Subscríbase al boletin de noticias de OpenKM para estar informado

Guía definitiva sobre el Reglamento General de Protección de Datos - GDPR para empresas

Escrito por Nabeena Mali en febrero 27, 2018

"El contenido de está página es una traducción del artículo "The Ultimate GDPR Guide for Marketers and Businesses" publicado por Nabeena Mali en AppInstitute el 13 diciembre 2017. Damos las gracias a Nabeena Malik por su colaboración y por el interés mostrado en compartir este artículo sobre esta directiva europea a nuestros subscriptores."

El Reglamento general de protección de datos se propuso por primera vez en 2012 y lo que siguió fueron cuatro años de debates; debates y enmiendas y finalmente el Parlamento Europeo aprobó el reglamento en 2016. A los países, las empresas y las organizaciones se les concedió un plazo de dos años con la regulación vigente hasta en mayo 25, 2018. Lo que originalmente parecía ser una cantidad razonable de tiempo para prepararse ha pasado rápidamente; y en el momento de escribir estas líneas, la aplicación del GDPR está a apenas 3 meses de distancia.
Ya se ha escrito y discutido mucho sobre el dominio público en relación con el GDPR pero aún así, muchos propietarios de negocios no están seguros de lo que implica el GDPR, y de si se ven afectados o no. Con esta guía GDPR, espero aportar algo de claridad, explicando qué es el Reglamento General de Protección de Datos, a qué empresas afecta, junto con las respuestas a algunas preguntas frecuentes sobre el GDPR y algunos pasos que puede seguir, para avanzar en su negocio hacia el cumplimiento.

Yendo al grano: todo lo que necesita saber sobre el GDPR

Hemos visto cómo la tecnología está transformando industrias nuevas y antiguas: Uber y Lyft están cambiando el mundo del transporte; Netflix está alterando la producción y el consumo de películas y programas de televisión y la Inteligencia Artificial amenaza con desbaratar cada negocio de una manera que nunca antes pensamos posible. Pero la tecnología también irrumpe en las leyes y regulaciones implementadas por los estados, con el GDPR como buque insignia diseñado para reemplazar una directiva moderna que ya no era suficiente: la Directiva 95/46 / EC (una directiva de protección de datos).

El Reglamento General de Protección de Datos está, obviamente, centrado en la protección de datos, pero no regula toda la protección de datos. En cambio, se centra en los datos personales de las personas; específicamente las personas que residen en cualquier estado miembro de la UE. Actualiza las regulaciones existentes e introduce nuevas, relacionadas con la recopilación y el procesamiento de los datos personales de cualquier individuo, que resida en cualquier estado miembro de la UE. Y no sólo se aplica a empresas y organizaciones con presencia física en cualquier estado miembro de la UE. Las empresas y organizaciones de todo el mundo deberán cumplir con el GDPR, si recopilan y procesan los datos personales de cualquier persona que resida en la UE.

El propósito de las regulaciones no es dificultar que las empresas vendan, comercialicen o realicen ninguna de sus funciones comerciales normales. En cambio, están diseñadas para brindarles a las personas un mayor control sobre quién recopila y procesa sus datos personales, para qué se utilizan y cómo se mantienen seguros.

Lo hace diferenciando primero entre datos personales y datos personales confidenciales, siendo los datos personales cualquier información que hace posible identificar a un individuo, ya sea directa o indirectamente. Incluye datos tales como nombres, números de identificación, datos de ubicación e identificadores en línea. Los datos personales confidenciales también permiten identificar a un individuo, pero a través de un alcance ampliado de factores específicos, que incluyen elementos de su apariencia física, fisiología, genética, salud mental, identidad económica, cultural o social. La recopilación y el procesamiento de datos personales confidenciales no está permitido, salvo en circunstancias muy específicas, con requisitos adicionales en términos de seguridad de los datos.

A continuación, el GDPR mejora el principio de consentimiento, que requiere:

• El consentimiento explícito de las personas.
• La eliminación del consentimiento general, el consentimiento por defecto y el consentimiento como condición de venta, servicio o términos y condiciones generales.
• La capacidad de las personas para retirar fácilmente el consentimiento.

Existen disposiciones dentro del GDPR para los momentos en que el consentimiento no es necesario, pero todos se relacionan con bases legales muy específicas, para la recopilación y el procesamiento de datos personales.

El GDPR acontinuación aclara los derechos de las personas en términos de sus datos personales, desglosados de la siguiente manera:

