Asegúrate de que tu empresa cumple con el RGPD

FAQs

• ¿Qué es el RGPD?

  Sospechamos que has oído hablar del RGPD. El Reglamento General de Protección de Datos (o “GDPR” para abreviar) es una ley europea de privacidad que entró en vigor el 25 de mayo de 2018, y tenía por objeto fortalecer, armonizar y modernizar la ley de protección de datos de la UE y mejorar los derechos y libertades individuales, de acuerdo con la comprensión europea de la privacidad como un derecho humano fundamental. El RGPD regula cómo las personas y organizaciones pueden obtener, usar, almacenar y compartir datos personales. Como reglamento, debe seguirse en su totalidad en toda la UE.

• ¿Me aplica el RGPD?

  El alcance del RGPD es muy amplio. Se aplica a (1) todas las organizaciones establecidas en la UE, y (2) todas las organizaciones que se dirigen o monitorean a individuos en la UE. Esencialmente, esto significa que el RGPD se aplicará a la mayoría de las organizaciones que procesan datos personales de individuos de la UE independientemente de dónde se establezca la organización e independientemente de dónde se lleven a cabo sus actividades de procesamiento. Esto significa que el RGPD podría aplicarse a cualquier organización en cualquier parte del mundo, en todas las industrias y sectores. Debe realizar su propio análisis para determinar en qué medida (si corresponde) su organización puede estar sujeta al RGPD.

• ¿Qué se consideran “datos personales”?

  Los datos personales son cualquier información relacionada con una persona identificada o identificable; es decir, información que podría usarse, por sí sola o junto con otros datos, para identificar a un individuo. Considere el alcance extremadamente amplio de esa definición—incluye no solo información que comúnmente se considera de naturaleza personal (por ejemplo, números de seguro social, nombres, direcciones físicas, direcciones de correo electrónico), sino también datos como direcciones IP, datos de comportamiento, datos de ubicación, datos biométricos, información financiera y mucho más. Esto significa que, para los clientes de Mailchimp, al menos la mayoría de la información que recopiles sobre tus contactos se considerarán datos personales bajo el RGPD.

  La definición amplia abarca las direcciones de correo electrónico del trabajo que contienen el nombre de un individuo o cualquier información de contacto comercial vinculada o relacionada con un individuo, como el nombre del individuo, título del puesto, empresa, dirección comercial, número de teléfono del trabajo, etc. Por el contrario, los datos personales no incluyen nombres comerciales genéricos, direcciones comerciales, direcciones de correo electrónico genéricas o cualquier otra información comercial general, siempre y cuando esta información no haya sido vinculada a un individuo. Entonces, por ejemplo, “John.Smith@mailchimp.com” lo más probable es que se consideren “datos personales” regidos por el RGPD mientras que “contact@mailchimp.com” no lo haría.

  También es importante señalar que incluso la información que no puede identificar a un individuo en particular por sí sola pero que podría combinarse con otra información para identificar a una persona (conocida como “datos seudónimos”) se considera datos personales. Entonces, por ejemplo, una dirección de correo electrónico hash seguirá siendo considerada datos personales, aunque seudonimizada.

  Los datos personales sensibles, como la información de salud o información que revele el origen racial o étnico de una persona, requieren una protección aún mayor. No debes almacenar datos de esta naturaleza dentro de tu cuenta de Mailchimp.

• ¿Qué significa “procesar” los datos?

  El tratamiento es cualquier operación que se realiza sobre datos personales, sea o no por medios automatizados. Esto incluye recopilar, grabar, organizar, estructurar, almacenar, adaptar, recuperar, usar, combinar, borrar, destruir, divulgar, difundir o poner a disposición datos personales de otra manera.

  Básicamente, si estás recopilando y administrando cualquier dato personal de personas que residen físicamente en Europa (incluso si no son ciudadanos), estás procesando datos personales dentro del significado prescrito por el RGPD. Esto significa, por ejemplo, que si alguna de tus audiencias de Mailchimp contiene la dirección de correo electrónico, el nombre u otros datos personales de una persona ubicada en Europa, entonces estás procesando datos personales bajo el RGPD.

• ¿Cuál es la diferencia entre un controlador de datos y un procesador de datos?

  Si procesa datos personales, lo hace ya sea como controlador o procesador, y existen diferentes requisitos y obligaciones que le aplicarán según el rol que desempeñe. Es importante entender si estás actuando como controlador o procesador y familiarizarte con las responsabilidades que te corresponden.

