Resumen del RGPD para minoristas en línea

    Resumen-del-RGPD-para-minoristas-en-línea

    A medida que aumenta el número de personas que realizan actividades en línea, la privacidad va cobrando cada vez más importancia. 

    Se producen violaciones de datos. Se roban identidades. Y, hasta hace poco, la legislación apenas protegía a los consumidores.

    Por suerte, esto ha terminado con el RGPD. Este reglamento obliga a las empresas a tomarse en serio la privacidad y el consentimiento de sus consumidores y posibles clientes.

    Ha llegado el momento de echarle un vistazo a algunos artículos de la nueva legislación de la UE.

    Cabe señalar que nada de lo que adjuntamos a continuación puede interpretarse como un asesoramiento jurídico. No somos abogados, ni estamos jugando a serlo en Internet. Pero como hemos investigado un poco el tema, nos apetece compartir algunos detalles que hemos descubierto. Recomendamos encarecidamente buscar asesoramiento jurídico para obtener información sobre detalles concretos, resolver preguntas y conocer en profundidad la aplicación del RGPD.

    Dicho esto y sin más preámbulos, procedemos a contar todo lo que sabemos sobre el RGPD.

    ¿Qué es el RGPD?

    ¿Qué se entiende por «datos personales»?

    Roles en el RGPD

    Actualizaciones del RGPD a las que debes prestar atención

    Artículos confusos del RGPD

    Herramientas de privacidad para el RGPD

    El RGPD está a punto de cambiar tu empresa


    ¿Qué es el RGPD?

    El Reglamento General de Protección de Datos, o RGPD, es la última legislación de privacidad de la Unión Europea (UE). Entró en vigor el 25 de mayo de 2018. Y afecta en enorme medida a toda empresa, independientemente de su tamaño, que lleve a cabo sus negocios dentro de la UE.

    Se ha redactado y aplicado este reglamento para proteger los datos personales de los usuarios. Por lo tanto, todo lo relacionado con el RGPD afecta a los datos personales.

    Derechos-del-interesado

    El RGPD requiere a las empresas:

    • obtener el consentimiento expreso para toda actividad que vaya a llevar a cabo una empresa con los datos personales de un individuo;
    • habilitar la posibilidad de que los usuarios vean qué datos personales se están procesando;
    • ofrecer a los usuarios la posibilidad de borrar toda información personal por completo del sistema de una empresa;
    • En caso de violación de datos personales, el usuario tiene derecho a saber la existencia de la misma en un plazo de unos días. 

    Estas son solo algunas de las cuestiones que abarca el RGPD. La legislación contempla muchos más elementos. A continuación, analizaremos algunos de los aspectos más destacados y áreas importantes para los comercios en línea.

    Volver al principio de la página.


    ¿Qué se entiende por «datos personales»?

    Antes de profundizar en los detalles del RGPD, conviene repasar qué entiende el RGPD por «datos personales». La definición de datos personales puede ser un poco vaga, así que vamos a intentar arrojar algo de luz.

    Por datos personales se entiende cualquier información que pueda utilizarse para identificar personalmente a un individuo. Puede ser una dirección de correo electrónico, dirección IP, nombre, número de teléfono, correo electrónico laboral o incluso una dirección IP comercial. Cabe señalar que estos son solo algunos ejemplos de datos personales.

    Qué-son-los-datos-personales

    Fuente: Iocea

    Lo que queremos decir con esta definición general de datos personales es que los detalles personales y comerciales se consideran datos personales. Esto significa que el RGPD afecta tanto a las grandes marcas como a los negocios más pequeños.

    Volver al principio de la página.

    Roles en el RGPD

    Las empresas y los individuos desempeñan funciones diferentes en el RGPD. A los individuos se les denomina «los interesados». Mientras que las empresas pueden recibir diferentes nombres. Pueden ser responsables del tratamiento de datos, procesadores de datos o ambas cosas a la vez. Incluso cabe la posibilidad de que una empresa sea responsable del tratamiento de ciertos datos y del procesamiento de otros.

    Puede llegar a ser un poco confuso, pero cada uno de estos tres roles está definido de la siguiente manera. 

     

    El interesado

    El RGPD define al «interesado» como: 

    «persona física identificada o identificable».

    El interesado es el individuo. Es decir, la persona a la que el RGPD pretende proteger. Al mencionar los datos personales, se hace referencia al interesado. Se puede identificar al interesado mediante datos personales como la dirección de correo electrónico, nombre y dirección IP.

