34. Entrevista a Marketing Onlaw. Cumpliendo la nueva RGPD

Hoy toca hablar de aspectos legales y como nos afecta a los profesores que trabajamos con alumnos virtuales.

Hay una nueva normativa que pronto será de obligada aplicación para todas las empresas y profesionales de la Unión Europe (EU). Esto será a partir del 25 de mayo de este 2018.

Este reglamento sobre la protección de datos de las personas existe desde abril de 2016, pero aún estamos a tiempo de ponernos al día y para ello, hoy contamos con Daniel García de Marketing Onlaw. Expertos en legislación y marketing online.

¿Qué le preguntamos al invitado?

Hace algunas semanas que venimos escuchando que la LOPD va a evolucionar para convertirse en una normativa más regulada para proteger la información de nuestras base de datos de contactos.

¿A qué es debido todo este cambio y cuáles son las aspectos de la llamada RGPD (Reglamento General de Protección de Datos) que tenemos que cumplir los profesionales que trabajamos en Internet?

Se pretende:

1. Estar a la altura de la baza de las tecnologías digitales como el Internet de las cosas, Big Data o Smart Cities. De hecho las administraciones públicas tienen su propia hoja de ruta al respecto al RGPD. La cuestión es que todas estas tecnologías digitales se basan en el uso de datos. Esto plantea una serie de implicaciones al respecto de la propiedad de los datos, su tratamiento y uso. En un mundo en el que está todo más conectado, es más susceptible de que haya problemáticas con respecto a ello. Estamos hartos de escuchar como, por ejemplo, Yahoo tuvo varias brechas de seguridad o, hace poco, con los procesadores Intel, fallos directamente de hardware. De hecho, el nuevo reglamento incluye la obligación de notificar las brechas de seguridad a la Agencia de Protección de Datos en un plazo de 72h y, llegado el caso, notificando al propio afectado para que pueda tomar sus propias medidas correctoras necesarias.
2. La armonización de la normativa al mismo nivel para toda la Unión Europea. Evitar que el tratamiento de los datos sea el mismo, por ejemplo, en España, Alemania o Francia. Y no solo dentro de nuestras fronteras, también la comisión reguladora publica una serie de países que cumple con estos mismos estándares

¿En España hemos hecho bien los deberes cumpliendo con la antigua LOPD o volvemos a ser los últimos de la clase?

La aplicación en España ha servido de inspiración a muchas legislaciones en latinoamerica, pero también en Europa. Ya es de las más restrictica en ese sentido.

La gente está asustada en este asunto y no tiene por qué debido a que hay aspectos que no van a cambiar tanto. Otros si, pero no hay que preocuparse siempre y cuando haya una hoja de ruta.

¿El carácter retroactivo que tiene esta nueva normativa que obligaciones nos hace cumplir con nuestros contactos?

Es básicamente tener una hoja de ruta porque la ley en ese sentido no es mucho más compleja que la LOPD. Algo que tienen que hacer todas las entidades es valorar la designación de un delegado de protección de datos.

El antiguo registro de ficheros en la AGPD queda sustituido por un registro de actividades del tratamiento. Ya no es necesario acudir a la Agencia de Protección de Datos, pero si es necesario llevar un registro de lo que se está haciendo, del tipo de datos y clientes que se está tratando. Todo esto se vincula con el nuevo principio de responsabilidad proactiva por parte de los responsables y de los encargados de datos.

Hay que reconocer cuáles son las bases jurídicas a la hora de realizar el tratamiento. Si esta basado en el consentimiento o en el interés público. Todo este tipo de cuestiones hay que tenerlas identificadas.

Hay que realizar análisis de riesgos y en virtud de estos, establecer unas políticas de seguridad y de privacidad. También hay que valorar realizar análisis de impacto.

En cuanto a la gente que se dedica más al ámbito digital, adecuar los formularios de captura de información y establecer mecanismos para el ejercicio de derecho.

Una cuestión importante es valorar si los encargados del tratamiento y los proveedores que tenemos ofrecen garantías con respecto a esta ley porque la responsabilidad proactiva nos obliga también a verificar que nuestros proveedores cumplen todos estos estándares.

Otro aspecto es elaborar las políticas de privacidad, adaptarlas también con las capas de información que hay que proveer.

Respecto al caracter retroactivo que puede tener este reglamento, hay algo de consfusión al respecto porque, por un lado, si que hay retroactividad porque nos obliga a revisar los consentimientos que se han obtenido anteriormente. Se elimina los consentimientos tácitos.

Por otro lado, lo que mantiene la propia AGPD es que no hay retroactividad porque los tratamientos anteriores siguen siendo válidos, pero una vez aplicada la ley no se puede tratar los datos con respecto al consentimiento anterior de la antigua LOPD.

