ETFFIN Finance >> Finanzas personales curso >  >> Gestión financiera >> Gestión de la relación con el cliente

Cómo le afectará el RGPD

Ha habido mucho ruido sobre la próxima legislación del Reglamento general de protección de datos (GDPR) que entrará en vigor el 25 de mayo de 2018. Nuestro director ejecutivo, John Paterson, analiza los hechos y ofrece consejos prácticos para que los propietarios de negocios se preparen para el cambio.

¿Qué es el RGPD?

El RGPD es un reglamento de la CE diseñado para proteger la privacidad de los ciudadanos de la CE, garantizar que sus datos no se exporten fuera de la CE a países que no tienen leyes de privacidad adecuadas y garantiza que los ciudadanos tengan control sobre cómo se utilizan sus datos.

Privacidad:¿Qué privacidad?

Para los lectores fuera de la CE, debe parecer que estamos obsesionados con la "privacidad". De hecho, el concepto es reciente y ha surgido con el cambio que la tecnología ha hecho en la sociedad.

El derecho a la privacidad de la vigilancia gubernamental está consagrado en muchos documentos, incluida la Declaración de derechos humanos de la ONU (1948), el Convenio europeo de derechos humanos y la Cuarta enmienda a la Constitución de los EEUU. No fue sino hasta la llegada de Internet que las grandes corporaciones también pudieron realizar lo que en realidad es vigilancia masiva. En 1999, Scott McNealy, entonces director ejecutivo de Sun Microsystems, dijo (in)famosamente:“La privacidad está muerta. ¡Superalo!" y el entonces presidente de Google, Eric Schmidt, hizo varias declaraciones públicas de que la privacidad era una mala idea.

En los EE. UU. casi no existe una legislación de privacidad, siendo HIPAA una excepción, quedando en manos del dios de los mercados libres. Si desea privacidad, no utilice servicios gratuitos como Facebook o Google Search. Ese es el trato, los servicios son gratuitos y pagas dándoles tus datos para que puedan venderlos a los anunciantes. También existe una gran cantidad de legislación que permite a las agencias gubernamentales el acceso sin restricciones a los datos con una supervisión judicial extremadamente limitada, particularmente en los EE. UU.

Fuera de la CE, solo unos pocos países se toman en serio la privacidad, a saber, Australia, Canadá y Nueva Zelanda. Otros países, como Rusia y China, también están tratando de hacer cumplir que los datos de sus ciudadanos solo se almacenen dentro de su jurisdicción legal, pero eso se trata menos de los derechos de los ciudadanos y más de la vigilancia del gobierno. Me han dicho que en chino el pictograma más cercano a "privacidad" es "soledad".

GDPR exporta efectivamente la noción europea del derecho a la privacidad a cualquier empresa que recopile datos personales de ciudadanos de la CE, respaldada por severas sanciones por incumplimiento.

Qué implica el RGPD para las empresas

    • Consentimiento:no puede ponerse en contacto con personas a menos que hayan dado su consentimiento explícito
    • Violaciones de datos:reglas estrictas para denunciar violaciones de datos
    • Multas y sanciones:grandes multas por infringir las normas
    • Derecho de supresión:una actualización del derecho al olvido
    • Portabilidad de datos:Los datos personales deben estar a disposición del ciudadano si este lo solicita
    • Protección de datos:los datos deben mantenerse de forma segura

    Datos personales

    Los datos personales son cualquier dato que permitiría identificar a una persona viva. Específicamente incluye cookies, direcciones IP, así como el nombre obvio, dirección, dirección de correo electrónico, números de teléfono fijo y móvil/celular.

    Consentimiento

    A partir del 25 de mayo de 2018, ninguna organización, independientemente del país en el que tenga su sede, podrá enviar correos electrónicos o mensajes SMS de marketing a ciudadanos de la CE, a menos que el ciudadano haya dado su consentimiento explícito para ser contactado por esa organización sobre el tema específico.

    No más casillas de aceptación premarcadas, no hay texto que diga "ver nuestra política de privacidad"; tiene que ser una casilla de verificación sin marcar que describa lo que sucederá si la marcas. Alternativamente, debe proporcionar una suscripción doble a través de un correo electrónico de confirmación donde la persona debe hacer clic en un enlace para dar su consentimiento.

    También deberá poder registrar cómo y cuándo se otorgó el consentimiento para proporcionar pruebas en caso de que el organismo regulador (en el Reino Unido, la Oficina del Comisionado de Información) reciba una queja.