     

    Responsable del tratamiento de datos

    Otro papel importante es el del responsable del tratamiento de datos. El RGPD define al «responsable del tratamiento» como:

    «La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembro».

    En resumen, el responsable del tratamiento es el que almacena y procesa los datos. Es el dueño de los servidores donde se almacenan los datos, así como de los procedimientos del tratamiento de datos.

    Por lo tanto, tiene una gran responsabilidad con respecto al interesado y sus datos personales.

     

    Encargado del tratamiento de datos

    El tercer rol importante que hay que entender es el del encargado del tratamiento de datos. El RGPD define al «encargado del tratamiento» como:

    «La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

    En resumen, el encargado del tratamiento de datos es como el intermediario. Una situación habitual en la que una empresa desempeña la función de encargado del tratamiento es cuando utiliza un software de terceros. La empresa se encarga de recopilar los datos y luego los almacena con el software de terceros. En este caso, la empresa es la encargada del tratamiento y el software de terceros el responsable del tratamiento de datos.

    Es importante distinguir estos tres roles. Pero la distinción más importante es entre el responsable y el encargado del tratamiento de datos, ya que cada uno de ellos tiene responsabilidades distintas.

    Al aplicar tu estrategia de RGPD, asegúrate de comprender cuál es tu rol en cada una de las situaciones.

    Volver al principio de la página.

    Actualizaciones del RGPD a las que debes prestar atención

    Tras la entrada en vigor del Reglamento General de Protección de Datos del 25 de mayo de 2019, hay ciertas actualizaciones que las empresas deben llevar a cabo. Algunas son sencillas, otras más técnicas y otras conllevan un cambio organizativo.

    Entre las actualizaciones más importantes a las que se debe prestar atención se encuentran las siguientes.

     

    Actualiza tu política de privacidad

    Dado que el RGPD se centra en regular la privacidad, es esencial disponer de una política de privacidad actualizada que cumpla con los requisitos de este reglamento. Dicha política debe estar redactada en un lenguaje comprensible para todos, lo que implica que no se permite utilizar lenguaje jurídico demasiado complejo.

    Además, todo usuario que tenga contacto con tu base de datos, bien sea como responsable o encargado del tratamiento de datos, debe aceptar la política de privacidad. Esto significa que cualquier formulario de tu página web debe notificar este hecho.

     

    Crea una política de cookies 

    Otro aspecto importante es que todo sitio web que se muestre a un residente de la UE debe notificarle sobre el uso de cookies. Por lo tanto, tu página web también debe contar con una política de cookies. Esta debe detallar cómo se utilizan las cookies y qué tipo de cookies se usan.

    Al igual que la política de privacidad, debe estar redactada en un lenguaje comprensible sin demasiados términos jurídicos.

     

    Consentimiento del interesado

    El siguiente apartado importante del RGPD es el consentimiento. El interesado debe dar el consentimiento de todo por separado. Esto significa que no puede otorgar su consentimiento a un conjunto de aspectos. 

    Sabemos que puede sonar un poco confuso, así que pongamos un ejemplo.

    Cuando un usuario desea descargar un eBook, tiene que suscribirse al newsletter. Al completar el formulario, solo aceptan los términos para descargar dicho eBook, a menos que también hagan clic en la opción del newsletter.

    Para poder recibir más correos electrónicos aparte de ese eBook, debe otorgar su consentimiento por separado cada vez.

    Pero no te preocupes, en la siguiente sección te contamos cómo estructurar tus formularios para ofrecer las opciones adecuadas.

     

    Los formularios y la doble validación 

    Con la entrada en vigor del RGPD, también se debe actualizar la estructura de los formularios. Ya no se pueden utilizar campos ocultos o que estén «marcados de antemano». En otras palabras, el «consentimiento previo suave». 

    Todos estos consentimientos se deben otorgar de manera expresa. Esto significa que, todo formulario deberá haber un apartado exclusivo para cada procesamiento de datos que desee realizar con la información del usuario.

     

    Solicitar un informe de procesamiento de datos

    Una novedad importante que establece el RGPD es que el interesado tiene derecho a conocer qué datos suyos se están procesando. Esto implica que, si el interesado lo solicita, la empresa deberá proporcionarle todos los datos que se hayan recopilado y procesado.

    En la mayoría de los casos, si se utiliza un software de terceros, como Shopify o Magento, tendrán esta posibilidad. Solo debes asegurarte de que el software de terceros que utilices cumple con lo establecido en el RGPD.