• El derecho a estar informado, generalmente cubierto por su aviso de privacidad. La información detallada sobre quién recopila y procesa los datos personales, junto con la forma en que se utilizará, debe estar disponible de manera gratuita y escrita en un lenguaje claro y conciso.
• El derecho de acceso. Las personas pueden solicitar confirmación de que sus datos se están procesando. También pueden solicitar una copia de toda su información que la organización tenga, junto con cualquier información complementaria. Se debe proporcionar de forma gratuita y en el plazo de un mes a partir de la solicitud.
• El derecho a la rectificación. Las personas pueden solicitar que se corrija cualquier información incompleta o inexacta que tenga la empresa, y ésta será responsable de pasar la información corregida a los terceros con los que haya compartido previamente los datos.
• El derecho a borrar. Este no es un derecho absoluto para ser olvidado, sino una disposición para que las personas soliciten la eliminación de sus datos cuando ya no existe un motivo legítimo para que la organización continúe procesándolos, o si retiran su consentimiento.
• El derecho a restringir el procesamiento. Bajo ciertas circunstancias, las personas pueden solicitar que se restrinja el procesamiento posterior de sus datos. Esto es diferente al derecho de borrar, en el sentido de que aún se permite a la empresa almacenar algunos datos personales; simplemente no procesarlos más.
• El derecho a la portabilidad de datos permite a las personas obtener sus datos de la organización y reutilizarlos para sus propios fines en otros servicios. Sin embargo, esto sólo se aplica en circunstancias en las que el individuo proporcionó a un controlador sus datos personales, generalmente durante la ejecución de una solicitud de contrato.
• El derecho a objetar. A menos que tenga razones legítimas convincentes para procesar los datos de una persona, éstas conservan el derecho a oponerse al procesamiento por una serie de razones.
• Derechos en relación con la toma de decisiones automatizada y el perfil. El GDPR requiere que se implementen medidas de seguridad para cualquier proceso y toma de decisiones automatizados; para minimizar el riesgo de que se tomen decisiones dañinas o adversas, sin la posibilidad de intervención humana, o la capacidad de buscar una explicación.

El GDPR trata con gran detalle la rendición de cuentas y la gobernanza en las empresas y organizaciones. Esto aborda asuntos tales como:

• La implementación de medidas que aseguren y demuestren el cumplimiento. Esto puede incluir tanto políticas internas de protección de datos, como capacitación del personal; hasta auditorías internas de las actividades de procesamiento y revisiones de las políticas internas de recursos humanos.
• Mantener la documentación relevante de todas las actividades de procesamiento.
• Identificar si su organización es un procesador de datos, un controlador de datos o ambos. Debe entender el propósito y los requisitos de estos roles, distintos en términos del GDPR. En su caso, es posible que deba designar a un oficial de protección de datos.
• La implementación de medidas que satisfagan los principios de protección de datos por diseño y protección de datos por defecto. Esto podría incluir:
  • minimización de datos
  • seudonimización o anonimización de datos
  • la capacidad de las personas para controlar el procesamiento de sus datos
  •  mejora continua de las características de seguridad

Finalmente, el GDPR introduce nuevos requisitos sobre cómo se procesan los datos personales para garantizar la seguridad, junto con requisitos sobre cómo las empresas y las organizaciones deben responder a las violaciones de datos.

Es importante recordar que el GDPR no afecta a todas las empresas y organizaciones, sólo a aquellas que recopilan y / o procesan datos personales, ya sea de sus clientes o en nombre de otra organización. Si no recopila ni procesa datos personales de personas, no tiene nada de qué preocuparse. Y si lo hace, el asunto principal que le debe preocupar es asegurarse de que cumpla con los requisitos del GDPR. El GDPR no debe de ninguna manera impedir que su negocio continúe operando, aunque puede forzarlo a cambiar algunos de sus procesos, lo que hace más difícil realizar algunas tareas, pero nunca imposibilita su funcionamiento.

Las fuertes multas posibles bajo el GDPR no están destinadas a perjudicar a las empresas, sino que sirven como un elemento de disuasión contra las empresas y organizaciones relevantes, al ignorar las reglamentaciones y poner en riesgo los datos personales de las personas.

Pero al igual que con cualquier nueva regulación, tendremos que esperar hasta que se aplique y se establezca una nueva jurisprudencia, para determinar cualquier impacto material real en las organizaciones y las personas, y si esto cambiará con el tiempo.

Grandes preguntas sobre el Reglamento general de protección de dato

¿Me afectará el GDPR?

La respuesta corta es sí. Como individuo, el GDPR establece cuándo y cómo las organizaciones y las empresas pueden procesar o controlar cualquier información de identificación personal relacionada con usted. Y si usted es parte de una organización o empresa, que procesa o controla datos personales de cualquier individuo de la UE, el GDPR le indica cuándo puede hacerlo y cómo debe hacerlo. Eso significa que el GDPR, no sólo se aplica a empresas y organizaciones con presencia física en cualquier estado miembro de la UE; sino también a aquellas que ofrecen bienes o servicios a ciudadanos de cualquier estado miembro de la UE, incluso si no tienen presencia física en la Unión Europea .

¿Se aplicará el GDPR después del Brexit en Reino Unido?

El GDPR seguirá aplicándose después del Brexit, porque el GDPR está diseñado para regular cómo cualquier empresa u organización procesa y controla los datos personales de cualquier ciudadano de la UE, independientemente de dónde se encuentre el negocio o la organización. Además, en septiembre 13, 2017 se presentó la Ley de Protección de Datos del Reino Unido a la Cámara de los Lores. La Ley de Protección de Datos reemplaza la antigua Ley de Protección de Datos, y no sólo garantiza la implementación de los estándares GDPR en lo que respecta al procesamiento y control de datos; sino también la implementación de requisitos específicos del Reino Unido. Esto incluye modificaciones acordadas en áreas tales como investigación académica, servicios financieros y protección infantil.

