? La generación de leads es una parte muy importante en los procesos de marketing
Pues te permitirá hacer un registro, llevar un seguimiento de tus potenciales clientes y terminar con la, tan deseada, venta de tu producto o servicio.
Sí, lo sé, no es tan fácil como se dice.
Sin embargo, en lo que sí estamos de acuerdo, es que el objetivo principal de cualquier profesional del marketing digital es poder generar el mayor número posible de leads y que un gran volumen de estos sean de calidad.
Y para poder hacerlo es necesario obtener la información de tus usuarios.
¿Cierto?
Pues bien, existen normas que protegen la privacidad y los datos de las personas .
⚠️ Y si tu empresa no cumple con lo establecido será sancionada con grandes multas. ⚠️
? Tú no quieres eso, ¿verdad?
No te preocupes, este artículo es para ti. ?
Bien. Antes de comenzar a explicarte sobre la importancia de la normativa debes saber lo siguiente.
El proceso de adecuación al GDPR es gradual y constante, es algo dinámico.
Y si bien muchas veces se requiere de un cambio radical en los procesos y prácticas empresariales, mantener vigente la adecuación al GDPR necesita de supervisión y relevamiento constantes.
Aclarado este punto, te diré sobre qué trata la ley.
? El General Data Protection Regulation (GDPR), también conocido como Reglamento General de Protección de Datos (RGPD en español), es un reglamento de la Unión Europea que se encarga de proteger los derechos fundamentales de Privacidad de las personas. ?
Este reglamento ha entrado en vigor desde mayo de 2016 y recién se está aplicando desde el 25 de mayo de 2018.
Ahora… ¿Recuerdas a la norma anterior?
Pues bien, esta nueva norma sustituye a las leyes de cada uno de los países europeos, y presenta nuevas características.
Además, aumenta la responsabilidad de las empresas, tanto europeas como aquellas empresas internacionales que tratan datos de residentes europeos, sobre cómo procesan, almacenan, utilizan y eliminan esta información.
Por esta razón, desde ahora, debes cambiar la manera de recolectar la información de tus usuarios.
Además, puede darse el caso que cuando eres propietario de una página web o de un blog, sin darte cuenta, puedes estar recolectando los datos personales de tus usuarios.
Por ejemplo, uno de los casos más comunes.
? ¿Recuerdas esos formularios donde debes dejar el nombre, apellido y correo para poder acceder a la información o para dejar un comentario? ?
¡Están recabando datos personales!
Cuestiones aparentemente inofensivas como incluir una cookie o una imagen de seguimiento puede ser considerado tratamiento de datos personales y puede generar sanciones.
Por lo tanto, tu empresa tiene la responsabilidad de asegurar que maneja bien los datos, que los recopilan por las razones correctas y que no los almacenan por períodos muy extensos.
¿Mi empresa está en la obligación de cumplir el reglamento?
Por lo general, sé que esta suele ser una parte muy confusa, no solo para tí sino también para muchas personas, pues no pueden tener claro si están sujetos a cumplir lo establecido por el reglamento.
¿Estás listo para, por fin, tener claro si debes aplicar la normativa? ?
¡Enhorabuena! ?
Comencemos por una de las características principales… su ámbito de aplicación territorial.
Este es muy amplio ya que en la actualidad abarca a todos los Estados miembros de la Unión Europea. Y eso no es todo, pero ya lo verás más abajo.
Entonces, si eres autónomo o tu empresa está ubicada en un país de la Unión Europea y recolectas datos de tus usuarios o clientes deberás cumplir con lo establecido en el Reglamento General de Protección de Datos (RGPD).
Ten cuenta que todas, absolutamente todas, las empresas están sujetas a esta normativa y eso incluye a grandes como Google y Amazon.
Hasta este punto todo está claro.
Pero, ¿qué pasa si tu empresa está ubicada fuera de la Unión Europea?
Parece complicarse; pero no es así.
Pues el RGPD deja muy clara esta situación:
Todas las personas o empresas que participen de la obtención, procesamiento y uso de información personal de residentes en la Unión Europea, estarán en la obligación de cumplir la normativa.
Por ejemplo, si tienes una página web en México, podrías decir que no estás sujeto a esta ley, ¿verdad?
Esto es correcto hasta cierto punto, pues si tu empresa recauda datos de personas europeas ya estarías obligado a cumplirla.
? Recuerda, si estás recaudando información de personas ubicadas en, por ejemplo, España deberás seguir todo lo establecido a la hora de recabar los datos, de guardar la información y de presentar la información.
Voy a poner dos ejemplos para poder explicar este punto.
? Imagina que vives en Europa y te conectas a un sitio web ubicado fuera de la Unión Europea, este sitio web deberá darte los mismos privilegios como si operara dentro de Europa.
En pocas palabras, debe cumplir con el GDPR.
? Ahora bien, imagina que te encuentras de vacaciones o de visita en Europa y te conectas a un sitio web que sueles usar en tu país y, además, este no pertenece a la Unión Europea.
Pues, bien, este sitio web también necesita cumplir con la normativa del GDPR.
Pero, ¿por qué? Si tú no eres ciudadano europeo y el sitio web tampoco es de Europa. ?
Muy simple…
Porque el GDPR aplica a toda persona que reside en la UE o que se encuentre allí. ?
Entonces si brindas servicios o tienes visitantes provenientes de la Unión Europea debes constatar que sigues la normativa del GDPR, además de asegurarte de llevar un plan de acción y cumplirlo.
Recuerda que hay varias autoridades reguladoras que estarán monitoreando si las empresas están cumpliendo con la normativa.
