El Reglamento europeo de Protección de Datos ya está aquí. Y todos estamos un poco preocupados.

Pero las empresas dedicadas al marketing y publicidad aún más. Porque ahora cambiarán mucho las cosas y, a la hora de enviar comunicaciones comerciales, debemos asegurarnos de que lo estamos haciendo correctamente.

Para ayudarte a sacar el máximo provecho de tus envíos comerciales, he elaborado una lista con las mejores “prácticas” que harán que tu colección de potenciales clientes se mantenga saneada y en constante crecimiento.

Novedades del RGPD en marketing

  1. Ámbito de aplicación
  2. Elaboración de perfiles
  3. Delegado de Protección de Datos
  4. Nuevos derechos para los usuarios
  5. Registro de actividades de tratamiento
  6. Evaluación de Impacto en Protección de Datos

Ámbito de aplicación

Con esta nueva normativa se amplían los datos considerados como personales. Se incluyen los identificadores únicos como las cookies, dirección IP y otros identificadores.

Elaboración de perfiles

Toda persona tiene derecho a que no se haga un perfil que cause efectos legales o que le afecte de manera significativa. Solo se podrán elaborar perfiles si existe un contrato y se protegen los intereses legítimos de la persona o ha dado su consentimiento expreso.

Delegado de Protección de Datos

El RGPD también introduce la figura del Delegado de Protección de Datos. Se constituye como garante del cumplimiento de la normativa de protección de datos dentro de la propia entidad u organización. Esta figura podrá ser interna o externa, pero deberá cumplir con los requisitos de capacidad profesional necesarios. Entre otras funciones, el DPO se encargará de intermediar entre el responsable del tratamiento y los afectados, así como representarle ante las Autoridades de Control.

ejemplos proteccion de datos

Todos aquellos responsables que realicen análisis de perfiles, filmaciones a gran escala de lugares públicos o traten categorías de datos especiales a gran escala, entre otros, estarán obligados a designar un DPO en su organización.

Nuevos derechos para los usuarios

Esta nueva normativa establece una mayor protección para los usuarios proporcionándoles una serie de derechos:

Derecho de oposición

Los clientes tienen derecho a elegir cómo puede ser utilizada la información que facilitan. Las empresas usan los datos de sus clientes para todo tipo de fines:

  • para definir la estrategia de marketing
  • suscribirlos a boletines de noticias
  • para diseñar perfiles destinados a ciertos grupos demográficos

Hasta ahora las empresas no estaban obligadas a comunicar a sus clientes la manera en que utilizaban sus datos. Con el nuevo RGPD, facilitar esta información se convierte en un trámite necesario.

Derecho al olvido

Hasta ahora, las empresas se habían centrado en obtener la información de los clientes sin tener muy en cuenta cómo eliminarla a petición del interesado. Las nuevas directrices del RGPD establecen que los clientes puedan decidir si desean que su información personal sea completamente eliminada del sistema de la empresa, y responder a la solicitud en un máximo de 30 días. Esto significa que tendrás que adaptar tu entidad para especificar qué clientes quieren ejercitar su derecho al olvido.

Derecho de rectificación

Esta normativa establece que los datos introducidos puedan ser modificados o corregidos. Los clientes pueden solicitar a las empresas que les confirmen que los datos facilitados son completos y exactos, así como pedir aquellos cambios que sean necesarios. Este cambio también supondrá incorporar procesos para notificar a los clientes la modificación de su información. Solo así podrán ambos, cliente y empresa, permanecer al tanto de quién y cómo maneja la información.

Derecho a la portabilidad

Este nuevo reglamento permite a los clientes recibir y transmitir sus datos personales de un responsable a otro, simplificando los trámites y aumentando la comodidad de los usuarios.

Protección de menores

El RGPD prohíbe recoger datos de menores. Por tanto, los menores de 14 años necesitan el consentimiento de sus padres o tutores para facilitar sus datos personales.

Registro de actividades de tratamiento

Con la entrada en vigor del nuevo RGPD se establece la obligación para las empresas de márketing o publicidad de llevar un registro de actividades de tratamiento. Este registro, que puede almacenarse en papel o en formato digital, debe contener la siguiente información:

  • El nombre y los datos de contacto del responsable y del delegado de Protección de Datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de datos personales.
  • Las categorías de destinatarios a quienes se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Si se van a realizar transferencias de datos personales a un tercer país o una organización internacional, identificando al mismo, e incluyendo la documentación sobre garantías adecuadas para determinados casos.
  • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad.

Evaluación de impacto

Esta nueva herramienta prevista por la normativa europea permite a las empresas de márketing evaluar con carácter previo los riesgos a los que pueden verse sometidos los datos personales según los tratamientos que pretendan realizar.

Se exige elaborar estos informes cuando las operaciones de tratamiento supongan riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Entre otros,

  • el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses
  • la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales
  • cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales

Las empresas deberán evaluar sus riesgos de manera proactiva y regular. Y realizar cambios estructurales para evitarlos o reducirlos además de disponer de un plan de contingencias adecuado. Estos informes evitarán pérdidas para las organizaciones y mejorarán la protección del negocio a través de la detección temprana de amenazas y vulnerabilidades.