¿El GDPR afectará las llamadas en frío?

El Reglamento General de Protección de Datos (GDPR) definitivamente afectará todas las formas de llamadas en frío, incluido el marketing por correo electrónico frío. El GDPR establece un estándar alto para el consentimiento, poniendo énfasis en dejar a la persona (el posible cliente) el control y generando confianza y compromiso.

El consentimiento apropiado bajo el GDPR significa lo siguiente:

• El consentimiento debe ser explícito, y a través de una aceptación positiva. Esto significa que ya no puede usar el consentimiento por defecto, el consentimiento como condición de venta o servicio; o incluso cuadros de consentimiento previamente marcados en los formularios.
• El consentimiento no puede ser vago. El individuo debe dar una declaración específica de consentimiento, al tiempo que sabe a qué está consintiendo y a quién da su consentimiento. Si algún controlador de terceros participa en el consentimiento de la persona, éstos deben ser nombrados.
• El consentimiento debe estar separado de otros términos y condiciones.
• La evidencia de consentimiento debe registrarse y conservarse. Esto incluye registros de quién, cuándo, cómo y qué.
• Debe ser fácil para las personas retirar el consentimiento, y se les debe informar cómo pueden retirar el consentimiento.Debe revisar regularmente sus registros de consentimiento, asegurándose de que nada ha cambiado en términos de la relación, el procesamiento de los datos o el propósito del consentimiento. Actualizar según sea necesario.

¿Se retrasará el GDPR?

Cualquier demora en la aplicación del GDPR es altamente improbable. El GDPR fue aprobado por el Parlamento de la UE en 2016, y los Estados miembros otorgaron dos años para prepararse para la aplicación.

¿Pasará el GDPR?

El GDPR fue aprobado por el Parlamento de la UE en 2016, entrando en vigor en mayo 25, 2018. La demora en la aplicación del GDPR es muy poco probable; con la perspectiva de que el Brexit tampoco ofrezca ningún aplazamiento.

¿El GDPR afectará B2B?

El GDPR se aplica específicamente a las personas, por lo que en el contexto de las relaciones B2B (existentes y nuevas), el impacto del GDPR dependerá de la información de contacto que utilice para comunicarse con sus clientes B2B. Siempre que su información de contacto incluya datos personales, deberá cumplir con las reglamentaciones relacionadas con el consentimiento explícito y registrado para la aceptación. Esto se extendería para incluir también regulaciones con respecto a la protección de datos.

Sin embargo, si sus registros sólo incluyen información de contacto genérica (un número de contacto o una dirección de correo electrónico sin nombre adjunto), no necesariamente tiene que registrar el consentimiento explícito; pero debe facilitar que la empresa u organización opte por no participar y mantener un registro de esto.

¿Cuándo entrará en vigencia el GDPR?

El GDPR fue aprobado por el Parlamento de la Unión Europea en 2016 y la entrada en vigencia tendrá lugar en mayo 25, 2018. Cualquier organización que no cumpla con los requisitos después de esta fecha, podría enfrentar fuertes multas.

¿Qué significa el GDPR para el marketing?

El GDPR no es una sentencia de muerte para el marketing, es simplemente una forma de regular ciertos aspectos del marketing. No mata al marketing directo, simplemente da el control del marketing directo a las personas. Esto significa que los especialistas en marketing ahora deben asegurarse de contar con el consentimiento explícito de las personas para comercializarlos directamente (ya sea a través de llamadas telefónicas, campañas por correo electrónico o incluso por correo directo). Significa que los especialistas en marketing ahora deben informar a las personas sobre:

• Quién los comercializará (nombre de la empresa o de la organización). Si controladores de terceros también utilizarán los datos personales de la persona, también deben ser nombrados.
• Cómo se usará su información personal y para qué se usará.
• Que pueden optar por no participar en cualquier momento, al tiempo que explican el proceso para optar por no participar.

Los profesionales del marketing también deben comprender que ya no se permite el consentimiento general. Según el GDPR, las personas dan su consentimiento para una campaña o propósito específico, y si esa campaña o propósito cambia, necesitan dar su consentimiento nuevamente. Si su cliente da su consentimiento para recibir comunicaciones de mercadotecnia relacionadas con su gama de muebles de jardín; no puede cambiar repentinamente a la comercialización de su nueva gama de productos de baño.

¿Qué significa el GDPR para las empresas?