    Obtención de consentimiento

    El consentimiento se puede obtener mediante una casilla de verificación dedicada en un formulario o haciendo clic en un enlace dedicado desde un correo electrónico. ¡Entregar una tarjeta de visita o llamar por teléfono no es dar consentimiento!

    No hace falta decir que la compra de datos personales en forma de listas de correo está muerta, ya que los consentimientos "agrupados" están específicamente prohibidos.

    Violaciones de datos

    Tiene 72 horas para informar cualquier violación de datos a la autoridad supervisora. Luego, debe informar a los interesados ​​"sin demoras indebidas", el tiempo depende del riesgo probable de daño para ese individuo.

    Una violación se define como "una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados ​​de otra manera".

    Multas y Sanciones

    Se han escrito muchos titulares aterradores sobre las sanciones draconianas por infringir el RGPD. Las multas máximas son de 20 millones de euros o hasta el 4 % de los ingresos globales, lo que sea mayor.

    Pero, estas son las penas máximas de la misma manera que, en teoría, podrías recibir una sentencia de cárcel por no comprar un boleto de tren. En la práctica, es probable que el organismo regulador no haga nada si una persona se queja, aparte de enviar una carta de advertencia. Las sanciones están ahí para detener a aquellas empresas que abusan flagrante y repetidamente del RGPD, como los spammers y las empresas que realizan llamadas en frío molestas. Y, por supuesto, los chivos expiatorios favoritos de la CE, Google y Facebook.

    Derecho de borrado

    Las personas pueden solicitar que se eliminen los datos que usted tiene sobre ellos. Hay algunas excepciones a esto, pero en la práctica, para la mayoría de las empresas tendrá que cumplir. Debe cumplir sin demora, y ciertamente dentro de un mes.

    Portabilidad de datos

    Las personas pueden solicitar una copia de sus datos en formato legible por máquina. Esto se aplica a los datos que le han proporcionado y, además de sus datos personales, incluye los correos electrónicos almacenados de ellos y su historial de compras y pagos.

    Protección de Datos

    Si tiene datos personales, entonces tiene el deber de cuidar la protección de esos datos. Esto incluye restringir el acceso solo a aquellos que necesitan acceso para hacer su trabajo, asegurándose de que los datos se mantengan de forma segura. También debe demostrar el cumplimiento del RGPD.

    En determinadas circunstancias, como el procesamiento de datos confidenciales (p. ej., antecedentes penales, datos de salud) y cuando el procesamiento de datos tenga consecuencias legales, deberá realizar una Evaluación de impacto en la privacidad.

    Solo puede transferir datos personales a países dentro de la CE, o aquellos donde la Comisión haya determinado que el país tiene niveles adecuados de protección de datos. Esa lista comprende actualmente Andorra, Argentina, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Uruguay y Nueva Zelanda. Tenga en cuenta que la lista no incluye los EE. UU.

    Separar la realidad de la ficción

    Ha habido mucha desinformación sobre el RGPD. Aquí he echado un vistazo a los malentendidos más comunes.

    Las empresas estadounidenses pueden cumplir con el RGPD

    Las empresas estadounidenses pueden probablemente cumplen con GDPR pero solo si almacenan datos personales en servidores ubicados dentro de la CE. Si almacenan datos personales en los EE. UU., entonces no lo hacen, a pesar de lo que puedan afirmar. Este es un tema complejo y controvertido, pero la lógica es la siguiente:

      • Si se van a transferir datos personales fuera de la CE, se debe informar a la persona con antelación
      • El acuerdo de puerto seguro negociado entre 1998 y 2000 entre la UE y EE. UU. se diseñó para permitir que las empresas estadounidenses cumplieran con las leyes de privacidad de datos de la CE. Sin embargo, en octubre de 2015, el Tribunal de Justicia de las Comunidades Europeas (TJCE) dictaminó que Safe Harbor no era válido porque no ofrecía la protección adecuada
      • En julio de 2016, se negoció el Escudo de privacidad de datos entre EE. UU. y la CE como un intento de superar las reservas del TJCE. Sin embargo, nuevamente, GDPR es mucho más estricto que las directivas de datos anteriores y los mismos problemas persisten en los EE. UU., con respecto a la capacidad del gobierno de los EE. UU. para acceder a los datos de cualquier persona. Hay salvaguardas mínimas para los datos de los ciudadanos de EE. UU., y todos los demás no tienen ninguna
      • El 12 de abril de 2017, el Grupo de trabajo del artículo 29 sobre protección de datos concluyó que el Escudo de privacidad UE-EE. .” En el clima político actual en los EE. UU., es difícil imaginar que la administración ofrezca una mejor protección a los ciudadanos de la UE que la suya propia.
      • Es discutible si los datos están completamente seguros cuando están en manos de empresas estadounidenses en la CE. En teoría, debería serlo, pero los tribunales de EE. UU. todavía están tratando de obligar a empresas como Microsoft a entregar los datos almacenados en la CE