Claves para cumplir el RGPD

El nuevo Reglamento General de Protección de Datos tendrá un impacto significativo en la publicidad digital, transformando la forma de recoger y tratar los datos.

El marketing no existiría sin los datos personales. Las compañías necesitan la información de los usuarios para poder seguir vendiendo productos y servicios. Por tanto, la recogida de datos personales es el objetivo principal de la mayoría de las campañas de marketing a nivel global.

Cada día recibimos correos y llamadas de empresas que, muchas veces, no sabemos quiénes son ni cuándo dimos nuestro correo o teléfono. Esto puede llegar a ser muy normal, tanto que nos llegamos a habituar a ello. Y, aunque nos quejamos una y otra vez, las comunicaciones no cesan.

El RGPD establece que cualquier empresa sólo podrá utilizar los datos de una persona si tiene un permiso explícito. De lo contrario, estará cometiendo una infracción grave y será multada por tal acción.

Política de privacidad

Todas las entidades o agencias de publicidad deben diseñar una política de privacidad en la que se especifique claramente cómo recoge, almacena, transfiere y procesa los datos de las personas.

Esa política garantizará que los usuarios disponen de información suficiente y adecuada para poder acceder a sus datos. También para revisar su uso propuesto y realizar cambios o anular un consentimiento. Y para conocer con exactitud qué información tiene sobre ellos una marca, con quién la comparte y con qué finalidad se usa.

De esta forma, el RGPD considera las cookies como datos personales ya que, mediante las mismas, puede identificarse directa o indirectamente un perfil de usuario con fines comerciales.

Por otro lado, el Reglamento e-Privacy (que está a punto de aprobarse) exige un consentimiento de cookies por parte de cada usuario para plataformas de terceros. Es el caso de Google Analytics, por ejemplo, que las usan para analizar el número de visitantes, publicaciones, visitas de página, comentarios y seguidores con el propósito de mejorar futuras campañas de marketing.

Obtener consentimiento expreso

El nuevo Reglamento admite diversas formas de tratar los datos personales. Está incluida:

  • La legitimación a través de un contrato
  • El tratamiento para la satisfacción de un interés vital del afectado
  • También se pueden tratar datos con el consentimiento “inequívoco” del usuario
  • Cuando exista “interés legitimo” para el tratamiento (prevención del fraude, el marketing directo se consideran intereses legítimos).

Para poder tratar datos sensibles o elaborar decisiones automatizadas basadas en la creación de perfiles será preciso el consentimiento expreso.

En esta nueva normativa se exige que las cookies sólo se activen cuando un usuario acceda a un sitio web y otorgue su consentimiento con una acción afirmativa (opt-in). Ya no será suficiente con que en la primera visita a una web se muestre un mensaje del tipo “Al usar este sitio, acepta cookies”, del que se deduce un consentimiento implícito (opt-out). Parece ser que la acción afirmativa por parte del usuario será permitir la instalación de cookies al configurar su navegador.

ejemplos proteccion de datos

Además, cuando las actividades de procesamiento de las cookies tengan diferentes finalidades, el usuario deberá dar su consentimiento para cada uno de esos fines. Las mejores prácticas consistirían en que cada página web enumere todas las cookies que utiliza en su sección de Política de Cookies.

Permitir la eliminación

Debe ser igual de sencillo para el usuario tanto otorgar el consentimiento como anularlo en el uso de las cookies. Por eso, la opción debe estar visible y accesible en todo momento.

Concentrar la información

Es necesario agrupar la información que contenga datos personales en un único soporte que incluya el registro de consentimiento. De esta forma se evitan errores que podrían existir si los datos personales de los usuarios están en lugares distintos.

Aquí es donde debe realizarse un registro de actividades del tratamiento para así actualizar la información recopilada a través de Internet y de obtener nuevas autorizaciones implementando formularios ya adaptados al RGPD.

Cumplir el principio de Responsabilidad proactiva

El cumplimiento del principio de responsabilidad proactiva o accountability supone adoptar las medidas técnicas y organizativas necesarias para proteger los datos. Esto supone un enfoque proactivo en lugar de reactivo ante brechas de seguridad que puedan producirse.

Adoptar una estrategia basada en el cliente

Se debe guiar la actividad hacia una verdadera estrategia de customer centric adaptada a los clientes potenciales. Por ejemplo, se pueden ofrecer cookies a cambio de contenidos o servicios. Diferentes estudios demuestran que los usuarios están dispuestos a facilitar sus datos a cambio de una experiencia mejorada.

Eliminar datos innecesarios

Según el principio de minimización de los datos, las empresas deberán prescindir de recopilar aquella información que no vayan a usar. Deben limitarse a recoger solamente los datos necesarios para las finalidades que justifican su tratamiento. Además, esto dará lugar a un aumento de confianza por parte de los usuarios, y un ahorro logístico para las compañías. A menor volumen de datos, menor cantidad de recursos a invertir para evitar que estos se queden obsoletos.

Y después de esto, ¿me cuentas tus estrategias para proteger los datos personales que manejas en tus campañas publicitarias y cómo informas a los usuarios? ¿Qué consideras fundamental para cumplir el RGPD?

Espero tus comentarios

¿Necesitas cumplir la LOPD?

Publicidad y Protección de Datos. Guía para cumplir el RGPD
4.7 (94.67%) 15 votos