Qué significa el RGPD para su empresa

Hoy es un buen día para aprender más sobre lo que significa GDPR para su negocio.

El Reglamento General de Protección de Datos de la Unión Europea, o GDPR, entra en vigencia el 25 de mayo de 2018. Y aunque falta casi un año para eso, operativamente, hay una gran cantidad de métricas que deberá hacer para cumplir. (Sí, "carga a tope métrica" ​​es un término técnico).

En este episodio de Rethink Podcast, hablamos con David Fowler, quien es el jefe de privacidad, cumplimiento y capacidad de entrega de Act-On. Como dice David, GDPR marca el mayor cambio en la ley de protección de datos de la UE en una generación. Y se aplica a los 510 millones de ciudadanos de la UE, así como a cualquier empresa que haga negocios con ellos, independientemente de dónde se encuentren.

Disfrute de la conversación y esperamos que pueda obtener uno o dos puntos útiles que pueda aportar a su negocio.

Nathan Isaacs : David, ¿puedes contarme más sobre lo que haces en Act-On?

David Fowler : Ayudo a nuestros clientes a navegar por la hoja de ruta digital en términos de sus obligaciones según las leyes locales, estatales, federales e internacionales relacionadas con el marketing digital. También me aseguro de que cuando nuestros clientes presionen el botón "enviar" para sus correos electrónicos, los mensajes tengan todas las oportunidades para llegar a la bandeja de entrada. El cumplimiento digital en 2017 es un campo muy profundo y amplio. Si es un vendedor en los EE. UU. que envía a la UE, por ejemplo, sus obligaciones serán diferentes a las de un vendedor en los EE. UU. que envía a Canadá. Es nuestro trabajo informar a nuestros clientes de sus obligaciones bajo esas hojas de ruta legislativas particulares.

Nathan : Una de las cosas de las que estamos hablando hoy es el Reglamento General de Protección de Datos, o GDPR. ¿Puedes decirme qué es eso y de qué se trata?

David : El RGPD es una ley que entrará en vigor en Europa en 2018, el 25 de mayo para ser exactos. Y lo que es, esencialmente, es una reescritura completa de la directiva de datos de la UE de 1995. Y para aquellos de ustedes que escuchan el podcast, no existen leyes universales en Europa en términos de cumplimiento digital. Hay interpretaciones de la directiva de datos, y cada país puede determinar cuál es su interpretación de esa ley. Entonces, como puede ver, solo eso en sí mismo crea este enorme potencial de confusión.

El RGPD es una ley universal que se aplicará a todas las empresas que tengan ciudadanos europeos en sus bases de datos. Eso será general para todos los países dentro de la UE. Es una ley para 500 millones de personas.

Nathan : Para las empresas con sede en los EE. UU. o en cualquier otro lugar del mundo que hagan negocios con personas en Europa, esto se aplica a ellas. ¿Está bien?

David : Eso es correcto. Y hay algunas multas importantes si no cumple, hasta el 4 por ciento de los ingresos totales de una empresa. Si eres Google, por ejemplo, ¿qué es el 4 por ciento de un billón de dólares?

Sus responsabilidades bajo GDPR

Nathan : Se aplica una nueva ley a la forma en que hago negocios con personas. ¿Qué debo hacer como empresa para cumplir?

David : Es importante entender las responsabilidades bajo GDPR. Y en Europa, tienes dos sabores. Tienes el controlador y el procesador de los datos. Por ejemplo, eres cliente de Act-On. Sería un controlador bajo la hoja de ruta de GDPR. Y nosotros [Act-On] seríamos el procesador de sus datos. Nuestras obligaciones bajo GDPR son, A, cumplir con la ley, obviamente. Pero también B, construir nuestros productos y servicios que le permitan cumplir con sus obligaciones bajo GDPR.

No es nuestra responsabilidad asegurarnos de que cumpla con las normas. Pero es nuestra responsabilidad demostrar que nuestros productos le permiten cumplir, es decir, cosas como proporcionar mecanismos de consentimiento, copia de seguridad del consentimiento, suscripción doble, todos estos tipos de cosas que damos por sentado en términos de permiso, nuestros productos deben ser hasta el punto en que hacen eso.

