GDPR
GDPR
El GDPR pasó a ser de obligado cumplimento el pasado 25 de Mayo de 2018, cambiando algunos aspectos relevantes en el tratamiento de datos personales por parte de las empresas. Aquí puedes conocer cómo estos cambios han afectado al Email Marketing y como cumplir con esta nueva regulación.
La Unión Europea (UE) ha actualizado su normativa en materia de protección de datos. Esta nueva norma recibe el nombre de Reglamento General de Protección de Datos (RGPD, en adelante), y se aplica de forma general a todo tipo de entidades, desde a autoridades públicas a pequeñas y medianas empresas, sin diferenciar si el tratamiento tiene lugar dentro de la UE o fuera, siempre que afecte a ciudadanos europeos.
Como este tema da para mucho hemos escrito un post entero para aclarar todas tus dudas sobre el email marketing y GDPR. En el post encontrarás cantidad de información útil y hasta el video resumen de nuestro webinar sobre el RGPD. Desde Acumbamail cumplimos con el GDPR incluso antes de su implantación obligatoria.
Realiza nuestro test para comprobar que cumples con todos los requisitos del nuevo reglamento de protección de datos.
Se anula “de facto” el consentimiento implícito que en muchos tratamientos de datos se venia haciendo y se implanta un consentimiento expreso y explícito real. Con el nuevo reglamento, el consentimiento tiene que informar de cuáles van a ser los objetivos del tratamiento y del responsable del mismo. Deberá informarse si los datos personales objeto del tratamiento, van a ser gestionados en terceros países. Es recomendable que esta gestión internacional se realice en países de la UE.
Con el nuevo reglamento aumentan los controles sobre los proveedores con acceso a datos sobre todo para los proveedores de fuera de la UE. Estos deberán ser más exhaustivos y contractualmente se regularán todos aquellos aspectos que inciden en la seguridad de la información que se maneje. La comunicación de las incidencias de seguridad de los proveedores será por ejemplo, un aspecto a regular a la hora de ofrecer servicios por parte de un tercero.
Será necesario actualizar los procedimientos y registros existentes para su adecuación a la nueva normativa. El inicio de cualquier operación de gestión de información y datos personales llevará implícita la filosofía de “privacy by default”. Es decir que el planteamiento de cualquier nueva actividad tiene que pasar por proteger la privacidad de la información que se maneje, desde el momento de su concepción.
Los procedimientos implantados tienen que reflejar la realidad de la entidad y han de poderse auditar en cualquier momento. El nuevo reglamento prevé nuevos procedimientos y controles sobre la retención de la información, gestión de los backups y otros aspectos prácticos del funcionamiento de cualquier entidad.
Este análisis recibe el nombre de Evaluación del Impacto en la Protección de Datos (DPIAs, por sus siglas en inglés). Cuando la gestión de datos pueda incurrir en un alto riesgo para los derechos y libertades de las personas, se debe llevar a cabo un análisis de riesgos sobre la protección de los datos de carácter personal antes del inicio del tratamiento. Las DPIAs serán algo habitual y una herramienta muy útil para que las empresas atajen los riesgos de confidencialidad.
El RGPD refuerza los derechos que ya tenían las personas en cuanto a la gestión de sus datos personales y crea otros nuevos. En concreto se trata del derecho al olvido, que posibilita la eliminación de los datos de los usuarios; el derecho de portabilidad, que permite llevar los datos de un proveedor a otro y el derecho de oposición a que se realicen perfiles con objetivos de marketing con la información de los usuarios.
Las incidencias que tenga repercusión en la seguridad de la información y de los datos personales tendrán que ser comunicadas a las autoridades de control en un plazo máximo de 72 horas. Los usuarios también deberán ser informados de las incidencias que afecten a sus datos personales.
El nuevo reglamento contempla la creación de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), obligatoria para las entidades públicas y en aquellas empresas en que la gestión de datos personales sea crítica por formar parte del núcleo de su negocio. Deberá informarse a la hora de recoger datos de los interesados de la identidad concreta y datos de contacto del responsable que va a llevar a cabo esta recogida y gestión de la información o de su representante.
Las entidades que gestionen datos personales deberán someterse a auditorías periódicas que revisen el estado de los procedimientos de gestión de esos datos personales.
De la privacidad y de la gestión de la misma, depende en gran parte el éxito y la reputación de una empresa.
Crear acciones formativas para transmitir los procedimientos implantados, es la garantia para que se cree esta cultura de la privacidad.
Se trata de crear una cultura de la seguridad y la privacidad que alcance a todos los elementos de la empresa.
El no cumplir con las obligaciones legales conlleva importantes sanciones, que pueden afectar muy gravemente a cualquier empresa. ¿Te vas a arriesgar?