Aunque, en un principio no se fijarán en las empresas más pequeñas (y eso no quiere decir que nunca supervisarán tu negocio) es casi seguro que sí lo hagan con las empresas más grandes.
Pero, pongámonos en la situación que tienes muy mala suerte (aunque no sea cierto) y se enteran que no cumples los requisitos. ?
Los más probable, para comenzar, es que te digan cómo puedes mejorar las cosas, siempre y cuando demuestres que tienes un plan de acción.
? El GDPR tiene como uno de sus lineamientos básicos no entorpecer la libre circulación de los datos personales. ?
Por lo tanto, no viene a impedir llevar adelante incluso actividades que dependen en gran medida del procesamiento de datos, como las plataformas de comercio electrónico o las redes sociales.
Sé que este punto es muy importante para ti, por lo que por esta parte podrás quedarte tranquilo
Ahora, el tema de los leads se vincula con lo que se denomina licitud del tratamiento.
¿Qué significa esto? Simple…
? Debes tener en cuenta que para que cualquier actividad de tratamiento de datos (como la prospección y potencial utilización de los datos obtenidos para marketing) sea lícita, debe cumplir con ciertos criterios. ?
Para esto, el GDPR y muchas normas actuales y proyectadas latinoamericanas tienen al consentimiento del titular de los datos como criterio más deseable a los efectos de determinar si el tratamiento que se está llevando a cabo es lícito o no.
Por lo tanto, lo mejor es obtener el consentimiento de una forma lo menos disruptiva del proceso de ventas posible, pero de manera tal que se cumpla con las exigencias del GDPR.
Me olvidaba. ?♂️ ?♂️
Para el GDPR, el consentimiento debe ser libre, específico, informado e inequívoco, pero puede ser obtenido verbalmente.
Lo que no admite el GDPR es la práctica sumamente generalizada de casillas premarcadas (porque asumen el consentimiento).
Los titulares de los datos tienen que optar activamente por aceptar el procesamiento de sus datos (lo que se conoce como opt-in).
Y, para que no afecte de manera negativa tu proceso de ventas, tenemos para ti una…
Los llamados “esquemas de capas”, que consisten en explicarle al titular de los datos qué estás haciendo con sus datos de manera escalonada.
Estos, son muy amigables, porque tienen todo lo básico que exigen las disposiciones aplicables.
Y si hay algo específico que quiere saber el titular de los datos o que no termina de entender, no hace falta que el vendedor lo explique (en el caso de las ventas cara a cara).
Pero, ¿por qué? ?♂️ ?♂️ Porque en el momento de prestar el consentimiento, la interfaz permite que el titular de los datos acceda a información adicional. Los esquemas de consentimiento por capas sirven tanto para la prospección cara a cara como en sitios web, y lo recomendable es recordarle al usuario que ha consentido a que sus datos sean procesados para determinados fines.
Por ejemplo, por correo electrónico, WhatsApp o SMS, inmediatamente después de que el usuario consiente activamente el procesamiento de sus datos para un proceso de ventas determinado.
Por ejemplo, recordárselo al ser contactado por algún representante para la venta de uno o varios productos en particular.
Además, puede darse al usuario la posibilidad activa (como completar una casilla) de, por ejemplo, recibir comunicaciones promocionales o información útil sobre productos o servicios actuales, o futuros que tenga proyectado proveer.
Aunque estos últimos deben estar precisados. ✍️
Recuerda, no se puede pedir al titular de los datos que consienta el procesamiento de sus datos sin establecer para qué fin serán procesados.
Incluso, si es un fin para el que la empresa aún no los procesa.
La compra de bases de datos que contengan leads tampoco está exenta de las disposiciones del GDPR.
? Cualquier lead obtenido de esta manera requiere que los titulares de datos hayan prestado su consentimiento para que sus datos sean cedidos a terceros, y para que esos terceros los contacten a los fines de acercarles ofertas o promociones. ?
A su vez, al contactar a los titulares de los datos adquiridos, siempre se les debe dar la oportunidad de ejercer sus derechos con respecto al procesamiento de datos para marketing, como darse de baja.
¿Estas regulaciones van a perjudicar mis ventas? Pedir el consentimiento para enviar ofertas o hacer llegar información no necesariamente se traduce en un menor rendimiento del proceso de venta. ?
Si bien la necesidad de consentimiento previo dificulta la tarea de marketing, debe considerarse que los leads que prestaron consentimiento son de mejor calidad y es más probable que adquieran el producto o servicio. ?
Es decir que el retorno de la inversión en marketing sobre estos leads será mayor.
Una vez dejado muy claro este tema debes conocer los…
En todos los países donde se protegen los datos personales existen, con ciertos matices, los mismos derechos:
Tu cliente puede pedir y recibir una copia de sus datos que tu empresa está usando para el tratamiento. ?
Todo esto para que tu cliente sepa qué datos tiene tu empresa.
Por ejemplo, si uno de tus usuarios quiere saber si tu empresa guarda los datos de su ubicación.
? El reglamento también indica que si tú eres el titular también podrás tener acceso a la siguiente información: ?
¡No olvides!
? Si eres el responsable deberás proporcionar dicha información si tu cliente así lo desea. ?
Este derecho es muy simple y tu empresa como responsable del tratamiento de los datos necesita cumplirlo cuando el titular necesita que se corrijan o eliminen algunos datos erróneos.
Por ejemplo, si figura en tu sitio web o en algún sitio vinculado con actividades que nunca realizó. ?
Para que los datos que tu empresa tiene con una determinada finalidad, no se usen para otra cosa.
Uno de los casos más comunes de las empresas es cuando un usuario deja sus datos para participar de un sorteo y después lo llaman todos los días para venderle productos.
