Andrés Nicolás Beltramo

Andrés Nicolás Beltramo

Abogado especialista en Derecho Informático.

▷ GUÍA paso a paso de cómo SOBREVIVIR en este 2019 al temible GDPR

¿Te has enterado de la existencia del GDPR, pero no sabes si debes cumplirlo? Andrés Nicolás Beltramo y Agustín Bender, abogados especialistas en derecho informático, te explicaremos los detalles necesarios para cumplir con la normativa y así evitar sanciones elevadas.

 

Temible_RGPD

 

👉 La generación de leads es una parte muy importante en los procesos de marketing.

 

Pues te permitirá hacer un registro, llevar un seguimiento de tus potenciales clientes y terminar con la, tan deseada, venta de tu producto o servicio.

 

Sí, lo sé, no es tan fácil como se dice.

 

Sin embargo, en lo que sí estamos de acuerdo, es que el objetivo principal de cualquier profesional del marketing digital es poder generar el mayor número posible de leads y que un gran volumen de estos sean de calidad.

 

Y para poder hacerlo es necesario obtener la información de tus usuarios.

 

¿Cierto?

 

Pues bien, existen normas que protegen la privacidad y los datos de las personas .

 

⚠️ Y si tu empresa no cumple con lo establecido será sancionada con grandes multas. ⚠️

 

👀 Tú no quieres eso, ¿verdad? 👀

 

No te preocupes, este artículo es para ti. 👇

  

¿Qué es y por qué es tan importante el GDPR?

 

Bien. Antes de comenzar a explicarte sobre la importancia de la normativa debes saber lo siguiente.

 

El proceso de adecuación al GDPR es gradual y constante, es algo dinámico.

 

Y si bien muchas veces se requiere de un cambio radical en los procesos y prácticas empresariales, mantener vigente la adecuación al GDPR necesita de supervisión y relevamiento constantes.

 

Aclarado este punto, te diré sobre qué trata la ley.

 

🔥 El General Data Protection Regulation (GDPR), también conocido como Reglamento General de Protección de Datos (RGPD en español), es un reglamento de la Unión Europea que se encarga de proteger los derechos fundamentales de Privacidad de las personas. 🔥

 

Este reglamento ha entrado en vigor desde mayo de 2016 y recién se está aplicando desde el 25 de mayo de 2018.

 

Ahora… ¿Recuerdas a la norma anterior?

 

Pues bien, esta nueva norma sustituye a las leyes de cada uno de los países europeos, y presenta nuevas características.

 

Además, aumenta la responsabilidad de las empresas, tanto europeas como aquellas empresas internacionales que tratan datos de residentes europeos, sobre cómo procesan, almacenan, utilizan y eliminan esta información.

 

Por esta razón, desde ahora, debes cambiar la manera de recolectar la información de tus usuarios.

 

Privacidad_de_datos_personales

Además, puede darse el caso que cuando eres propietario de una página web o de un blog, sin darte cuenta, puedes estar recolectando los datos personales de tus usuarios.

 

Por ejemplo, uno de los casos más comunes.

 

👉 ¿Recuerdas esos formularios donde debes dejar el nombre, apellido y correo para poder acceder a la información o para dejar un comentario? 👈

 

¡Están recabando datos personales!

 

Cuestiones aparentemente inofensivas como incluir una cookie o una imagen de seguimiento puede ser considerado tratamiento de datos personales y puede generar sanciones.

 

Por lo tanto, tu empresa tiene la responsabilidad de asegurar que maneja bien los datos, que los recopilan por las razones correctas y que no los almacenan por períodos muy extensos.

  

¿Estás en la obligación de cumplir el RGPD?

 

Muchos de mis clientes que buscan asesoramiento me suelen hacer esta pregunta. 👇

 

¿Mi empresa está en la obligación de cumplir el reglamento?

 

Por lo general, sé que esta suele ser una parte muy confusa, no solo para tí sino también para muchas personas, pues no pueden tener claro si están sujetos a cumplir lo establecido por el reglamento.

 

¿Estás listo para, por fin, tener claro si debes aplicar la normativa? 👀

 

¡Enhorabuena! 💪

 

Comencemos por una de las características principales… su ámbito de aplicación territorial.

 

Este es muy amplio ya que en la actualidad abarca a todos los Estados miembros de la Unión Europea. Y eso no es todo, pero ya lo verás más abajo.

