El GDPR – Reglamento General de Protecci\u00f3n de Datos entrar\u00e1 en vigor el 25 de mayo de 2018. Todav\u00eda faltan unos meses, pero es bueno que te enteres ahora mismo de c\u00f3mo te afectar\u00e1 el reglamento a ti y a tu negocio. Sobre todo si env\u00edas alg\u00fan tipo de correo electr\u00f3nico comercial. Es posible que ya hayas le\u00eddo algunos art\u00edculos que resumen el GDPR, pero si todav\u00eda no sabes c\u00f3mo te afectar\u00e1 realmente en la pr\u00e1ctica y qu\u00e9 hacer para cumplir con el GDPR, echa un vistazo a este post.<\/p>\n
Descargo de responsabilidad: Debe tratar este post como una gu\u00eda que le ayudar\u00e1 a entender los principios del GDPR. Por favor, no lo trate como un consejo legal. Si est\u00e1 buscando asesoramiento legal, p\u00f3ngase en contacto con un abogado despu\u00e9s de leer este post y p\u00eddale consejo y respuestas a preguntas espec\u00edficas sobre su caso.<\/p>\n
Descargue la lista de comprobaci\u00f3n del cumplimiento del GDPR >><\/a><\/p>\n Es una normativa legal emitida por la UE. M\u00e1s concretamente por el Consejo de la Uni\u00f3n Europea y el Parlamento Europeo. Su objetivo principal es una mejor protecci\u00f3n de los datos personales.<\/p>\n As\u00ed que no se trata de correos electr\u00f3nicos, ni de SPAM. Se trata de la protecci\u00f3n de los datos personales. Pero como el env\u00edo de correos electr\u00f3nicos no ser\u00eda posible sin el tratamiento de datos personales (direcciones de correo electr\u00f3nico), naturalmente afectar\u00e1 a los remitentes de correos electr\u00f3nicos comerciales.<\/p>\n El Consejo de la Uni\u00f3n Europea dise\u00f1\u00f3 el GDPR para proteger los datos personales de las personas f\u00edsicas que son ciudadanos de la Uni\u00f3n Europea.<\/p>\n Esto significa que ser\u00e1 vinculante para usted<\/p>\n como persona (para protegerle):<\/p>\n si es usted ciudadano de la Uni\u00f3n Europea,<\/p>\n como empresa:<\/p>\n si sus clientes son ciudadanos de la Uni\u00f3n Europea, o<\/p>\n si sus suscriptores de correo electr\u00f3nico son ciudadanos de la Uni\u00f3n Europea, o<\/p>\n si sus potenciales receptores de correo electr\u00f3nico en fr\u00edo son ciudadanos de la UE, o<\/p>\n si, en cualquier parte de su negocio, maneja cualquier tipo de datos personales de ciudadanos de la UE.<\/p>\n Un dato personal que permite identificar a una persona concreta. Esa es la definici\u00f3n m\u00e1s breve y pr\u00e1ctica. \u00bfEs entonces la direcci\u00f3n de correo electr\u00f3nico un dato personal?<\/p>\n Seg\u00fan esta definici\u00f3n:<\/p>\n info@company.com<\/strong> – no es un dato personal, ya que no est\u00e1 asignado a una persona concreta de una empresa.\u00a0No implica qui\u00e9n es el propietario de la direcci\u00f3n. Apunta a una empresa, no a una persona.<\/p>\n john@company.com<\/strong> – es un dato personal, ya que se asigna a una persona concreta de una empresa. S\u00ed implica qui\u00e9n es el propietario de la direcci\u00f3n, o al menos da suficiente informaci\u00f3n para identificar a una persona concreta de una empresa.<\/p>\n john.smith@gmail.com<\/strong> – es un dato personal, ya que se asigna a una persona concreta.<\/p>\n Tanto si trabajas en un \u00e1mbito B2B como B2C, probablemente administres o proceses alg\u00fan tipo de datos personales. Lo m\u00e1s probable es que sean los datos de tus clientes, tus prospectos, tus usuarios, los suscriptores de tu lista de correo electr\u00f3nico o tus empleados.