No se deje engañar por estos 6 mitos del RGPD

Estamos a unos meses aterradores del día de implementación de GDPR e Internet está lleno de malos consejos.

La cantidad de publicaciones de blog y respuestas de Quora que he visto llenas de luces verdes, que deberían ser ROJAS, es asombrosa.

Y a medida que en Convert pasamos más y más tiempo aprendiendo, leyendo y tirándonos de los pelos por esta nueva, grande e importante pieza de legislación, más mi cerebro comenzó a hacer sonar las alarmas.

“Este comportamiento estándar de la industria ahora es malo ”, dice. “TIENES QUE ADVERTIRLES”.

Así que aquí.

Estas son las 6 grandes mentiras que la gente cree sobre el RGPD que la gente se equivoca y que todos debemos corregir antes del 25 de mayo.

Mito #1: Esto solo afecta a la UE.

Si solo.

Una de las cosas más ambiciosas de GDPR es cómo amplía el alcance legislativo de las políticas de privacidad de datos. Ahora, hay una pieza de legislación general que establece las reglas en toda la UE.

Pero más allá de eso, el RGPD es importante para cualquiera que trate con datos de ciudadanos de la UE.

Incluso si su empresa tiene su sede en otro lugar, si tiene visitantes web que son ciudadanos de la UE y los rastrea con cookies, se espera que aplique con GDPR. Si recopila los correos electrónicos de sujetos de datos europeos, si almacena su dirección IP, si interactúa con sus datos, está sujeto a las mismas reglas nuevas que cualquier persona con un servidor basado en la UE.

Y, sinceramente, incluso si está 100 % seguro de que no maneja datos de la UE, cumplir con el RGPD es un buen paso en la dirección correcta. Las leyes de privacidad en todas partes están cambiando. Canadá está trabajando en una nueva legislación con la Ley de Privacidad.

Los datos son, cada vez más, una valiosa forma de moneda. Lo que hace que la legislación sobre datos sea más importante que nunca.

Mito #2: Puedo justificar mis cookies/correos electrónicos fríos/etc. por “interés legítimo”.

La condición de interés legítimo es... complicada.

Si bien puede (momentáneamente) dejar un poco de espacio para respirar para algunos tipos de correos electrónicos fríos, no es tan útil como los especialistas en marketing podrían esperar.

Para retroceder un poco, GDPR describe 6 condiciones legales diferentes para el procesamiento de datos. Los dos relevantes para los especialistas en marketing parecen ser: el consentimiento del sujeto de datos y los "intereses legítimos".

Solicitar el consentimiento requiere que cumpla con todo tipo de condiciones: tiene que ser activo, inequívoco, afirmativo, etc.

Comparativamente, los "intereses legítimos" parecen un paseo por el parque. Pero la intención de esta cláusula no era "legítimamente pensé que estaban interesados... así que puedo enviarles lo que quiera, ¿verdad?"

Esto es lo que el ICO (organismo regulador de datos del Reino Unido) recomienda que confirme antes de decidirse a procesar datos...

• Hemos comprobado que los intereses legítimos son la base más adecuada.
• Entendemos nuestra responsabilidad de proteger los intereses de las personas.
• Hemos realizado una evaluación de intereses legítimos (LIA, por sus siglas en inglés) y mantenemos un registro de la misma, para garantizar que podamos justificar nuestra decisión.
• Hemos identificado los intereses legítimos relevantes.
• Hemos comprobado que el procesado es necesario y no hay forma menos intrusiva de conseguir el mismo resultado.
• Hemos realizado una prueba de equilibrio y estamos seguros de que los intereses de la persona no anulan los intereses legítimos.
• Solo usamos los datos de las personas de la manera que razonablemente esperarían, a menos que tengamos una muy buena razón.
• No utilizamos los datos de las personas de manera que les resulte intrusiva o que pueda causarles daño, a menos que tengamos una muy buena razón.
• Si procesamos datos de niños, tenemos especial cuidado para asegurarnos de proteger sus intereses.
• Hemos considerado medidas de seguridad para reducir el impacto cuando sea posible.
• Hemos considerado si podemos ofrecer una opción de exclusión.
• Si nuestro LIA identifica un impacto significativo en la privacidad, hemos considerado si también necesitamos realizar una DPIA.
• Mantenemos nuestro LIA bajo revisión y lo repetimos si las circunstancias cambian.
• Incluimos información sobre nuestros intereses legítimos en nuestro aviso de privacidad.