  Un controlador es la organización que determina los fines y medios de procesamiento; toma las decisiones importantes como qué datos personales se recopilan, para qué se utilizan los datos, cuánto tiempo se conservan y con quién se comparten. Un procesador es una organización que procesa los datos en nombre del controlador y solo bajo las instrucciones del controlador. Esto generalmente significa que un procesador no puede usar datos personales para ningún otro propósito que no sea para proporcionar un servicio al controlador relevante.

  Los controladores conservan la responsabilidad principal del cumplimiento del RGPD (incluida, por ejemplo, la obligación de notificar a las personas sobre el procesamiento, responder a las personas que ejercen sus derechos de privacidad e informar las violaciones de seguridad a las autoridades de protección de datos); sin embargo, el RGPD también impone algunas responsabilidades directas a los procesadores.

  En el contexto de Mailchimp, en la mayoría de circunstancias nuestro cliente actúa como controlador. Nuestros clientes, por ejemplo, deciden qué información de sus contactos se carga o transfiere a su cuenta de Mailchimp; dirigen a Mailchimp, a través de nuestra aplicación, para que envíe correos electrónicos a ciertos contactos en sus listas de distribución de correo electrónico; e instruyen a Mailchimp para que coloque anuncios en su nombre en plataformas de terceros como Facebook o Instagram.

  Mailchimp actúa como procesador al realizar estos y otros servicios para nuestros clientes. Hay ciertos casos en los que actuamos como controlador, como cuando procesamos la información del cliente para nuestros propios fines comerciales (como administración de cuentas y facturación) y para nuestro proyecto de análisis de datos. Puede encontrar más información sobre nuestros proyectos de análisis de datos, incluyendo cómo puede optar por no participar en el análisis de datos, aquí.

• ¿Cuáles son los principios clave bajo el RGPD?

  El RGPD contiene una serie de principios clave que deben seguirse al procesar datos personales para garantizar el cumplimiento. Es responsabilidad del controlador garantizar el cumplimiento de estos principios clave.

  • Los datos personales deben procesarse de manera justa, legal y transparente : Las personas deben ser informadas sobre cómo se utilizarán sus datos personales y nunca debe usar los datos de ninguna manera que la persona no esperaría razonablemente. También debe tener una base legal para procesar datos personales, como con el consentimiento del individuo, para cumplir un contrato, o basado en sus intereses legítimos.
  • Los datos personales deben ser recopilados para fines específicos, explícitos y legítimos : Solo debe recopilar datos personales para cumplir con fines específicos y no usar los datos de una manera incompatible con esos fines.
  • Los datos personales deben ser relevantes y limitarse a lo necesario : Solo debe recopilar la información que necesite y no recopilar ni usar datos innecesarios o redundantes.
  • Los datos personales deben ser precisos y mantenerse actualizados : Debe asegurarse de que los datos que tiene sean precisos y tomar medidas para revisar y actualizar la información cuando sea necesario.
  • Los datos personales solo deben conservarse durante el tiempo que sea necesario : Solo debe almacenar los datos personales durante el tiempo que los necesite y no debe conservar los datos personales indefinidamente o “por si acaso”.
  • Los datos personales deben mantenerse seguros y protegidos : Debe implementar medidas técnicas y organizativas para proteger los datos personales de acuerdo con el tipo de datos que procese y los recursos y tecnología disponibles.

  Lo más importante es que debes ser capaz de demostrar cómo cumples con estos principios y demostrar cómo eres responsable.

• ¿Qué derechos tienen los individuos bajo el RGPD?

  El RGPD otorga a las personas una serie de derechos en relación con sus datos personales. Debe asegurarse de que puede dar cabida a estos derechos si está procesando datos personales de personas de la UE.

  • Derecho de acceso : Las personas físicas tienen derecho a que se les proporcione cierta información sobre cómo se han recopilado y utilizado sus datos y a obtener de usted una copia de sus datos.
  • Derecho de rectificación : Las personas físicas pueden solicitar que sus datos sean corregidos o actualizados en cualquier momento.
  • Derecho de supresión (el “derecho al olvido”) : En determinadas circunstancias, las personas físicas pueden solicitar que sus datos sean suprimidos por completo.
  • Derecho a retirar el consentimiento : Si ha obtenido el consentimiento de una persona para tratar sus datos personales, puede retirar su consentimiento en cualquier momento.
  • Derecho de objeción : Alternativamente, si confías en tus intereses legítimos para procesar los datos de un individuo, el individuo puede oponerte a tu procesamiento y debes dejar de hacerlo a menos que puedas demostrar que tus intereses prevalecerían sobre los intereses y derechos de la persona.
  • Derecho a oponerse a la comercialización : Las personas físicas tienen derecho absoluto a oponerse en cualquier momento al tratamiento de sus datos personales con fines de marketing.
  • Derecho de portabilidad : Las personas físicas pueden solicitar que transfieras sus datos a otra organización.

