El pasado 25 de mayo entró en vigencia una nueva regulación con alcance de ley para la Protección de Datos Personales de los ciudadanos europeos (GDPR).
Si tu negocio se encuentra físicamente ubicado en cualquier país de Europa, o maneja información de clientes y usuarios residentes allí, o terceriza ciertas actividades comerciales para empresas que cumplen con alguno de los requisitos anteriores, ¡presta especial atención a este post!
Si, por el contrario, tu empresa no entra en los supuestos que contempla el Reglamento General para la Protección de Datos (GDPR), seguramente te interesará saber sobre esta sigla que ya hace un tiempo resuena en todas partes.
¿Qué es el GDPR?
Se trata del nuevo marco legal para la Protección de Datos Personales en la Unión Europea, que entró en vigencia el 25 de mayo y reemplazará a la normativa anterior en la materia, la Directiva de Protección de Datos 95/46/CE, la cual no tenía carácter obligatorio.
Es interesante saber qué entiende la nueva ley por ‘Datos Personales’, para identificar claramente la información que pasa a ser protegida: el nombre, el correo electrónico, el nombre de usuario y contraseña, la dirección, el teléfono, la edad, los datos de facturación y todos los que brinda el usuario a una empresa para adquirir un producto o darse de alta a cualquier servicio gratuito o pago.
La legislación persigue 3 objetivos centrales:
1. La unificación de todas las normas de protección de datos vigentes en suelo europeo.
2. El otorgamiento de la titularidad, el acceso y el control de sus Datos Personales a los ‘sujetos de datos’, verdaderos y únicos ‘dueños’ de su información personal.
3. La responsabilización a las empresas del uso que hacen de dichos datos, a partir de unas pautas claras y precisas sobre la forma de procesarlos, almacenarlos y destruirlos.
Con esta nueva ley, ya no se distingue entre clientes B2B y B2C ni actividades con o sin fines de lucro: todas las empresas, instituciones y organismos públicos y privados quedan alcanzados por la normativa.
¿Quiénes se ven afectados por las disposiciones del GDPR?
La ley reconoce la existencia de un ‘sujeto de datos’, titular de 8 derechos fundamentales en relación a su información personal, que de ahora en más pueden ejercer con más fuerza dicha ‘propiedad’ y disponer quiénes y de qué forma pueden utilizar sus datos.
El otro grupo directamente involucrado son las empresas que poseen y manejan Datos Personales de individuos residentes en la Unión Europea, estén o no radicadas en suelo europeo, y que deben procurar el cumplimiento de los ‘8 derechos de los Sujetos de Datos’ en todos sus procesos comerciales y administrativos.
¿Cuáles son los 8 derechos contemplados en el RGPD?
1. Derecho a estar informado
El individuo debe poder inquirir acerca de los Datos Personales con los que cuenta una empresa, de qué modo los están utilizando y con quién los están compartiendo.
2. Derecho al acceso de los datos
El titular debe poder ver o consultar sus propios datos, así como solicitar una copia de los mismos.
3. Derecho a la corrección o rectificación de los datos
Se refiere a la capacidad de solicitar actualizaciones, anexos o modificaciones en Datos Personales en caso de considerarlo necesario.
4. Derecho a la eliminación o al ‘olvido’ de los datos
El sujeto de datos puede solicitar la eliminación total de su información personal de todos los archivos de la empresa y de registro de terceros que la hubieran recibido a través de ésta.
5. Derecho a restringir el procesamiento de los datos
Se vincula con la potestad del titular de exigir que se suspenda o suprima el uso de dichos datos de forma temporal o definitiva.
6. Derecho a la portabilidad de los datos
El ciudadano europeo tiene la potestad de pedir la transferencia de sus datos a través de un ‘formato electrónico de lectura mecánica’ a otro responsable.
7. Derecho a objetar el procesamiento de los datos
Frente a la incorporación a bases de datos de Marketing directo, o el procesamiento de sus Datos Personales por parte de cualquier empresa, el individuo puede objetar estas prácticas.
8. Derecho a no ser sujeto de toma de decisiones automatizadas
Esto quiere decir que un sujeto de datos podría pedir que éstos sean administrados por una persona o grupo de personas y no por un algoritmo, si considerara que este último representa un perjuicio en una caso concreto.
5 consejos para alinear tu negocio a las nuevas disposiciones del GDPR
A continuación te daremos algunos tips adicionales para fortalecer las ‘buenas prácticas GDPR’.
1. Identifica qué datos de tus clientes necesitas mantener para el funcionamiento de tu negocio y descarta el resto. Actualiza tus procesos y políticas de seguridad de datos, para que se ajusten a lo dispuesto en el GDPR.
2. Interiorízate sobre el GDPR e introduce desde ahora estas nuevas normas en el corazón de tu empresa o negocio, para que todos los miembros conozcan qué implica y tomen conciencia de la importancia de su cumplimiento.
3. Utiliza formularios de registro Doble opt-in, así como el checkbox de conformidad para dejar asentado el consentimiento del usuario por diferentes vías.
4. Evita acumular contactos y listas viejas que ya no uses o no necesites. De este modo, reducirás la posibilidad de almacenar datos que no cumplan con alguno de los derechos estipulados en la ley.
5. Planifica tus acciones futuras teniendo en cuenta las nuevas disposiciones en materia de Protección de Datos Personales.
¿Qué puede ocurrir frente a un incumplimiento del GDPR?
La norma establece multas económicas de hasta el 4% de la facturación de una empresa o 20 millones de euros.
Como ves, el tema va muy en serio y realmente no es tan difícil ponerse a tiro con estas exigencias que, por otro lado, son justas y contribuyen al mejor uso de información tan delicada como son los datos de las personas.
Puede ser que tu negocio no cuente con información privada de clientes o leads de naciones europeas, pero podría suceder que en mediano plazo tus horizontes comerciales se extiendan hacia allí.
En ese caso, será muy útil que cuentes con todos los puntos del Reglamento al día, o deberás hacerlo sin falta antes de comenzar a operar con clientes de Europa.
Por Sol Romeo, Chief Marketing Officer en Doppler