A ti no te gustaría, ¿verdad? ?
Pues a él tampoco.
Ahora en la Unión Europea, con el GDPR, se han incorporado los siguientes derechos:
Consiste en que los titulares tienen derecho a que se bloqueen o supriman sus datos personales y no puedan ser procesados o, caso contrario, sean eliminados.
Esto lo podrán hacer cuando ya no sean necesarios para los fines para el cual fueron recolectados por tu empresa, o también si el usuario retira su consentimiento para el tratamiento de su información.
Otro de los casos comunes es para que se borren datos personales que ya no tiene sentido que se utilicen y que le causan un perjuicio al titular.
Por ejemplo, si fueran tus datos, que no siga apareciendo en Google, después de 40 años, comentarios de una borrachera que te mandaste a los 18 y que no te interesa que lo vean otras personas.
Bueno, estoy siendo un poco exagerado. ??
Pero, sí, sabes a qué me refiero.
El Derecho a la Portabilidad de los datos habilita al titular a que se le remitan todos los datos que la empresa tiene de él, en un formato de fácil manejo y uso común.
Por ejemplo, si eres titular, llevarte tus publicaciones de Facebook a otra red social.
El impacto y alcance territorial del GDPR no se encuentra limitado a la Unión Europea, ya que como mencioné anteriormente, establece requisitos a la transferencia de datos personales hacia otros países.
Antes de continuar, debo advertirte lo siguiente. ?
La respuesta a esta pregunta será muy técnica…
Pero, ¡eh no te vayas, no me dejes! ?
Mentira, solo será un poquitín. ?
Además, estoy seguro que no lo harás, pues hasta ahora creo haber aclarado muchos puntos.
? ¡No te imaginas! ?
En primer lugar, debes tener en cuenta el siguiente concepto.
Uno de los criterios habilitantes de transferencias internacionales de datos es el de las decisiones de adecuación por parte de la Comisión Europea (el órgano ejecutivo de la Unión Europea por excelencia).
Déjame adivinar lo que te estás preguntando.
¿Qué hace la Comisión Europea?
La Comisión Europea tiene la potestad de determinar si un país ajeno proporciona un nivel de protección adecuado en cuanto a los datos personales, ya sea por su legislación local o por los compromisos internacionales que ha asumido.
Pero, ¿qué consecuencia tienen las decisiones de adecuación?… Simple.
? El libre flujo de datos desde la Unión Europea a terceros países sin que se requieran mayores garantías.
A la fecha, la Comisión Europea solo ha reconocido, en el ámbito latinoamericano, a Argentina y Uruguay como países que poseen un nivel adecuado de protección de datos.
Además, como ya se mencionó, tampoco impide que se transfieran datos en base a otros criterios, el GDPR es un texto completo y exige la revisión periódica de la adecuación, que deberá llevarse adelante antes del 2022 para Argentina y Uruguay.
Ahora respondiendo la pregunta sobre el avance en Latinoamérica.
Por todo lo ya mencionado es que fuera del ámbito de la Unión Europea se está dando este proceso de revisión de las legislaciones locales para al menos compatibilizarlas con el GDPR y como hacen las empresas con su práctica a nivel organizacional.
Por otro lado, la influencia del GDPR en la región se ve reflejada en los Estándares de Protección de Datos para los Estados Iberoamericanos, aprobados por la Red Iberoamericana de Protección de Datos en 2017.
El objetivo principal de estos Estándares, que han tomado como referencia al GDPR, es operar como directrices que sirvan de referencia a futuras regulaciones o para la revisión de las ya vigentes, y constituyen una importante base normativa para crear en la región un marco común de protección de datos.
Si leíste hasta esta parte sabrás que no fue tan difícil.
? El GDPR alcanza a toda empresa, así sea unipersonal, que desempeña una actividad económica y, por lo tanto, no alcanza a aquellos individuos que procesen datos para uso estrictamente personal.
Ahora bien, el GDPR es una evolución de los principios y normativas ya existentes en materia de protección de datos.
Por lo tanto, más que modificar radicalmente las obligaciones de los responsables de datos personales, las profundiza, precisa, o, en algunos casos, incorpora nuevos principios y restricciones. ✍️
Si tu empresa está sujeta al GDPR deberá respetar el principio de calidad de los datos, que exige el tratamiento de datos:
En general, la normativa consagra el principio de responsabilidad proactiva, conocido como accountability. Tu empresa debe cumplir y poder demostrar el cumplimiento. ?
Y, ¿cómo demuestras que estás cumpliendo con el reglamento.
Documentando las cuestiones y procesos relacionados a los datos personales.
Las principales medidas a tomar como empresa responsable del tratamiento de la información personal y lograr así el compliance son las siguientes:
Es necesario hacer un análisis del riesgo que pueda traer para los derechos de los interesados la realización del tratamiento de datos.
Esto te permitirá tomar las medidas necesarias para evitar estos riesgos. ?
Existen dos maneras para hacerlo.
Esta parte es muy importante, pues cada responsable o encargado del tratamiento de los datos deberá llevar un registro de todas las operaciones.
Estos registros deben incluir los nombres de los titulares, la finalidad del tratamiento, entre otros.
Existe una excepción para no llevar el registro (seguro deseas estar incluido). ? ?
Cuando tu empresa tiene menos 250 trabajadores; pero cuidado, ya que de todas maneras, para poder cumplir con las demás obligaciones del GDPR (que no dependen del número de empleados), siempre es recomendable llevarlo.
Otra obligación importante en cabeza de aquellas empresas que procesen datos personales es la de incorporar la protección de datos a la fase de planeamiento y desarrollo de sus productos y actividades de procesamiento.
