Reglamento general de protección de datos (GDPR): todo lo que necesita saber
Publicado: 2018-04-02El objetivo principal del nuevo Reglamento General de Protección de Datos (GDPR) es fortalecer y combinar el manejo de datos personales de varios países miembros y adaptarlos bajo un reglamento de la Unión Europea (UE).
Actualmente, los 28 países miembros de la UE tienen cada uno su propia normativa de protección de datos y aplican esas leyes a su comercio internacional, lo que dificulta bastante el ejercicio de los derechos de protección de datos personales.
El nuevo GDPR viene con una amplia gama de reglas que afectan a todas las empresas, independientemente de su tamaño o sector, y con frecuencia necesitarán estar preparados para enfocarse en diferentes áreas de su negocio.
El nuevo reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento y la libre circulación de datos personales entra en vigor el 25 de mayo de 2018, dos años después de que el Parlamento Europeo y el Consejo aprobaran el Reglamento 2016/679. En este artículo, queremos ayudarlo a comprender lo que puede y no puede hacer para cumplir con los requisitos de esta nueva regulación y asegurarle que Benchmark, su herramienta de marketing por correo electrónico, también cumple con los requisitos de esta nueva regulación.
El nuevo RGPD no elimina la legislación de protección de datos de cada uno de los países miembros actualmente en vigor. En cambio, ayuda a sincronizar todos los países miembros de la UE. Algunas de las decisiones aún se tomarán a nivel nacional para cada uno de los países miembros, pero tenga en cuenta que las partes responsables ahora deben hacer referencia al GDPR como la norma y no a las regulaciones de protección de datos de sus propios países .
Si actualmente cumple con los requisitos de protección de datos de su país, entonces ya tiene una buena base. Sin embargo, aún deberá revisar y cambiar algunos aspectos para cumplir con las nuevas regulaciones.
Hay tres puntos principales que debe tener en cuenta con su estrategia de marketing por correo electrónico, que son: consentimiento, acceso y recopilación de datos.
Consentimiento
De acuerdo con el artículo 4 (11), `` consentimiento '' del interesado Como se indica en la definición, el consentimiento del usuario debe ser inequívoco y también explícito. Estas dos palabras eliminan cualquier duda o ambigüedad.
(32) El consentimiento debe otorgarse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del consentimiento del interesado para el tratamiento de los datos personales que le conciernen, por ejemplo, mediante una declaración escrita, incluso por vía electrónica. medios, o una declaración oral. Esto podría incluir marcar una casilla al visitar un sitio web de Internet, elegir la configuración técnica para los servicios de la sociedad de la información u otra declaración o conducta que indique claramente en este contexto la aceptación del interesado del tratamiento propuesto de sus datos personales. Por tanto, el silencio, las casillas marcadas previamente o la inactividad no deben constituir consentimiento. El consentimiento debe cubrir todas las actividades de procesamiento realizadas con el mismo propósito o propósitos. Cuando el tratamiento tiene múltiples finalidades, se debe dar el consentimiento para todas ellas. Si el consentimiento del interesado debe darse a raíz de una solicitud por medios electrónicos, la solicitud debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Ejemplo:
Recientemente participé en una feria comercial y durante el día acumulé bastantes tarjetas de presentación, que usaré para crear una base de datos que luego subiré a mi cuenta de Benchmark con el objetivo de enviar boletines.
Con el nuevo Reglamento, ¿es legal?
No. La red lograda entre usted y las personas en la feria no le otorga el derecho a usar sus datos personales, incluso con la confirmación verbal de la persona. El GDPR ahora requiere que exista evidencia de este acuerdo entre ambas partes.
El GDPR establece que debe haber un consentimiento inequívoco y explícito de la persona que pueda respaldarse con evidencia en caso de una auditoría. Es necesario que exista evidencia de que la persona está dando su consentimiento para que se utilicen sus datos personales.
RECOMENDACIÓN:
- Revise sus métodos de recopilación de datos y elimine cualquier ambigüedad que pueda existir.
- Analice su base de datos y solo los datos para los que pueda proporcionar prueba de que la persona le dio su consentimiento.
