empresa. La empresa en su conjunto debe cumplir con las normas, y aquí hay una lista de verificación para ayudar a simplificar el proceso.

Paso 1: nombrar a un delegado de protección de datos

Necesita tener a alguien que supervise y revise todos los procesos internos y se asegure de que su empresa se adhiera a las pautas. Si cree que no tiene a nadie dentro de su empresa que pueda desempeñar ese papel, entonces debería buscar contratar a alguien que pueda hacerlo. Además, ahora hay capacitación sobre GDPR que su personal actual puede tomar para aprender más sobre GDPR.

Paso 2: revise su lista de correo

Haga una revisión completa de toda su lista de correo. Envíe los correos electrónicos necesarios con respecto a la nueva actualización de la política de privacidad y pregunte a las personas si aún quieren compartir sus datos con usted. Si no le dan su consentimiento, elimínelos de la lista. Si utiliza la automatización del marketing por correo electrónico, simplemente use una nueva lista en la que segmentará a los usuarios europeos para que pueda obtener su consentimiento.

Paso 3: aprobar campañas de marketing a través de un responsable de protección de datos

Hasta que su personal de marketing aprenda a manejar, un DPO debe supervisar sus campañas de marketing y aprobarlas antes del lanzamiento. De esta manera, puede estar seguro de que todo está en orden y de que cumple con el RGPD.

Paso 4 - Documentar los flujos y procesos de datos

Lo más probable es que se elimine su lista de correo electrónico, pero como ya sabe, eso es una necesidad. Sin embargo, aún debe asegurarse de que toda la recopilación de datos futura también sea compatible con GDPR. Sus puntos de entrada de datos también deben permanecer seguros. Estos incluyen la suscripción al boletín, todos los registros de cuentas, varios eventos, listas de compras, la protección de los datos transferidos a los socios y, bueno, cualquier tipo de uso y recopilación de datos. Los usuarios deben darle su consentimiento para todas sus operaciones de datos y debe señalar explícitamente todas las actividades que realizará con sus datos.

Paso 5: actualice su política de privacidad

Asegúrese de que su sitio web tenga una página de política de privacidad de fácil acceso, donde pueda describir públicamente cómo recopila y maneja los datos, y qué acciones toma para protegerlos.

Paso 6: Implementar la capacitación del personal y la gerencia sobre GDPR

Enseñe a todos los responsables de la toma de decisiones y al personal de marketing sobre la protección de datos y los protocolos establecidos. Incluso puede escalar esto para educar a todos sus empleados sobre las nuevas reglas y procesos. Esto se puede hacer a través de seminarios, capacitación, distribución de folletos o manuales en línea, lo que sea que funcione para su negocio.

Paso 7: elimine los datos que su empresa no utiliza

Uno de los pasos para cumplir con GDPR es minimizar los datos que está utilizando en los procesos cotidianos, si es posible, y eliminar los datos cuando ya no los necesite.

Paso 8 - Reverificación

Envía un correo electrónico a todos los residentes europeos y solicita que renueven su consentimiento si quieren estar en tu lista. Esto se puede hacer a través de correo electrónico, aplicación móvil o incluso correo directo. Las políticas de GDPR prohíben estrictamente el envío de un nuevo correo electrónico a personas que se hayan dado de baja previamente de su lista.

Privacidad por defecto y privacidad por diseño: cuál es la diferencia

Hay dos términos nuevos que deben reconocerse y observarse en esta nueva era de GDPR. Básicamente, ya dijimos que los nuevos productos y servicios deben venir con un mecanismo incorporado que cumpla con las reglas de GDPR. La privacidad por diseño significa que las empresas deben pensar y planificar con anticipación cómo incluir políticas de protección de datos, incluso en las primeras etapas del proyecto, así como en el resto del ciclo de vida de un proyecto.

Los procesadores de datos deben proteger la privacidad de los datos de forma predeterminada, lo que significa que los datos personales no están disponibles para nadie excepto para el propietario de los datos. Además, los procesadores solo deben recopilar los datos personales mínimos necesarios para los fines del procesamiento, sin almacenar estos datos una vez finalizados.

Qué puede hacer para automatizar el proceso

Intente asegurar una solución técnica que resuelva muchos de estos problemas por usted. Eso podría ser, por ejemplo, un software que borrará automáticamente ciertos datos personales.

Reevaluación y prueba

Para detener las posibles infracciones y cumplir con el RGPD, es mejor que las empresas pongan en marcha diversas pruebas, estudios de casos y procesos de reevaluación.

Haga una lista de verificación de cumplimiento de GDPR para cada nuevo sistema, campaña de medios, acción de planificación de proyectos o algo similar. De esa manera, sus empleados pueden evaluar el proceso rápidamente y notificar a las personas a cargo si el proyecto no cumple y hace un mal uso de los datos de alguna manera. Claro, las empresas o los empleados pueden pensar en estos pasos adicionales como una carga, pero es mejor prevenir que curar.

Solo recuerda esas multas de un millón de dólares.

Nuevas políticas de recopilación de datos

Además de proteger los datos recopilados anteriormente, debe asegurarse de que la recopilación de datos futura sea segura desde el principio. Puede utilizar un lenguaje simple y natural cuando solicite su consentimiento.