  Las organizaciones deberán responder a estas solicitudes en el plazo de 1 mes o, en casos excepcionales, en el plazo de 3 meses. Salvo el derecho a oponerse a la comercialización (que es absoluto y por lo tanto siempre debe cumplirse), pueden aplicarse ciertas exenciones a los derechos antes mencionados. Por lo tanto, todas las solicitudes deben revisarse cuidadosamente.

• ¿Cómo se aplica el RGPD al email marketing?

  Cuando se trata de la regulación del email marketing en Europa, el RGPD es solo la mitad de la historia. Europa también tiene una ley separada, la Directiva de privacidad y comunicaciones electrónicas (o Directiva de privacidad electrónica), que contiene reglas suplementarias que rigen los requisitos de consentimiento para el marketing electrónico, es decir, el marketing enviado a través de canales de comunicación electrónica (como teléfono, fax, correo electrónico y SMS). Al enviar e-marketing, estas reglas de consentimiento suplementario se aplican además de la necesidad de que las empresas identifiquen los motivos legales de procesamiento bajo el GDPR.

  En pocas palabras, estas reglas requieren el consentimiento opt-in para el marketing por correo electrónico y SMS, a menos que los datos de contacto de una persona se recopilaran en el contexto de una venta y se le diera la posibilidad de optar por no participar en ese momento. Si es así, el marketing por correo electrónico y SMS de primera parte es posible sobre una base de exclusión voluntaria (aunque el correo electrónico y el marketing por SMS de terceros aún requieren la suscripción).

  Como la Directiva de privacidad electrónica es una Directiva, lo que significa que tiene que ser implementada en la ley local de cada estado miembro, debe verificar la ley local de los estados miembros para verificar los requisitos locales. Por ejemplo, algunos países (como el Reino Unido) están más relajados sobre el marketing por correo electrónico B2B (que se puede hacer sobre una base de exclusión voluntaria), mientras que otros países (como Alemania) tienen un requisito más estricto de doble opt-in (vea más sobre esto a continuación).

  Sin embargo, el RGPD sigue siendo relevante porque la mayoría de las direcciones de correo electrónico se considerarán datos personales y por lo tanto también estarán sujetas a los requisitos del RGPD. En particular, cuando se le requiera obtener el consentimiento de una persona, debe hacerlo de acuerdo con el RGPD.

• ¿Qué dice el RGPD sobre el consentimiento?

  Nos alegra que lo hayas preguntado. No siempre se requiere el consentimiento para procesar los datos personales de una persona. Sin embargo, cuando se le requiera obtener el consentimiento de la persona (que puede aplicarse si está realizando cierto marketing por correo electrónico) debe asegurarse de obtener el consentimiento de acuerdo con los estrictos requisitos del GDPR:

  • El consentimiento debe ser opt-in : Los individuos deben optar explícitamente por la recopilación y uso de sus datos personales. Esto significa que el silencio, las casillas preverificadas y las opt-ins implícitas (es decir, inactividad) no son válidos.
  • El consentimiento debe ser informado : Esto significa que debe proporcionar información significativa a las personas sobre por qué está recopilando la información y explicar claramente cómo planea usarla. Esta información deberá ser proporcionada en el momento en que los individuos den su consentimiento.
  • El consentimiento debe ser específico : Esto significa que se debe obtener un consentimiento separado para diferentes actividades de procesamiento y no debe intentar agrupar diferentes propósitos dentro de 1 consentimiento.
  • El consentimiento debe darse de forma libre : Esto significa que los individuos deben tener una opción genuina al dar su consentimiento y su consentimiento no debe estar condicionado a recibir un producto o servicio.
  • El consentimiento debe ser demostrable : No olvide que debe poder demostrar que ha obtenido el consentimiento, incluyendo quién lo consintió, cuándo y qué información se le dio al individuo en ese momento.

  Por último, hay que tener en cuenta que ciertos países requieren el " doble " consentimiento opt-in para llevar a cabo el email marketing. El doble opt-in implica un paso de confirmación adicional que verifica cada dirección de correo electrónico. Aunque esto no es requerido por el GDPR, o por todos los estados miembros de la UE, le recomendamos que habilite el doble opt-in al enviar comunicaciones de marketing electrónico a individuos de la UE.

• ¿El RGPD dice algo sobre las transferencias transfronterizas de datos?