Acceso
El responsable del tratamiento de los datos personales debe proporcionar a cada usuario un acceso sencillo y directo para modificar sus propios datos personales. El responsable también deberá proporcionar un medio en el que el particular pueda confirmar que está dando su consentimiento a través de medios electrónicos, ya sea a través de su propia página web, formularios de registro o confirmación por correo electrónico.
El responsable dispondrá de un mes para dar respuesta al cliente, con posibilidad de ampliarla a dos meses en el caso de que se trate de una solicitud compleja, en el que se están realizando las gestiones necesarias para completar la solicitud de los particulares.
En el caso de nuestra herramienta de marketing por correo electrónico, la opción Administrar suscripciones permite a la persona acceder a sus datos personales y modificar los datos si es necesario o cancelar la suscripción directamente.
Dentro de este punto, existe un nuevo derecho, que es el DERECHO DE SUPRESIÓN (artículo 17), el usuario puede ejercer su “derecho al olvido” y hacer que sus datos personales sean eliminados de la base de datos de forma permanente. Hemos seleccionado dos de las seis razones que se incluyen en el subpunto 1, que brindan a la persona la posibilidad de ejercer su derecho:
a) los datos personales ya no son necesarios en relación con los fines para los que fueron recopilados o procesados;
d) los datos personales han sido procesados ilegalmente;
Compilacion:
El GDPR aboga por la simplicidad en la recopilación de datos personales. Como especialistas en marketing, solemos pedir más detalles de los necesarios cuando lo único que hacemos es enviar un boletín semanal. Por esa razón, estas nuevas regulaciones fomentan que solo se recopile y compile un mínimo de datos personales para nuestra estrategia actual y no la recopilación de datos adicionales que usted crea que puedan ser útiles en el futuro.
Si su objetivo es informar a su base de datos de las próximas promociones, la compilación del nombre y la dirección de correo electrónico de una persona es más que suficiente para alcanzar su objetivo.
Brexit
El Reino Unido se irá oficialmente y ya no será parte de la UE en 2019. Con esta salida, la normativa no les será de aplicación. Actualmente no sabemos cómo el Reino Unido, o las empresas del Reino Unido, manejarán la protección de datos, pero creemos que aprobarán regulaciones similares que serán comparables con la UE.
¿Qué sucede si no cumplo con los nuevos requisitos del RGPD?
El Reglamento General de Protección de Datos establece un conjunto de herramientas para dar cumplimiento a la nueva normativa, incluidas sanciones y multas. Una serie de factores se tomarán en consideración y se evaluarán cuidadosamente cuando se imponga una multa debido al incumplimiento del nuevo GDPR, tales como:
- la gravedad / duración de la infracción;
- el número de interesados afectados y el nivel de daño sufrido por ellos;
- el carácter intencional de la infracción;
- cualquier acción tomada para mitigar el daño;
- el grado de cooperación con la autoridad supervisora.
Las regulaciones establecen dos límites máximos para las multas si no se respetan las reglas. El primer límite fija multas hasta un máximo de 10 millones de euros o, en el caso de una empresa, hasta el 2% del volumen de negocios anual mundial. Esta primera categoría de multa se aplicaría, por ejemplo, si un responsable del tratamiento no realiza evaluaciones de impacto, como exige el Reglamento. El límite superior de las multas alcanza un máximo de 20 millones de euros o el 4% de la facturación anual mundial. Un ejemplo sería una infracción de los derechos de los interesados en virtud del Reglamento. Las multas se ajustan de acuerdo con las circunstancias de cada caso individual.
Deberá tener en cuenta los puntos principales anteriores (consentimiento, acceso y compilación) cuando llegue el momento de planificar su estrategia de marketing por correo electrónico.
Punto de referencia
En Benchmark, estamos trabajando arduamente para actualizar nuestra Política de privacidad a fin de cumplir con los requisitos de las regulaciones. En el caso del RGPD, no se nos otorga ninguna certificación que indique que cumplimos con las nuevas regulaciones como con el Marco del Escudo de Privacidad.
En Benchmark, queremos asegurarle que sus datos personales se manejan de acuerdo con el nuevo GDPR.
Por primera vez, la UE muestra liderazgo y unidad en cómo se deben tratar los datos personales y obliga al resto del mundo, sin excepción, a que cualquier país siga estas regulaciones si quiere manejar datos personales europeos.
No olvide compartir este artículo con su audiencia y dejar sus comentarios. ¡Gracias por leer!