¿Qué es el cumplimiento del RGPD? Esto es lo mínimo que necesitas saber

GDPR , o el Reglamento General de Protección de Datos para cualquier persona con usuarios en Europa, entra en vigencia hoy. Tiene la desafortunada combinación de ser EXTREMADAMENTE IMPORTANTE ya la vez DIFÍCIL DE COMPRENDER.

La mayoría de los expertos en conversión, los vendedores por correo electrónico y los vendedores en línea en general no tendrán tiempo para leer la jerga legal, pero aún tendrán que salir de la zona de explosión.

Este artículo está destinado a ser un punto de partida para los vendedores.

No reemplazará el consejo de su equipo legal; definitivamente debe reunirse con sus equipos legales y de seguridad de la información para finalizar la estrategia. Pero esto debería orientarlo en la dirección correcta y ayudarlo si desea obtener detalles sobre GDPR en un lenguaje sencillo.

Minimización de datos: sin síndrome de "comerciante codicioso"

Una de las principales razones por las que la UE está implementando GDPR es cómo los especialistas en marketing recopilan los datos. Cuando solicita información en cualquier parte del mundo, puede solicitar una cantidad desproporcionada de información a cambio. Su tasa de conversión probablemente se desplome debido a eso, pero no hay ninguna razón legal por la que no pueda hacerlo.

GDPR cambia eso.

He aquí la parte pertinente del artículo 5 , sobre principios relativos al tratamiento de datos personales .

Los datos personales serán:

• tratados de forma lícita, leal y transparente en relación con el interesado ('licitud, equidad y transparencia');
• recopilados para fines específicos, explícitos y legítimos y no procesados ​​de manera incompatible con esos fines; el tratamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, no se considerará incompatible con los fines iniciales ("limitación de la finalidad");
• adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan ('minimización de datos');

Lo que esto significa es que tiene aún más razones para recopilar solo los datos que necesita .

• Necesita esa dirección de correo electrónico para reenviar al usuario el PDF que solicitó
• Desea el número de teléfono, la empresa para la que trabaja, el tamaño de la empresa y la dirección física para crear su perfil dentro de su sistema de automatización de marketing.

¿Esas cosas extra que quieres? Ya no son un juego justo si tienes usuarios en Europa.

Debe ser explícito sobre para qué utilizará los datos y recopilar solo los datos que necesita del usuario.

Consentimiento de suscripción: sin suscripciones predeterminadas

Algunos especialistas en marketing juegan estos juegos de consentimiento con los visitantes:

• Los usuarios pueden optar por no participar al completar un formulario, pero la casilla de verificación de aceptación está marcada previamente
• Los usuarios se suscriben automáticamente y deben notificar manualmente a la empresa que no desean suscribirse a un programa en particular.
• El lenguaje en el programa de suscripción es lo suficientemente vago como para que los usuarios se registren para varias cosas sin darse cuenta.

Todos estos juegos pondrán a las organizaciones en riesgo de incumplimiento. Aquí están las partes relevantes del artículo 7, condiciones para el consentimiento :

Cuando el tratamiento se base en el consentimiento, el responsable del tratamiento deberá poder demostrar que el interesado ha dado su consentimiento para el tratamiento de sus datos personales.

Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de manera que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso, usando palabras claras y lenguaje simple. Cualquier parte de dicha declaración que constituya una infracción del presente Reglamento no será vinculante.

Lo que esto significa para ti es que si tienes usuarios en Europa, esos juegos de consentimiento ya no son viables.

Tienes que tener claro a qué se suscriben los usuarios. Si desea que se suscriban a su boletín informativo Y desea mostrarles promociones de productos, querrá que acepten ambas cosas por separado, y deberá indicarlo explícitamente.

Recuerda estas cuatro cosas:

• El consentimiento debe darse activamente
• Los usuarios deben ser informados sobre lo que se están registrando en un lenguaje claro.
• El silencio y las casillas marcadas previamente no cuentan como consentimiento
• El consentimiento para una actividad no se aplica como consentimiento para otras actividades

Retiro del consentimiento: no hacer que los visitantes pasen por el aro

Otra cosa en la que debe trabajar es en dar a los usuarios la opción de optar por no participar en sus programas. El artículo 7 continúa:

El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basado en el consentimiento antes de su retirada. Con carácter previo a la prestación del consentimiento, se informará de ello al interesado. Será tan fácil retirarse como dar su consentimiento.

Si tiene envíos masivos de correo electrónico en forma de promociones de productos o boletines, estos siempre deben tener formas claras para que las personas opten por no participar en sus programas. Y esos deben estar a la vista.

Solía ​​ser mejor desde el punto de vista de la conversión tener solo personas en su base de datos que QUIEREN estar allí. Ahora, eso también es mejor desde una perspectiva legal.

Pila de tecnología: sin seguridad, sin nombres

Si ha estado jugando rápido y suelto con cualquier cosa que contenga información de identificación personal, es mejor que refuerce su pila de tecnología rápidamente. Eso significa que no puede tener información confidencial del cliente y creación de perfiles sin disposiciones para la seudonimización o tecnologías relacionadas.

Los archivos de Excel flotando en la empresa con nombres reales e información confidencial siempre deberían haber estado prohibidos, pero ahora tiene más razones para evitar que eso suceda.

El artículo 25, protección de datos desde el diseño y por defecto , tiene disposiciones que son bastante duras para las empresas con poca seguridad:

Teniendo en cuenta el estado de la técnica, el costo de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el procesamiento, el controlador deberá, tanto en el momento de la determinación de los medios para el procesamiento como en el momento del procesamiento en sí, implementar medidas técnicas y organizativas apropiadas, como la seudonimización, que están diseñadas para implementar los principios de protección de datos, como la minimización de datos, de manera efectiva. e integrar las garantías necesarias en el tratamiento para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento implementará las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se traten los datos personales que sean necesarios para cada finalidad específica del tratamiento. Esa obligación se aplica a la cantidad de datos personales recopilados, la extensión de su procesamiento, el período de su almacenamiento y su accesibilidad. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.

En pocas palabras, si desea albergar información de identificación personal, debe esforzarse para mantener esa información segura.

Cumplimiento de GDPR: una bestia compleja

Evite ser golpeado con sanciones. Si está atrasado en el trabajo de cumplimiento de GDPR, debe, como mínimo, hacer...

• una auditoría de la cantidad de datos que recopila y si necesita minimizarlos,
• un repaso de cómo convierte los datos personales en datos anónimos, y
• una revisión de qué tan explícito es acerca de obtener el consentimiento para usar los datos de los visitantes