Si tienes una empresa o te dedicas al área de marketing de un negocio, seguro que ya has oído hablar del nuevo GDPR o Reglamento Europeo de Protección de Datos. Se trata de un texto que entrará en vigor en toda Europa el 28 de mayo de 2018, fecha límite para adaptarse a las nuevas exigencias que impone y evitar con ello cuantiosas multas. La era digital, el comercio online y novedades como el derecho al olvido toman presencia en este texto, que se adapta a los nuevos tiempos y obliga a toda empresa que se mueva en el entorno digital a ‘ponerse las pilas’. Ello afecta de lleno a las estrategias de marketing, en las que se manejan constantemente datos personales. Te contamos paso a paso algunas de las novedades que te afectarán en cada escalón del inbound marketing, aunque lo más importante es que te pongas en manos de un abogado que analice tu negocio y sus particulares circunstancias.
¿Qué es LOPD y el nuevo Reglamento Europeo de Protección de Datos?
El Reglamento General de Protección de Datos (Reglamento de la UE 2016/679), aprobado en 2016, es un texto que actualiza la normativa comunitaria sobre protección de datos y que entrará en vigor en mayo de 2018. La norma marcó, desde su aprobación, un periodo de transición que ha servido para que las normativas de cada estado miembro se actualicen. En el caso de España, la Ley Orgánica de Protección de Datos ya ha incorporado todas las novedades que trae de la mano este texto, y la Agencia Española de Protección de Datos (AEPD) ha dado algunas pautas para orientar a las empresas. Y es que todo negocio, por pequeño que sea, tiene la obligación de ponerse al día.
Es importante entender que esta normativa afecta a la protección de datos personales (es decir, aquellos que sirvan para identificar a la persona), por lo que hay cierta información no asociada a la persona a la que no se aplicará su contenido. Con todo, el concepto de dato personal se amplía más allá del tradicional. Por dato personal entendemos cualquier información que concierna a personas físicas identificadas o identificables (nombre, apellidos, DNI, fotografías, vídeos, voz, huellas…), siempre que hagan referencia a una persona. Aunque este concepto es amplio, el Reglamento deja claro que deben incluirse “identificadores únicos” como cookies, dirección IP y otros identificadores, despejando cualquier duda al respecto.
El cuanto al ámbito de aplicación del Reglamento, éste se aplica a cualquier dato personal procedente de un ciudadano de un estado miembro de la UE, por lo que no importa que la empresa que se encargue de su tratamiento se encuentre fuera de Europa.
Las sanciones para aquellas empresas que no cumplan con la normativa serán más severas que con la regulación anterior. El objetivo es un mayor compromiso por parte de los negocios y un mayor conocimiento de los ciudadanos acerca de sus derechos.
¿Cuáles son los cambios que trae el Reglamento de Protección de Datos?
La meta de este texto es adaptar la normativa sobre protección de datos al desarrollo tecnológico de los últimos años, marcados por un gran aumento del uso de estos datos para fines comerciales y de marketing. Se trata de reforzar la seguridad y las buenas prácticas en el comercio europeo.
Estas son algunas de las principales novedades:
- Necesidad de consentimiento. No es que hasta ahora no sea necesario recabar el consentimiento de la persona para almacenar y usar sus datos personales, pero ahora las condiciones se acotan, aclaran y endurecen. En cualquier forma de lograr el consentimiento deberá existir “claridad, aclaración afirmativa e inequívoca”. Por ejemplo, no se podrá marcar con una x por defecto la casilla del consentimiento al rellenar un formulario web, sino que el usuario deberá consentir expresamente y con toda la información necesaria. Además, debe existir “interés legítimo” para el tratamiento -como medida preventiva al fraude-.
- Nuevos derechos a la portabilidad, al olvido, a la cancelación o la supresión de datos. Se concretan estos derechos del individuo a solicitar la eliminación de sus datos personales a la empresa en cualquier momento, sin ninguna condición y de forma gratuita. Lo mismo se aplica a su portabilidad. Se trata de ofrecer todas las garantías posibles a la persona cuyos datos son recabados. En esta línea: “El interesado tiene derecho a recibir los datos personales que le conciernen, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y legible por máquina y tiene derecho a transmitir dichos datos a otro responsable del tratamiento sin impedimentos del responsable del tratamiento al que haya facilitado los datos […]”
En cuanto al derecho al olvido, “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurran circunstancias como, entre otras, que los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo, que el interesado retire el consentimiento en que se basa el tratamiento de conformidad, que el interesado se oponga al tratamiento o que los datos personales hayan sido tratados ilícitamente.
- Oficial de Protección de Datos. Todas las organizaciones que traten datos personales que requieran “un seguimiento periódico y sistemático de los interesados a gran escala” tendrán que contar a un Oficial de Protección de Datos. Se trata de una persona encargada de esa responsabilidad, que puede ser externa. En general, los negocios estarán obligados a contar con un plan preventivo y un protocolo de actuación en el tratamiento de datos. Se trata de evitar la improvisación y marcar una cultura de la protección de datos en la empresa. Este plan puede ayudar a mitigar la responsabilidad de la empresa en caso de cometer alguna infracción.
- Sanciones. Las sanciones para aquellas empresas que no cumplan con la normativa serán más severas que con la regulación anterior. El objetivo es un mayor compromiso por parte de los negocios y un mayor conocimiento de los ciudadanos acerca de sus derechos. Se contempla imponer multas de hasta un 4% del volumen total de negocio anual o de 20 millones de euros. Esta cifra se reservará para graves vulneraciones de la normativa como, por ejemplo, no obtener el consentimiento adecuado del usuario para procesar sus datos. También habrá multas menores por no informar sobre brechas de información o no realizar un control de daños posterior, entre otras.