<\/p>\n Recuerde que el GDPR no trata de regular el env\u00edo de correos electr\u00f3nicos. Se trata de regular las formas de administrar y procesar los datos personales de los ciudadanos de la UE en general. La direcci\u00f3n de correo electr\u00f3nico es s\u00f3lo un ejemplo. En varios contextos, datos como los n\u00fameros de tel\u00e9fono, las direcciones, los n\u00fameros de identificaci\u00f3n, etc., pueden tratarse tambi\u00e9n como datos personales.<\/p>\n No, no lo es. Es una reforma que se supone que aclara, especifica y mejora la legislaci\u00f3n de la UE en materia de protecci\u00f3n de datos personales. La mayor\u00eda de los principios del RGPD ya estaban expresados en algunas normas legales anteriores. S\u00f3lo algunos de los principios son nuevos. Todos los principios mencionados en el GDPR se describen, con algunos ejemplos pr\u00e1cticos, en las siguientes secciones de este art\u00edculo.<\/p>\n Seg\u00fan el Eurobar\u00f3metro, el 75% de los ciudadanos de la UE encuestados declararon que quieren ejercer su llamado “derecho al olvido” (m\u00e1s detalles a continuaci\u00f3n). El 90% de los encuestados cree que es necesario normalizar los derechos relativos a la protecci\u00f3n de datos personales (fuente<\/a>).<\/p>\n En resumen, la protecci\u00f3n de datos realmente importa a los ciudadanos de la UE. Especialmente a la luz de la revoluci\u00f3n tecnol\u00f3gica que ha llevado al intercambio de enormes cantidades de datos en l\u00ednea.<\/p>\n Dado que existe una necesidad tan acuciante de poner en orden la legislaci\u00f3n y establecer claramente lo que est\u00e1 bien y lo que no cuando se trata de procesar datos personales, el Consejo de la Uni\u00f3n Europea se tom\u00f3 el asunto muy en serio. En el GDPR han reformado los \u00f3rganos de control, y ahora los \u00f3rganos tendr\u00e1n un poder real (y la motivaci\u00f3n de las comisiones $$$) para poner serias multas<\/a> a las empresas que ignoren obstinadamente los principios del GDPR.<\/p>\n En definitiva, los datos personales tienen un gran valor. Si pones en riesgo la seguridad de los datos personales que procesas, o si ignoras los derechos de los propietarios de los datos, puedes pagar por tu irresponsabilidad. Literalmente.<\/p>\n Pero no te preocupes. Si respetas los datos personales de tus clientes\/prospectos\/suscriptores y sus deseos respecto al tratamiento de los datos, todo ir\u00e1 bien. Juega limpio, ap\u00e9gate a las normas y estar\u00e1s a salvo de problemas innecesarios.<\/p>\n Ah, una cosa importante que debes saber: No escribir\u00eda este post si solo fuera mi “pienso tal o cual cosa sobre el GDPR”.<\/p>\n Toda la informaci\u00f3n que leer\u00e1s aqu\u00ed ha sido preparada para m\u00ed por nuestra Jefa de Atenci\u00f3n al Cliente – Margaret Sikora, que tambi\u00e9n es abogada (LL.M en Derecho Internacional y Europeo). Ha le\u00eddo la versi\u00f3n original del Reglamento General de Protecci\u00f3n de Datos<\/a> de principio a fin, y lo que es m\u00e1s importante, lo ha entendido de verdad… ya que habla como una abogada.<\/p>\n Tambi\u00e9n ley\u00f3 un par de libros m\u00e1s para abogados dedicados al tema, y asisti\u00f3 a algunas sesiones de formaci\u00f3n jur\u00eddica centradas exclusivamente en el RGPD. Todo eso la ayud\u00f3 a preparar una presentaci\u00f3n con algunos ejemplos de la vida real para ayudarnos a todos en Woodpecker<\/a> a entender virtualmente de qu\u00e9 se trata el GDPR. S\u00f3lo podemos esperar que seamos capaces de ayudarle a entenderlo tambi\u00e9n, y lo m\u00e1s importante, a cumplirlo.