        El marketing B2B no está cubierto por el RGPD

        Hay bastantes artículos que circulan que afirman que el RGPD permitirá la comunicación B2B porque la próxima legislación de privacidad electrónica que se promulgará al mismo tiempo que el RGPD hará esa distinción y permitirá optar por no participar en lugar de optar por el consentimiento. En otras palabras, un enlace para darse de baja.

        El nuevo Reglamento de privacidad electrónica reemplaza a la Directiva de privacidad electrónica existente y está diseñado para ofrecer claridad para las comunicaciones electrónicas, es decir, correos electrónicos y mensajes SMS. Es un Reglamento y no una Directiva, lo que significa que, si bien el RGPD se convertirá automáticamente en ley en toda la CE, cada estado miembro tendrá que promulgar una legislación para habilitar la privacidad electrónica. Esto le da a cada país cierta libertad en cuanto a la redacción exacta y, por lo tanto, podría establecer una distinción entre B2B y B2C.

        Hasta que cada país haya aprobado la legislación, no sabremos cómo se tratarán las comunicaciones B2C, si es que se distinguen. Tampoco sabemos qué datos se considerarán datos B2B en lugar de datos B2C. Las cuentas personales de Gmail, los números de teléfono móvil y las direcciones IP pueden ser todos personales. Ni siquiera sabemos si la legislación se convertirá en ley a tiempo.

        Por lo tanto, nuestra conclusión es que si y hasta que la legislación de privacidad electrónica establezca una distinción entre B2B y B2C, el RGPD no establece tal distinción y no hay excepciones para las comunicaciones B2B.

          Si no resido en la UE, la sentencia no se aplica

          Si tiene datos personales de ciudadanos de la CE y hace negocios con clientes en la CE, se verá afectado por el RGPD. Si la CE puede hacer algo al respecto es otra cuestión.

          Cumplimiento

          Tienes hasta el 25 th mayo de 2018 para cumplir y a partir de entonces no podrás enviar comunicaciones electrónicas a ciudadanos de la CE salvo que cuentes con su consentimiento expreso. Para la mayoría de las empresas, eso significa que no podrán enviar correos electrónicos a nadie en su base de datos de marketing existente, ya que no habrán recopilado formalmente dichos consentimientos auditables. Por lo tanto, debe comenzar a recopilar dichos consentimientos ahora, tanto de nuevos clientes potenciales como de su base de datos existente.

          Lista de control del Reglamento General de Protección de Datos

          1. Nombrar un Oficial de procesamiento de datos que debe ponerse rápidamente al día con la legislación
          2. Haga una lista de todos sus sistemas que contienen datos personales:su CRM, sistema de contabilidad, sistema de recursos humanos, bases de datos de contactos en clientes de correo electrónico como Outlook, todas esas hojas de cálculo esparcidas por las computadoras portátiles de las personas con datos de contacto en ellas
          3. Haga una lista de todos sus Procesadores de datos, esos sistemas externos que utiliza que almacenan datos personales. Asegúrese de que solo contengan datos en la CE y cumplan o cumplan con el RGPD. Si está en una industria regulada, obtenga un certificado o contrato que garantice el cumplimiento
          4. Comience a capturar consentimientos de nuevas consultas ahora
          5. Averigüe cómo va a obtener consentimientos de los contactos en su base de datos existente entre ahora y el 25 th mayo de 2018
          6. Elaborar un procedimiento de gestión de notificaciones de incumplimiento, tanto para el organismo regulador como para los propios contactos. Si ocurre una infracción, no tendrá tiempo para considerar la mejor manera de hacerlo, así que planifíquelo con anticipación
          7. Revise y actualice los avisos de privacidad y los términos y condiciones de su sitio web

          Más información sobre el RGPD

          Hemos escrito una serie de blogs para ayudarlo a comprender el RGPD y lo que debe hacer para cumplirlo:

          Cumplimiento de RGPD para sistemas realmente simples explica nuestro cumplimiento de CRM
          ¿Lo bueno, lo malo y el... RGPD? analiza los pros y los contras del RGPD
          Lanzamiento de cumplimiento de marketing del RGPD presenta la primera fase de nuestras funciones de cumplimiento del RGPD