 

Entonces, si eres autónomo o tu empresa está ubicada en un país de la Unión Europea y recolectas datos de tus usuarios o clientes deberás cumplir con lo establecido en el Reglamento General de Protección de Datos (RGPD).

 

 

Ten cuenta que todas, absolutamente todas, las empresas están sujetas a esta normativa y eso incluye a grandes como Google y Amazon.

 

Redes_sociales_sujetas_al_RGPD

 

Hasta este punto todo está claro.

 

Pero, ¿qué pasa si tu empresa está ubicada fuera de la Unión Europea?

 

Parece complicarse; pero no es así.

 

Pues el RGPD deja muy clara esta situación:

 

Todas las personas o empresas que participen de la obtención, procesamiento y uso de información personal de residentes en la Unión Europea, estarán en la obligación de cumplir la normativa.

 

Por ejemplo, si tienes una página web en México, podrías decir que no estás sujeto a esta ley, ¿verdad?

 

Esto es correcto hasta cierto punto, pues si tu empresa recauda datos de personas europeas ya estarías obligado a cumplirla.

 

👍 Recuerda, si estás recaudando información de personas ubicadas en, por ejemplo, España deberás seguir todo lo establecido a la hora de recabar los datos, de guardar la información y de presentar la información.

 

¿Cómo es que esto afecta a todos a nivel global si es una norma europea?

 

Voy a poner dos ejemplos para poder explicar este punto.

 

👉 Imagina que vives en Europa y te conectas a un sitio web ubicado fuera de la Unión Europea, este sitio web deberá darte los mismos privilegios como si operara dentro de Europa.

 

En pocas palabras, debe cumplir con el GDPR.

 

Quién_debe_cumplir_el_GDPR

 

👉 Ahora bien, imagina que te encuentras de vacaciones o de visita en Europa y te conectas a un sitio web que sueles usar en tu país y, además, este no pertenece a la Unión Europea.

 

Pues, bien, este sitio web también necesita cumplir con la normativa del GDPR.

 

Pero, ¿por qué? Si tú no eres ciudadano europeo y el sitio web tampoco es de Europa. 🤔

 

Muy simple...

 

Porque el GDPR aplica a toda persona que reside en la UE o que se encuentre allí. 😉

 

Entonces si brindas servicios o tienes visitantes provenientes de la Unión Europea debes constatar que sigues la normativa del GDPR, además de asegurarte de llevar un plan de acción y cumplirlo.

 

Recuerda que hay varias autoridades reguladoras que estarán monitoreando si las empresas están cumpliendo con la normativa.

 

Aunque, en un principio no se fijarán en las empresas más pequeñas (y eso no quiere decir que nunca supervisarán tu negocio) es casi seguro que sí lo hagan con las empresas más grandes.

 

Pero, pongámonos en la situación que tienes muy mala suerte (aunque no sea cierto) y se enteran que no cumples los requisitos. 😌

 

Los más probable, para comenzar, es que te digan cómo puedes mejorar las cosas, siempre y cuando demuestres que tienes un plan de acción.

 

 

¿Cómo afectará en la gestión de leads de tu empresa?

 

👉 El GDPR tiene como uno de sus lineamientos básicos no entorpecer la libre circulación de los datos personales. 👈

 

Por lo tanto, no viene a impedir llevar adelante incluso actividades que dependen en gran medida del procesamiento de datos, como las plataformas de comercio electrónico o las redes sociales.

 

Sé que este punto es muy importante para ti, por lo que por esta parte podrás quedarte tranquilo.

  

Ahora, el tema de los leads se vincula con lo que se denomina licitud del tratamiento.

 

¿Qué significa esto? Simple…

 

👀 Debes tener en cuenta que para que cualquier actividad de tratamiento de datos (como la prospección y potencial utilización de los datos obtenidos para marketing) sea lícita, debe cumplir con ciertos criterios. 👀

 

Para esto, el GDPR y muchas normas actuales y proyectadas latinoamericanas (como el actual proyecto de ley argentino) tienen al consentimiento del titular de los datos como criterio más deseable a los efectos de determinar si el tratamiento que se está llevando a cabo es lícito o no.

 

Por lo tanto, lo mejor es obtener el consentimiento de una forma lo menos disruptiva del proceso de ventas posible, pero de manera tal que se cumpla con las exigencias del GDPR.

