¿Está preparado para la nueva normativa de protección de datos de la UE?

¿Qué son las nuevas normativas de protección de datos?

La Unión Europea pronto promulgará nuevas regulaciones que rigen qué datos puede recopilar sobre sus clientes y cómo puede usarlos. Esta legislación se denomina Reglamento General de Protección de Datos o RGPD . Por supuesto, como su nombre lo indica, el RGPD es general y, por lo tanto, cubre cualquier organización que recopile datos sobre personas. Para nuestros propósitos aquí, simplemente nos centraremos en la relación entre su empresa y sus (potenciales) clientes en línea.

El GDPR entrará en vigor el 25 ^de mayo 2018 que le deja un año para estar listo para cumplir. Junto con el RGPD, probablemente habrá una nueva actualización del Reglamento de privacidad electrónica de la UE . Esta regulación entra en detalles más específicos para la recopilación, el almacenamiento y el uso de datos en línea. El Reglamento de privacidad electrónica aún se encuentra en la etapa de propuesta y aún puede cambiar, pero los legisladores apuntan a la misma fecha de aplicación que el GDPR.

Por qué es importante que su empresa cumpla

Para las empresas europeas, la necesidad de cumplir puede ser obvia, pero en realidad es algo a lo que las empresas de todo el mundo deberían prestar atención. Este es particularmente el caso de los sitios web y las empresas en línea, ya que el RGPD se aplica a cualquier empresa a nivel mundial que recopile datos sobre ciudadanos de la UE. Si está recopilando datos en su sitio web y su sitio web es visitado por ciudadanos de la UE, entonces el GDPR responsabilizará a su empresa por lo que haga con esos datos, independientemente de dónde se encuentre su empresa. Las sanciones para las empresas que infrinjan el RGPD pueden ser severas, siendo la mayor una multa de 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

Los aspectos más importantes para tu marketing digital

Para los especialistas en marketing digital, hay una serie de piezas clave de la legislación que debe conocer. Los siguientes cuatro puntos son los más importantes para acertar para garantizar que su programa de datos en línea sea compatible.

1. Datos personales

El primero es comprender qué cubre el RGPD y el reglamento de privacidad electrónica. Ya he mencionado que la ley se aplica a los datos de todos los ciudadanos de la UE, pero es un poco más específica; se aplica a sus datos personales.

Los datos personales son cualquier dato específico de un usuario que pueda permitir su identificación o singularidad. Esto cubre información como nombre, dirección, ubicación geográfica, número de teléfono, dirección de correo electrónico o número de identidad. Sin embargo, también cubre los identificadores en línea que pueden ser un nombre de usuario o direcciones IP.

2. Consentimiento

Quizás el mayor cambio que hará el GDPR en el panorama actual es su idea de consentimiento. El consentimiento debe ser explícito, informado y otorgado libremente.

Esto significa que, según el RGPD, los avisos de cookies estándar que se ven en la mayoría de los sitios web ya no serán suficientes. La ley requiere que los usuarios den su consentimiento a través de una "acción afirmativa". El usuario debe dar un paso activo para dar su consentimiento. El silencio y el consentimiento implícito no serán suficientes. Los datos del usuario no se pueden recopilar hasta que se dé su consentimiento.

Además, como la ley insiste en que se informe el consentimiento, las empresas deberán informar al usuario exactamente qué datos se recopilan, cómo se almacenan y para qué los utiliza la empresa.

La legislación también insiste en un método siempre disponible para excluirse del seguimiento. Esto significa que en cualquier momento el usuario del sitio web debe poder revocar el consentimiento.

3. Seguridad de los datos

La seguridad de los datos personales de las personas pasa a ser responsabilidad del responsable del tratamiento. El controlador de datos se define como la entidad que decide el propósito y el método de recopilación de datos. Entonces, por ejemplo, como propietario del sitio web, usted es el controlador de datos. Debe asegurarse de que las herramientas y los proveedores que utiliza para recopilar, almacenar y visualizar sus datos tengan la seguridad adecuada para proteger a sus clientes.

4. Ubicación de los datos

Parte de los esfuerzos del GDPR para proteger los datos de los ciudadanos de la UE se extiende al lugar donde se procesan y almacenan esos datos. GDPR insiste en que los datos se guardan y procesan en la UE o al menos en un país que tiene protecciones de datos similares a las de la UE. Puede encontrar una lista de estos países aquí .

Esto plantea un problema al utilizar herramientas con servidores y centros de datos ubicados en países, como Estados Unidos, que no cuentan con las protecciones de datos equivalentes. El Escudo de privacidad de EE. UU. Y la UE permite a las empresas de EE. UU. Firmar una declaración de que mantendrán los mismos estándares con los datos que almacenan, tal como lo requiere el GDPR.