<\/p>\n Descargue la lista de comprobaci\u00f3n del cumplimiento del GDPR >><\/a><\/p>\n 1. Nombrar a un especialista en protecci\u00f3n de datos en su empresa.<\/strong><\/p>\n Hemos nombrado por unanimidad a Margaret como especialista en protecci\u00f3n de datos.<\/p>\n Debe ser una persona que se encargue oficialmente de la protecci\u00f3n de datos en su empresa. Tenga en cuenta que el responsable de la protecci\u00f3n de datos y el especialista en protecci\u00f3n de datos son dos funciones distintas con diferentes conjuntos de competencias y responsabilidades.<\/p>\n Si procesa datos sensibles o existe un alto riesgo al procesar datos personales en su empresa, estar\u00e1 obligado a nombrar o contratar a un delegado de protecci\u00f3n de datos. En el resto de los casos, el nombramiento de un Especialista en Protecci\u00f3n de Datos ser\u00e1 suficiente para ayudarle simplemente a mantener la pol\u00edtica de tratamiento de datos de su empresa coherente y aplicable.<\/p>\n 2. Revise sus condiciones de servicio, su pol\u00edtica de privacidad, etc.<\/strong><\/p>\n Es una buena idea revisar todos los documentos que especifican las formas en que procesas los datos personales en tu empresa. Seg\u00fan el GDPR, todos ellos deben estar escritos en un lenguaje claro y comprensible para cualquiera.<\/p>\n Si tus condiciones o tu pol\u00edtica de privacidad suenan como algo que s\u00f3lo un grupo de abogados podr\u00eda entender, aseg\u00farate de cambiar eso.<\/p>\n Toda persona cuyos datos est\u00e9s procesando, o vayas a procesar en el futuro, deber\u00eda poder encontrar f\u00e1cilmente en esos documentos<\/p>\n la forma en que procesas sus datos personales (qu\u00e9 haces con los datos y qu\u00e9 tipo de datos se procesan);<\/p>\n la lista de servicios de terceros que utiliza para procesar sus datos;<\/p>\n instrucciones claras sobre c\u00f3mo pueden modificar sus datos, o solicitar la eliminaci\u00f3n completa de sus datos de su base de datos\/lista de correo electr\u00f3nico\/base de contactos (de acuerdo con el derecho a ser olvidado).<\/p>\n instrucciones claras sobre c\u00f3mo informarte de una violaci\u00f3n de los principios del GDPR que les haya afectado, sin importar si eres su administrador o procesador de datos.<\/p>\n 3.\u00a0Prepare una evaluaci\u00f3n de riesgos para su empresa<\/strong><\/p>\n … o pida a su delegado de protecci\u00f3n de datos que lo haga.<\/p>\n Es una especie de mapa que le ayudar\u00e1 a mejorar la seguridad de los datos. En la evaluaci\u00f3n de riesgos, debe se\u00f1alar<\/p>\n qu\u00e9 datos procesas,<\/p>\n de qu\u00e9 manera los procesas y por qu\u00e9,<\/p>\n qui\u00e9n puede acceder a ellos,<\/p>\n y cu\u00e1l puede ser el resultado si algo va mal.<\/p>\n Mientras trabajas en la evaluaci\u00f3n de riesgos, no olvides hacerte estas preguntas cruciales:<\/p>\n \u00bfCu\u00e1l es mi papel en el tratamiento de datos: procesador de datos? administrador de datos?<\/p>\n \u00bfDe qu\u00e9 debo informar a mis clientes o posibles clientes?<\/p>\n Probablemente obtenga datos personales de varias fuentes. Recoge las direcciones de correo electr\u00f3nico de las personas que leen su blog o que visitan sus p\u00e1ginas de destino (fuentes entrantes), busca posibles clientes B2B en LinkedIn y otras plataformas<\/a> y elabora listas de contactos para enviarles correos electr\u00f3nicos en fr\u00edo (fuentes salientes).