GDPR and ActiveTrail
Es cierto que debido al progreso imparable en el campo de la tecnología, las leyes que regulan la seguridad y la privacidad tienen que adaptarse, pero no es normal ver cambios tan grandes como los que ha sufrido el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entrará en vigor a partir del 25 de mayo de 2018.
Al ser digital marketer, es muy probable que el GDPR afecte tus estrategias de marketing, incluso tu negocio. Sobretodo si trabajas desde la UE o haces negocios con empresas o clientes de la UE, exactamente igual que ha afectado a ActiveTrail. Por eso hemos recopilado en esta guía todo lo que sabemos sobre el GDPR y sus consecuencias, para ayudarte a hacer los cambios que requerirá la inminente implementación del GPDR.
AVISO: Esta guía es únicamente informativa. No pretende ser o reemplazar ningún asesoramiento legal. Para entender con exactitud cómo afectará a tu empresa el GDPR, consulta a un profesional adecuado.
GDPR – Introducción
La protección de datos en Europa empezó en 1995 con la Directiva 95/26/EC. Como puedes imaginar, ya estaba pidiendo a gritos una actualización. Por eso, en 2016, la Comisión Europea (CE) aprobó el Reglamento General de Protección de Datos, una ley general vigente en toda la Unión Europea.
El GDPR entrará en vigor oficialmente el 25 de mayo de 2018.
Debido al tiempo transcurrido entre la promulgación de la ley y su entrada en vigor, no se concederá ningún “periodo de gracia”. La ley deberá cumplirse desde el primer día, el 25 de mayo.
¿Qué objetivo tiene el GDPR?
A lo largo de los años, tanto la CE como sus miembros constituyentes aprobaron enmiendas a la Directiva del 95 y a leyes locales de protección de datos para hacer frente a las cambiantes necesidades. Esto creó cierta inconsistencia entre las diferentes leyes dentro del continente. Como dijo la propia Comisión Europea, el GDPR “se diseñó para armonizar las leyes de protección de datos por toda Europa, para proteger y empoderar a los ciudadanos europeos para que puedan proteger sus datos, y para cambiar la manera en que las organizaciones de toda Europa tratan la protección de datos…” (GDPR Portal https://www.eugdpr.org/, en inglés).
El GDPR reitera el punto de vista europeo sobre el derecho de la privacidad como un derecho básico más y controla la manera en que tanto individuos como organizaciones recopilan, utilizan, almacenan o destruyen los datos personales. Si tenemos en cuenta objeto del Reglamento y todos los territorios que comprenden la UE, se ve claramente que tendrá importantes consecuencias para negocios, gobiernos y organizaciones por todo el mundo.
A quién afecta
Para ser exactos, el GDPR afectará principalmente a dos tipos de entidades:
- Organizaciones de la UE. Cualquier organización creada o incorporada a la UE.
- Organizaciones “extraterritoriales”. Cualquier organización que recopile datos de ciudadanos europeos. No importa en qué parte del mundo se realice la recopilación de datos, si son de ciudadanos europeos estaría bajo el GDPR.
Como explica el punto numero 2, el GDPR afectará a la inmensa mayoría de organizaciones de todo el mundo. Por lo tanto, es recomendable que todas las organizaciones, sin importar de qué industria o sector, vean si tratan de alguna forma con datos personales de ciudadanos europeos.
Cumplimiento y penalizaciones
Uno de los aspectos del GDPR con mayor repercusión son las sanciones y las extremadamente altas multas por incumplimiento. A aquellas organizaciones que no cumplan con el GDPR serán penalizados. La multa podrá alcanzar un máximo de 20 millones de Euros o un 4% del crecimiento anual de la organización (el valor que sea mayor).
Como hemos dicho si tu empresa u organización está en la UE o trata con datos personales de ciudadanos europeos (aunque solo sea una dirección de email de un ciudadano europeo), estás obligado a cumplir con el GDPR si quieres seguir utilizando esa información personal. Como este reglamento tiene un alcance tan amplio, es recomendable buscar asesoramiento profesional para ver qué cambios tendrás que hacer con el fin de cumplir con el reglamento a partir del 25 de mayo de 2018.
Por otro lado, como es normal que otros países y regiones acaben adoptando de una manera u otra las leyes de la UE en materia de protección de datos, adaptarse a este cambio ahora pondrá a tu
organización en una posición ventajosa, aún si crees que ahora mismo no te afecta.