Entonces, si desea confiar en intereses legítimos, debe confirmar estas cosas. Y tienes que documentar tu proceso. Y debe decidir con anticipación que está procesando con la condición de intereses legítimos. No puede ser solo su respaldo porque solicitó el consentimiento incorrectamente.

Mito n.º 3: necesito nombrar un Delegado de Protección de Datos.

GDPR aconseja a algunas empresas que nombren un Oficial de Protección de Datos, para supervisar la transición y el avance de la seguridad de sus datos.

Y los poderes fácticos tienen bastante claro que las autoridades públicas deben nombrar uno. Y empresas cuya función principal incluye procesar datos, o monitorearlos sistemáticamente. Y si procesa regularmente categorías especiales de datos, como datos de salud o afiliaciones religiosas y políticas, probablemente debería tener un DPO en su equipo.

Pero aparte de estas condiciones, sinceramente, no existe una regla estricta sobre cuándo su empresa es lo suficientemente grande como para exigir la contratación de un DPO. O cuando los datos que maneja son lo suficientemente complejos como para necesitar uno. 250 empleados es una regla general que se usa a menudo.

En general, parece que las pymes que procesan sus tipos y cantidades estándar de datos, con fines de marketing, pueden salir adelante con un asesoramiento legal sólido y una dedicación total a la transparencia de los datos.

Mito n.º 4: Esta es una buena manera de pedir consentimiento.

este ser…

¡No! El consentimiento debe estar activo. No puedes dejar tus cajas marcadas previamente.

¡No! Eso es agrupar. Tienes que pedir consentimiento para procesos separados, por separado. No puede agregar suscripciones a "boletines mensuales" junto con suscripciones a eventos.

¡No! ¡Nombra a tus terceros o no cuenta!

No, las cookies persistentes necesitan un consentimiento explícito y activo ahora. Como en, alguien tiene que hacer clic en algo o marcar una casilla que dice "Doy mi consentimiento". No lo dan solo por seguir navegando.

Y siguen los matices.

Lo importante es que las reglas de consentimiento ya no son lo que solían ser.

Para obtener más información sobre lo que son ahora, tenemos un desglose más sustantivo aquí.

Mito #5: Eso no es información personal.

GDPR ha ampliado el alcance de los datos personales, de lo que anteriormente se conocía como "Información de identificación personal".

Humildemente presentamos esta útil tabla:

Los más importantes aquí son las cookies, que son un poco complicadas. Exactamente qué tipos de cookies se considerarán datos personales, se establecerá con el nuevo Reglamento de privacidad electrónica.

En este momento, hay algunas excepciones para las cookies en el "sector de rendimiento". Estos son los tipos que solo recopilan información sobre el uso del sitio web, en beneficio del operador del sitio web. No identifican a los visitantes, sino que se basan en datos agregados.

Puede encontrar una inmersión profunda en cómo GDPR regulará las cookies aquí.

Mito n.º 6: siempre que actualice mis procesos antes del 25 de mayo, estoy libre de problemas.

Como vendedor, esta es la condición del RGPD que me da ganas de arrancarme los pelos.

Se aplica retroactivamente.

Se aplica a todos sus datos existentes.

Es decir, si ha estado recopilando correos electrónicos, ejecutando cookies o jugando con datos personales de una manera que no cumple con GDPR, todos esos datos almacenados se convierten en un problema el 25 de mayo.

Nosotros recomendamos:

1. Ya sea que las cookies de su sitio se ejecuten en una vida útil de 3, 6 o 12 meses, es una buena idea comenzar de nuevo y borrar todos los datos personales que hayan almacenado.
2. Ejecute una campaña de renovación de permisos para tratar de salvar su lista de correo electrónico existente.

Es un dolor de cabeza. Y es un fastidio perder algunos de esos contactos por los que has luchado tanto por ganar.

Pero, como dicen…

A veces las cosas se desmoronan para que cosas mejores puedan unirse y también la privacidad de los datos es importante, por lo que todos debemos cumplir con la ley.