Se acerca el RGPD: el impacto en la recopilación de comentarios digitales 21 de marzo de 2018

Publicado: 2018-03-21

¿Estás perdiendo el sueño por la noche pensando en la llegada de GDPR ? Si es así, no estás solo. Todavía hay muchas organizaciones (pequeñas y grandes) que no están del todo seguras de cómo prepararse para los próximos cambios en la regulación de recopilación de datos, especialmente en lo que respecta a la retroalimentación digital. Pero no te preocupes, ¡no es demasiado tarde para empezar!

Este artículo lo guía a través de los conceptos básicos de GDPR (p. ej., qué es y quién se verá afectado), los cambios más importantes que debe tener en cuenta en términos de recopilación de comentarios digitales , por qué es importante cumplir con estas regulaciones, las consecuencias si elige no hacerlo y lo que estamos haciendo aquí en Mopinion para prepararnos a nosotros mismos y a nuestros clientes para la nueva legislación.

Comencemos con lo básico.

¿Qué es el RGPD?

El Reglamento general de protección de datos (comúnmente conocido como RGPD ), es un nuevo reglamento de privacidad europeo que entrará en vigencia el 25 de mayo de 2018. Este reglamento se implementará en todas las leyes de privacidad locales en la región de la UE y el EEE y se aplicará a todos empresas que venden o almacenan datos personales sobre ciudadanos de la UE y el EEE. En otras palabras, cambiará permanentemente la forma en que las empresas recopilan, almacenan y utilizan los datos de los clientes. A cambio, los ciudadanos de la UE y del EEE tendrán más control sobre sus datos personales y lo que se hace con ellos.

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales - GDPR

¿Qué se considera 'datos personales'?

Como se define en la directiva GDPR,

“Los datos personales son cualquier información relacionada con una persona, como un nombre, una foto, una dirección de correo electrónico, datos bancarios, actualizaciones en sitios web de redes sociales, detalles de ubicación, información médica o la dirección IP de una computadora”.

¿A quién afectará el RGPD?

Para simplificar esto un poco, son principalmente los 'controladores' y 'procesadores' (de datos) quienes se verán directamente afectados por GDPR.

Los controladores (p. ej., clientes de Mopinion) son cualquier empresa o entidad gubernamental que determina cómo se procesan los datos y por qué.

Los procesadores (p. ej., Mopinion) son empresas que realizan el (aspecto técnico) del procesamiento de datos en nombre del controlador.

Lo que es importante reconocer es que, de acuerdo con la nueva regulación, no importa en qué parte del mundo se encuentren u operen los controladores/procesadores. Si hacen negocios con empresas de la UE o recopilan datos de ciudadanos de la UE, están tan obligados a cumplir con el RGPD como aquellos que operan en las regiones de la UE/EEE.

Informe técnico gratuito: El futuro de los comentarios de los clientes en línea

Descubra cómo puede aprovechar el poder de los comentarios de los clientes en línea para optimizar los sitios web y las aplicaciones.

Descargar el papel

Nota: si bien este artículo se centrará únicamente en la recopilación de comentarios digitales, es importante reconocer que también hay un debate sobre lo que esto significará para las herramientas de reproducción y grabación de sesiones, especialmente porque este tipo de herramientas, últimamente, han estado frecuentando las noticias. como resultado de la 'recopilación de contraseñas involuntaria'. Para obtener más información sobre estas herramientas y dónde pueden fallar en términos de privacidad una vez que se implemente el RGPD, asegúrese de consultar este artículo.

¿Qué significa GDPR para la recopilación de datos de retroalimentación?

La pregunta del millón para las empresas digitales primero... ¿Cómo afectará esta nueva regulación la forma en que actualmente recopilamos datos de retroalimentación en línea? La forma más fácil de exponer esto es abordar los temas/preguntas más críticos y discutidos.

1. Consentimiento de datos/Procesamiento lícito. Este es quizás uno de los mayores cambios por venir. GDPR establece que el consentimiento para recopilar datos personales (junto con el propósito del procesamiento de datos) debe proporcionarse en un formulario que sea fácilmente accesible para sus clientes. Nota: el consentimiento debe ser tan fácil de retirar como de dar.

Es bueno saberlo: como el RGPD está a la vuelta de la esquina, las firmas electrónicas en archivos PDF son esenciales si no hay una copia digital. Puede aprender cómo agregar una firma a un archivo PDF y muchos más consejos y trucos de PDF en esta guía Cómo editar un PDF.

Debido a que los comentarios de los clientes se incluyen en el procesamiento de datos, también deben procesarse legalmente. Esto significa (como se indicó anteriormente) que solo puede recopilar comentarios de un visitante si da su consentimiento. Sin embargo, puede argumentar que recopilar comentarios es de su interés legítimo , en cuyo caso no se requiere consentimiento.