- Coto al correo basura. Una novedad específica que interesa a las empresas es que la norma pone coto al correo basura, censurando y penalizando la compra de bases de datos o las campañas masivas de emailing sin consentimiento. Se trata de una práctica poco útil a nivel de marketing, pero ahora, además, será perseguida con mayor dureza. Lo mismo se aplica a las llamadas sin consentimiento expreso, o las llamadas desde números ocultos o sin prefijos comerciales.
Si tu empresa utiliza técnicas de marketing, probablemente tendrás que realizar algunos cambios para ajustarte a la normativa. Lo más recomendable es pedir consejo legal. Sin embargo, desde aquí te adelantamos algunas pistas relacionadas con cada fase de tu estrategia de inbound marketing.
¿Cómo afecta GDPR a la estrategia de marketing de tu empresa?
Si tu empresa utiliza técnicas de marketing, probablemente tendrás que realizar algunos cambios para ajustarte a la normativa. Lo más recomendable es pedir consejo legal. Sin embargo, desde aquí te adelantamos algunas pistas relacionadas con cada fase de tu estrategia de inbound marketing. Si prefieres delegar esta tarea, ponte en contacto con nosotros y diseñaremos un plan a medida sin compromiso.
Primer paso: recopilación de datos
La transparencia es clave en esta primera fase. Siempre lo fue, pero ahora con más fuerza que nunca. El Reglamento ha sido diseñado para asegurarse de que la recopilación de datos y su uso sea ejemplar, obligando a recopilar siempre el consentimiento expreso de cada persona. Repetimos: expreso. Hay que informar sobre el uso que se dará a esos datos, y ofrecer vías para rectificar o borrar esos datos. El consentimiento debe ser, en concreto, “informado, específico, no ambiguo y revocable”. Siempre y bajo cualquier circunstancia.
Por otro lado, no debes excederte en la recopilación de datos: pide sólo aquella que sea realmente pertinente para el fin buscado. El GDPR está en contra de almacenar información innecesaria o excesiva. Toma nota de ello. Por ejemplo, si quiero descargar un ebook, tiene sentido que me soliciten mi email, nombre, empresa o incluso las áreas que me interesan, pero no información familiar, inclinaciones políticas o religiosas…
Segundo paso: almacenamiento y procesamiento de datos
Una vez recopilados los datos, es importante no perder de vista el fin para el que se recopilaron, ya que éste será nuestro límite a la hora de darles uso. No es legal utilizar la información recopilada para fines incompatibles con los fines para los que se recopiló.
Además, hay que tener mucho cuidado con la transmisión de datos a terceros: asegúrate de tener consentimiento expreso para ello por parte del usuario.
En cuanto a la seguridad de los datos, la empresa debe tener extremo cuidado a la hora de garantizarla, utilizando “medidas de seguridad a nivel técnico y de organización” para proteger los datos de usos no autorizados y pérdidas accidentales, destrucción, alteración… Considera qué vías de seguridad existen y utiliza una acorde con tu negocio. Los estándares de protección será diferentes en función del tipo de dato recopilado. No es lo mismo una cuenta bancaria que un dato sobre si nos gusta más un tipo de producto u otro. Por otro lado, el acceso a los datos por parte de los empleados también debe ajustarse a mínimos para que sólo las personas involucradas en su uso para desarrollar su trabajo puedan hacerlo.
No olvides, por último, que debes crear vías para que el usuario acceda, traslade, elimine… sus datos cuando quiera y sin dificultades.
También estarás obligado a contar con un plan de prevención y protocolo de seguridad para tus datos. Se trata de que tu política de tratamiento de datos esté perfectamente definida para que, en caso de problemas, puedas probar que existe efectivamente un plan que se cumple en tu negocio y así evitar o minimizar tu penalización. Es posible que necesites la labor de un ‘data protection oficer’ (DPO) para ello. Esta persona medirá tu cumplimiento y velará por que todo esté en su lugar en todo momento.
Tercer paso: fin de la relación
Las empresas tienen derecho a mantener los datos recopilados siempre que sean necesarios para cumplir el propósito para el que se recabaron. Por tanto, perderán el derecho a hacerlo cuando este fin desaparezca. Si l relación con el usuario finaliza por cualquier motivo, los datos deben desaparecer. Eso sí, algunos datos deben mantenerse durante cierto tiempo por ley (datos financieros, posibles auditorías…) Infórmate con un abogado sobre ello.
En cualquier caso, si un usuario pide la eliminación de sus datos, ésta debe ser sencilla y rápida, además de notificada. La transparencia y las buenas prácticas son clave.
GDPR: Un balance positivo
Resulta indudable que se avecinan muchos cambios y una etapa de transición que implicará inversiones, cierta incertidumbre y algún que otro error de principiante. Sin embargo, nuestra visión del cambio es más que positiva.
El nuevo Reglamento promete traducirse en una mejora de las prácticas utilizadas a la hora de comunicar y captar clientes por parte de todas las empresas que trabajen a nivel europeo o con ciudadanos de la UE. Y ello traerá de la mano un nuevo reto para los responsables de marketing, unido a posibles nuevas prácticas y herramientas. No hay que olvidar que el usuario contará ahora con un marco más seguro que le permitirá ser tratado con el respeto que merece, por lo que las estrategias tendrán que centrarse más que nunca en aportar valor a cada persona para lograr su empatía y aprobación.
El reto para los responsables de marketing es lograr ese acercamiento que, ahora, se pone un poco más difícil. Todo para lograr que nuestras comunicaciones sean percibidas no como formas de publicidad, sino como informaciones realmente útiles destinadas a personas fidelizadas.
¿Quieres iniciar una estrategia de marketing con nosotros?
{{cta(‘d436112b-c99b-4497-af49-9b9f9f3e2b15’)}}
