Se acerca el RGPD: cómo prepararse

Nota: Esto es solo para fines informativos generales y no pretende constituir un análisis legal o asesoramiento legal. Debe ponerse en contacto con un abogado para obtener más información sobre sus obligaciones particulares en virtud del RGPD.

Si forma parte de una organización que hace negocios con ciudadanos de la Unión Europea, es posible que haya oído hablar de los próximos cambios relacionados con el Reglamento General de Protección de Datos (GDPR). GDPR es una ley de la Unión Europea destinada a fortalecer y unificar las normas y derechos de protección de datos en beneficio de los ciudadanos de la UE. El RGPD se aplica a las organizaciones de la UE y de fuera de la UE (de cualquier tamaño) que proporcionan bienes y servicios a la UE o que utilizan tecnologías de seguimiento (como cookies o píxeles de seguimiento) para controlar el comportamiento de los usuarios de la UE.

GDPR entrará en vigor a partir del 25 de mayo de 2018.

En ese momento, cualquier organización que no cumpla puede estar sujeta a multas y otras sanciones reglamentarias. Para obtener una descripción general de GDPR, este artículo es un excelente lugar para comenzar.

Principios clave del RGPD

Tenga en cuenta los siguientes principios mientras usted y su equipo se preparan para el próximo RGPD:

• Los datos personales recopilados deben procesarse de manera justa, legal y transparente. No debe usarse de ninguna manera que una persona no esperaría razonablemente.
• Los datos personales solo deben recopilarse para cumplir con un propósito específico y no deben usarse de manera incompatible con esos fines. Las organizaciones deben especificar por qué necesitan los datos personales cuando los recopilan.
• Los datos personales retenidos deben mantenerse actualizados y precisos. No debe celebrarse más tiempo del necesario para cumplir su propósito.
• Los ciudadanos de la UE tienen derecho a acceder a sus propios datos personales. También pueden solicitar una copia de sus datos y que sus datos se actualicen, eliminen, restrinjan o transfieran a otra organización sin obstáculos.
• Todos los datos personales deben mantenerse seguros y protegidos, y las empresas que realizan ciertos tipos de actividades ahora deben designar un oficial de protección de datos.

¿Qué son los datos personales?

La definición de GDPR de datos personales incluye lo que normalmente consideramos información de identificación personal (PII, por sus siglas en inglés) (nombre, número de pasaporte, fecha de nacimiento, etc.), pero también incluye datos que podríamos considerar que no son PII, como direcciones IP o dispositivos. identificaciones

Los datos personales pueden incluso incluir datos sobre un individuo que ha sido cifrado o cifrado.

Para obtener una lista completa de lo que el RGPD considera datos personales, lea el Artículo 4(1) del RGPD.

Además, en la definición de datos personales se incluye un subconjunto de datos conocido como "categorías especiales de datos personales". Las categorías especiales de datos personales son una lista específica de datos, expresamente establecida en el RGPD, e incluye cosas como raza, religión, opiniones políticas, datos de salud, etc.

Pasos para prepararse para el RGPD

Mapeo de datos: determine (y documente) lo siguiente:

• ¿Qué datos personales posee o recopila?
• ¿Para qué finalidades se utilizan los datos personales?
• ¿De dónde provienen estos datos y con qué partes se han compartido?
• ¿Dónde residen actualmente estos datos?
• ¿Cuánto tiempo se almacenan los datos?
• ¿Cómo se eliminarán o modificarán estos datos si un interesado presenta una solicitud?

Derechos: verifique sus procedimientos actuales para asegurarse de que puede cumplir con los derechos de los interesados. Los ciudadanos de la UE tienen derecho a acceder a sus propios datos personales. También pueden solicitar una copia de sus datos y que sus datos se actualicen, eliminen, restrinjan o transfieran a otra organización sin obstáculos, en determinadas circunstancias.

Consentimiento: cuando se base en el consentimiento como base para el procesamiento de datos personales, aborde cómo busca, obtiene y documenta el consentimiento. Para ciertos (pero no todos) los tipos de actividades, generalmente se debe obtener el consentimiento de un individuo para usar sus datos, por ejemplo, cuando se procesan categorías especiales de datos personales. El RGPD establece que el consentimiento debe darse mediante un acto afirmativo claro: el silencio, las casillas previamente marcadas o la inactividad generalmente no constituyen consentimiento. El consentimiento también debe ser informado.