 

Me olvidaba. 🤦‍♂️ 🤦‍♂️

 

RGPD-como-afecta

 

Para el GDPR, el consentimiento debe ser libre, específico, informado e inequívoco, pero puede ser obtenido verbalmente.

 

Lo que no admite el GDPR es la práctica sumamente generalizada de casillas premarcadas (porque asumen el consentimiento).

 

Los titulares de los datos tienen que optar activamente por aceptar el procesamiento de sus datos (lo que se conoce como opt-in).

 

Y, para que no afecte de manera negativa tu proceso de ventas, tenemos para ti una…

 

 

Solución rápida y práctica para adecuar el proceso de ventas al GDPR

 

Los llamados “esquemas de capas”, que consisten en explicarle al titular de los datos qué estás haciendo con sus datos de manera escalonada.

 

Estos, son muy amigables, porque tienen todo lo básico que exigen las disposiciones aplicables.

 

Y si hay algo específico que quiere saber el titular de los datos o que no termina de entender, no hace falta que el vendedor lo explique (en el caso de las ventas cara a cara).

 

Pero, ¿por qué? 🤷‍♂️ 🤷‍♂️ Porque en el momento de prestar el consentimiento, la interfaz permite que el titular de los datos acceda a información adicional. Los esquemas de consentimiento por capas sirven tanto para la prospección cara a cara como en sitios web, y lo recomendable es recordarle al usuario que ha consentido a que sus datos sean procesados para determinados fines.

 

Por ejemplo, por correo electrónico, WhatsApp o SMS, inmediatamente después de que el usuario consiente activamente el procesamiento de sus datos para un proceso de ventas determinado.

 

Por ejemplo, recordárselo al ser contactado por algún representante para la venta de uno o varios productos en particular.

 

Además, puede dárse al usuario la posibilidad activa (como completar una casilla) de, por ejemplo, recibir comunicaciones promocionales o información útil sobre productos o servicios actuales, o futuros que tenga proyectado proveer.

 

Aunque estos últimos deben estar precisados. ✍️

 

GDPR y gestión de leads

 

Recuerda, no se puede pedir al titular de los datos que consienta el procesamiento de sus datos sin establecer para qué fin serán procesados.

 

Incluso, si es un fin para el que la empresa aún no los procesa.

 

La compra de bases de datos que contengan leads tampoco está exenta de las disposiciones del GDPR.

 

👏 Cualquier lead obtenido de esta manera requiere que los titulares de datos hayan prestado su consentimiento para que sus datos sean cedidos a terceros, y para que esos terceros los contacten a los fines de acercarles ofertas o promociones. 👏

 

A su vez, al contactar a los titulares de los datos adquiridos, siempre se les debe dar la oportunidad de ejercer sus derechos con respecto al procesamiento de datos para marketing, como darse de baja.

 

¿Estas regulaciones van a perjudicar mis ventas? Pedir el consentimiento para enviar ofertas o hacer llegar información no necesariamente se traduce en un menor rendimiento del proceso de venta. 👍

 

Si bien la necesidad de consentimiento previo dificulta la tarea de marketing, debe considerarse que los leads que prestaron consentimiento son de mejor calidad y es más probable que adquieran el producto o servicio. 💪

 

Es decir que el retorno de la inversión en marketing sobre estos leads será mayor.

 

Una vez dejado muy claro este tema debes conocer los...

 

 

Derechos de quienes se recolectan los datos personales

 

En todos los países donde se protegen los datos personales existen, con ciertos matices, los mismos derechos:

 

Derechos-titular-de-datos

 

Derecho de acceso

 

Tu cliente puede pedir y recibir una copia de sus datos que tu empresa está usando para el tratamiento. 🔥

 

Todo esto para que tu cliente sepa qué datos tiene tu empresa.

  

Por ejemplo, si uno de tus usuarios quiere saber si tu empresa guarda los datos de su ubicación.

 

💎 El reglamento también indica que si tú eres el titular también podrás tener acceso a la siguiente información: 💎

 

  • Los fines para lo cual fueron recogidos los datos.

  • El tiempo que se conservarán tus datos y el criterio usado para determinar dicho periodo.

  • Los destinatarios o terceros a los que se les comunicará tu información.

 

¡No olvides!

 

👉 Si eres el responsable deberás proporcionar dicha información si tu cliente así lo desea. 👈

 

Rectificación y cancelación

 

Este derecho es muy simple y tu empresa como responsable del tratamiento de los datos necesita cumplirlo cuando el titular necesita que se corrijan o eliminen algunos datos erróneos.