Por esta razón, el GDPR denomina a esto protección de datos «desde el diseño y por defecto».
¡Vaya nombre!
En este punto deberás garantizar la seguridad informática de los datos para evitar su procesamiento no autorizado, su pérdida o destrucción.
Tu negocio está obligado a notificar a las autoridades de aplicación y a los titulares de los datos en casos de violaciones o incidentes de seguridad con respecto a los datos personales.
Las transferencias transfronterizas de datos se encuentran fuertemente restringidas por el GDPR, y requieren, a falta de una Decisión de Adecuación por parte de la Comisión Europea, que el país u organización internacional receptora de los datos garantice un nivel de protección de los datos equivalente al del GDPR.
Por ejemplo, el procesamiento automatizado de datos personales que sirva para tomar decisiones que afecten a los titulares de los datos requiere la realización de estas evaluaciones.
En el caso de determinadas actividades de procesamiento de datos que puedan presentar una amenaza a los derechos de los titulares de datos (porque utilizan nuevas tecnologías, o por su contexto o fines) requieren, previo a procesar los datos, que se realice una evaluación de impacto relativa a la protección de datos, para precisar los riesgos y establecer las medidas para mitigarlos o afrontarlos.
¿Has pensado en poner un delegado para la protección de los datos personales? ?
Otra exigencia no menor del GDPR es la designación de un Delegado de Protección de Datos, que debe ser un profesional independiente con conocimientos avanzados en protección de datos que deberá estar involucrado en todas las cuestiones relativas a la protección de datos de la empresa, entre otras funciones.
También tendrá a cargo asesorar en relación al GDPR, capacitar al personal, supervisar el cumplimiento de las disposiciones nacionales e internacionales en relación a la protección de datos dentro de la empresa y cooperar con las autoridades de aplicación.
En materia de sanciones o multas, el GDPR posee un esquema muy riguroso ante incumplimientos por parte de las personas y empresas obligadas por dicha normativa. ??
Las multas se encuentran a cargo de las autoridades de aplicación locales, y tienen un tope de EUR 20.000.000 o el 4 % de las ganancias totales del período anterior, según cuál sea más alto.
Con razón es muy temido.
El monto de las multas se determina en razón de su efectividad y proporcionalidad, con criterios como la naturaleza del incumplimiento:
Por ejemplo, si el incumplimiento fue intencional o meramente negligente, si se tomaron acciones para mitigar el daño sufrido por parte de los titulares de los datos, si la empresa tenía encaminado o finalizado un proceso de adecuación al GDPR.
También cuando hay incumplimientos anteriores a cualquier disposición de protección de datos.
El grado de cooperación de tu empresa durante el procedimiento sancionatorio, si el incumplimiento afectó datos sensibles, si la propia empresa puso en conocimiento de la autoridad de aplicación el incumplimiento o sus consecuencias, entre otros.
?♂️ Todo suma a la hora de imponer las sanciones. ?♂️
Debes saber que, a pocos días desde que empezó a tener vigencia el GDPR, se presentaron múltiples reclamos al estilo litigio estratégico contra gigantes del procesamiento de datos. ?
Algunos ejemplos son Facebook, Google, Apple, Amazon y LinkedIn.
Sin embargo, hasta diciembre de 2018 no habíamos visto multas sustanciales por incumplimientos al GDPR (la mayor fue por €400.000).
Pero, eso no es todo.
Para finales de enero de 2019, se dio a conocer la primera multa contundente en cuanto al monto y al infractor:
? ¿Adivinas de quién se trata? ?
Se trató de una multa por casi € 60.000.000, que recayó sobre nadie menos que Google.
Así como lo ves. ?
La multa, impuesta por la autoridad de aplicación en materia de protección de datos francesa (CNIL) se debió a que Google no informó de manera transparente y comprensible a sus usuarios con respecto a sus políticas de procesamiento de datos relacionada a la primera configuración de los dispositivos Android.
Con respecto a la falta de transparencia, la CNIL sostuvo que información esencial, como:
Se encuentran excesivamente diseminados en distintos documentos, que se redireccionan entre sí a través de enlaces que llevan a aún más información.
Una suerte de abuso del esquema de capas que sugerimos anteriormente al momento de informar al titular de los datos y obtener su consentimiento.
? A su vez, la CNIL señaló que la forma en que Google provee la información sobre sus servicios es demasiado amplia y oscura, y esto no es casual.
La CNIL también impuso la multa en razón de que el esquema de obtención de consentimiento de Google no cumplía con el GDPR.
? ? Porque al configurar los dispositivos Android por primera vez, Google presionaba demasiado a sus usuarios para que inicien sesión o creen una cuenta de Google nueva, porque sino su experiencia con el producto sería considerablemente peor. ? ?
En este sentido, la CNIL consideró que Google debería separar la creación de una cuenta de la configuración inicial de sus dispositivos Android.
Ya que de lo contrario estaba agrupando las solicitudes de consentimiento de tal manera que no les permitía a los usuarios aceptar ciertas condiciones y no otras (los términos y condiciones generales para la utilización del dispositivo Android, y aquellos de la cuenta de Google).
Adicionalmente, cuando Google pedía el consentimiento para mostrar avisos publicitarios personalizados, no distinguía entre sus distintos servicios (YouTube, Google Maps, Google Drive).
Y que exceden por mucho la mera utilización de un dispositivo Android, y la interfaz requiere que el usuario activamente desmarque una casilla premarcada, mediante la cual el usuario aceptaba el procesamiento de datos por parte de Google de manera demasiado amplia para las exigencias del GDPR. ? ?