Las organizaciones deberán proporcionar información sobre por qué recopilan los datos personales y para qué se utilizarán.

También se le pedirá que mantenga un registro de todos los consentimientos obtenidos, incluido quién dio su consentimiento, cuándo y qué declaraciones específicas dieron su consentimiento. Las personas de la UE tendrán derecho a retirar el consentimiento en cualquier momento.

Políticas de privacidad: revise su política de privacidad actual y determine si se necesitan actualizaciones.

Diseño de productos: debe incorporar la privacidad por diseño en los proyectos y considerar cómo puede minimizar el impacto de privacidad de sus productos. Intente usar seudonimización, anonimización y encriptación cuando sea apropiado o necesario. Se puede encontrar información más detallada sobre la privacidad por diseño en el artículo 25 del RGPD.

Procedimientos de violación de datos: asegúrese de contar con procedimientos para detectar, informar e investigar cualquier violación de datos. GDPR requiere que las organizaciones informen una infracción a las autoridades de protección de datos generalmente dentro de las 72 horas posteriores a la detección, a menos que sea poco probable que la infracción resulte en un riesgo para los derechos de privacidad de las personas.

Oficial de protección de datos: determine si debe nombrar un oficial de protección de datos (DPO). El RGPD establece que se debe designar un DPO cuando las actividades principales de la organización impliquen un "seguimiento regular y sistemático de interesados ​​a gran escala" o cuando la organización lleve a cabo un procesamiento a gran escala de "categorías especiales de datos personales". El DPO es responsable de supervisar el cumplimiento de los requisitos del RGPD y sirve como punto de contacto entre la organización y las autoridades de supervisión.

Proveedores de terceros: haga una lista de todas las soluciones de terceros que utiliza actualmente (incluidas las cookies de seguimiento de sitios web) que tienen acceso o procesan los datos personales de los interesados. Debe revisar todos sus contratos con proveedores externos. Incluya en sus contratos cláusulas de confidencialidad y privacidad de datos que, en su caso, cumplan con el RGPD. Pregunte a los proveedores externos que ha determinado que están dentro del alcance si cumplen con la regulación GDPR.

Concientización: eduque a sus empleados sobre el RGPD y su impacto en la recopilación y el manejo de los datos personales de los clientes.

¿Qué pasa con el Escudo de privacidad?

El RGPD tiene requisitos específicos con respecto a la transferencia de datos personales fuera de la UE.

Por ejemplo, la transferencia de datos solo debe ocurrir a países que se haya determinado que tienen leyes de protección de datos adecuadas o donde haya implementado mecanismos apropiados de exportación de datos.

La UE no considera que EE. UU. tenga leyes de protección de datos adecuadas; sin embargo, el Escudo de privacidad es un programa voluntario de autocertificación en el que las organizaciones de EE. UU. pueden participar para demostrar que cuentan con prácticas de protección de datos adecuadas para cumplir con este requisito del RGPD. .

SendGrid cuenta con la certificación Privacy Shield y también ofrece cláusulas contractuales estándar a los clientes como un mecanismo alternativo de exportación de datos.

¿Cómo afecta esto al correo electrónico?

GDPR tendrá un impacto en las prácticas de marketing. Todos los especialistas en marketing por correo electrónico preocupados por el RGPD deben abordar cómo buscan, obtienen y documentan el consentimiento cuando es necesario. Los especialistas en marketing también querrán asegurarse de que pueden actualizar, eliminar, restringir o mover los datos de una persona si así lo solicitan. ¡Al cumplir con GDPR y eliminar las direcciones de correo electrónico de los sujetos no deseados de sus listas, puede mejorar su capacidad de entrega!

¿Qué sigue?

Si cree que su organización se verá afectada por el RGPD, comuníquese con un abogado para obtener más información sobre sus obligaciones particulares en virtud del RGPD. El propósito de esta publicación es resaltar algunos de los cambios que pueden ocurrir para las organizaciones como resultado del RGPD. El texto completo del RGPD está disponible aquí. También puede encontrar más información relacionada con el uso de cookies, el Reglamento de privacidad electrónica y cómo se relaciona con el RGPD aquí.