7 tips para que tu CRM cumpla con éxito el nuevo GDPR / RGPD

por Emilio Fernández Lastra | Abr 10, 2018 | Legal

Seguro que ya has oído hablar del GDPR / RGPD o Reglamento General de Protección de Datos, el cual entrará en vigor en toda la Unión Europea el próximo 25 de mayo de 2018. Si tu empresa vende o presta servicios dentro de la UE y dispones de listados de clientes, debes acatarte a estas normas si no quieres recibir importantes sanciones. Aquí te muestro 7 tips que te ayudarán a gestionar con éxito este nuevo reglamento.

Como sabrás, Internet ha traído como consecuencia el acceso por parte de las empresas, de una gran cantidad de datos. Este hecho hizo que se creara en el año 1995 la Directiva de Protección de Datos, la cual se quedó rápidamente obsoleta ante la evolución que ha surgido en el ámbito online a raíz del desarrollo de las diferentes plataformas sociales, auténticas generadoras de datos de carácter personal. Es por eso que surge el GDPR, para atender a ese aumento y variación en el tipo de información de carácter personal que circulaba a través de estas y que iba a parar de una u otra manera a empresas con el fin de utilizarlas de manera comercial, en muchos casos, sin el consentimiento de los usuarios.

Seguro que la primera pregunta que te haces es, ¿a qué considera el GDPR datos personales? Muy sencillo, es toda aquella información por la que una persona puede ser identificada, directa o indirectamente, como su nombre, DNI, dirección postal o número de teléfono. Pero también son considerados datos personales, información referida a la identidad física como los datos genéticos, fisiológicos, psíquicos, económicos, culturales o sociales. Además, en esta nueva normativa, la dirección IP e incluso las cookies podrían ser consideradas también como datos personales, así que ten cuidado con ello.

Te preguntarás también cómo puede tu empresa controlar que toda esta información sea correctamente tratada, ¿verdad? En la nueva norma también hablan de ello. Según el GDPR toda empresa debería de tener un responsable de protección de datos (DPO) bien sea de manera interna o externa, el cual cuide por la seguridad de la información que maneja la empresa, cumpliéndose la nueva normativa.

Ahora que ya estás introducido en el tema, vamos a por lo que importa: 7 sencillos pasos para ayudarte a que tu empresa cumpla con la nueva normativa europea.

Siete consejos para cumplir con el GDPR

Evita sorpresas de última hora y asegúrate que tu empresa está lista para el GDPR.

1. Conoce qué es el GDPR y cuáles son sus ventajas.

Esta nueva normativa exige a las empresas dentro de la UE, a que utilicen un mismo sistema eficiente para el manejo de datos, dando estabilidad y uniformidad a la interacción entre las diferentes organizaciones. Además, el nuevo GDPR establece estándares de privacidad y protección de datos únicos, los cuales están pensados para beneficio no sólo de los consumidores, sino también de las empresas.

El tener este apartado optimizado en tu empresa, así como participar de dichos estándares repercutirá de una manera positiva en los procesos de tu empresa, aumentando la productividad, y teniendo, al fin y al cabo, una repercusión positiva en los resultados de tu compañía.

2. Apréndete las nuevas normas.

Estas son algunas de las normas que deberá cumplir tu empresa. Te recomiendo que le dediques unos minutos a leerlas y comprenderlas.

Sobre los criterios de consentimiento. Es frecuente que las empresas utilicen unos criterios de consentimiento difíciles de leer y con mucha terminología y verbos de temática jurídica. Con este nuevo reglamento las solicitudes de consentimiento de tu empresa deben ser claras, accesibles y escritas en un lenguaje sencillo que pueda entender todo el mundo. Otro aspecto que incluye, es que debe ser igual de sencillo para los usuarios el retirar su consentimiento que otorgarlo. A partir de este nuevo GDPR, las casillas de consentimiento deben de estar desmarcadas, siendo el usuario el que haga el acto voluntario de marcar aquellas que le interesen. El consentimiento debe ser expreso, ya no puede haber un consentimiento tácito.