 

Por ejemplo, si figura en tu sitio web o en algún sitio vinculado con actividades que nunca realizó. 👍

 

 Oposición

 

Para que los datos que tu empresa tiene con una determinada finalidad, no se usen para otra cosa.

 

Uno de los casos más comunes de las empresas es cuando un usuario deja sus datos para participar de un sorteo y después lo llaman todos los días para venderle productos.

 

A ti no te gustaría, ¿verdad? 🤕

 

Pues a él tampoco.

 

Ahora en la Unión Europea, con el GDPR, se han incorporado los siguientes derechos:

 

Derecho al olvido

 

Consiste en que los titulares tienen derecho a que se bloqueen o supriman sus datos personales y no puedan ser procesados o, caso contrario, sean eliminados.

 

Esto lo podrán hacer cuando ya no sean necesarios para los fines para el cual fueron recolectados por tu empresa, o también si el usuario retira su consentimiento para el tratamiento de su información.

 

Otro de los casos comunes es para que se borren datos personales que ya no tiene sentido que se utilicen y que le causan un perjuicio al titular.

 

Por ejemplo, si fueran tus datos, que no siga apareciendo en Google, después de 40 años, comentarios de una borrachera que te mandaste a los 18 y que no te interesa que lo vean otras personas.

 

Bueno, estoy siendo un poco exagerado. 😅😅

 

Pero, sí, sabes a qué me refiero.

 

Portabilidad

 

El Derecho a la Portabilidad de los datos habilita al titular a que se le remitan todos los datos que la empresa tiene de él, en un formato de fácil manejo y uso común.

 

Reglamento_general_de_proteccion_de_datos_personales

 

Por ejemplo, si eres titular, llevarte tus publicaciones de Facebook a otra red social.

 

 

Cómo afecta a tu empresa el GDPR y cómo está avanzando en Latinoamérica

 

El impacto y alcance territorial del GDPR no se encuentra limitado a la Unión Europea, ya que como mencioné anteriormente, establece requisitos a la transferencia de datos personales hacia otros países.

 

Antes de continuar, debo advertirte lo siguiente. 👀

 

La respuesta a esta pregunta será muy técnica…

 

Pero, ¡eh no te vayas, no me dejes! 😭

 

Mentira, solo será un poquitín. 😋

 

Además, estoy seguro que no lo harás, pues hasta ahora creo haber aclarado muchos puntos.

 

💎 ¡No te imaginas! 💎

 

En primer lugar, debes tener en cuenta el siguiente concepto.

 

Uno de los criterios habilitantes de transferencias internacionales de datos es el de las decisiones de adecuación por parte de la Comisión Europea (el órgano ejecutivo de la Unión Europea por excelencia).

 

Claves_del_GDPR

 

Déjame adivinar lo que te estás preguntando.

 

¿Qué hace la Comisión Europea?

 

La Comisión Europea tiene la potestad de determinar si un país ajeno proporciona un nivel de protección adecuado en cuanto a los datos personales, ya sea por su legislación local o por los compromisos internacionales que ha asumido.

 

Pero, ¿qué consecuencia tienen las decisiones de adecuación?... Simple.

 

👉 El libre flujo de datos desde la Unión Europea a terceros países sin que se requieran mayores garantías.

 

A la fecha, la Comisión Europea solo ha reconocido, en el ámbito latinoamericano, a Argentina y Uruguay como países que poseen un nivel adecuado de protección de datos.

 

Además, como ya se mencionó, tampoco impide que se transfieran datos en base a otros criterios, el GDPR es un texto completo y exige la revisión periódica de la adecuación, que deberá llevarse adelante antes del 2022 para Argentina y Uruguay.

 

Ahora respondiendo la pregunta sobre el avance en Latinoamérica.

 

Por todo lo ya mencionado es que fuera del ámbito de la Unión Europea se está dando este proceso de revisión de las legislaciones locales para al menos compatibilizarlas con el GDPR y como hacen las empresas con su práctica a nivel organizacional.

 

Por otro lado, la influencia del GDPR en la región se ve reflejada en los Estándares de Protección de Datos para los Estados Iberoamericanos, aprobados por la Red Iberoamericana de Protección de Datos en 2017.

 

El objetivo principal de estos Estándares, que han tomado como referencia al GDPR, es operar como directrices que sirvan de referencia a futuras regulaciones o para la revisión de las ya vigentes, y constituyen una importante base normativa para crear en la región un marco común de protección de datos.