Nota: GDPR es muy explícito acerca de prohibir que las organizaciones usen la cláusula de "intereses legítimos" como excusa para actividades de marketing, por lo que es importante mantenerlas separadas. Cuando planee utilizar los datos para fines tales como campañas de marketing, debe informar a sus clientes. Además, si desea compartir datos de clientes, los clientes primero deben indicar si les gustaría participar.

En resumen:

¿Tratas con datos sensibles?
 Entonces necesitará un consentimiento explícito para recopilar comentarios.

De lo contrario, el procesamiento es en su 'interés legítimo'.

Fuente: CustomerSure

2. Derecho de Acceso. La persona cuyos datos está recopilando tiene todo el derecho de confirmar qué se está haciendo con sus datos personales. Nota: esta información debe ser entregada al individuo de forma gratuita.

3. Derecho al Olvido. Las personas pueden solicitar a los controladores que eliminen sus datos personales del sistema y que detengan el procesamiento por parte de terceros. El controlador solo puede protestar si la disponibilidad de los datos es un asunto de interés público.

4. Privacidad por diseño. Esto abarca la necesidad de promover el cumplimiento de la privacidad y la protección de datos desde el principio. Esto incluye a los controladores de datos que toman medidas tanto técnicas como organizativas para cumplir con las regulaciones. Por ejemplo, solo procesar los datos que se necesitan para las operaciones.

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales: privacidad por diseño

5. OPD. También denominados Delegados de Protección de Datos, los DPD deben ser designados. Nota: hay algunas excepciones a este caso. El papel del DPO es "mantenerse al día con las leyes y prácticas en torno a la protección de datos, realizar evaluaciones de privacidad internas y garantizar que todos los demás asuntos de cumplimiento relacionados con los datos estén actualizados".

Nota: Esto se aplica a cualquier organización que procese o almacene grandes cantidades de datos personales, es decir, procesadores y controladores, A MENOS QUE el controlador "cumpla los criterios para la designación obligatoria", en cuyo caso no se requiere que el procesador designe un RPD.

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales - DPO
Fuente: Computing.co.uk

6. Portabilidad de datos. Esto se refiere al derecho que tienen las personas para cambiar sus datos de controlador a controlador, lo que significa que las empresas deben poder entregar los datos de los clientes en un formato adecuado y legible por máquina (por ejemplo, archivos CSV). El responsable del tratamiento deberá responder a esta solicitud en el plazo de un mes.

7. Violación de datos. Si sufre una violación de datos, DEBE enviar una notificación al ICO (Oficina del Comisionado de Información) dentro de las 72 horas (una vez que tenga conocimiento de la violación, es decir) y se debe notificar a las personas afectadas por la violación. Dentro de la notificación a la ICO, es importante resumir lo siguiente: la naturaleza de los datos que se han violado, cuántas personas se verán afectadas, qué tipo de consecuencias tendrá la violación para los afectados y qué acciones está tomando. tomando en respuesta a la infracción.

Una buena manera de prepararse para esto es a través de un mapeo de datos completo. Esto significa que los controladores y procesadores de datos de retroalimentación saben qué datos recopilan, dónde se almacenan, dónde se originaron, quién puede acceder a ellos y qué riesgos están involucrados.

Para revisar el procedimiento de Mopinion para una violación de datos, haga clic aquí.

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales - Violación de datos

Consejo : Absténgase de recopilar datos personales en las respuestas de comentarios
Es muy posible que sus usuarios envíen datos personales en la sección de comentarios abiertos de su formulario de comentarios. Afortunadamente, hay un par de maneras de evitar que esto suceda. Uno de los cuales es desviar a los usuarios a su página de atención al cliente a través de un enlace directo en el formulario. Alternativamente, puede incorporar una información sobre herramientas en sus formularios de comentarios que le recuerde al usuario que no incluya datos personales. Por ejemplo, "Por favor, no incluya sus datos de contacto en este campo de texto".

¿Por qué cumplir con estas estrictas normas?

Hay varias razones por las que es tan importante cumplir con el RGPD en lo que respecta a la recopilación de datos de retroalimentación. Para empezar, hay varias multas a las que uno puede estar sujeto por no cumplir. Las fuentes dicen:

Su autoridad de protección de datos podría imponer una sanción de hasta 20 millones de euros o el 4 % de su facturación anual global, lo que sea mayor.

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales - Multas

Además, puede ser muy perjudicial para la reputación de su marca. Si, por ejemplo, su negocio va a ser multado por no cumplir con las regulaciones, sus clientes pensarán que no se preocupa por sus intereses o que no valora su privacidad.