Las empresas y organizaciones que recopilan y procesan los datos personales, de las personas que residen en la UE, independientemente de la ubicación física de la empresa; deben tener en cuenta lo siguiente:

• El GDPR define claramente diferentes roles para los controladores y procesadores. Los procesadores de datos llevan a cabo el procesamiento real de los datos personales, mientras que los controladores de datos especifican por qué y cómo se procesan los datos personales. Los controladores de datos también son responsables de garantizar que los procesadores de datos cumplan con todos los requisitos del GDPR.
• Algunas empresas y organizaciones deben nombrar también un Oficial de Protección de Datos (DPO). El Grupo de Trabajo del Artículo 29 ha publicado directrices separadas sobre las OPD, junto con algunas preguntas frecuentes útiles ( ambos recursos, en inglés )
• Las empresas y organizaciones deben obtener y registrar el consentimiento explícito de una persona para almacenar y utilizar los datos personales. También necesitan explicarle al individuo, cómo se usarán los datos personales.
• Las infracciones de datos que probablemente resulten en un riesgo para los derechos y libertades de las personas, deben ser informadas a la autoridad de supervisión pertinente, dentro de las 72 horas. Cuando una violación de datos puede resultar en un alto riesgo para los derechos y libertades de las personas, los afectados deben ser notificados directamente.
• Las personas tienen el derecho de solicitar una copia de sus datos personales e información complementaria, procesada por cualquier empresa u organización. Esto permite a las personas conocer y verificar la legalidad del procesamiento.
• El GDPR brinda a las personas el derecho a borrar, a veces denominado como un derecho a ser olvidado. Éste permite a las personas solicitar la eliminación o retirada de sus datos personales, cuando no existe un motivo válido o convincente para continuar su procesamiento. El derecho no es absoluto, y las empresas y organizaciones pueden negarse a eliminar datos en determinadas circunstancias.
• La portabilidad de datos brinda a las personas el derecho a obtener y reutilizar sus datos personales en diferentes servicios. Esto permite que las personas muevan, copien o transfieran sus propios datos personales, de un entorno a otro, por varias razones.
• Si bien la privacidad por diseño siempre ha sido un requerimiento implícito de protección de datos, bajo el GDPR, las compañías y organizaciones ahora están obligadas a implementar medidas para integrar la protección de datos, con las actividades de procesamiento de datos.

¿Qué significa el GDPR para la gestión de RRHH?

Los artículos 6 (1) (c) y (e) del GDPR permiten a los Estados miembros introducir disposiciones más específicas en términos de bases legales para el procesamiento de datos personales. Se debe cumplir al menos una de las seis condiciones, con dos condiciones específicas:

• "(c) el procesamiento es necesario para cumplir con una obligación legal";
•  "(e) el procesamiento es necesario para la realización de una tarea llevada a cabo en interés público, o en el ejercicio de la autoridad oficial conferida al controlador".

Esto sugiere que el procesamiento de datos personales de los empleados para ciertas operaciones legítimas de recursos humanos, no requiere un consentimiento explícito. Sin embargo, todos los demás aspectos del GDPR en términos de datos personales, se seguirían aplicando, incluidos:

• Cómo y para qué se utilizan los datos.
• Privacidad por diseño.
• Portabilidad de datos y derecho a borrado.
• Uso de datos personales por parte de terceros.

¿A quién se aplica el GDPR?

El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en la UE; independientemente de la ubicación física de la empresa. Esto significa que las regulaciones son aplicables en cualquier empresa, incluso aquellas que no tienen presencia física en ningún estado miembro de la UE.

¿Las multas GDPR son asegurables?

Aún no hay una respuesta definitiva a esta pregunta; pero la opinión actual de los intermediarios es que es poco probable que las multas relacionadas con el GDPR sean asegurables. Y con multas de hasta el 4 % de la facturación global anual de una compañía, cualquier incumplimiento del GDPR puede terminar siendo muy costoso para cualquier organización. La orientación adecuada sólo será posible una vez que la nueva legislación entre en vigencia y se haya establecido una nueva jurisprudencia. Sin embargo, las pólizas de seguro cibernético especializadas, podrían cubrir los costos asociados con una violación de datos, tales como reclamos de compensación, costos legales, notificación y gestión de la reputación, etc.

¿Cómo afectará el GDPR a las compañías estadounidenses?

El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en la UE, independientemente de la ubicación física de la empresa. Como tal, aún se espera que las empresas de los EE. UU. y las empresas de otros países del mundo, cumplan con las nuevas reglamentaciones si alguno de los datos personales que recopilan y procesan es de residentes de un estado miembro de la UE. Esto sigue siendo cierto incluso si la empresa no tiene presencia física en ningún estado miembro de la UE. Si bien es poco probable que el GDPR afecte a una pequeña floristería en Rock Springs, Wyoming, cualquier negocio (basado en los EE. UU. U u otro país) que recopile y procese datos personales de los residentes de la UE; deberá implementar medidas para cumplir con el GDPR. Esto incluye, entre otros, garantizar:

• Consentimiento explícito y registrado, para recopilar y procesar los datos personales del individuo.
• Explicación clara de cómo y para qué datos se usarán los datos.
• Privacidad por diseño, junto con el cumplimiento de las infracciones de datos.
• Soporte para la portabilidad de datos y el derecho a borrado.
• Cumplimiento de los requisitos del GDPR para el uso de datos personales por parte de terceros.