El primer desafío que debes enfrentar es saber en qué estado se encuentra tu compañía ante la nueva regulación, y qué debes modificar en tus procesos para comenzar a cumplir con el GDPR.
Las tareas de evaluación siempre son tediosas y requieren de mucho tiempo y organización. Por eso, en este punto siempre es recomendable contar con herramientas que te faciliten el trabajo.
Existen muchas plataformas online que te ayudarán a entender el estado de tu organización ante el GDPR y pueden darte una mano para empezar a cumplir con las nuevas regulaciones.
Muchas de ellas son gratuitas o tienen un costo relativamente bajo. Veamos ?
Microsoft GDPR Assessments es una serie de tres autoevaluaciones online gratuitas creadas por Microsoft que te ayudarán a medir el nivel de preparación general de tu empresa respecto de la normativa de GDPR.
Es una herramienta muy útil para que saber en qué estado se encuentra tu organización y qué pasos debes seguir para mejorar.
¿En qué estado está tu organización ante el GDPR Compliance? Averígualo con Microsoft GDPR Assessments
Esta es otra herramienta online de autoevaluación que en pocos minutos te dirá si tu compañía cumple o no con las regulaciones de GDPR.
Sólo debes contestar las preguntas sobre tus procesos, y la herramienta te brindará respuestas concretas y tips sobre los pasos a seguir para adecuarte a la norma.
Si vendes productos o servicios online, lo más seguro es que sitio web posea integraciones con otros servicios (Hubspot, Salesforce, Mailchimp, etc). Para cumplir con las regulaciones del GDPR debes asegurarte de que tus proveedores de servicios también cumplen con las normativas.
Para eso existe Siftery GDPR Checker. Es una herramienta que te permite verificar en cuestión de segundos el estado de cada uno de tus proveedores.
Se trata de una lista curada de lo principales vendors de todo el mundo. Con esta herramienta te aseguras de que tus usuarios y clientes tienen sus datos protegidos en todo momento.
GDPR Email Copy es un conjunto de templates listos para utilizar en tus campañas de email outbound en el marco del GDPR.
Incluye contenidos de Marketing, Legales, Correos en frío y Transacciones. Todos los textos cuentan con un lenguaje aprobado por el mercado y están listos para ser usados.
Los textos están escritos en inglés, pero pueden servirte como ejemplos útiles para redactar tus campañas en español.
Iubenda es una solución 360 que te ayudará a cumplir con los requisitos legales de GDPR.
Esta herramienta te permite generar una política de privacidad y cookies que se actualiza de forma automática para que tu sitio web cumpla con todas las normativas legales vigentes.
Iubenda cuenta con un plan gratuito y un plan pago con un costo de USD 27 al año.
GDPR no busca impedir que las empresas lleven adelante actividades que dependen del procesamiento de datos personales.
Sin embargo, la norma establece que una organización sólo puede acceder a los datos de los usuarios cuando estos brindan un consentimiento libre, específico, informado e inequívoco.
Ante esta premisa, el desafío para las empresas es crear formularios web que se ajusten a la normativa.
Los formularios web son una de las principales herramientas que las empresas emplean para recopilar datos de tus clientes con el fin de utilizarlos en sus campañas de marketing o para brindar una atención personalizada y eficiente.
Entonces, ¿de qué manera puedes crear formularios web que se ajusten al GDPR?
Aclaración: dado que cada tipo de formulario tiene su diseño y configuración particular, me enfocaré en conceptos generales que puedes aplicar para adecuarte al GDPR de forma rápida y sencilla.
GDPR no sólo requiere que nuestra política de privacidad sea concisa, clara y fácil de entender, sino que además plantea que debe ser fácil de encontrar en nuestro sitio web.
Por lo tanto, una buena práctica en este sentido consiste en linkear tu política de privacidad a tus formularios de captura de leads.
De esta manera, tus usuarios tienen la posibilidad de acceder a toda la información detallada antes de completar el formulario.
La mayoría de los plugins de formularios ofrecen la posibilidad de incluir un campo de contenido y agregar una URL.
Ejemplo de NinjaForms sobre cómo crear formularios que cumplan con GDPR
Antes de empezar a recolectar cualquier tipo de dato personal de tus clientes, ellos deben dar su consentimiento explícito. Esto se conoce como opt-in activo.
Para que un opt-in sea considerado activo, debe implicar una acción deliberada y voluntaria por parte del usuario, por ejemplo, tildar una casilla de verificación.
Las normativas de GDPR no aceptan que las casillas de verificación estén pre-llenadas por defecto, por lo que debes asegurarte de incluir un opt-in activo en tus formularios.
Si vas a recolectar información sensible, deberás contar con una solución de encriptación de datos en tu formulario.
Utilizar una encriptación de 256 bits de AES es una excelente forma de mantener los datos de tus clientes seguros y protegidos.
Por regla general, tus formularios deberían ser cortos y directos. No hagas preguntas innecesarias y trata de ser lo más conciso posible.
Establece como campos obligatorios sólo aquellos datos que necesitas recolectar sí o sí.
Una vez que la información recopilada ya no es necesaria para tus procesos, elimínala.
La única excepción a esta regla son aquellos datos almacenados para interés público, científico, estadístico o de investigación histórica.
Una de las preguntas más comunes que recibo de parte de los gerentes de Marketing es la siguiente:
“¿Cómo afecta el GDPR al uso de cookies en mi web y qué consecuencias tiene sobre mis campañas de captación de leads?”
Los sitios web utilizan cookies para identificar a los usuarios, seguir sus actividades en cada página y crear perfiles de sus hábitos y comportamientos.