Otra razón para cumplir es el hecho de que las regulaciones simplificadas de protección de datos disminuirán la cantidad de errores cometidos. En otras palabras, el miedo al mal manejo de los datos dará como resultado un almacenamiento y procesamiento de datos más estructurados y organizados.

Nota: el artículo 5 del RGPD establece: 'el controlador será responsable y podrá demostrar el cumplimiento de los principios'. Esto significa que las empresas no solo deben cumplir con la regulación, sino que también deben demostrar que la cumplen. Muchos aconsejan que para hacer esto, debe mantener registros de todas las decisiones de procesamiento de datos.

¿Cuáles son las consecuencias?

Como se mencionó anteriormente, las consecuencias de violar cualquier cláusula dentro de GDPR pueden ser perjudiciales tanto para la reputación de una empresa como financieramente. Los detalles de cuáles serán las consecuencias varían en función de varios factores, entre ellos:

  • Cuánto tiempo estuvo en curso la infracción
  • Cuántas personas se vieron afectadas
  • El nivel general de impacto que tuvo la infracción

Nota: tanto los controladores como los procesadores pueden estar sujetos a consecuencias.

¿Qué está haciendo Mopinion para prepararse para el RGPD?

Mopinion ha estado tomando medidas activamente para prepararse para el RGPD. En estrecha colaboración con nuestro equipo legal, planeamos publicar un apéndice a nuestra declaración de privacidad que indique los detalles sobre cómo Mopinion manejará los datos. Estará disponible a principios de abril.

Como procesador, nos aseguraremos/proporcionaremos lo siguiente:

  • Nuestra política de privacidad y términos existentes estarán acompañados de un nuevo apéndice que proporcionará información detallada sobre los cambios en la política, de acuerdo con GDPR.
  • En términos de retención de datos , almacenamos datos mientras nuestro cliente esté bajo contrato. Para los clientes empresariales, nos adherimos a acuerdos de procesamiento de datos (DPA) personalizados en función de su política de seguridad, en los que los datos se pueden eliminar automáticamente en función de intervalos de tiempo personalizados. También proporcionaremos DPA a los clientes. Esto se hace usando nuestra propia plantilla que está disponible a pedido a través de nuestro Equipo de Éxito del Cliente.
  • Todos los datos sensibles a la privacidad (p. ej., los datos de contacto en los formularios de comentarios, incluidos los números de teléfono, las direcciones de correo electrónico y los nombres) se cifrarán . Además, cualquier dato capturado en el campo de entrada utilizando nuestra función de comentarios visuales se desdibujará (o enmascarará) automáticamente una vez que se renderice la captura de pantalla.
  • Para clientes europeos: conservamos todos sus datos personales en Irlanda.
  • Organizaremos una evaluación de seguridad adicional y profesional para garantizar que todos los datos personales estén 100 % seguros.
  • Un mapeo interno de todos los datos procesados, en el que documentamos el cumplimiento de los principios anteriores y hacemos cambios cuando sea necesario.

En Mopinion nos tomamos la privacidad muy en serio. Hemos estado trabajando codo a codo con un bufete de abogados para asegurarnos de que todo esté en su lugar antes de que GDPR toque nuestra puerta. Ahora, cuando faltan menos de dos meses para que entre en vigor esta nueva normativa, el equipo de Mopinion sigue confiando mucho en las medidas de privacidad y seguridad que hemos implementado para proteger los datos de nuestros clientes. Ciertamente ha sido un desafío, pero estábamos dispuestos a asumirlo por el bien de la privacidad en Internet.

Kees Wolters, cofundador/jefe de marketing, Mopinion

Mopinion: GDPR está llegando: el impacto en la recopilación de comentarios digitales - Políticas

Conclusiones clave para las empresas que utilizan los comentarios de los clientes

¿Está recopilando comentarios de los clientes en su sitio web o aplicación móvil? Estas son las conclusiones más importantes de este artículo:

  • El panorama de la privacidad está cambiando rápidamente, así que no se demore en tomar medidas para proteger la privacidad del usuario y cumplir con los requisitos del RGPD.
  • Designe un DPO para manejar todos los asuntos de cumplimiento.
  • Asegúrese de que sus documentos de Política de privacidad y Términos y condiciones indiquen claramente cómo está utilizando su herramienta de comentarios en su(s) sitio(s) web o aplicación(es) móvil(es).
  • Procesar datos que solo sean de su "interés legítimo". En otras palabras, trate de no recopilar datos que no necesita y no utilice los datos recopilados con fines de marketing (a menos que tenga su consentimiento)
  • Asegúrese de que tanto usted (el Procesador) como su proveedor de software de comentarios (el Controlador) cumplan con el RGPD.

¿Todavía te sientes pedante con la nueva regulación?

Asegúrese de consultar el Reglamento General de Protección de Datos oficial.