Sobre los derechos a oponerse. Un punto destacable de esta nueva norma, es que ahora los usuarios tienen derecho a elegir cómo puede ser utilizada, o no, su información personal. Hasta ahora, las empresas no estaban obligadas a informar para qué iban a utilizar los datos que recababan. Ahora deben de expresar a sus usuarios de forma obligada si quieren que se utilicen sus datos con fines de marketing o si quieren recibir emails de tu empresa. En función de su disposición, tendrás que crear listas diferentes en el CRM de tu empresa.

Sobre protección de menores. Esto debes de grabártelo a fuego. Los menores de 16 años necesitan el consentimiento de sus padres o tutores legales para proporcionar información personal.

Sobre el derecho de supresión o el derecho al olvido. La nueva GDPR obliga a las empresas a ofrecer a sus usuarios la posibilidad de eliminar sus datos compartidos con esta, así como a comunicárselo en un plazo menor a los siguientes 30 días desde su solicitud. ¿Qué quiere decir esto? Que deberás adaptar tu CRM para que te notifique cuáles de tus clientes han ejercido su derecho al olvido.

Sobre el derecho de rectificación. Con el nuevo reglamento, las empresas deben tener preparado su CRM para poder realizar cambios o rectificaciones en los datos de sus clientes, a petición de estos. Del mismo modo, y a consecuencia de ello, es necesario que tu CRM disponga de notificaciones automáticas para comunicar a tus clientes que esas rectificaciones que han pedido se han realizado correctamente. De este modo se mejorará la transparencia y la comunicación con tus contactos.

Sobre el derecho de la portabilidad de los datos. Al crear un estándar con este nuevo reglamento, se facilita el traspaso de información del cliente de un responsable a otro, de manera sencilla y óptima. Con esta nueva norma, tus clientes tienen derecho a pedirte sus datos y traspasarlos a otra empresa.

3. Ten muy organizados y planificados los procesos que vas a llevar a cabo para la recogida y el procesamiento de los datos.

Ahora es necesario que demuestres legalmente los motivos por los que has recogido esa información de tus clientes y potenciales, así como la forma en la que los has captado. Con esto lo que se intenta es que las empresas sólo almacenen aquella información que necesitan para su actividad diaria.

Será necesario que centralices toda la información de carácter personal en un mismo lugar, como un CRM, el cual albergue el registro de consentimiento.

Para ajustarte a este nuevo procedimiento, es necesario que adaptes ese CRM para almacenar y gestionar sólo aquella información que necesitas, así como para poder automatizar mecanismos de control.

4. Cambia todos los formularios y formas que tenías para recoger datos y que no están en línea con la nueva norma.

Antes del nuevo GDPR muchas empresas recogían datos de sus clientes y potenciales, dejando automáticamente marcada la casilla de consentimiento. Desde ahora, esa casilla debe ser marcada de manera activa por el usuario, por tanto, deberás de modificar aquellos formularios online o físicos en los que tenías definida esa casilla como marcada automáticamente.

5. Protege bien los datos.

Como supondrás, esta nueva norma se basa en dos prioridades: el consentimiento por parte del usuario y la protección. En cuanto a la protección, esta norma exige a las empresas no sólo a que recojan únicamente aquella información que necesitan, si no también que sólo las personas encargadas de trabajar sobre esa información sean las únicas que puedan acceder a ella.

6. Orienta la actividad de tu empresa hacia una verdadera cultura customer centric.

Como sabes, con esta normativa cuando un usuario entra en un site, debe aceptar las cookies antes de lanzarlas. Ofrece contenidos de calidad o servicios a cambio de su aceptación. Según muchos estudios, el usuario está dispuesto a dar sus datos a cambio de recibir una experiencia mejorada.

7. Conoce bien las multas que pueden existir si se incumple el RGPD.

Por lo general, esta normativa es muy positiva tanto para usuarios como para empresas, pero es cierto que las organizaciones tienen que realizar un esfuerzo para adaptarse a ellas. Si no lo haces e incumples alguna de las normas, te enfrentas a sanciones muy importantes. Estas sanciones varían en función del tamaño de la infracción, pero para que te hagas una idea, estas pueden rondar multas que supongan un 4% de la facturación global anual de la compañía o los 20 millones de euros, dependiendo de cuál sea la cifra mayor.

¿Qué es el reglamento e-Privacy?