Esta información es fundamental para realizar campañas, brindar atención personalizada y mostrar avisos publicitarios dirigidos especialmente para cada tipo de cliente.
A partir de la implementación del GDPR, las cookies son consideradas como información personal, y las organizaciones deben modificar la forma en que las utilizan con el objetivo de adecuarse a la nueva normativa.
En pocas palabras:
Pero, ¿cómo puedo usar cookies cumpliendo con las exigencias del GDPR?
En primer lugar, el mensaje que le solicita a los usuarios su permiso para utilizar cookies debe ser claro y directo.
Veamos un ejemplo correcto:
Además, debe cumplir con ciertos requisitos particulares ?
Sin duda, uno de los desafíos más grandes que deben enfrentar las empresas consiste en hacer frente a las tareas, costos y tiempos de adecuación.
Pero, ¿cuánto tiempo y dinero cuesta adecuarse a la norma?
Lo cierto es que no hay una respuesta sencilla y universal a esta pregunta. Depende de muchos factores.
Los más significativos son:
Por supuesto, el desafío de adecuarse al GDPR no es igual para una multinacional que para una pequeña empresa local.
Ni tampoco es igual para empresas que manejan una gran cantidad de datos sensibles (como los bancos, las financieras o proveedores de servicios de salud) que para una compañía que vende productos en una tienda online.
Por eso, me enfocaré específicamente en las referencias de costos y tiempos que puede enfrentar una empresa de tamaño medio.
Como ya mencionamos antes, la adecuación al GDPR es un proceso gradual, y debe llevarse en etapas. En términos generales, incluye las siguientes instancias:
Por otra parte, es fundamental que las compañías conozcan en profundidad los alcances de la regulación en términos técnicos y jurídicos. De esta manera, a la hora de emprender la adecuación, resulta imprescindible contar con el asesoramiento de un abogado especialista en derecho informático.
Si estás pensando contratar un abogado. Necesitarás un especialista que te asesore con estas tareas:
Por supuesto, el tiempo de adecuación al GDPR depende también del tamaño y las actividades de tu compañía.
Si nos ceñimos únicamente a las tareas jurídicas -es decir, a la producción y revisión de documentos y estrategias legales- una empresa tipo e-commerce deberá invertir un mínimo de 40 horas en este proceso, mientras que una empresa que procese distintas fuentes de datos y trabaje con diversos tipos de procesadores externos, podría necesitar hasta 300 horas.
La compañía alemana Ecomply.io recientemente publicó un estudio en el que determina aproximadamente cuánto tiempo le llevaría a una empresa de entre 50 y 250 empleados adecuarse al GDPR.
La investigación llegó a la conclusión de que una empresa de tamaño medio debe invertir más de 200 horas de trabajo durante varios meses para ajustarse a la regulación.
Como es lógico, los costos de cumplimiento también varían dependiendo del país en donde está radicada la empresa, su tamaño y su actividad.
Según Ecomply.io la hora de trabajo promedio para una empresa radicada en Europa que quiere llevar adelante la adecuación tiene un costo de entre 100 y 150 euros.
Por otra parte, el costo de un estudio de abogados especialistas en un país de Latinoamérica como Argentina, por citar un caso, puede promediar los USD 80 la hora. Esos valores son semejantes a los que cobran los estudios jurídicos de países europeos no centrales (Ucrania, Bulgaria, etc).
El precio por hora de estudios de abogados en Estados Unidos y Londres puede ascender hasta USD 400.
Un estudio realizado por TrustArc estableció que un 68% de las empresas de Europa y Estados Unidos afrontó costos totales de seis cifras en sus procesos de adecuación al GDPR en 2018.
Una de las principales dudas es: ¿qué hacer con el cumplimiento de esta ley europea, sobre todo cuando tu y tu empresa están en Latinoamérica?
? Pero a su vez, te enfrentas con un dilema claro: ¿cómo tienes que hacer para cumplir con GDPR y la ley general de protección de datos personales local? ?
Aquí está el punto bueno: no todos los países americanos, incluido los Estados Unidos, tienen una normativa vigente que sea tan estricta. Por ende, si te adaptas al GDPR, seguramente estarás cumpliendo con la normativa local.
Como mencionamos arriba, los únicos territorios que estarían cumpliendo parcialmente con GDPR y que tienen el visto bueno de Europa son Argentina y Uruguay. El resto de los países tiene puntos que no son de coincidencia con lo que promueve esta nueva reglamentación. Y esto da pie a que algunos se acojan a determinada normativa y no le den mucha importancia a otras.
El tema es que si tienes internautas que provienen de Europa, ya tienes que adecuarte. Y no sólo tu, sino también el resto de aplicaciZenviaones y utilidades que uses y que puedan estar interfiriendo con tus datos, puesto que se juzga el paquete completo.
¿Y cómo debes actuar en estos casos? ¿Cumplir a rajatabla con GDPR? ¿Ampararse en las excepciones que te permite la ley federal de protección de datos del país en donde tu empresa está radicada? ¿Respetar a los dos?
Para eso hemos consultado a Julián Baños, el especialista en GDPR de Zenvia Conversion, persona que se ha encargado de ayudarnos a cumplir con toda la reglamentación y, por ende, de protegerte también a tí como usuario de la app en tus negocios.
Le hemos formulado una serie de preguntas para que todo pueda quedar más claro y que no tengas que pasar por ningún problema a la hora de adecuarte. Las dudas que tienes al respecto de la GDPR y las posibles colisiones que tiene con la normativa local, te las responde aquí.
—GDPR es un requerimiento que tiene base en Europa. ¿En qué aspectos puede chocar con las normativas vigentes en países como la Argentina?