<\/p>\n Independientemente de c\u00f3mo obtenga los datos, usted los recoge, tiene acceso a ellos y los procesa de forma espec\u00edfica. Por lo tanto, usted administra los datos. Esto le convierte en administrador de datos a la luz del GDPR. Esta funci\u00f3n le hace responsable de la finalidad y el alcance del tratamiento de los datos. No puede tratar los datos como si fueran listas aleatorias de direcciones de correo electr\u00f3nico que ha recogido para sus propios fines no especificados.<\/p>\n Las personas que se inscriben en tu lista te han dado permiso para procesar sus datos de forma espec\u00edfica. No puedes utilizar sus datos de ninguna otra manera que la que les prometiste una vez que se inscribieron en tu lista.<\/p>\n \u00bfPero qu\u00e9 pasa si no se han inscrito? Las personas cuyos datos has recopilado t\u00fa mismo deben ser prospectos cuidadosamente seleccionados cuyos sitios web, perfiles sociales, comentarios en diversas plataformas, etc. incluyen se\u00f1ales claras de que realmente podr\u00edan beneficiarse de lo que sea que vayas a ofrecerles en tus correos electr\u00f3nicos fr\u00edos. M\u00e1s informaci\u00f3n al respecto en la secci\u00f3n sobre relevancia, m\u00e1s adelante.<\/p>\n Si su empresa es un SaaS o una plataforma a la que sus usuarios suben cualquier tipo de datos personales, usted se convierte en procesador de datos, ya que no administra los datos usted mismo, sino que permite a los administradores de datos procesar los datos personales que han obtenido para un fin espec\u00edfico.<\/p>\n Como procesador de datos, usted no es responsable del alcance y la finalidad del tratamiento de los datos personales utilizados por los administradores de datos. Sin embargo, si alguien le avisa de que sus usuarios (administradores de datos) han violado algunos de los principios del RGPD, usted est\u00e1 obligado a reaccionar ante dicha violaci\u00f3n.<\/p>\n Es una buena idea preparar a su empresa para tal escenario y describir claramente, en sus T\u00e9rminos de Servicio o Pol\u00edtica de Privacidad, qu\u00e9 acciones va a tomar una vez que se le notifique una violaci\u00f3n del GDPR.<\/p>\n Puedes ser procesador de datos y administrador de datos al mismo tiempo. Por ejemplo, en Woodpecker administramos los datos de los usuarios de Woodpecker y de los suscriptores de las listas de correo electr\u00f3nico. En este sentido, somos un administrador de datos. Por otro lado, no administramos las listas de clientes potenciales cargadas en Woodpecker por nuestros usuarios, s\u00f3lo permitimos el procesamiento de los datos. En este sentido, somos un procesador de datos.<\/p>\n Puede haber algunas obligaciones m\u00e1s asignadas al papel de administrador de datos y procesador de datos espec\u00edficas para su pa\u00eds dentro de la UE. Es una buena idea investigar e informarse sobre esas responsabilidades espec\u00edficas<\/a> de cada pa\u00eds, o buscar el asesoramiento legal de un abogado nativo especializado en protecci\u00f3n de datos personales.<\/p>\n \n\u00bfQu\u00e9 es el GDPR?<\/h3>\n
\u00bfA qui\u00e9n se aplica?<\/h3>\n
\u00bfQu\u00e9 entiende el GDPR por datos personales?<\/h3>\n
\u00bfEs el GDPR un reglamento completamente nuevo?<\/strong><\/h3>\n
\u00bfPor qu\u00e9 es importante?<\/h3>\n
\u00bfC\u00f3mo sabemos todo lo que est\u00e1 escrito en este post?<\/h3>\n
Pasos formales a seguir antes del 25 de mayo<\/h2>\n
Funciones y deberes del administrador de datos y del procesador de datos<\/h2>\n
Administrador de datos<\/h3>\n
Procesador de datos<\/h3>\n