Probablemente a estas alturas las siglas GDPR te suenen de algo… Y si no, ¿te has dado cuenta de que muchas aplicaciones y sitios web te han bombardeado por email con nuevos términos de uso y políticas de privacidad?
Estos emails existen porque las empresas están en una carrera por cumplir el nuevo Reglamento General de Protección de Datos, GDPR por sus siglas en inglés.
Sin ánimos de sustituir a un asesor legal, te explicamos qué es el GDPR y cómo te afecta sin importar dónde esté ubicada tu empresa.
¿Qué es el GDPR?
El Reglamento de Protección de Datos es la nueva normativa europea que entró en vigor el pasado 24 de mayo de 2016 (sí, del año pasado) que regula cómo se manipulan nuestros datos. Esta normativa sustituirá a la Directiva 95/46/EC, que regula la protección de datos en territorio europeo desde 1995. El 25 de mayo de este año vence el plazo otorgado a las empresas para adaptarse a la legislación. Por eso todos esos emails de las últimas semanas que casi, casi rozan el límite de lo que permite el reglamento.
Este nuevo reglamento pretende devolver a los ciudadanos europeos el poder sobre sus datos al actualizar una normativa creada para un mundo diferente. La GDPR regula entre otros aspectos como cualquier organización, o incluso individuos, obtienen, usan, acumulan y eliminan datos personales.
¿A quién afecta el GDPR?
Afecta a toda empresa o individuo que ofrezca bienes o servicios a ciudadanos en la Unión Europea, ya sea que la recaudación de los datos implique un pago o no, sin importar el lugar del mundo donde se encuentre esta empresa. Asimismo, afecta a aquellos que monitoricen comportamientos, siempre y cuando dicho comportamiento ocurra en la Unión Europea.
Así que si estas en cualquier punto de Latinoamérica y manipulas datos de ciudadanos de la Unión Europea, este reglamento te afecta. Algunos ejemplos de recopilación de datos que pudiera afectarte:
Tienes clientes en cualquiera de los países de la Unión Europea que pagan por tus productos o servicios.
En tu web en la que los usuarios deben registrarse para acceder a cierto contenido, aplicaciones, funciones, etc.
Tienes una web donde ciudadanos europeos pueden suscribirse a tu newsletter.
Utilizas alguna herramienta de monitorización en tu web o app para personalizar contenidos, servicios, etc.
¿Qué significa que te afecte?
En términos prácticos, principalmente dinero. Uno de los cambios en el GDPR son las sanciones monetarias, considerablemente altas. Estas sanciones podrían ser de hasta el 4% de la facturación global de una organización o 20 millones de euros, lo que sea más alto.
3 Cosas que debes saber acerca del GDPR
El consentimiento debe ser expreso
El consentimiento que otorga un usuario debe ser explícito, informado y revocable en cualquier momento. Además, debe ser específico, esto es otorgarse para cada una de las finalidades para las que se recolecta el dato. Es decir, todos los consentimientos deberán ser dados individualmente. Si un usuario te da su consentimiento para que le envíes un newsletter, no podrás enviarle promociones.
Por eso, es importante diseñar una experiencia de usuario agradable para mostrarle al usuario todas las opciones para las que acepta (o no) sean usados sus datos. En este diseño se debe tener mucho cuidado, pues al tener que ser explícito una casilla premarcada que casi no se ve, estaría en contra del reglamento.
¿Qué pasa con el consentimiento a pasado? El reglamento es un tanto ambiguo en este aspecto, estipula que no habrá problemas siempre y cuando el consentimiento haya sido otorgado aplicando los principios establecidos por el GDPR.
Nuevos derechos para el ciudadano
Uno de estos es el derecho a la portabilidad, es decir, que cualquier usuario podrá pedir los datos a una empresa para pasárselos a otra. Esto incluye todos los registros de actividad, y deberá estar en un formato adecuado, que no obstaculice las labores del nuevo proveedor. Asimismo, un ciudadano podrá exigir una copia de sus datos en un formato que le sea conveniente, como un disco duro, pendrive, etc. Aquí, también cabría mencionar el derecho a la cancelación de ese uso de datos por parte del usuario, algo que ya es común hoy en día.
Se pondrá en práctica también el principio de responsabilidad activa (accountability). Este principio se relaciona con los procesos internos de las empresas y organizaciones para almacenar y manipular los datos. Con esto se busca que las empresas sean las responsables por los datos y por velar por el cumplimiento del GDPR.