  Sí, el RGPD contiene disposiciones que abordan la transferencia de datos personales de estados miembros de la UE a terceros países, como Estados Unidos. El RGPD no contiene ningún requisito específico de que los datos personales de las personas de la UE se almacenen solo en los estados miembros de la UE. Más bien, el RGPD requiere que se cumplan ciertas condiciones antes de que los datos personales se transfieran fuera de la UE, identificando una serie de mecanismos diferentes que las organizaciones pueden utilizar para realizar transferencias transfronterizas de datos: decisiones de adecuación, cláusulas contractuales estándar, reglas corporativas vinculantes, mecanismos de certificación y códigos de conducta. El propósito principal de estos mecanismos es garantizar que cuando los datos personales de los europeos se transfieren al extranjero, la protección viaje con los datos.

  Una decisión de adecuación es una decisión de la Comisión Europea de que el país o territorio al que se transfieren los datos personales proporciona un nivel adecuado de protección. Antes de la decisión de 2020 que invalida los marcos de privacidad de datos UE-EE. UU. y Suiza-EE. UU., el marco de privacidad de datos UE-EE. UU. era uno de los ejemplos de una decisión de adecuación.

  A partir del 10 de julio de 2023, la Comisión Europea adoptó un nuevo Marco de Privacidad de Datos (DPF) UE-EE. UU., otorgando adecuación a Estados Unidos. Las Partes previamente certificadas bajo el Marco del Escudo de Privacidad UE-EE. UU. y comprometidas a mantener los Principios del DPF ahora pueden confiar en esta decisión de adecuación para transferir datos de la UE a los Estados Unidos. Mailchimp es una de esas empresas y continuará protegiendo los datos del EEE, Reino Unido y Suiza de conformidad con sus obligaciones de certificación.

  Además, Mailchimp se compromete contractualmente a transferir y procesar todos los datos de sus usuarios de la UE, Suiza y el Reino Unido de conformidad con las cláusulas contractuales tipo de la UE, que siguen siendo un mecanismo válido de exportación de datos y que se aplican automáticamente de conformidad con el Apéndice de procesamiento de datos de Mailchimp. Puedes obtener más información sobre nuestra certificación del marco de privacidad de datos (DPF, por sus siglas en inglés) UE-EE. UU. aquí.

  Si está transfiriendo datos personales a otras organizaciones que se encuentran fuera de la UE, entonces debe asegurarse de tener un terreno adecuado para realizar la transferencia transfronteriza de datos, como una decisión de adecuación o cláusulas contractuales estándar aprobadas por la Comisión Europea.

• ¿Sigue aplicándose el RGPD al Reino Unido después del Brexit?

  El RGPD de la UE es un Reglamento de la UE y ya no se aplica al Reino Unido. Sin embargo, cualquier negocio que opere dentro del Reino Unido debe cumplir con la ley de protección de datos del Reino Unido. El RGPD se ha incorporado a la ley de protección de datos del Reino Unido como el GDPR del Reino Unido, por lo que en la práctica hay pocos cambios en los principios, derechos y obligaciones fundamentales de protección de datos que se encuentran en el RGPD del Reino Unido.

  Además, recuerde que si tiene su sede en el Reino Unido pero se dirige o monitorea a personas de la UE, seguirá estando sujeto al GDPR incluso después del final del período de transición.

• ¿Qué pasa si no cumples con el RGPD?

  El incumplimiento del RGPD puede dar lugar a grandes sanciones económicas. Las sanciones por incumplimiento pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

• ¿Por qué es importante la protección de datos?

  Aparte del hecho de que es posible que se le requiera seguir ciertas leyes de protección de datos basadas en sus operaciones comerciales, la protección de datos ofrece varios beneficios. Seguir las mejores prácticas de protección de datos es especialmente importante si su negocio trata con los datos personales de los clientes.

  El compromiso de proteger los datos de los clientes ayuda a generar confianza con sus clientes, lo que le ayuda a mantener a los clientes cerca durante mucho tiempo y reduce los costos de adquisición de clientes.

  La protección de datos también es excelente porque puede ayudarlo a cambiar la forma en que administra sus datos y garantizar que estén seguros pero siempre disponibles. La correcta recopilación y gestión de datos son las piedras angulares de la protección de datos, por lo que proteger sus datos e implementar cosas como el consentimiento GDPR puede ayudarlo a mejorar su gestión de datos en su conjunto. Esto significa que los datos siempre están disponibles cuando usted o sus clientes los necesitan, por lo que las operaciones comerciales no se interrumpen.

• ¿Cuáles son los beneficios del consentimiento GDPR?