El uso de una plataforma de automatización de marketing dentro del alcance de GDPR es algo que usted, como controlador de sus datos y los datos de sus clientes, no solo deberá cumplir, sino también comprender cómo usa la tecnología para hacerlo. Ahora, los derechos humanos, en términos de datos e información personal y ese tipo de cosas, hay muchos más problemas que vienen a la mesa bajo GDPR si eres el destinatario de una relación digital del cliente. Desde el punto de vista operativo, hay muchas cosas en las que debe pensar para prepararse para eso. Pero en última instancia, donde la goma se encuentra con el camino, si tiene un cliente que no puede probar cómo entró en su lista, o no puede probar de dónde vino, o no puede probar el mecanismo de consentimiento que fue solía comenzar a comercializar para ellos, entonces, esencialmente, estaría en incumplimiento bajo GDPR.

Impactos operativos del RGPD

Nathan : ¿Cuáles son los impactos operativos del RGPD?

David : Gran pregunta. Hay 10 áreas en las que debe pensar desde la perspectiva de su empresa en términos de preparación para el lado operativo de GDPR. El número uno es la seguridad de los datos y la notificación de infracciones.

Por lo tanto, si tiene una violación de datos, su obligación es informar a la DPA, la autoridad de protección de datos, dentro de un período de 72 horas desde que realmente ocurrió esa violación o si sabe que está ocurriendo. El DPO obligatorio, u oficial de protección de datos, es algo que se está implementando bajo GDPR, lo que significa que si es una empresa de cierto tamaño, en realidad debe tener un empleado en el personal que se ocupe de sus esfuerzos de protección de datos.

El consentimiento del sujeto de datos es un problema enorme: cómo se obtiene el consentimiento de un sujeto de datos. Bajo GDPR, un sujeto de datos es el individuo real y no una anomalía. Las transferencias de datos transfronterizas son importantes. Si está moviendo datos por Europa o desde Europa de regreso a los EE. UU. o donde sea que vaya, eso es algo en lo que debe pensar. En términos de cómo se hace desde una perspectiva de adecuación, en el entorno actual, el mecanismo de transferencia de datos transfronterizo entre Europa y EE. UU. se rige por un programa llamado escudo de privacidad, y estamos certificados como escudo de privacidad como empresa. Pero habrá otras entidades que vendrán a jugar para ayudar.

La elaboración de perfiles y el derecho a rechazar serán un problema masivo en términos de cómo se perfilan las personas y cómo tienen derecho a oponerse a ser perfiladas; es decir, si sé que llevas una camisa blanca hoy, voy a hacer un perfil de tus preferencias de camisa y tal vez te envíe unos pantalones blancos para combinar con eso. Como individuo, el problema es cómo puede administrar eso en términos de poder optar por no participar en ese perfil en el futuro.

Otro grande es el derecho a la portabilidad de datos y el derecho al olvido. Según el RGPD, el concepto es que usted, como individuo, tiene derecho a tomar sus datos de la empresa A y transferirlos a la empresa B en un formato de lectura automática aceptable, y también tiene derecho a tener el hecho de que en realidad alguna vez tuvo una relación digital con esa marca en particular olvidada. Entonces, ese es un problema enorme en términos de cómo las empresas podrán cumplir con eso y realmente implementar ese tipo de estrategias en torno a esos conceptos. Todavía estamos tratando de entender eso.

La séptima área son los deberes y responsabilidades de los controladores y procesadores. Cuál es su responsabilidad según el RGPD como procesador, que es Act-On, y cuáles son sus responsabilidades según el RGPD como controlador, que es el cliente de Act-On. Y son dos temas diferentes en términos de algunas de las cosas que vienen al plato con eso.

Otro tema a tener en cuenta es la seudonimización de los datos personales: cómo puedo tomar sus datos y crear un perfil más grande basado en otras entidades de tipo de terceros que podrían conectarse con eso, en su hoja de ruta particular. Códigos de conducta, cómo y por qué hay que actuar de determinada manera. Y finalmente, las multas y los procedimientos son un gran problema; podría recibir una multa del 4 por ciento de los ingresos globales de su empresa si no cumple.

Entonces, hay muchas cosas desde una perspectiva operativa. Y le garantizo que, si tiene una persona encargada de la privacidad, si tiene una persona encargada del cumplimiento, y esas personas no están hablando con sus técnicos o sus ingenieros, entonces debe comenzar a pensar en reunir a esas personas, porque va a tome un pueblo para hacer esto desde una perspectiva organizacional.

Derechos de las personas según el RGPD

Nathan : ¿Cuáles son los derechos de los individuos en todo esto?