El Reglamento e-Privacy es un reglamento que se está desarrollando al nivel europeo de manera paralela al GDPR, y el cual vela sobre el respeto sobre la vida privada y la protección de los datos personales en las comunicaciones electrónicas. Fundamentalmente está pensado para lo que se avecina en el Internet de las cosas (IoT) y las aplicaciones de mensajería instantánea. A día de hoy, no está definida su fecha de aplicación, pero es interesante que vayamos pensando en ella.

Proyectos muy ambiciosos relacionados con el IoT en el cual se ayude a optimizar la conducción en vehículos, el consumo de energía o la salud, pueden verse perjudicados con este reglamento, ya que atacaría directamente a datos muy sensibles del usuario. Seguiremos su pista para ver de qué manera evoluciona y cómo finalmente se redacta, ya que mucha de la inteligencia artificial en el entorno online y digital puede verse truncada.

¿No sabes si tu empresa lo está haciendo bien con el GDPR? Si no sabes cómo afrontar este importante reto, tu CRM no está preparado o ves que con esta normativa vas a perder una gran cantidad de datos, puedes ponerte en contacto con nosotros. En Artyco desde hace unos meses venimos trabajando en ello para nuestros clientes. ¿Te ayudamos?

Novedades Reglamento Europeo de Protección de Datos

por Artyco | Abr 15, 2016 | Business Intelligence (BI), Recopilatorio 2016

Audea, nuestro Asesor y Consultor de Sistemas de Gestión de la Información y Protección de Datos, informa que en las últimas horas se ha publicado en diversos medios la aprobación del Reglamento General de Protección de Datos.

Podéis ampliar información en:

La aprobación de un Reglamento Europeo es un proceso muy complejo y se lleva a cabo a través de diversas fases. De hecho, este es la 3ª o 4ª vez que los medios alertan de su aprobación definitiva.

En concreto, lo aprobado ayer fue la “Resolución legislativa del Parlamento Europeo respecto de la Posición del Consejo en primera lectura con vistas a la adopción del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”

Por lo tanto, aún faltan algunos pasos para su aprobación definitiva, aunque no deberían tardar mucho en producirse.

Cuando se apruebe de forma definitiva, entrará en vigor a los 20 días de su publicación, pero no será exigible hasta pasados 2 años, durante los cuales las empresas tendrán que adaptarse a las nuevas obligaciones.

Todavía no tenemos el texto definitivo, pero os recordamos los principales cambios que se esperan con esta nueva norma:

Aplicación de la normativa Europea a operadores de otros países que traten datos de ciudadanos europeos en determinadas condiciones.
Actualización de los procesos de obtención del consentimiento (es posible que se pida siempre un consentimiento expreso).
Obligación de realizar una Evaluación de Impacto en el caso de tratamientos de datos que puedan ser relativamente sensibles (p.e. para proyectos de Big Data u otras tecnologías novedosas que pudiesen suponer riesgos específicos para la intimidad de las personas).
Desaparición de la obligación de declarar ficheros en las autoridades de protección de datos (aunque determinadas bases de datos tendrán que ser inventariadas de forma más detallada que hasta ahora).
Endurecimiento de las sanciones (pudiendo imponerse sanciones de hasta un determinado porcentaje de la facturación de una corporación a nivel mundial)
Obligación de comunicar las brechas o incidentes de seguridad tanto a los afectados como a la AEPD (actualmente sólo es obligatorio para los operadores de telecomunicaciones).
Mayor profundidad en los derechos de los ciudadanos, pudiendo llegar a ejercer el derecho de Portabilidad (llevarse los datos en un formato estándar de un servicio a otro).
Para determinadas empresas y organismos públicos, la designación de un Data Protection Officer.
Aplicación de la privacidad por defecto (por ejemplo, evitar tratar datos personales directamente identificativos cuando sea suficiente con un código).
Mayor promoción de la adopción de estándares, códigos tipos y certificaciones de privacidad (pudiendo resultar de ayuda para rebajar el importe de las sanciones).

En cuanto sea publicado de forma definitiva, os seguiremos informando.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non-necessary".
cookielawinfo-checkbox-performance	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.

Cookie	Duración	Descripción
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
vuid	2 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Duración	Descripción
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.

Cookie	Duración	Descripción
AnalyticsSyncHistory	1 month	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.