Email y GDPR (o RGPD): cómo te afecta y cómo cumplirlo
Maria Verlee · 06 Feb, 2018 · Legislación · 4 min
Tanto si eres una empresa como si sueles dejar tus datos en formularios de suscripción, de descarga o crear cuentas de usuario en páginas webs, el GDPR te afecta.
La Unión Europea ha actualizado su normativa en materia de protección de datos. Esta nueva norma recibe el nombre de Reglamento General de Protección de Datos (RGPD o GDPR en inglés) y se aplica de forma general a todo tipo de entidades (desde autoridades públicas a pequeñas y medianas empresas) sin diferenciar si el tratamiento tiene lugar dentro de la Unión Europea o fuera, aplicándose siempre que afecte a ciudadanos europeos.
En este post te contamos los principales conceptos que se han aplicado para establecer los cambios en la Ley de Protección de Datos y los 10 principales cambios que supone para el Email Marketing y que nuestra propia empresa, Acumbamail, aplicará para cumplir con el Reglamento General de Protección de Datos. Puedes leer un resumen de todo lo que debes saber sobre la GDPR en España en nuestra landing informativa.
También compartimos en este post contigo la grabación del webinar que organizamos con Noemí Brito, abogada experta en derecho digital para que no se te olvide ningún aspecto y tengas toda la información para estar preparado antes de que sea de obligatorio cumplimiento, el próximo 25 de mayo de 2018.
¿Cumple mi empresa con el nuevo Reglamento General de Protección de Datos (RGPD)?
Tranquilo, no eres el único que se está haciendo esta pregunta, aunque no por eso hay que quitarle importancia. Quedan pocos meses para estar preparados y hay que ir comenzando la adaptación al nuevo reglamento.
Por suerte, si quieres hacer una primera estimación de cómo de bien (o de mal) esta preparada tu empresa, puedes hacer nuestro cuestionario de cumplimiento de el GDPR que no sólo te dirá si estás o no preparado si no que, además, el experto consultor RGPD José Manuel Sanz ha redactado una serie de indicaciones con las que podrás descubrir los principales cambios que debes hacer para adaptarte cuanto antes a este nuevo reglamento.
Las 4 principales razones por las que se deben de realizar los cambios para cumplir con el GDPR:
La privacidad y la seguridad no son secundarios
En gran parte, la gestión de la privacidad y seguridad tienen una importancia primordial para el éxito y la reputación de la empresa. La llegada de el GDPR se debería de ver cómo una forma de añadir valor a una empresa y ser un elemento diferencial. La privacidad y seguridad nos afecta a todos, tanto empresarios como usuarios.
La gestión de la privacidad no consiste únicamente en rellenar un formulario
Se trata de crear una cultura de la seguridad y privacidad que alcance a todos los elementos de la empresa.
La formación del personal y unos procedimientos adecuados son imprescindibles
Crear acciones formativas para transmitir los procedimientos implantados es la garantía para que se cree esta cultura de la privacidad. Asegúrate de que todos los empleados de tu empresa son conscientes de estos cambios y lo ponen en práctica, también como usuarios fuera de la empresa.
El impacto económico del incumplimiento de la normativa en materia de privacidad es muy alto
El no cumplir con las obligaciones legales tiene como consecuencia una sanciones que además de su coste afectarán a la reputación de la empresa. Las sanciones pueden suponer desde el 4% de la facturación global de la empresa hasta llegar a un máximo de 22 millones de euros.
Los 10 mandamientos del GDPR aplicados al email marketing:
1. Identificarás a un Responsable, un Delegado de Protección de Datos, si necesario
Deberá informarse a la hora de recoger datos de los interesados, de la identidad concreta y datos de contacto del responsable que va a llevar a cabo esta recogida y gestión de la información o de su representante. Igualmente deberá informarse, si fuera necesario, de la identidad del Delegado de Protección de Datos (DPO, por sus siglas en inglés).
2. Informarás sobre los fines del tratamiento de los datos y la base jurídica para el mismo
La empresa deberá informar sobre el destino que va a tener el tratamiento de datos (campañas de email marketing, generación de contactos, boletines, etc) de forma concreta y expresa. Además deberá incluirse en esta información, que base y referencias jurídicas justifican estas finalidades.
3. Especificarás los destinatarios o categorías de destinatarios del tratamiento
Se deberá informar sobre quién o quienes van a recibir los datos personales objeto del tratamiento de datos. Tendrá que incluirse la información necesaria para identificar a los destinatarios aún en el caso de tratarse de hosting, plataformas de email-marketing y otros servicios similares.
4. Avisarás si se van a realizar transferencias internacionales de tratamientos
Se deberá informar si los datos personales objeto del tratamiento van a ser gestionados totalmente o en parte en terceros países
Es recomendable que esta gestión internacional se realice en países de la UE o en su defecto, infórmate bien sobre la aplicación de la GDPR si trabajas con empresas de fuera de la UE.
5. Informarás de los plazos para la conservación de los datos personales
Se deberá informar del plazo de tiempo previsto para la conservación de los datos personales objeto del tratamiento. Si esto no fuera posible, deberá indicarse que criterios se seguirán para justificar la conservación (validez de una oferta, obligación legal, etc)
6. Comunicarás a los usuarios sus derechos en cuanto a la gestión de sus datos
Se deberá informar de los derechos que asisten a los usuarios como propietarios de los datos personales, así como el procedimiento para ejercer estos derechos. Se recogen los nuevos derechos al olvido y a la portabilidad de los datos personales.
7. Indicarás de forma clara las obligaciones contractuales obligatorias
Se deberá informar a los usuarios sobre si la información recogida es una obligación contractual y es requerida para la formalización de un contrato o acuerdo. Deberá también informarse de las consecuencias de no prestar dicha información.
8. Notificarás sobre las decisiones automatizadas y elaboración de perfiles
Se deberá informar a los usuarios si la información recopilada va a ser usada para la creación de perfiles y/o patrones. La información deberá también mostrar qué criterios y lógica se va a seguir para la creación de dichos perfiles y la importancia o consecuencia para el usuario.
9. Informarás al usuario si las finalidades son distintas a las previstas para el tratamiento
Se deberá informar a los usuarios si el responsable de tratamiento tiene previsto a posteriorí usar la información recopilada para fines distintos a los previstos inicialmente.
10. Recogerás el consentimiento expreso y acreditable de parte de los usuarios
Se deberá recoger el consentimiento del usuario de forma expresa. No valdrá hacerlo de una forma implícita. Además el responsable del tratamiento, tendrá que ser capaz de demostrar en cualquier momento que este consentimiento ha sido obtenido de forma libre y explícita, sin campos premarcados.
Webinar Acumbamail con Noemí Brito, abogada en derecho digital: ¿Cómo cumplo con el GDPR?
Para ayudarte a entender todo lo que conlleva el GDPR, hemos organizado un webinar explicativo con una abogada experta en derecho digital en Legistel y Comtrust, Noemí Brito.