Muchas empresas están acostumbradas a utilizar las páginas de destino y los formularios de suscripción a los boletines, para construir su base de datos de clientes. Según el GDPR, esto ya no será aceptable cuando se trate de los datos personales de los residentes de la UE; ya que no se permite el consentimiento general. El GDPR sólo reconoce el consentimiento explícito otorgado para un propósito específico, que debe establecerse cuando el individuo da su consentimiento. Si un residente de la UE se registra en su boletín informativo semanal por correo electrónico; estará dando su consentimiento explícito para recibir exactamente eso: un boletín semanal por correo electrónico. No se puede cambiar a enviarles ofertas diarias por correo electrónico porque no aceptaron eso. Siempre que el propósito de recopilar y procesar datos personales cambie, debe otorgarse un nuevo consentimiento.

¿Cómo cambia la GDPR las reglas para la investigación?

El GDPR establece disposiciones para las organizaciones que recopilan y procesan datos personales con fines de investigación, aunque tendremos que esperar hasta que se haga cumplir el GDPR para ver si son suficientes, o si se han interpretado de manera demasiado vaga. El GDPR permite la recopilación y el procesamiento de datos personales sin consentimiento, pero sólo para fines legales específicos. En términos de investigación, el artículos 9 de la GDPR mencionan específicamente la salud, la asistencia social, la investigación científica y la investigación histórica. Lo que todavía se aplicaría en todos los casos son los requisitos en términos de protección de datos, privacidad y violaciones de datos; que son menos estrictos cuando los datos se han anonimizado a tal grado, que los sujetos de datos ya no son identificables.

¿Cómo afecta el GDPR a la ciencia de los datos?

Las áreas clave dentro de la ciencia de datos que se verán afectadas por el GDPR incluyen:

• La capacidad de recopilar datos. El consentimiento y la información sobre por qué se recopilan los datos y cómo se procesará son consideraciones importantes aquí. Las disposiciones para las bases legales para el procesamiento de datos, tienen requisitos específicos que no se aplicarán en todas las circunstancias, ni a todas las organizaciones.
• La capacidad de usar datos. Cuando se haya otorgado el consentimiento, es importante recordar que el consentimiento se aplica a los datos que se procesan según se comunicaron originalmente a las personas. Si el propósito de recopilar y procesar cambia, se debe otorgar un nuevo consentimiento. Al mismo tiempo, las personas tienen derecho a bloquear el procesamiento, objetar el procesamiento y el derecho a borrarse; lo que puede afectar o limitar los resultados del procesamiento relacionado con la ciencia de datos.
• La capacidad de transferir datos hacia y desde terceros. El GDPR impone restricciones sobre cómo y cuándo se transfieren los datos a países fuera de la UE, y a organizaciones internacionales. Esto afectará la capacidad de los científicos de datos, para obtener y compartir datos.
• La creación automatizada de perfiles de clientes y la toma de decisiones ha incorporado salvaguardas para las personas, lo que les permite solicitar, en determinadas circunstancias, una intervención humana y una explicación de la decisión.
• Requisitos para almacenar datos. La protección de datos y la privacidad por diseño son principios básicos del GDPR, y si bien estos son menos estrictos cuando los datos son tan anónimos que la identificación individual es imposible; la responsabilidad recae en la organización para garantizar que sus medidas de anonimización sean sólidas.

¿Cómo afectará el GDPR a los colegios?

Las escuelas y los administradores escolares deben tener en cuenta lo siguiente:

• Se requiere el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años. ( El requisito de edad se reduce a 13 años según la Ley de protección de datos del Reino Unido ).
• El GDPR reconoce las diferencias materiales entre los datos personales y los datos personales confidenciales, indicando que:
  • Procesamiento de datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical; y el procesamiento de datos genéticos, datos biométricos con el fin exclusivo de identificar a una persona física, datos sobre salud o datos sobre la vida sexual o la orientación sexual de la persona natural están prohibidos.
  • Con disposiciones para circunstancias específicas donde esto todavía estaría permitido. Las escuelas deben consultar el artículo 9 para obtener más detalles.
  • Los datos que permitan la identificación, deben conservarse por un período no superior al necesario, para los fines para los cuales se recopilaron y procesaron originalmente los datos. Las exenciones se aplican sólo en términos de archivo y fines estadísticos.
  • El marketing sólo es permisible cuando se ha otorgado y registrado consentimiento explícito, y sólo en términos de lo que se había consentido originalmente. El proceso para darse de baja debe ser simple y estar claramente explicado.
  • Todos los derechos individuales como se describen en el GDPR aún se aplican.

¿Cómo afectará el GDPR a Google y Facebook?

Tanto Google como Facebook confían en la extensa recopilación y procesamiento de los datos personales de sus usuarios. Algunos de estos datos se ofrecen de forma voluntaria, cuando se registran para servicios de Google o Facebook; pero también se recopilan a través del seguimiento, tanto a través de plataformas como a través de servicios conectados. Esto se usa no sólo para mejorar la experiencia del usuario, sino también para crear perfiles detallados con fines de personalización y publicidad. Y bajo el GDPR, esto es problemático. Por un lado, excepto cuando se trata de fines legales específicos, cualquier recopilación y procesamiento de datos sólo puede ocurrir después de que se haya otorgado el consentimiento explícito. Y no se permite el consentimiento general, siempre que una persona da su consentimiento, es para un propósito o razón específica.