Elementos principales del GDPR
Terminología
Antes de analizar algunos de los artículos importantes del GDPR, repasemos algunos términos clave de este Reglamento:
- Datos personales: El GDPR define datos personales como “toda información sobre una persona física identificada o identificable («el interesado»)”. Por ejemplo, información que por si sola o junto con otra información pueda ayudar a identificar a una persona. Esta definición tan amplía implica que datos geográficos, financieros y hasta una dirección IP, además de otros datos más “tradicionales” como el DNI, pasaporte o el número de la seguridad social, nombre, datos biométricos y direcciones de email. La mayor parte de la información de subscriptor que obtienes y almacenas en ActiveTrail, incluidos los alias, entraría en esa definición ya que pueden asociarse a un individuo específico. Además, el GDPR exige mayor protección para información personal confidencial como datos sobre la salud o la raza, por eso no está permitido almacenar ese tipo de información en tu cuenta de ActiveTrail.
- Tratamiento de datos: Desde el punto e vista del GDPR, se considerará que estás tratando datos personales si, de alguna manera, recoges, procesas, utilizas o almacenas datos personales de ciudadanos europeos. El propio GDPR, define como procesamiento de datos “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Por lo tanto, según los términos de ActiveTrail, si una o más de tus listas de email contiene datos de un ciudadano europeo, como su nombre o email, se considerará que estas procesando datos personales bajo la norma del GDPR.
- Responsable del tratamiento: Se denomina así a la organización que utiliza datos personales de ciudadanos de la UE. El Responsable determina qué datos personales obtiene, con qué propósito y cómo se utilizarán y procesarán esos datos. Se considera Responsable a la gran mayoría de usuarios de ActiveTrail, ya que los usuarios deciden qué datos obtienen y registran en el sistema de ActiveTrail, qué datos se transfieren a sus propios sistemas y cómo utilizarán esos datos.
- Encargado del tratamiento: Se denomina así a la organización que procesa los datos en nombre de un Responsable. En virtud de los servicios que ActiveTrail provee, se puede considerar un Encargado.
Conceptos clave
Si bien la Directiva de 1995 sirve de punto de partida para el GDPR, muchos de los principios del GDPR modifican considerablemente los expuestos en 1995. En nuestra opinión, esto son los más relevantes
a) Definición más amplia de datos personales, como se describe en los párrafos anteriores.
b) Abarca a muchas más organizaciones. No solo incluye organizaciones dentro de la UE, también incluye aquellas “extra comunitarias” que manejen datos personales de ciudadanos de la UE.
c) Mayores derechos de privacidad para los ciudadanos de la UE, derechos que las organizaciones que traten con dichos datos tendrán proteger. Incluyen:
. Derecho de supresión («derecho al olvido»): El interesado podrá solicitar que se supriman, o eliminen, sus datos personales sin dilación.
. Derecho de oposición: El interesado puede oponerse a que se utilicen datos personales que le conciernan.
. Derecho al acceso: El interesado puede exigir que cierta organización confirme si está tratando sus datos y cómo lo hace.
. Derecho de rectificación: El interesado puede exigir que se completen los datos personales que sean incompletos o que se corrijan los que sean erróneos.
. Derecho a la portabilidad: El interesado puede exigir que sus datos personales se transfieran de una organización a otra; por ejemplo, si cambiara de proveedor.
d) Más requisitos a la hora de obtener el conlentimiento. Por ejemplo, habrá que pedir consentimiento cada vez que una organización utiliza los datos de un interesado, excepto en los casos que se describen más abajo. Como usuario de ActiveTrail, tendrás que obtener dicho consentimiento de tus subscriptores y miembros de tus listas de mailing. Normalmente, lo más sencillo es pedirlo directamente. Ten en cuenta estos puntos:
. El consentimiento debe ser para un uso específico.
. El consentimiento debe ser proactivo, es decir, los interesados deben dar su consentimiento explícito para que se utilicen o se almacenen sus datos. Esto anularía cualquier formulario con casillas marcadas por defecto autorizando el uso, o parecidos.
. Cada tipo de tratamiento tiene que ser autorizado por separado. Tendrás que explicar como vas a utilizar esos datos cada vez que pidas el consentimiento.
e) Procedimientos de tratamiento más estrictos. Será indispensable que el interesado reciba una descripción “leal y transparente” de cómo se tratarán sus datos. Debe incluir:
. Finalidad con la que se obtiene la información: La finalidad tiene que ser especifíca y los datos tienen que usarse solo con esa finalidad («limitación de la finalidad»). Además, deberás obtener y utilizar estrictamente los datos necesarios, ni uno más («minimización de datos»). Las organizaciones deberán ser muy conscientes de qué datos obtienen y para qué, además de ser capaces de justificarlo.