Nuestro anterior entrevistado, Néstor Marquínez, estaba preocupado porque debe enviar a todos sus contactos una nueva confirmación para obtener el consentimiento de sus suscriptores de email. ¿Esto podríamos considerarlo un problema con la retroactividad del nuevo RGPD?

Exactamente. Es un problema porque va a suponer la perdida de algunos suscriptores. Lo hablamos con Néstor en su momento y quizás va a ser problemático en cierto sentido pero, por otro lado, él habla del marketing de repulsión y de hacer estas segmentaciones para ofrecer un contenido de más valor y más segmentado respecto al target.

Entonces, si. Va a suponer un problema, pero también a ofrece una gran ventaja respecto a la confianza que establezcas con tus clientes.

¿A qué nos exponemos en caso de no cumplir el nuevo reglamento? ¿Cuáles son las multas que podríamos considerar?

A este respecto el nuevo reglamento deja a las autoridades en protección de los distintos países la posibilidad de establecer las sanciones económicas y las medidas correctoras.

En cualquier caso, la gente no debe tener miedo porque no van a comenzar a poner multas millonarias. La AGPD también es consciente de toda esta situación y pueden advertir a los responsables, pueden apercibirles y ordenarles, llegado el caso, de que atiendan a la solicitudes o que se ajusten a las disposiciones del reglamento.

En cuanto a las sanciones, la nueva ley elimina las clasificaciones tipificadas en niveles y ahora dependen directamente de los artículos del reglamento que contengan. Las más bajas pueden llegar los 10.000.000 € o el 2% del volumen del negocio total.

Afectan a la falta de implementación de medidas de seguridad, la falta de consentimiento paterno en el caso de que sea requerido o el no designar un delegado de protección de datos. Aspectos que no se cumplan del reglamento.

En cuanto a las multas de mayor importe, pueden llegar a los 15.000.000 € o el 4% del volumen del negocio total.

Lo más probable, al principio, es que tiendan hacia las advertencias de obligar el cumplimiento de esta legalidad.

Veamos un caso práctico sobre la legislación sobre webs o blogs, donde tenemos un formulario de contacto. Hasta el momento se podía pedir el consentimiento implícito al envío de los datos del usuario online, ¿Ahora es necesaria una confirmación explícita como una selector de confirmación?

Se suele buscar facilitar las acciones del usuario para facilitar la fluidez en la navegación, pero el consentimiento tácito se abandona con el nuevo reglamento.

A partir de ahora el consentimiento debe de ser:

• Libre. No puede de estar sujeto a ninguna coacción.
• Debe de ser informado. La AGPD recomienda utilizar una información en dos capas. Informando de los fines del tratamiento, la base jurídica si se planea cesiones a terceros. Posteriormente si se puede informar al usuario de la política de privacidad.
• El consentimiento debe de ser específico. Para el fin establecido.
• Debe de ser inequívoco. Por lo que es necesario utilizar un «checkbox» para aceptar las condiciones.

Ejemplo:

Solicitar los datos a cambio de la entrega de un lead magnet puede parecer contradictorio porque pedimos datos al usuario para que descargue un infoproducto gratuito, pero le estamos apuntando a una base de datos para enviarle información posterior. Pero si es posible aunar ciertos objetivos, evitar la generalidad y declarar los fines para los que se van a usar estos datos.

¿Será necesario reescribir los textos legales que utilizamos en nuestra web o blog?

A partir de ahora hay que revisar todas las políticas redactadas y añadir información al respecto del delegado de protección de datos, en caso de que lo haya, la base jurídica, los plazos de conservación de los datos en función del tipo y de los fines para el que se vayan a utilizar, si se planean cesiones o transferencias a terceros países, etc.

Sobre todo, lo más importante a reseñar es la necesidad y volviendo a al asunto de la responsabilidad proactiva, de que la carga de la prueba recae sobre el responsable y tiene que ser capaz de demostrar que los usuarios han dado su consentimiento siguiendo todos estos criterios.

Para esto servirían los logs de aceptación, la grabación de una llamada telefónica, por ejemplo.

¿Os apetece venir en alguna futura ocasiones y resolver algunos ejemplos prácticos de oyentes que se dedican a la formación online?

Por supuesto. En un asunto tan interesante como la formación también tiene, la RGPD (Reglamento General de Protección de datos), su implicación en este asunto.

¿Quiénes son Daniel y David de Marketing Onlaw?

Nosotros somos «Marketing Onlaw«. Somos una agencia de marketing digital especializada juristas y abogados. También nos dedicamos a ofrecer servicios de gestión de bases de datos y adecuación de los sitios web a la legalidad vigente. Finalmente, también ofrecemos un servicio de delegado de protección de datos.

Nos pueden localizar en Facebook, Twitter, Linkedin y Youtube.

Y con esto acabamos por hoy. ¿Os gustaría que habláramos más extendidamente de algún punto mencionado?

Estáis invitados a dejar vuestras opiniones, casos personales, dudas e invitaciones a un café 😉