 

Si leíste hasta esta parte sabrás que no fue tan difícil.

 

 

Medidas que debe tomar tu empresa para no recibir multas

 

🤞 El GDPR alcanza a toda empresa, así sea unipersonal, que desempeña una actividad económica y, por lo tanto, no alcanza a aquellos individuos que procesen datos para uso estrictamente personal.

 

Ahora bien, el GDPR es una evolución de los principios y normativas ya existentes en materia de protección de datos.

 

Por lo tanto, más que modificar radicalmente las obligaciones de los responsables de datos personales, las profundiza, precisa, o, en algunos casos, incorpora nuevos principios y restricciones. ✍️

 

Si tu empresa está sujeta al GDPR deberá respetar el principio de calidad de los datos, que exige el tratamiento de datos:

 

  • Estos datos personales procesados deben ser adecuados y relevantes.
  • Los datos no deben ser excesivos con relación a los fines para los que se recolectaron.
  • Los datos deben ser precisos y estar actualizados.

 

En general, la normativa consagra el principio de responsabilidad proactiva, conocido como accountability. Tu empresa debe cumplir y poder demostrar el cumplimiento. 🎯

 

Y, ¿cómo demuestras que estás cumpliendo con el reglamento.

 

Documentando las cuestiones y procesos relacionados a los datos personales.

 

Acciones_para_cumpli_el_GDPR

 

Las principales medidas a tomar como empresa responsable del tratamiento de la información personal y lograr así el compliance son las siguientes:

 

Análisis de riesgo

 

Es necesario hacer un análisis del riesgo que pueda traer para los derechos de los interesados la realización del tratamiento de datos.

 

Esto te permitirá tomar las medidas necesarias para evitar estos riesgos. 💪

 

Existen dos maneras para hacerlo.

 

  • Cuando se considera un alto riesgo se deberá hacer una Evaluación de impacto.
  • Y en los demás casos se evaluará en función del tipo de riesgo.

 

Registro de actividades de tratamiento

 

Esta parte es muy importante, pues cada responsable o encargado del tratamiento de los datos deberá llevar un registro de todas las operaciones.

 

Estos registros deben incluir los nombres de los titulares, la finalidad del tratamiento, entre otros.

 

Existe una excepción para no llevar el registro (seguro deseas estar incluido). 🤞 🤞

 

Cuando tu empresa tiene menos 250 trabajadores; pero cuidado, ya que de todas maneras, para poder cumplir con las demás obligaciones del GDPR (que no dependen del número de empleados), siempre es recomendable llevarlo.

  

Protección de Datos desde el Diseño y por Defecto

 

Otra obligación importante en cabeza de aquellas empresas que procesen datos personales es la de incorporar la protección de datos a la fase de planeamiento y desarrollo de sus productos y actividades de procesamiento.

 

Por esta razón, el GDPR denomina a esto protección de datos «desde el diseño y por defecto».

 

¡Vaya nombre!

 

  

Medidas de seguridad

 

En este punto deberás garantizar la seguridad informática de los datos para evitar su procesamiento no autorizado, su pérdida o destrucción.

 

 Medidas-seguridad-GDPR

 

Notificación de «violaciones de seguridad de los datos»

 

Tu negocio está obligado a notificar a las autoridades de aplicación y a los titulares de los datos en casos de violaciones o incidentes de seguridad con respecto a los datos personales.

 

 

Transferencias Transfronterizas

 

Las transferencias transfronterizas de datos se encuentran fuertemente restringidas por el GDPR, y requieren, a falta de una Decisión de Adecuación por parte de la Comisión Europea, que el país u organización internacional receptora de los datos garantice un nivel de protección de los datos equivalente al del GDPR.

 

Evaluación de impacto sobre la Protección de Datos

 

Por ejemplo, el procesamiento automatizado de datos personales que sirva para tomar decisiones que afecten a los titulares de los datos requiere la realización de estas evaluaciones.

 

En el caso de determinadas actividades de procesamiento de datos que puedan presentar una amenaza a los derechos de los titulares de datos (porque utilizan nuevas tecnologías, o por su contexto o fines) requieren, previo a procesar los datos, que se realice una evaluación de impacto relativa a la protección de datos, para precisar los riesgos y establecer las medidas para mitigarlos o afrontarlos.