. Periodo de conservación: El periodo de conservación de los plazos debe reducirse al mínimo («limitación del plazo de conservación»).
. Datos de contacto del Responsable del tratamiento: (se explica más adelante).
. Bases legales: La organización deberá poder justificar la base legal para tratar los datos personales (no puede hacerlo simplemente porque sí), como por ejemplo, debido a una necesidad contractual o el consentimiento dado previamente para utilizar los datos con una finalidad específica.
Transferencias transfronterizas de datos
Una de las razones por las que el GDPR tiene implicaciones a nivel mundial tiene que ver con la manera como se tratan las transferencias transfronterizas de datos personales de ciudadanos europeos desde países de la UE a países fuera de la UE. Sin embargo, en este sentido el GDPR no se desvía demasiado de la Directiva del 95 ya que esta habla de las condiciones necesarias para transferir datos a fuera de la UE, por lo que aprueba implícitamente tales transferencias. Básicamente, esas condiciones establecen el marco en el que se puede transferir datos personales de ciudadanos europeos al exterior de la comunidad.
Una de las disposiciones dice que la Comisión Europea puede dictar decisiones de “adecuación” por las que podrá “decidir, con efectos para toda la Unión, que un tercer país, un territorio o un sector específico de un tercer país, o una organización internacional ofrece un nivel de protección de datos adecuado. (…) En estos casos, se pueden realizar transferencias de datos personales a estos países sin que se requiera obtener otro tipo de autorización”. Por ejemplo, La Comisión Europea podría dictar que debido a que cierto país tiene medidas apropiadas de protección de datos personales, no sea necesario obtener otro tipo de autorización para realizar la transferencia de datos.
Responsables y Encargados
Toda organización que interactúa con los datos personales de ciudadanos de le UE tiene el papel de Responsable o de Encargado, según hemos descrito anteriormente en este documento. La definición de estos papeles es prácticamente la misma que había en la Directiva del 95, si bien el GDPR impone mayores y diferentes deberes a las organizaciones según su categoría. Valga la redundancia, los Responsables tienen la responsabilidad de proteger los datos personales, mientras que los Encargados, aunque no son los principales responsables, tienen también cierto grado de responsabilidad. Por ese motivo, es vital que estés al corriente de qué papel desempeñas (Responsable o Encargado) para saber cuales son tus obligaciones.
La mayoría de los usuarios de ActiveTrail pertenecen a la categoría de Responsable porque tienen que decidir cómo tratan/almacenan la información en ActiveTrail, y tienen que solicitar a ActiveTrail que trate esa información en su nombre (convirtiendo a ActiveTrail en Encargado).
Estos son solo algunos de los conceptos y principios contenidos en el GDPR, por lo que recomendamos que te familiarices con todo el GDPR antes de tomar decisiones sobre cómo prepararte que, si lo consideras necesario, busques asesoramiento legal.
ActiveTrail, el GDPR y tú
La privacidad en ActiveTrail
La privacidad ha sido siempre una prioridad en ActiveTrail, y el GDPR justifica el esfuerzo que hemos hecho durante años. Por otro lado, vemos claramente que el GDPR sube el listón, y hará que la privacidad sea algo inherente en todo tipo de negocios a nivel mundial.
Además, ya hemos hecho los deberes a fin de preparar ActiveTrail para la fecha en que entrará en vigor el GDPR, el 25 de mayo de 2018. A nivel interno, hemos repasado y documentado todos los procesos y procedimientos, actualizado la documentación, repasado y ajustado algunas directrices de seguridad, añadido roles específicos en los comités para las auditorías, etc. con el fin de asegurarnos que todo esté apunto cuando llegue el 25/5, y para poder responder a cualquier duda que nuestros usuarios en relación con sus derechos descritos en el GDPR, p.ej. el “derecho al olvido”.
ActiveTrail te ayuda a cumplir con el GDPR
Derechos individuales:
Aunque es probable que ya hayas implementado procesos, incluso con ActiveTrail, nuestro sistema puede ayudarte a asegurarte que eres capaz de satisfacer las solicitudes de tus suscriptores que puedan surgir de la aplicación del GDPR.