Se establece también la necesidad de protocolos para cuando existan brechas de seguridad. La empresa es responsable por responder en 72 horas, lo que implica avisar a la agencia correspondiente, al afectado y tomar las medidas para solucionarlo.
Nuevos conceptos
Además de procedimientos y sanciones el GDPR también introduce nuevos conceptos. Los más importantes son la privacidad por diseño y la privacidad por defecto.
La privacidad por diseño implica que la aplicación del principio que dice que la privacidad se protege mejor cuando ya está integrada por la tecnología al ser creados los productos o servicios que se oferten. Ambiguo, ¿no? Sí, por eso aún hay cierta incertidumbre acerca de qué significa este término y cómo puede aplicarse.
Por otro lado, la privacidad por defecto, significa que las organizaciones deberán aplicar las medidas técnicas y organizacionales apropiadas para que que las opciones de protección de los datos deben ser las óptimas por defecto. Es decir, solo los datos personales que sean necesarios para cada propósito específico de un proceso serán recopilados y manipulados.
¿Cómo afecta el GDPR nuestras acciones de marketing digital?
Redes sociales
En este punto hablamos de el uso de redes sociales de forma orgánica. En general, no se deberían presentar mayores problemas, ya que la actividad propia de redes sociales no implica recolección de datos.
Sin embargo, si hay un par de escenarios en los que debes tener cuidado:
Si usas las redes sociales como fuente de datos personales de tus seguidores para importarlos a una lista, etc.
Si a través de las redes sociales envías tráfico a tu web, y usas Google Analytics para hacer seguimiento a tus visitantes.
Así es cómo la Agencia Española de Protección de Datos advierte a sus usuarios su política respecto a Twitter (desde un enlace en su biografía):
Publicidad online
Ya sea en una red social, publicidad de Display o de texto (ejm. AdWords) necesitas obtener el consentimiento de los usuarios para monitorizar cómo han llegado a tu web y su comportamiento.
En este caso, es necesario informar claramente sobre la utilización de las cookies y herramientas que utiliza nuestra web, para luego solicitar el consentimiento del usuario. Asimismo, se debería ofrecer una forma de bloquearlas en caso de que el usuario se oponga a su uso o no otorgue un consentimiento explícito. Para el GDPR la omisión por parte del usuario no significa aceptación.
Email marketing
Este canal es el que hasta ahora más claramente solicitaba el consentimiento del usuario. Con el GDPR no es posible realizar campañas de email marketing si no contamos con el consentimiento explícito y verificable de cada persona para cada tipo de campaña.
En caso de que existan dudas (y esto aplica en general) se deberá realizar una evaluación de impactos.
Lo importante es que los usuarios tengan claro para qué están cediendo su información. Por lo tanto, un paso fundamental es diseñar los formularios de recolección de datos adecuadamente, donde sea fácil entender para qué cómo se utilizarán los datos.
Recomendaciones finales
1 Asegúrate de que todas las herramientas que usas para tratar los datos de tus usuarios o clientes cumplan con el GDPR.
2 Si tienes bases de datos antiguas, de leads o clientes, y no estás seguro de si es correcto usarlas, mejor elimínalas.
3 Si vas a realizar perfiles que te permitan segmentar a tus usuarios según intereses, comportamientos, etc. debes informarlo, así como lo que ello implica.
4 Cifra y protege toda la información que recaudas de tus suscriptores, usuarios, clientes, etc.
5 Registra tus procesos, y todo lo que haces con los datos de una persona desde su consentimiento hasta su manipulación.
Ahora es tu turno
Esta guía del nuevo Reglamento General de Protección de Datos no pretende ser exhaustiva o sustituir a un especialista legal. Sin embargo, sí busca servir de alerta en caso de que aún no tuvieras claro que significaba para una empresa no europea el inicio de su obligatorio cumplimiento. Por eso, tocamos los puntos que consideramos más relevante a una semana de que esto ocurra.
Así que, ¿ya tienes todo en orden? ¿Estás listo para el GDPR?
Digital Marketing Manager en Orienteed. Consultor en Estrategias de Inbound Marketing y Comunicación Digital. Diseñador Web, especializado en Usabilidad y UXp. Coach Ontológico Profesional certificado. Ex Co-Fundador de Mauna Media.