 

Delegado de Protección de Datos

 

¿Has pensado en poner un delegado para la protección de los datos personales? 👇

 

Otra exigencia no menor del GDPR es la designación de un Delegado de Protección de Datos, que debe ser un profesional independiente con conocimientos avanzados en protección de datos que deberá estar involucrado en todas las cuestiones relativas a la protección de datos de la empresa, entre otras funciones.

 

También tendrá a cargo asesorar en relación al GDPR, capacitar al personal, supervisar el cumplimiento de las disposiciones nacionales e internacionales en relación a la protección de datos dentro de la empresa y cooperar con las autoridades de aplicación.

 

 

Sanciones del temible GDPR

 

En materia de sanciones o multas, el GDPR posee un esquema muy riguroso ante incumplimientos por parte de las personas y empresas obligadas por dicha normativa. 💸💵

 

Las multas se encuentran a cargo de las autoridades de aplicación locales, y tienen un tope de EUR 20.000.000 o el 4 % de las ganancias totales del período anterior, según cuál sea más alto.

 

Con razón es muy temido.

 

Sanciones_penalidades_del_reglamento

 

¿Cómo se determina el monto de la sanción?

 

El monto de las multas se determina en razón de su efectividad y proporcionalidad, con criterios como la naturaleza del incumplimiento:

 

  • Número de titulares de datos alcanzados.
  • El daño que han sufrido.
  • Duración del incumplimiento.

 

Por ejemplo, si el incumplimiento fue intencional o meramente negligente, si se tomaron acciones para mitigar el daño sufrido por parte de los titulares de los datos, si la empresa tenía encaminado o finalizado un proceso de adecuación al GDPR.

 

También cuando hay incumplimientos anteriores a cualquier disposición de protección de datos.

 

El grado de cooperación de tu empresa durante el procedimiento sancionatorio, si el incumplimiento afectó datos sensibles, si la propia empresa puso en conocimiento de la autoridad de aplicación el incumplimiento o sus consecuencias, entre otros.

 

🤷‍♂️ Todo suma a la hora de imponer las sanciones. 🤷‍♂️

  

Casos de incumplimiento de la normativa

 

Debes saber que, a pocos días desde que empezó a tener vigencia el GDPR, se presentaron múltiples reclamos al estilo litigio estratégico contra gigantes del procesamiento de datos. 👇

 

Algunos ejemplos son Facebook, Google, Apple, Amazon y LinkedIn.

 

Sin embargo, hasta diciembre de 2018 no habíamos visto multas sustanciales por incumplimientos al GDPR (la mayor fue por €400.000).

 

Pero, eso no es todo.

 

Para finales de enero de 2019, se dio a conocer la primera multa contundente en cuanto al monto y al infractor:

 

👀 ¿Adivinas de quién se trata? 👀

 

Se trató de una multa por casi € 60.000.000, que recayó sobre nadie menos que Google.

 

Así como lo ves. 😶

 

Casos-de-sanciones-RGPD

 

La multa, impuesta por la autoridad de aplicación en materia de protección de datos francesa (CNIL) se debió a que Google no informó de manera transparente y comprensible a sus usuarios con respecto a sus políticas de procesamiento de datos relacionada a la primera configuración de los dispositivos Android.

 

Con respecto a la falta de transparencia, la CNIL sostuvo que información esencial, como:

 

  • La finalidad para los que procesan los datos.
  • Los plazos de almacenamiento, o
  • Qué datos personales se utilizan para personalizar la publicidad

 

Se encuentran excesivamente diseminados en distintos documentos, que se redireccionan entre sí a través de enlaces que llevan a aún más información.

 

Una suerte de abuso del esquema de capas que sugerimos anteriormente al momento de informar al titular de los datos y obtener su consentimiento.

 

👉 A su vez, la CNIL señaló que la forma en que Google provee la información sobre sus servicios es demasiado amplia y oscura, y esto no es casual.

 

La CNIL también impuso la multa en razón de que el esquema de obtención de consentimiento de Google no cumplía con el GDPR.

 

🔥 🔥 Porque al configurar los dispositivos Android por primera vez, Google presionaba demasiado a sus usuarios para que inicien sesión o creen una cuenta de Google nueva, porque sino su experiencia con el producto sería considerablemente peor. 🔥 🔥

 

En este sentido, la CNIL consideró que Google debería separar la creación de una cuenta de la configuración inicial de sus dispositivos Android.