. Saber qué datos ser recopilan (derecho de acceso)
. Corrección de datos del usuario final (derecho de rectificación). Según el GDPR, los usuarios pueden solicitar en cualquier momento que sus datos se rectifiquen. Con tu cuenta ActiveTrail esto se puede hacer en cualquier momento sin ningún costo para ti ni para ellos.
. Solicitud de cancelación (derecho al olvido). Amparados por el derecho al olvido, tus suscriptores pueden solicitar que se borren del sistema todos sus datos. ActiveTrail actuará rápidamente para borrar completamente de su sistema toda la información del usuario. Contacta con nuestro servicio de atención al cliente si necesitas borrar los datos de un usuario.
. Objetar al uso de los datos (derecho de oposición).
. Transferir tus datos a otro sistema (derecho a la portabilidad de datos). ActiveTrail te da las herramientas necesarias para exportar tus datos a otros sistemas en cualquier momento. Si necesitas ayuda para hacerlo, te ayudaremos. Si quieres que borremos esos datos después de que los hayas exportado, contacta con nuestro servicio de atención al cliente y los borrarán.
Consentimiento y tratamiento
El GDPR detalla lo que debes hacer para recopilar y tratar legalmente datos personales y direcciones de email de tus clientes y subscriptores. Una de las principales maneras de usar ActiveTrail permite recopilar la información y pedir automáticamente el consentimiento, y para ello te proporcionamos todo lo que necesitas para cumplir con los requisitos del GDPR:
. ActiveTrail te ofrece herramientas para diseñar fácilmente tus Landing Pages y formularios de registro (sign up), que te permitirán recopilar información sobre oportunidades y subscriptores.
. Al diseñar tus Landing pages y tus formularios, asegúrate de indicar claramente (en el texto principal, un pie de página o una advertencia) qué información se recopilará y para qué se usará.
. Asegúrate de recibir el consentimiento específico para que podamos transferirte esa información y para que puedas tratarla.
. Nunca te olvides de añadir la posibilidad de “Darse de baja” o de “Cambiar mis preferencias”, que permita al usuario retirar su consentimiento o cambiar sus preferencias. Para hacerte la vida más fácil, ActiveTrail añade por defecto a todos los emails un pie de página con la posibilidad de darse de baja.
. Asegúrate muy mucho de que tus subscriptores escojan la opción “double opt-in” de ActiveTrail para dar su consentimiento a recibir emails. Esta opción añade una casilla “Opt-in” en el formulario de registro y envía un mail para que confirmen sus opt-in.
. Actualiza inmediatamente cualquier información almacenada en ActiveTrail tan pronto como un subscriptor lo pida.
.En el momento en que un subscriptor rellena y envía uno de tus formularios de registro en . ActiveTrail, su dirección IP, email y la marca de tiempo quedan automáticamente registradas; esto te sirve de prueba de consentimiento. Además, te permite llevar un registro de quién ha dado su consentimiento para enviarles emails de marketing, almacenar y tratar sus datos personales, y realizar otros tipos de tratamiento de datos.
IMPORTANTE: El GDPR no hace ninguna distinción entre el consentimiento dado antes o después de su entrada en vigor. Es decir, cualquier consentimiento de un subscriptor debe cumplir con el GDPR. Por lo tanto, busca asesoramiento legal para analizar los consentimientos que ya hayas conseguido antes del 25 de mayo de 2018 y ver si es necesario ampliarlos o solicitarlos de nuevo.
Consentimiento y terceros
ActiveTrail permite la integración de aplicaciones de terceros, lo que aumenta en gran manera la esfera de acción ActiveTrail. Muchas de estas integraciones pueden requerir la transferencia de datos a o de terceros y el tratamiento de estos datos por terceros. Si utilizas estas integraciones, asegúrate de que en cualquier consentimiento que consigas de tus subscriptores se especifique que consienten la transferencia y el tratamiento de datos por parte de terceros.
Revisa tu declaración de privacidad
Visto lo visto, tendrás que repasar tu declaración de privacidad para asegurarte de que especifique que ActiveTrail recibirá la transferencia y tratará ciertos datos de tus suscriptores. Por ejemplo, podrías explicar que ActiveTrail tratará con los datos en tu nombre, y mencionar cómo utilizas ActiveTrail para recopilar y tratar esos datos.
Puedes leer el GDPR en su totalidad en el siguiente enlace:
En varios idiomas
http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1465452422595&uri=CELEX:32016R0679
Español
http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=EN