El Reglamento europeo de Protección de Datos ya está aquí.

Y todos estamos un poco preocupados.

Pero las empresas dedicadas al marketing y publicidad aún más.

Porque ahora cambiarán mucho las cosas y, a la hora de enviar comunicaciones comerciales, debes asegurarte de hacerlo correctamente.

Para ayudarte con la adaptación de tu empresa de publicidad a la normativa de protección de datos, aquí tienes todos los pasos a seguir.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en publicidad son:

Novedades del RGPD en marketing

En tu empresa de publicidad y márketing debes realizar las siguientes actuaciones para adaptarte al RGPD:

  1. Consentimiento de clientes
  2. Contratos con terceros
  3. Contratos con empleados
  4. Delegado de Protección de Datos
  5. Nuevos derechos para los usuarios
  6. Registro de actividades de tratamiento
  7. Evaluación de Impacto en Protección de Datos
  8. Textos legales en la página web
  9. Análisis de riesgos

1. Consentimiento de clientes

Esto es muy importante.

¡Ojo!

Además de actualizar la política de privacidad, en la empresa de márketing debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la empresa

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

2. Contratos con terceros

El sector publicitario se relaciona constantemente con terceros que también disponen de algunos de los datos de los usuarios.

¿Tienes una gestoría que lleva los temas fiscales y laborales de la empresa?

¿Una empresa informática que realiza el mantenimiento de los equipos y la página web?

Entonces cedes datos de tus clientes o empleados a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Contratos con empleados

¿Tienes trabajadores?

Entonces esto te interesa.

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una empresa de publicidad, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Delegado de Protección de Datos

El RGPD también introduce la figura del Delegado de Protección de Datos.

¿Y ese quién es?

Se constituye como garante del cumplimiento de la normativa de protección de datos dentro de la propia entidad u organización. Esta figura podrá ser interna o externa, pero deberá cumplir con los requisitos de capacidad profesional necesarios. Entre otras funciones, el DPO se encargará de intermediar entre el responsable del tratamiento y los afectados, así como representarle ante las Autoridades de Control.

ejemplos proteccion de datos

Todos aquellos responsables que realicen análisis de perfiles, filmaciones a gran escala de lugares públicos o traten categorías de datos especiales a gran escala, entre otros, estarán obligados a designar un DPO en su organización.

5. Nuevos derechos para los usuarios

Esta nueva normativa establece una mayor protección para los usuarios proporcionándoles una serie de derechos:

Derecho de oposición

Los clientes tienen derecho a elegir cómo puede ser utilizada la información que facilitan.

Las empresas de márketing usan los datos de sus clientes para todo tipo de fines:

  • para definir la estrategia de marketing
  • suscribirlos a boletines de noticias
  • para diseñar perfiles destinados a ciertos grupos demográficos

Hasta ahora las empresas no estaban obligadas a comunicar a sus clientes la manera en que utilizaban sus datos.

Con el nuevo RGPD, facilitar esta información se convierte en un trámite necesario.

Derecho al olvido

Hasta ahora, las empresas se habían centrado en obtener la información de los clientes sin tener muy en cuenta cómo eliminarla a petición del interesado.

Las nuevas directrices del RGPD establecen que los clientes puedan decidir si desean que su información personal sea completamente eliminada del sistema de la empresa.

Y debes responder a la solicitud en un máximo de 30 días. Esto significa que tendrás que adaptar tu entidad para especificar qué clientes quieren ejercitar su derecho al olvido.

Derecho de rectificación

Esta normativa establece que los datos introducidos puedan ser modificados o corregidos.

Los clientes pueden solicitarte que les confirmes que los datos facilitados son completos y exactos, así como pedir aquellos cambios que sean necesarios. Este cambio también supondrá que necesitas incorporar procesos para notificar a los clientes la modificación de su información.

Derecho a la portabilidad

Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde tu entidad, siempre que técnicamente sea posible.

Facilita que los usuarios puedan cambiar de un proveedor de servicios a otro. Sin tener que solicitar sus datos y posteriormente entregarlos al nuevo operador. Se reducen los trámites y se agilizan, ya que el usuario simplemente debe pedir la portabilidad.

6. Registro de actividades de tratamiento

Con la entrada en vigor del nuevo RGPD se establece la obligación para las empresas de márketing o publicidad de llevar un registro de actividades de tratamiento.

Este registro, que puede almacenarse en papel o en formato digital, debe contener la siguiente información:

  • Nombre y datos de contacto del responsable y del delegado de Protección de Datos,
  • fines del tratamiento,
  • descripción de las categorías de interesados y de datos personales,
  • categorías de destinatarios a quienes comunicarás los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales,
  • si vas a realizar transferencias de datos personales a un tercer país o una organización internacional, identificando al mismo, e incluyendo la documentación sobre garantías adecuadas para determinados casos,
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos y
  • descripción general de las medidas técnicas y organizativas de seguridad que apliques para garantizar la integridad y confidencialidad.

7. Evaluación de impacto

Aquí viene lo más complicado.

No pierdas detalle.

Esta nueva herramienta prevista por la normativa europea supone que en tu empresa de márketing debes evaluar con carácter previo los riesgos a los que pueden verse sometidos los datos personales según los tratamientos que pretendas realizar.