Enmascararlo detrás de una jerga complicada puede ser muy engañoso. El consentimiento que brinden las personas debe ser claro e inequívoco. Asegúrese de describir claramente cómo utilizará la información recién recopilada.

También es hora de que se otorgue el consentimiento de otra política de cookies en su sitio web. Debe asegurarse de que las personas que se suscriban sean mayores de edad, porque de acuerdo con las nuevas reglas de GDPR, solo las personas mayores de 16 años pueden proporcionar sus datos personales. Los niños menores de 16 años deben tener el consentimiento de los padres.

Las empresas deben comprender que no pueden solicitar información personal sin una causa adecuada. Ni siquiera si el almacenamiento de esa información está en línea con las reglas de GDPR. Las empresas deben solicitar asistencia legal para preparar una base legal para cada actividad de recopilación y procesamiento de datos.

Los nuevos formularios podrían incluir la edad del usuario e incluso el país de residencia para determinar si las reglas de GDPR se aplican o no. Además, sus clientes tienen derecho a saber si sus datos se transferirán a través de las fronteras. En todo momento, debe asegurarse de que exista un mecanismo que permita a los usuarios retirar su consentimiento o incluso presentar una queja.

Si las personas solicitan información sobre su información, las empresas deben cumplir y proporcionar una respuesta que no se demore sin una razón y, a más tardar, debe enviarse dentro de un mes después de recibir la solicitud.

La nueva ley de privacidad electrónica

El Comité Europeo ha publicado una nueva propuesta de ley relativa al Reglamento de privacidad electrónica. Tiene la intención de ser una actualización de la "Ley de cookies" existente, que también estará de acuerdo con la ley GDPR ya utilizada.

La diferencia entre GDPR y la ley de privacidad electrónica

Si bien el RGPD se ocupa de la protección de datos personales, la ley de privacidad electrónica quiere regular la privacidad de la vida personal de un usuario. De esta manera, la comunicación en línea puede proteger al usuario. Hay muchos sectores e industrias que se ven afectados por estas leyes. El Comité Europeo cree que debería haber dos conjuntos de normas diferentes que se basen en diferentes derechos humanos.

Esta nueva ley de ePrivacy puede afectar bastante a la industria del marketing. Más del 92% de las personas están preocupadas por su privacidad en línea y por cómo se utilizan sus datos con fines de marketing. Están extremadamente preocupados por la información que las empresas tienen sobre sus vidas, especialmente cuando monitorean sus actividades en línea, contenido de correo electrónico y mensajes. Es por eso que esta noción evolucionó desde el GDPR y la protección de datos personales hasta la ley de ePrivacy y el resto de datos.

Básicamente, habrá reglas y políticas mucho más reguladas con respecto a la obtención del consentimiento para todos los fines de marketing. Esto también incluye las estrategias de marketing conductual. Con la nueva ley de ePrivacy, las empresas no podrán utilizar ningún dato de la comunicación electrónica, información almacenada en los dispositivos utilizados por los consumidores, o cualquier otra información, sin el consentimiento del usuario, a menos que sea necesario para el procesamiento inmediato de datos.

Palabras para los sabios: cuidado con las estafas

Dado que las empresas han estado enviando correos electrónicos ofreciendo a las personas que se excluyan de sus listas de correo, los estafadores han descubierto una manera de utilizar todo el cumplimiento de GDPR para sus estafas de phishing. Realmente no puede escapar de la ironía de que los piratas informáticos se dirigen a personas que intentan mantener sus datos seguros con las nuevas reglas de GDPR.

A continuación, le indicamos cómo puede reconocer una estafa de phishing GDPR:

Si la empresa le pregunta si desea permanecer en su base de datos, probablemente no sea una estafa de phishing. Sin embargo, si en algún momento recibe un mensaje en el que se supone que debe enviar datos o información personal nuevamente, como nombres, direcciones, nombres de usuario, contraseñas e incluso información de pago, manténgase alejado. Una empresa real nunca haría eso por correo electrónico.

El futuro de la protección de datos y cómo su empresa puede utilizar esa información

Nuevamente, al igual que con GDPR, el poder del control de la privacidad está regresando al propietario de los datos. Con esta nueva ley, los usuarios podrán dar su consentimiento para el uso de cookies o retirarlo, directamente en sus navegadores de Internet.

Al hacer esto, se piensa que no tendrá que haber una política de cookies para cada sitio web, sino más bien un libro de contabilidad de software que se encargará de ello. Eso también significa que los sitios web no tendrán que usar ventanas emergentes aburridas para pedir consentimiento si los sitios web solo usan la recopilación de datos anónimos.

Estas nuevas leyes de privacidad se aplicarán a todos los servicios de mensajería, incluida la aplicación Messenger de Facebook, Viber, WhatsApp y Gmail.

Muchas de estas medidas tendrán un impacto directo en el futuro del marketing digital, pero aún es pronto para decir o incluso predecir cómo se desarrollará. Tendremos que esperar y ver, mientras tanto, vigilando nuestros datos.

¿Su empresa necesita ayuda para mantenerse al día con todas estas nuevas regulaciones de datos? Consulte la lista de DesignRush de las mejores empresas de gestión de riesgos y ciberseguridad que pueden ayudar a agilizar el proceso cuando llegan las regulaciones de GDPR.

¿Quiere más información empresarial? ¡Suscríbase a nuestro boletín de noticias!