Esto significa que tanto Google como Facebook -y cualquier servicio similar- deberán presentar a los usuarios múltiples diálogos de aceptación; cada uno vinculado a un propósito específico que se comunica claramente. La opción de inclusión no puede ser preseleccionada, y tampoco puede estar condicionada al uso continuado del servicio. Al mismo tiempo, las personas deben poder darse de baja (revocar el consentimiento) en cualquier momento.

Si bien hay pocas dudas de que una organización tan grande como Google y Facebook puedan cumplir con el menor impacto posible en las personas; esto no significa que no habrá ningún impacto en el modelo comercial. Ambas plataformas utilizan la gran cantidad de datos personales que recopilan, para crear perfiles detallados; lo que permite a los anunciantes enfocarse específicamente en datos demográficos específicos, etc., y con individuos que ahora pueden optar por no participar; la solidez de los perfiles de audiencia de Google y Facebook podría verse afectada .

Otros aspectos del GDPR que tendrán un impacto en Google y Facebook, incluyen la portabilidad de datos, el intercambio de datos con terceros, el derecho a borrar y el derecho de acceso, entre otros. Google ya prevé el derecho de borrado y el derecho de acceso, pero es posible que deba ajustarse para cumplir con los requisitos específicos del GDPR.

Por supuesto, el verdadero impacto del GDPR en negocios como Google y Facebook ,sólo será evidente una vez que las regulaciones se hayan aplicado durante varios meses.

¿Cómo afectará el GDPR el reclutamiento de personal?

Al igual que con el marketing, el GDPR no suena como la sentencia de muerte de las agencias de contratación, especialmente si ya cumplen con la Ley de protección de datos, que pronto será reemplazada. El GDPR se ha compilado de tal manera, que muchas de las regulaciones se aplican casi de manera uniforme a varias industrias, con poco margen para la desviación. Lo que los reclutadores deben conocer específicamente, por encima de todos los demás derechos individuales, incluyen:

• El consentimiento nuevo, debe ser otorgado por individuos para cada actividad de procesamiento separada, que involucre sus datos personales. El consentimiento general o vago no es aceptable.
• Siempre que los detalles de un candidato coincidan con los requisitos para un puesto que no solicitó específicamente, primero se debe contactar, dar los detalles del puesto y dar su consentimiento para que se presenten sus detalles.
• Deben existir salvaguardas para cualquier proceso automatizado de toma de decisiones; con estas salvaguardas diseñadas para proteger a los candidatos del riesgo de cualquier decisión dañina.

¿Cómo afectará el GDPR a las ONGs ?

El GDPR establece un estándar alto para el consentimiento, poniendo énfasis en dejar a la persona (el posible cliente / donante) el control y generar confianza y compromiso.

El consentimiento apropiado bajo el GDPR significa lo siguiente:

• El consentimiento debe ser explícito, y a través de una aceptación positiva. Esto significa que ya no puede usar el consentimiento por defecto, el consentimiento como condición de venta o servicio, o incluso cuadros de consentimiento previamente marcados en los formularios.
• El consentimiento no puede ser vago. El individuo debe dar una declaración específica de consentimiento, al tiempo que sabe a qué están consintiendo y a quién dan su consentimiento. Si los controladores de terceros participan, se incluirán en el consentimiento de la persona y deben ser nombrados.
• El consentimiento debe estar separado de otros términos y condiciones.
• La evidencia de consentimiento debe registrarse y conservarse. Esto incluye registros de quién, cuándo, cómo y qué.
• Debe ser fácil para las personas retirar el consentimiento, y se les debe informar cómo pueden retirar el consentimiento.
• Debe revisar regularmente sus registros de consentimiento, asegurándose de que nada ha cambiado en términos de la relación, el procesamiento de los datos o el propósito del consentimiento. Actualizar según sea necesario.

Las organizaciones benéficas y otras organizaciones que anteriormente se basaron en el consentimiento implícito o el consentimiento por defecto (recuadros previamente marcados, etc.) deberán actualizar sus bases de datos de donantes / clientes buscando el consentimiento explícito y registrado, para continuar procesando los datos personales de las personas que residen en cualquier estado miembro de la UE. Muchas organizaciones benéficas también dependen de voluntarios, por lo que deberán asegurarse de que todos los voluntarios también conozcan todas las partes relevantes del GDPR que afectan sus operaciones.

¿Por qué es malo el GDPR?

Si bien el cumplimiento del GDPR sí trae consigo preparativos que ciertamente, gravan a cualquier empresa u organización, junto con el riesgo de multas paralizantes; las regulaciones no son intrínsecamente malas. Al brindar a los individuos mayor control y protección de sus datos personales, el GDPR brinda oportunidades para que las organizaciones creen una mayor confianza con sus clientes. El GDPR también se puede ver como una clarificación, simplificación y optimización de las reglamentaciones que existían anteriormente; lo que hace que las organizaciones actualmente sólo tengan que hacer algunos ajustes para seguir cumpliendo con las nuevas reglamentaciones. Desgraciadamente, tendremos que esperar hasta que se cumplan las normativas y se establezca una nueva jurisprudencia, para determinar cualquier impacto material real en las organizaciones y las personas, y si esto cambiará con el tiempo.

