¿Cómo debes preparar tu empresa para el RGPD?
Os traemos la última entrada sobre el Reglamento General de Protección de Datos (RGPD) en el que vamos a tratar la preparación que se deben seguir para ajustarse a su cumplimiento, además de facilitaros un documento PDF con una lista de control y los procedimientos que realizar.
Para prepararte para el RGPD, debe demostrar el cumplimiento de la privacidad mediante:
- Políticas y procedimientos: hay algunas políticas, tanto internas como externas, que van a tener que cambiar para adaptarse a lo que establece el actual RGPD, por ejemplo, que los clientes deben consentir el almacenamiento de datos. Piensa en las políticas para las redes sociales, archivo, datos de los empleados, control o eliminación de datos, copias de seguridad, y muchas más. Cada empresa debe, al menos, adaptar su declaración de privacidad.
- Externa: clientes, clientes potenciales, socios comerciales, proveedores de servicios, etc.
- Interna: empleados, contratistas, gestión, etc.
- Sesiones de formación y concienciación: todos los trabajadores de la empresa deben tener un conocimiento básico del RGPD, así como de sus procedimientos y políticas para cumplir la privacidad. Informar a tu equipo te garantiza que todos seguirán los procedimientos adecuados.
- Registros de los procesos en marcha: cualquier empres que controla datos, debe mantener un registro de sus actividades de procesamiento. También necesitas demostrar por qué procesas esos datos.
- Evaluación del impacto de la privacidad (o auditorías): es probable que las empresas se enfrenten a auditorías para comprobar si sus políticas cumplen con la normativa del nuevo RGPD. Además, cada vez que éstas implementan un nuevo procedimiento o se asocian con alguien nuevo, necesitarán verificar si eso afecta a los procedimientos de privacidad actuales. En ese caso, necesitarían tomar las medidas necesarias para actuar conforme a la privacidad, como, por ejemplo, cerrando un acuerdo de procesamiento de datos con un nuevo socio.
A medida que tus negocios y procedimientos evolucionen con el tiempo, tu cumplimento de privacidad también deberá hacerlo. Otra opción es organizar auditorías regulares para comprobar que el cumplimiento de la privacidad sigue siendo el adecuado.
- Autoridad de protección de datos (APD): consulta esa autoridad nacional si quieres más consejos o tienes dudas.
Las empresas pueden ser controladoras y procesadoras de datos a la vez: cada procesador se convierte automáticamente en controlador, pero no todos los controladores son procesadores. Por ejemplo, las empresas de nóminas o de estudios de mercado son procesadoras de datos. Una empresa de nóminas, será el controlador de los datos de sus trabajadores, y, además, el procesador cuando se trate de los datos de las empresas para las que trabaja.
¿Qué debes hacer con los e-mails?
El RGPD establece diferencias entre dos tipos de e-mails:
- Sin aspecto comercial: e-mails para felicitar cumpleaños o desear felices fiestas, con información sobre el RGPD, etc.
- Con aspecto comercial o marketing directo: incluye información de precios, descuentos, ofertas promocionales, etc.
Para los e-mails con aspecto comercial, únicamente necesitas ofrecer un opt-out (es decir, la posibilidad de darse de baja de este tipo de e-mails) en cada correo. Obtener el consentimiento o permiso de alguien es muy importante para los e-mails con aspecto comercial.
Por ejemplo, necesitarás que la gente dé un opt-in a los correos comerciales, en vez de enviarlos a todos tus contactos. Solo con los opt-in de los destinatarios podrás enviar marketing directo. También en estos casos, debes ofrecer un opt-out.
Hay dos casos que no requieren consentimiento:
- Si envías marketing directo a clientes existentes y el contenido del e-mail promociona productos o servicios similares ofrecidos por tu empresa. Recuerda que siempre debes ofrecer la posibilidad de opt-out.
- Si envías marketing directo a entidades legales (info@deloitte.com) y está relacionado con productos o servicios para entidades legales. Una vez más, debes ofrecer la posibilidad de opt-out.
Aquí tienes cuatro posibilidades:
- Añade una pequeña línea en todos los correos comerciales: “Confirmo mi suscripción a este newsletter”. Cuando hagan clic en este hipervínculo, habrás obtenido el consentimiento.
- Solicita explícitamente el consentimiento, si no ya no podrás enviar más correos comerciales. Si obtienes pocas respuestas, deberías volver a intentarlo con otro título para llamar la atención de los destinatarios.
- Solicitar el consentimiento explícito para enviar correos comerciales en tu página web mediante pantallas emergentes o un botón especial en tu página de inicio.
- Utiliza el sentido de urgencia para mandar tu “última llamada”. “A partir de la semana que viene, no recibirás nunca más estos correos… ¡Confírmalo ahora!”