  En primer lugar, es esencial que estés siguiendo el RGPD si lo requieres en función de los datos que recopilas. Si tu empresa recopila datos personales de alguien en la UE, el consentimiento del RGPD puede ser una parte importante para asegurarte de que estás recopilando esos datos legalmente.

  La mejora de la gestión de datos es un beneficio del cumplimiento del RGPD. Cuando utiliza el consentimiento del RGPD y recopila datos de acuerdo con el RGPD, también tiene la oportunidad de adoptar las mejores prácticas de gestión de datos que quizás no haya utilizado antes. Y debido a que el cumplimiento de GDPR requiere que recopile, almacene y administre datos de una manera particular, ayuda a mejorar su administración de datos por defecto. Si ya está repasando sus procesos de recopilación y administración de datos, puede aprovechar la oportunidad para asegurarse de que también está al tanto del cumplimiento del RGPD.

• ¿Yo, como individuo, tengo que cumplir con GDPR?

  Como individuo, debe mantener el cumplimiento del RGPD siempre que cumpla con los criterios. Siempre y cuando recopile datos personales de personas que sean residentes de la UE, debe seguir el RGPD cuando se trata de recopilar, almacenar y administrar esos datos personales. Dicho esto, hay ciertos casos en los que un individuo no está obligado a mantener el cumplimiento del RGPD incluso si está recopilando datos de personas en la UE.

  Una de las cosas más importantes a tener en cuenta es que ciertos tipos de recolección de datos están exentos del RGPD. Esencialmente, solo debes seguir las pautas del RGPD si estás recopilando información personal de personas ubicadas en la UE con fines comerciales. Otros tipos de recopilación de datos no están sujetos a las pautas del RGPD. Esto incluye la recopilación de datos personales, como listas de números de teléfono, direcciones y otra información destinada a uso personal o doméstico. Dicho esto, sigue siendo una buena idea mantener el cumplimiento del RGPD si estás recopilando algún tipo de datos de residentes de la UE. Por lo menos, mantener el cumplimiento del RGPD te ayudará a asegurarte de que tus sistemas de gestión y protección de datos estén actualizados.

  Si eres un individuo, pero no estás recopilando datos de personas en la UE, no tienes que preocuparte por el cumplimiento del RGPD. Sin embargo, seguir las pautas de marketing y protección de datos del RGPD puede ayudarlo a asegurarse de que está protegiendo los datos privados de los clientes, lo que ayuda en gran medida a aumentar la lealtad de los clientes y aumentar la reputación de su marca.

  Incluso como individuo, es importante entender si se le exige o no mantener el cumplimiento del RGPD. Podría pensar que está recopilando una pequeña cantidad de datos que no son particularmente valiosos, pero la protección de datos es crucial cuando se trata de cualquier tipo de datos personales.

• ¿Hay regulaciones de protección de datos además del RGPD que deba seguir?

  El RGPD puede ser solo una de las leyes que necesitará comprender para su negocio, especialmente si está procesando los datos personales de personas fuera de la UE. Los diferentes estados, provincias y países tienen leyes diferentes, por lo que las regulaciones que debes seguir varían según tus operaciones comerciales y el tipo y tipo de datos que proceses.

  Por ejemplo, California tiene lo que puede ser la ley de protección de datos más conocida en Estados Unidos, que se llama California Consumer Privacy Act (CCPA). Varios estados además de California también tienen leyes de protección de datos que se modelan de manera similar a la CCPA o al GDPR. Por supuesto, es posible que aún se le exija que mantenga el cumplimiento del RGPD y siga otras regulaciones si opera fuera de los Estados Unidos, pero recopilar datos de clientes en ciertos estados impondrá requisitos adicionales a aquellos bajo el GDPR.

  También existe una ley de Canadá con respecto a la protección de datos que se llama Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA). Esta ley a menudo se conoce como el equivalente canadiense del GDPR, por lo que mantener el cumplimiento de PIPEDA también es importante para muchas empresas. Al igual que el cumplimiento de GDPR, está obligado a mantener el cumplimiento de PIPEDA si recopila, usa o divulga la información personal de ciudadanos canadienses con fines comerciales. Y, al igual que con Estados Unidos, también existen leyes provinciales de protección de datos dentro de Canadá que pueden afectar tu actividad empresarial

  Por último, existen innumerables regulaciones a la hora de administrar un negocio, ya sea que esté dirigiendo un negocio en línea o no. Por ejemplo, si tienes una campaña de email marketing en EU, tienes que seguir la Ley CAN-SPAM de 2003, y hay leyes equivalentes en muchos otros países. Si estás haciendo muchos negocios a nivel internacional, vale la pena hablar con un experto sobre qué leyes debes seguir para mantener los datos de tus clientes protegidos.