¿Por qué el GDPR es buena para los negocios?

El GDPR trae consigo oportunidades para que las organizaciones creen una mayor confianza con sus clientes, y esto siempre es positivo. Para muchas organizaciones, también brinda la oportunidad de limpiar sus bases de datos de marketing y ventas, no sólo actualizando los datos personales, sino también asegurándose de que ahora esté lleno de personas que aún están activas y que aún están interesadas en sus productos o servicios. También trae consigo la oportunidad para que las organizaciones analicen cómo recopilan y procesan los datos con nuevos ojos; identificando nuevas vías para el crecimiento del marketing y las ventas que nunca antes existieron, o que simplemente se pasaron por alto. Pero al igual que con cualquier nueva regulación, tendremos que esperar hasta que se aplique y se establezca una nueva jurisprudencia para determinar cualquier impacto material real en las organizaciones y las personas; y si esto cambiará con el tiempo.

Cómo minimizar el impacto del GDPR en su negocio

Hay un proverbio africano que es particularmente apto para el GDPR y su negocio: La mejor manera de comer el elefante que está en tu camino es cortarlo en pedacitos.

Y la mejor manera de minimizar el impacto del Reglamento General de Protección de Datos en su negocio, es romper los requisitos de cumplimiento en tareas más pequeñas.

La Agencia Española de Protección de datos ha creado herramienta de ayuda FACILITA RGPD, para prepararse para el Reglamento General de Protección de Datos.

Dándose cuenta

El primer paso es bastante obvio e implica garantizar que todos los empleados y contratistas relevantes conozcan el GDPR y lo que se requiere de ellos y de la organización para cumplir la directiva.

Hacerse responsable

La responsabilidad comienza con una auditoría de datos completa, y dependiendo del tamaño de su organización y la cantidad de datos personales que pose; una auditoría de datos será una de las tareas más importantes que debe realizar antes de la aplicación del GDPR. También es una de las tareas más importantes.

Su auditoría de datos debería llevarle a compilar un inventario completo de todos los datos personales que posee y responder a las siguientes preguntas en relación con cada registro:

• ¿Cómo recolectó los datos personales? ¿Te lo dio el individuo y, de ser así, cómo? ¿O fue recolectado por otros medios?
• ¿Por qué recopiló originalmente los datos personales? ¿Cuál fue el propósito original? ¿Fue a través de un registro en el boletín informativo, una solicitud de más información sobre un producto / servicio específico, a través del individuo que crea una cuenta en línea (ya sea para comprar en línea o para algún otro propósito)?
• ¿Por qué todavía procesas los datos y durante cuánto tiempo más continuarás procesándolos? Si ya no tiene un motivo legítimo para el procesamiento, no debe retener los datos.
• ¿Los datos están seguros? Esto se aplica tanto a la encriptación, como a la que sólo pueden acceder las personas que entienden los requisitos del GDPR para el procesamiento de datos.
• ¿Alguna vez se ha compartido la información con terceros? De ser así, ¿tiene evidencia en el expediente de que cumple con el GDPR? ¿ Y sabe el individuo que sus datos han sido compartidos, con quién y con qué fines?

El GDPR no sólo requiere que las organizaciones puedan demostrar las formas en que cumplen con los requisitos de procesamiento de datos; en muchos casos requiere documentación para respaldar esto.

Comunicación con clientes, personal y usuarios de servicios

El cumplimiento del GDPR también dependerá de que su organización actualice todos los avisos de privacidad, o que agregue avisos de privacidad si aún no están vigentes. Al considerar o actualizar los avisos de privacidad, es importante hacer una evaluación adecuada de cómo se recopilan los datos reconociendo que, además de las formas tradicionales de recopilación de datos, ahora también podría ser cualquiera, o una combinación, de lo siguiente:

• observado, mediante el seguimiento de personas en línea o mediante dispositivos inteligentes;
• derivado de la combinación de otros conjuntos de datos; o
• inferido mediante el uso de algoritmos para analizar una variedad de datos, como redes sociales, datos de ubicación y registros de compras, con el fin de perfilar a las personas, por ejemplo, en términos de riesgo de crédito, estado de salud o idoneidad para un trabajo.

Los avisos de privacidad deben ser concisos, escritos en lenguaje sencillo y de fácil acceso. El GDPR también espera que las organizaciones incluyan información específica en los avisos de privacidad, con ligeras variaciones dependiendo de si los datos se recopilan directamente de individuos o no.

Derechos de privacidad personal

Vuelva a evaluar todos sus procedimientos relacionados con la recopilación y el procesamiento de datos personales, para asegurarse de que cumple todos los derechos individuales arraigados por el GDPR. Considere lo siguiente:

• ¿Quién en su organización tomará decisiones relacionadas con las solicitudes de borrado? El derecho a borrarse no es absoluto, y en circunstancias muy específicas, las organizaciones pueden negarse a cumplir.
• ¿Cuánto tiempo demorará su organización en responder a las solicitudes individuales de copias de su información personal, correcciones y / o eliminación?
• ¿Cómo se asegurará de que las correcciones y / o eliminaciones se actualicen en todas las ubicaciones y con terceros cuando corresponda?
• ¿Podrá cumplir con las disposiciones relacionadas con el acceso y las solicitudes de portabilidad de datos? Específicamente, la capacidad de proporcionar datos de forma electrónica y en formatos comúnmente utilizados.