 

Ya que de lo contrario estaba agrupando las solicitudes de consentimiento de tal manera que no les permitía a los usuarios aceptar ciertas condiciones y no otras (los términos y condiciones generales para la utilización del dispositivo Android, y aquellos de la cuenta de Google).

 

Adicionalmente, cuando Google pedía el consentimiento para mostrar avisos publicitarios personalizados, no distinguía entre sus distintos servicios (YouTube, Google Maps, Google Drive).

 

Y que exceden por mucho la mera utilización de un dispositivo Android, y la interfaz requiere que el usuario activamente desmarque una casilla premarcada, mediante la cual el usuario aceptaba el procesamiento de datos por parte de Google de manera demasiado amplia para las exigencias del GDPR. 💼 💼

 

 

Sirena y su compromiso en la protección de tu información

 

Sirena está sumamente involucrada en la protección de los datos personales que procesa. Específicamente, el proceso de adecuación al GDPR de Sirena posee tres etapas: 💪

 

Sirena-y-GDPR

 

1. Un relevamiento general de los distintos clientes de Sirena, sus exigencias particulares en materia de protección de datos y las disposiciones normativas locales de los países en los que operan esos clientes.

 

2. La elaboración de los documentos específicos relacionados al relevamiento del punto anterior, charlas informativas con respecto a protección de datos y seguridad informática (mayormente legislación y buenas prácticas), en donde además se capacita al equipo que deberá relevar y registrar ciertos aspectos de la organización (como por ejemplo realizar un mapeo del flujo de los datos procesados por Sirena), y la realización de una evaluación de impacto relativa a la protección de datos.

 

3. Una etapa de integración, que consiste en implementar sistemáticamente el contenido desarrollado en las dos etapas anteriores, con sus correspondientes capacitaciones y la verificación de que Sirena llevó a cabo los distintos procesos que se le solicitaron y suscribió los documentos confeccionados y los está utilizando.

 

 

Conclusión

 

Como te habrás dado cuenta, el GDPR es una nueva legislación sobre protección de datos de la Unión Europea, mucho más estricta en cuanto a cómo tienen que cuidar las empresas los datos de los usuarios, cuándo y cómo pueden obtenerlos, cuándo pueden compartirlos con otras empresas y cuáles son los derechos de los usuarios.

 

🔥 🔥 Dado que es una de las normativas más estrictas del mundo, las empresas que tratan de cumplir con la protección de datos en todo el mundo la están tomando como estándar. 🔥 🔥

 

Seguridad_de_la_informacion_personal

 

En este sentido, por ejemplo, en cuanto a documentación, se debe contar con lo siguiente:

 

  • Un contrato entre los Responsables y los Encargados de datos personales.
  • Incorporar cláusulas en los contratos de los sujetos alcanzados por el GDPR con sus empleados.
  • Confeccionar una Política de Protección de Datos interna, políticas de privacidad, política de retención de datos, una agenda de retención de datos.
  • Formularios de consentimiento prestado por los titulares de datos.
  • Las empresas deben contar con un registro de actividades de tratamiento.
  • Un registro de evaluaciones de impacto relativa a la protección de datos.
  • Un procedimiento de respuesta ante violaciones de seguridad de datos y su notificación que incluya la comunicación inmediata a la autoridad de aplicación y a los usuarios.
  • Un registro de violaciones de seguridad.

 

🏆 Entonces, para resumir, te doy algunos pasos para cumplir con la normativa: 🥇

  • Debes verificar el tipo de datos que tratas y recopilas, así como, el fin para el cual fueron recogidos.
  • No olvides obtener el consentimiento y de informar a, según corresponda, tus clientes, empleados y otras personas que has recopilado sus datos personales.
  • Solo conserva los datos personales cuando sea necesario.
  • Protege los datos personales .Documenta todas las actividades de tratamiento de datos.
  • Si subcontratas una empresa para realizar el tratamiento, asegúrate de que respeta las normas.
  • Comprueba si necesitas nombrar a un Delegado de Protección de Datos (DPD) o si debes realizar una evaluación de impacto.

 

¿Qué medidas estás tomando para para asegurarte de proteger los datos de tus usuarios?

 

Si quieres saber más sobre cómo ayudamos a los negocios gestionar sus leads o estás interesado en obtener información útil sobre procesos de venta y marketing, no dejes de visitar entradas de nuestro blog: blog.sirena.app