Debes elaborar estos informes cuando las operaciones de tratamiento supongan riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.

¿Qué tratamientos son esos?

Entre otros,

  • el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses
  • la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales
  • cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales

Deberás evaluar los riesgos de manera proactiva y regular.

Y realizar cambios estructurales para evitarlos o reducirlos además de disponer de un plan de contingencias adecuado.

Entonces, ¿tengo o no tengo que hacerla?

En tu empresa de publicidad y márketing debes realizar una Evaluación de impacto ya que te dedicas a la elaboración de perfiles de clientes.

Toda persona tiene derecho a que no se haga un perfil que cause efectos legales o que le afecte de manera significativa. Solo podrás elaborar perfiles si existe un contrato y proteges los intereses legítimos de la persona o ha dado su consentimiento expreso.

8. Página web

Si tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la empresa de publicidad y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

9. Análisis de riesgos

En la empresa debes también realizar análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • financieros
    • sensibles …
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

10. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que seas víctima de un ciberataque o infracción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿En qué casos puedo enviar comunicaciones comerciales?

Sólo cuando tengas el consentimiento expreso de los clientes para ello.

Se permiten este tipo de emails, cuando:

  • La comunicación comercial vaya destinada a una empresa o persona física que sea cliente, esto es, haya existido una relación contractual con la misma.
  • La comunicación comercial, aun cuando no vaya destinada a un cliente, haya sido solicitada o expresamente autorizada por el mismo.

¿Qué requisitos deben cumplir los correos publicitarios?

Los correos electrónicos comerciales deben cumplir las siguientes normas:

  • indicar de forma clara la finalidad del mensaje,
  • ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines promocionales de forma gratuita y sencilla y
  • proveer a los receptores de una dirección de correo electrónico válida para poder revocar en cualquier momento el consentimiento otorgado.

¿Cuánto tiempo puedo conservar los datos de mis clientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En el marketing y la publicidad se trata con una gran cantidad de documento que pueden contener datos personales o de empresas. Todos esos documentos se almacenaban indefinidamente. Sin embargo, con la nueva ley, será necesario que la empresa determine un tiempo máximo de almacenamiento de los datos y se asegure de la destrucción confidencial de documentos.

Con carácter general el plazo máximo de conservación de los datos es de 5 años.

¿Puedo comprar bases de datos para hacer mailing?

Definitivamente, la respuesta es no.

Cuando eres una empresa y realizas email marketing (una técnica muy útil para informar a tus clientes de nuevos artículos, ofertas o promociones y promover la fidelidad), es necesario contar con una base de datos amplia para obtener los resultados esperados. Sin embargo, para poder hacer estos envíos a tus clientes o a tu público potencial, debes de tener primero su consentimiento expreso. Esta es la principal diferencia entre el email marketing (legal) y el spam (ilegal y sancionable).

¿Puedo comunicarme con mis clientes a través de WhatsApp?

No puedes hacerlo si no tienes el consentimiento expreso de los clientes para ello.

Con el RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social de forma clara para que el usuario consienta dicho traspaso de información.

¿Puedo seguir enviando campañas de marketing a mi lista de contactos actual?

, pero necesitas renovar el consentimiento de esos contactos.

El Reglamento General de Protección de Datos no se aplica solo a la información recopilada a partir del 25 de mayo de 2018, también a los datos recogidos con anterioridad. El registro de consentimiento de tus listas de contactos actuales, ¿prueba que tienes autorización clara para enviar campañas de email marketing para cada uno de los contactos? Cualquier registro ambiguo implicará la necesidad de obtener un nuevo permiso expreso por parte de tus antiguos contactos, para poder enviarles correctamente comunicaciones de email marketing.

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de publicidad.

Sanciones

Por último, la parte más escabrosa.

Pero, ¡cuidado!

No es ninguna broma.

El nuevo Reglamento General de Protección de Datos tendrá un impacto significativo en la publicidad digital, transformando la forma de recoger y tratar los datos.

El marketing no existiría sin los datos personales. Las compañías necesitan la información de los usuarios para poder seguir vendiendo productos y servicios. Por tanto, la recogida de datos personales es el objetivo principal de la mayoría de las campañas de marketing a nivel global.

Cada día recibimos correos y llamadas de empresas que, muchas veces, no sabemos quiénes son ni cuándo dimos nuestro correo o teléfono. Esto puede llegar a ser muy normal, tanto que nos llegamos a habituar a ello. Y, aunque nos quejamos una y otra vez, las comunicaciones no cesan.

El RGPD establece que cualquier empresa sólo podrá utilizar los datos de una persona si tiene un permiso explícito. De lo contrario, estará cometiendo una infracción grave y será multada por tal acción.

Y después de esto, ¿me cuentas tus estrategias para proteger los datos personales que manejas en tus campañas publicitarias y cómo informas a los usuarios? ¿Qué consideras fundamental para cumplir el RGPD?

Espero tus comentarios

¿Necesitas cumplir la LOPD?

Publicidad y Protección de Datos. Guía para cumplir el RGPD
4.7 (93.33%) 18 votos