¿Cambiarán las solicitudes de acceso?

El GDPR requiere que las solicitudes de acceso sean procesadas y respondidas sin demora, y al menos dentro del mes posterior a la solicitud. Las solicitudes no sólo se realizarán para copias de los datos personales retenidos; sino también para obtener información adicional, como confirmación de que sus datos se están procesando, junto con información complementaria similar a la que deben cubrir sus políticas de privacidad: cómo son los datos que se recopilan, con qué fines, si se comparte con cualquier persona, etc. Además de esto, también se ocupará de solicitudes de eliminación y solicitudes para corregir información personal. Revise sus procesos actuales para ver si son suficientes en términos de procesos internos y en términos de cumplir con el GDPR.

¿Qué significan las bases legales para el procesamiento?

Si bien el GDPR pone un gran énfasis en el consentimiento individual, sí permite el procesamiento de datos sin consentimiento, en circunstancias especiales. Revise todas las formas en que recopila y procesa información personal para establecer cuáles son las bases legales. Esto es necesario tanto para sus políticas de privacidad como para confirmar si se requiere o no consentimiento.

Uso del consentimiento del cliente como base para procesar datos

El GDPR espera que el consentimiento sea 'libremente dado, específico, informado y no ambiguo'. Las personas deben ser conscientes de que están dando su consentimiento, exactamente qué están consintiendo, y no se puede forzar como una condición de venta o servicio. Revise todas las formas en que recopila y procesa datos, y que requieren consentimiento. Concentrarse en lo siguiente:

• Mantenga las solicitudes de consentimiento separadas de sus términos y condiciones. Actualice sus términos y condiciones para eliminar cualquier mención de consentimiento como condición de venta o servicio.
• Si el consentimiento se da por medio de individuos que marcan un casillero, ya sea en forma impresa o en línea; asegúrese de que no estén marcados por defecto.
• Asegúrese de que sus CRM y bases de datos estén equipados para incluir un registro de consentimiento. Esto debe registrar específicamente quién dio su consentimiento, cuándo lo consintió (datos y tiempo), cómo lo consintió y qué le dijeron.
• Si recopila datos a través de formularios en línea, considere usar servicios, que permiten la confirmación doble de suscripción y registrar la fecha y hora de cada envío.
• Asegúrese de que sus sistemas también faciliten a las personas retirar su consentimiento.

Al mismo tiempo, es necesario revisar todo el consentimiento existente antes de la aplicación de GDPR, para garantizar que cumple con el estándar requerido.

Procesando datos de niños

Si recopila y procesa los datos de niños menores de 16 años, es posible que deba revisar sus sistemas actuales, para introducir medidas para verificar la edad de las personas y para obtener el consentimiento de los padres o tutores para el procesamiento.

Informes de Incumplimiento

Verifique y / o implemente los procedimientos adecuados para detectar, investigar y denunciar infracciones de datos. Según el GDPR, las organizaciones deben informar ciertos tipos de violaciones de datos a la autoridad de supervisión pertinente dentro de las 72 horas. Además de esto, algunas infracciones también requieren que las personas afectadas sean notificadas. El incumplimiento puede dar lugar a graves multas impuestas a las organizaciones.

Evaluaciones de impacto de protección de datos (IPD) y protección de datos por diseño y por defecto

Si bien éstos siempre han sido una buena práctica en términos de procesamiento de datos, el GDPR ahora hace de la protección de datos por diseño y por defecto un requisito, con IPD obligatorio para cualquier organización involucrada en el procesamiento de datos de alto riesgo. Además de sus políticas de privacidad, también debe observar lo siguiente:

• El uso de encriptación de datos, seudonimización y / o anonimización.
• El intercambio de datos. Mire qué se comparte, cuál es el propósito del intercambio y con quién se comparte. ¿Los datos se comparten de forma segura y la organización con la que se comparte también cumple totalmente con los requisitos del GDPR?

Oficiales de Protección de Datos

No todas las organizaciones deberán nombrar oficiales de protección de datos, pero debe familiarizarse con estos requisitos y responder según corresponda.

Organizaciones internacionales y el GDPR

El GDPR se aplica a todas las empresas y organizaciones que recopilan y procesan los datos personales de las personas que residen en cualquier estado miembro de la UE, incluso si la empresa u organización no tiene presencia física en toda la UE. Cada estado miembro de la UE tiene su propia Autoridad de Protección de Datos; pero las organizaciones internacionales pueden trabajar con una sola Autoridad de Supervisión Principal (LSA) cuando se trata de protección de datos y otros elementos del GDPR.

"El contenido de está página es una traducción del artículo "The Ultimate GDPR Guide for Marketers and Businesses" publicado por Nabeena Mali en AppInstitute el 13 diciembre 2017. Damos las gracias a Nabeena Malik por su colaboración y por el interés mostrado en compartir este artículo sobre esta directiva europea con nuestros subscriptores."