—En Argentina existe una ley de protección de datos personales sancionada en el año 2000 (ley 25326) que a diferencia de GDPR toma como criterio el lugar en donde se almacenan los datos. Por su parte, GDPR se concentra más en el procesamiento en sí de los datos personales. Ambas coinciden en que se prohíbe el tratamiento de los datos sensibles (etnia, religión, política, orientación sexual, etc.) aunque mediante excepciones podrían llegar a tratarse.
Quizá uno de los puntos en los que chocan más es respecto al “derecho al olvido”, que consiste en que el sujeto de los datos puede pedir ser borrado de todas las bases y sistemas de una compañía. Y tienen la obligación de hacerlo y que no quede ningún dato flotando que pueda llegar a vincularlo.
Otra cuestión en donde chocan es el derecho a la portabilidad. Esto es en virtud del cual toda persona tiene derecho a recibir los datos personales que le incumban que haya facilitado a un responsable del tratamiento y a transferirlos a otro responsable, sin que el anterior pueda impedirlo.
También GDPR establece el derecho por parte del sujeto de datos a exigir indemnización por daños causados por infracciones de parte del encargado o responsable de los datos. La ley argentina no contempla este caso.
—En el caso de sitios web latinoamericanos: ¿con qué les conviene cumplir? ¿Con GDPR o las normativas respectivas de cada país?
—Es bueno entender cuando se aplica GDPR y esto ocurre cuando los datos refieren a una persona que es europea, cuando la persona reside en Europa o cuando se acceden a los datos desde Europa.
En base a eso es sencillo darse cuenta cuando va a ser necesario cumplir con GDPR. Vale aclarar que es laborioso adecuarse a la normativa y es algo que consume bastante tiempo.
Es importante ver si el sitio web hace un tratamiento de datos que puedan llegar a incluirse dentro de los tres puntos mencionados anteriormente, si este es el caso se debe tratar de cumplir con GDPR o demostrar que se está en proceso.
—¿Las empresas que conoce se están adecuando a ambas o le dan preferencia a alguna reglamentación en especial?
—Las empresas que tienen clientes europeos o tienen en mente tenerlos buscan cumplir con GDPR, si este no es el caso tratan de adecuarse a las normativas locales que es relativamente más sencillo debido a que tienen menos cosas en cuenta. Vale recordar que la ley 25326 fue sancionada en el 2000 y quedó obsoleta por los grandes avances y la aparición de amenazas a los datos que en antes del 2000 ni se imaginaban que podían existir.
—¿Qué equilibrio se puede lograr para cumplir con ambas reglamentaciones? ¿Es algo posible?
—La ley 25326 se basó en una normativa española del año 1992 y como dije anteriormente ya quedó obsoleta, pero hay un anteproyecto de ley que busca actualizarla y hacerla acorde a GDPR y esto es principalmente debido a que el sistema de protección de datos personales de Argentina está fuertemente basado en el europeo, además de ser necesario adecuar la ley Argentina a las amenazas actuales. Por lo tanto es posible en un futuro cumplir con ambas ya que estarán muy relacionadas.
—En el caso que el incumplimiento con alguno de los dos reglamentos (el local o la GDPR) sea imposible, al menos completamente: ¿qué sanciones o multas pueden llegar a ser más severas para la compañía?
—Justamente uno de los puntos más fuertes y motivo por el cual se quiere implementar en muchas empresas GDPR es debido a las fuertes multas económicas que van desde 10 a 20 millones de euros o desde el 2% al 4% del volumen de ingreso anual de la empresa, lo que sea mayor, según la gravedad de la infracción.
Mientras que en leyes como la argentina los números van de 20 a 2 mil dólares o cancelación de la base de datos. Se puede observar que las diferencias son enormes y el hecho de tener multas tan bajas en las leyes de Latinoamérica hace que muchas empresas prefieran pagar las multas correspondientes en vez de adecuarse.
? Como has podido ver en base a las respuestas de Julián Baños, las interferencias entre las normativas vigentes en los países existen y son muchas. Pero todavía queda tiempo para la adecuación y es menester que comiences a hacerlo si manejas datos europeos. ?
En Latinoamérica existen una gran cantidad de leyes puntuales de cada país destinadas a la protección de datos personales. Pero, como ya has visto, puntos de conflicto hay en casi todos los casos.
Todavía es muy pronto para determinar el acogimiento a la ley de protección de datos europea conocida como GDPR. Pero la lógica indica que se convertirá en un paradigma en el cual se apoyarán prácticamente todas las empresas. Es que parece lo lógico: son más de 450 millones los usuarios de internet que hay en Europa. Y no sólo esto, puesto que muchas empresas con gran potencial se ubican allí, siendo lo mismo en cuanto a tus potenciales clientes.
Además, hay una clara tendencia: el mundo mismo se ha dado cuenta que tiene que ir virando hacia lo que GDPR propone y en Latinoamérica son varios los países que ya han mostrado la mejor voluntad para ir colocándose detrás de esta normativa que pretende sentar jurisprudencia.
México es uno de los países que está en vías de adecuación con la GDPR. Actualmente cuenta con una ley general de protección de datos personales en posesión de sujetos obligados, como así también una ley federal de protección de datos personales en posesión de los particulares, firmadas en 2010. Pero ya en 2018 fueron invitados por la comisión europea para comenzar a plegarse y por esa vía están yendo.
Es decir: está lejos de hacer la vista gorda ante esta nueva legislación, y hasta incluso cuenta con un Instituto Nacional de Transparencia.
Lo mismo va para el caso de Brasil, quien desde julio de 2018 está con una ley de protección de datos en vigencia basada en lo que GDPR promueve. O, al menos, en sus puntos principales. Colombia y Chile también van en la misma dirección. Este último país, de hecho, introducirá la protección de datos personales en su Constitución Nacional.