Sin embargo, su validez aún está siendo cuestionada ya que a los legisladores de la UE les preocupa que sin una ley que los gobierne, las fuerzas del mercado harán que las empresas utilicen los datos de manera que contravengan la ley. Otra preocupación es que, incluso si las empresas cumplen los términos del Escudo de privacidad, siguen operando bajo una ley que puede exigirles que revelen los datos personales de los ciudadanos de la UE a su gobierno.

La última preocupación que debe abordarse cuando se trata de la ubicación de los datos es el consentimiento informado. Si los datos se trasladan fuera de la UE, esto debe hacerse explícito al usuario al dar su consentimiento para que se recopilen sus datos.

¿Qué debe hacer para estar preparado para el RGPD?

1. Anonimizar direcciones IP

Si utiliza una herramienta, como Google Analytics , para ver patrones de comportamiento en los datos anónimos de su sitio web sin identificar a los usuarios individuales, está utilizando el seguimiento agregado del sitio web. Para este tipo de seguimiento, solo hay dos puntos de datos que deben preocupar a todos los sitios web. Estos dos puntos principales son la dirección IP del usuario y la cookie de seguimiento de la herramienta.

Para la dirección IP, existe una forma relativamente sencilla de asegurarse de que cumple con la normativa y no requiere el consentimiento del usuario. La mayoría de las herramientas utilizadas para el seguimiento agregado de sitios web le permiten anonimizar la dirección IP de los usuarios. Al asegurarse de que esta configuración esté activada, no debería haber forma de identificar al usuario individualmente.

2. Determine si necesita el consentimiento del usuario

Con la dirección IP anonimizada, ahora podemos ver las cookies de seguimiento. Las regulaciones de privacidad electrónica propuestas brindan una exención al consentimiento del usuario para las cookies para herramientas agregadas del sitio web. Sin embargo, en este momento no está claro si esta exención será solo para herramientas operadas por el sitio web o si cubrirá herramientas de terceros como Google Analytics. Esto se hará más claro a medida que se finalicen y ratifiquen las nuevas regulaciones de privacidad electrónica.

3. Utilice una herramienta de análisis autohospedada

Dado que existe incertidumbre sobre si las herramientas de terceros requerirán consentimiento, la opción más segura sería implementar una herramienta de análisis web autohospedada. Estas herramientas le permiten alojar una instancia completa de la herramienta en su propia infraestructura. Esto significa que solo su empresa tiene acceso a los datos y puede estar seguro de que no necesitará consentimiento para el seguimiento agregado de su sitio web.

4. Obtenga la suscripción

Si no puede utilizar una herramienta autohospedada, tendrá que hacer que los usuarios se inscriban. Hay dos posibles soluciones para esto.

El primero es el enfoque Soft Opt-In. Con este enfoque, debe informar al visitante cuando llegue por primera vez a su sitio que se realizará un seguimiento de cualquier acción adicional realizada en el sitio. Debe proporcionarles la opción de optar por no ser rastreados en este momento. Este método se usa comúnmente en países europeos con estrictas leyes de privacidad de datos existentes, como Alemania. No está claro en este momento si seguirá siendo aceptable con la nueva regulación de privacidad electrónica.

El segundo enfoque es un Opt-In estricto. Este es el enfoque más seguro, ya que definitivamente cumplirá con las leyes cuando se publiquen las leyes, pero es más intrusivo para el usuario. Con este enfoque, le pedirá al usuario su consentimiento antes de que pueda comenzar a navegar por el sitio web. Esto se puede hacer con un cuadro emergente en la primera página de su primera visita.

5. Proporcionar una posibilidad de exclusión voluntaria

Si debe obtener el consentimiento de los usuarios para capturar sus datos según las nuevas regulaciones, debe proporcionarles una forma de cambiar de opinión y optar por no participar en cualquier momento. La ley dice que esto debe estar siempre disponible para el usuario. La mejor manera de hacer esto sería tener una página dedicada que detalle su seguimiento que permita a los usuarios optar por no participar. Esta página se puede vincular en su pie de página para que siempre esté presente en su sitio.

6. Tenga cuidado con los perfiles de usuario y la automatización del marketing

Si el programa de datos de su empresa va más allá de la agregación y configura perfiles de usuario, debe pensar más en prepararse para GDPR. Esto es particularmente cierto si está ejecutando un programa de automatización de marketing, reorientación o incluso marketing dirigido manualmente. Todas las actividades de elaboración de perfiles de usuarios y todo tipo de comunicación de marketing que envíe en función de estos perfiles requieren el consentimiento de los usuarios. Todos los datos personales o los datos de elaboración de perfiles que recopilará y todo el marketing directo que les enviará deben especificarse en el momento en que solicite su consentimiento a los usuarios. Además, se debe proporcionar un método para revocar su consentimiento, optar por no participar.

Háganos saber si tiene preguntas sobre el próximo GDPR y el Reglamento de privacidad electrónico propuesto. Consulte nuestras auditorías de cumplimiento y GDPR si desea asegurarse de que su marketing digital sea compatible.