     

    Derecho de supresión («el derecho al olvido»)

    El último elemento sobre el que vamos a hablar es el derecho al olvido. Esto significa que el interesado puede solicitar que se elimine toda la información sobre él de una base de datos. Y debe llevarse a cabo. Debes eliminar todos los datos personales del interesado tanto de tu base de datos como de tus servidores, de modo que parezca que nunca os hayáis conocido.

    Insistimos en que el software de terceros que se utilice debe cumplir con el RGPD y disponer de esta función integrada.

    Los puntos que hemos mencionado no son los únicos que deben incorporarse al RGPD, pero son algunos de los más urgentes que afectan directamente a los e-commerce.

    Volver al principio de la página.

    Artículos confusos del RGPD

    Como el RGPD es una legislación relativamente nueva, es normal que todavía no la comprendamos por completo. Hay artículos muy explícitos y otros no tanto. Al analizar el RGPD, enseguida te percatarás de que hay temas que no están lo suficientemente claros. Son cuestiones con las que debemos andarnos con cuidado.

     

    El concepto del interés legítimo

    La primera cuestión es la del interés legítimo. Este es un concepto peculiar que guarda relación con el envío de correos electrónicos a contactos que no han otorgado su consentimiento expreso para recibir dicho mensaje. Puede ser un único correo electrónico o parte de una posible campaña.

    Para poder llevar a cabo todo esto, se debe establecer un interés legítimo. Esto significa que se debe demostrar que el interesado tiene un interés legítimo en el servicio que se ofrece.

    Como es un concepto que no queda del todo claro, vale la pena andarse con precaución o directamente mantenerse al margen. Decidas lo que decidas, consúltalo con un abogado y un especialista.

     

    Doble validación

    El artículo sobre la doble validación también es bastante confuso. Si bien no parece que haya algo explícito sobre la verificación en dos pasos, lo mejor es acudir a un experto en la materia. La doble validación afecta a la manera en la que gestionas la base de datos y si lo haces con esta verificación en dos pasos o no.

    De nuevo, insistimos en que es una materia en la que lo mejor es recurrir a un asesoramiento jurídico.

    Estos son solo dos ejemplos de artículos confusos que puedes encontrarte en el RGPD. En lo que respecta a este reglamento, lo más adecuado es consultar siempre con un abogado o experto en la materia.

    Volver al principio de la página.

    Herramientas de privacidad para el RGPD

    A medida que el RGPD vaya dando forma a nuestros negocios, necesitaremos ayuda para aplicar este reglamento. Gestionar la privacidad de los usuarios y posibles clientes no es tarea fácil. Por lo tanto, conviene echar un vistazo a algunas herramientas que pueden ayudarnos.

    Algunas de las herramientas que hemos encontrado y que pueden serte de ayuda son las siguientes:

    • OneTrust: Un potente software de gestión del RGPD. Disponible en español.
    • Privacy Perfect: Un software en conformidad con el RGPD. No está disponible en español.
    • Privacy Insights: Ofrecen sus servicios en los Países Bajos. No está disponible en español.

     

    Dejamos también unos cuantos artículos con más información sobre el RGPD y las herramientas de privacidad. 

    Esperamos que estas herramientas te sirvan de ayuda a la hora de garantizar que tu negocio cumple con el RGPD.

    Volver al principio de la página.

    El RGPD y los cambios en tu empresa

    No cabe duda de que el RGPD impacta en nuestras prácticas comerciales. En particular, el marketing. Esto no tiene por qué ser algo necesariamente malo... o al menos eso esperamos. Uno de los aspectos positivos del RGPD es que nos puede ayudar a obtener un público más comprometido.

    Además, esto puede dar lugar a la aplicación del Marketing de Permiso. Que, si no conoces este término, es una teoría de marketing ideada por Seth Godin. Apareció por primera vez en uno de sus libros, publicado a finales de la década de 1990, y como declaró el propio autor, fue el motivo por el que casi lo expulsan del Direct Marketing Institute.

    El marketing de permiso consiste en intentar obtener el permiso de nuestros usuarios y posibles clientes para poder proceder al siguiente nivel, que sería el proceso de compra. Lo cual, posiblemente, es lo que RGPD obligue a hacer a los expertos en marketing.

    En definitiva, aunque puede que al principio los gastos de adquisición aumenten ligeramente, es posible que de esta manera obtengamos clientes más comprometidos y que nos brinden más permisos.

     

    New Call-to-action