En el caso de la ley argentina, el Dr. Baños fue muy claro al respecto y, si bien hay puntos de colisión con lo que propone la GDPR, este país y su vecino Uruguay ya tienen en marcha una adecuación completa a la ley para 2022, y así terminarán de formalizar en su totalidad.
Está clarísimo: toda América Latina va en pos de cumplir con lo que se propone en la GDPR más temprano que tarde.
Desde luego, el cumplimiento en Europa es de carácter total, al menos para el núcleo fuerte que integran los países de la Unión Europea. El caso quizás más conflictivo que se presenta en el continente europeo es el británico, puesto que se están enfrentando al Brexit y una posible salida de la UE.
Allí es donde se están produciendo la mayor cantidad de problemas, puesto que el país todavía no sabe si adecuarse o no. Pero, por el momento, no tiene muchas posibilidades de no hacerlo: por más que estén fuera de la UE, seguramente seguirán tratando y mucho con toda la Europa continental.
Los que sí merecen una mención aparte son los Estados Unidos de América. Un mundo aparte y un mercado en sí mismo. Allí, las leyes de protección de datos en general son mucho más flexibles que las europeas. De hecho, Donald Trump firmó hace no mucho tiempo una que permitía la libre circulación de datos personales. Incluso daba la potestad a las empresas de comprar y vender esta información. Algo así como lo opuesto a lo que pretende GDPR.
Y el problema no es que se queda aquí precisamente: en los Estados Unidos, cada estado tiene su propia legislación vigente, siendo un sistema totalmente descentralizado de justicia. Otro caso completamente opuesto a lo que se está haciendo en Europa, que es poner de acuerdo a los diferentes países para que empleen la misma normativa. Acaso el estado de California, uno de los más importantes, es el que tiene una reglamentación similar al GDPR, de la mano del California Consumer Privacy Act (CCPA), casi una respuesta inmediata para poner las cosas a la altura europea.
Tampoco debe llamarte para nada la atención lo que hicieron alrededor de 1300 portales de noticias norteamericanos. No sólo que decidieron no adecuarse al GDPR, sino que para evitar problemas, directamente bloquearon el ingreso de internautas europeos para poder usar directamente su legislación local y centrarse en el público de su zona.
Quizás la cantidad de visitas que recibían de aquellos lares no les resultaba directamente relevante. Y no es que estamos hablando de pasquines de barrio: varios miembros de la cadena FOX, el Chicago Tribune o Daily News, entre muchos otros, están dentro de los que tomaron este camino.
El impacto de la GDPR está siendo tan grande en todos los tipos de ley de protección de datos del resto del mundo que terminará siendo, poco más, poco menos, un precedente legal al que todo el mundo se terminará adaptando, en cierta forma. Ya has visto que toda Latinoamérica va rumbo a cumplir con la ley, además de la plena vigencia que tiene en Europa.
Puede que el mundo legal, en otro momento, se mueva hacia otro tipo de sentencias y formas. Pero, de momento, GDPR va camino a ser un estándar.
Sí, está bien, has encontrado casos en donde hay muchos que se amparan en las excepciones o directamente optan por bloquear por completo a los navegantes que provienen de la UE. Pero lo cierto es que, de una forma u otra, siempre los datos europeos terminan siendo determinantes para sitios web en español. Y más cuando hay mucho público hispanoparlante en todo el viejo continente.
Pero, sin duda alguna, la tendencia es clara: la GDPR terminará siendo una influencia clave en TODA la legislación informática del mundo. Y, a la larga, vas a tener que adaptarte a ella, porque es lo que se viene indiscutidamente y quien no lo haga quedará fuera de juego.
Zenvia Conversion está sumamente involucrada en la protección de los datos personales que procesa. Específicamente, el proceso de adecuación al GDPR de Zenvia Conversion posee tres etapas: ?
1. Un relevamiento general de los distintos clientes de Zenvia Conversion, sus exigencias particulares en materia de protección de datos y las disposiciones normativas locales de los países en los que operan esos clientes.
2. La elaboración de los documentos específicos relacionados al relevamiento del punto anterior, charlas informativas con respecto a protección de datos y seguridad informática (mayormente legislación y buenas prácticas), en donde además se capacita al equipo que deberá relevar y registrar ciertos aspectos de la organización (como por ejemplo realizar un mapeo del flujo de los datos procesados por Zenvia Conversion), y la realización de una evaluación de impacto relativa a la protección de datos.
3. Una etapa de integración, que consiste en implementar sistemáticamente el contenido desarrollado en las dos etapas anteriores, con sus correspondientes capacitaciones y la verificación de que Zenvia Conversion llevó a cabo los distintos procesos que se le solicitaron y suscribió los documentos confeccionados y los está utilizando.
Como te habrás dado cuenta, el GDPR es una nueva legislación sobre protección de datos de la Unión Europea, mucho más estricta en cuanto a cómo tienen que cuidar las empresas los datos de los usuarios, cuándo y cómo pueden obtenerlos, cuándo pueden compartirlos con otras empresas y cuáles son los derechos de los usuarios.
? ? Dado que es una de las normativas más estrictas del mundo, las empresas que tratan de cumplir con la protección de datos en todo el mundo la están tomando como estándar. ? ?
En este sentido, por ejemplo, en cuanto a documentación, se debe contar con lo siguiente:
? Entonces, para resumir, te doy algunos pasos para cumplir con la normativa: ?
¿Qué medidas estás tomando para para asegurarte de proteger los datos de tus usuarios?