David : Sí, esa es una gran pregunta. Porque bajo el RGPD, el individuo tiene derecho a ser informado, a que le digan, 'Obtuve su información de aquí, y esto es lo que voy a hacer con ella, y esto es lo que no voy a hacer. con eso.' El derecho de acceso, para que usted como individuo pueda comunicarse con nosotros y decir: 'Oye, mi información no es correcta, es incorrecta, es inexacta y necesito que cambies eso, según el perfil que tienes sobre mí. .' El derecho a la recertificación, lo que significa lo mismo: en realidad podría cambiar o ajustar según lo que sabe. El derecho a borrar: 'Oye, Act-On, borra toda esta información sobre mí' o 'Sr. y Sra. Cliente, por favor borre toda esta información sobre mí', y ¿cómo va a hacer eso?

Tiene derecho a restringir el procesamiento, es decir, 'Oye, me gustaría recibir tus correos electrónicos, pero no quiero recibir SMS'. O, 'Me gustaría recibir correos electrónicos, pero no quiero recibir mensajes de texto'... o cualquiera que sea el caso. Y luego el derecho a restringir la portabilidad de datos, lo que significa que voy y tomo mis datos de la empresa A y los muevo a la empresa B. En teoría, podría tener clientes que se van un viernes a las 5 p. m. y luego van a otra empresa el lunes a las 8 am Y, técnicamente, deberían estar en funcionamiento dentro de ese entorno.

Y finalmente el derecho a objetar: 'Esto está bien, esto está mal, esto es indiferente'. Y el derecho a relacionarse con la toma de decisiones y la creación de perfiles automatizada, lo que significa que, dado que ahora estamos en el canal digital con cosas como la inteligencia artificial, podría comenzar a crear perfiles sobre personas y sujetos, independientemente de si lo saben o no. Tienes que ser muy directo en términos de cómo divulgas esa información y cómo construyes esos perfiles.

Lo que imagino es que las empresas compensarán en exceso por el consentimiento. Piensas en cómo te involucras en una relación digital hoy en día: divulgación, consentimiento y todas estas cosas que damos por sentadas. Pero el punto es que creo que verá muchas páginas de perfil y páginas de incorporación, donde no tendrá casillas marcadas previamente, pero permitirá que las personas puedan decir: 'Me gustaría seleccione esto o anule la selección de aquello.' Las casillas premarcadas en el RGPD son un completo no-no. Es totalmente ilegal.

Y lo que estaría haciendo ahora como comercializador es, en sus esfuerzos de preparación, cuando esto entre en funcionamiento en mayo del próximo año, no habrá período de gracia. Todos los datos que tenga en su archivo a partir de mayo de 2018 deberán cumplir con los requisitos el día en que se active. Por lo tanto, debe comenzar a pensar ahora en cómo volver a obtener el permiso o llegar al punto en el que comience a divulgar diferentes cosas sobre las personas a medida que se prepara para la implementación de GDPR. Entonces, vuelva a autorizar sus listas, obtenga su consentimiento en orden, comience a hablar sobre divulgaciones y ese tipo de cosas. Y eso es lo que deberías empezar a abrazar hoy.

Más información sobre el RGPD

Nathan : Estamos hablando de esto ahora solo para que las personas tengan la oportunidad de comenzar a cumplir o implementar esos mecanismos para cumplir, tanto nosotros como cualquier otra persona. ¿Hay una lista de verificación?

David : Divulgación completa, no estamos en una posición en la que podamos brindar asesoramiento u orientación legal. Pero algunas de las autoridades de protección de datos dentro de la UE son más elocuentes y han sido más comunicativas que otras. Y un gran ejemplo de una DPA que ha publicado mucha información es la ICO, la Oficina del Comisionado de Información del Reino Unido.

Si vas a su sitio web, tienen un montón de información en términos de lo que deberías estar pensando, cómo te preparas y cuáles serán tus obligaciones el próximo año.

Nathan : Entonces, esto es algo para que todo el equipo lo discuta, desde marketing hasta cumplimiento, legal e ingeniería, ¿correcto?

David : Absolutamente. Porque cada uno lo va a interpretar de manera diferente. Quiero decir que la documentación tiene cientos de páginas de profundidad. Es extremadamente engorroso. Pero es realmente un enfoque de sentido común para una relación digital. Y no se trata sólo del individuo ahora. También se trata de cómo hace negocios con sus proveedores y cómo los responsabiliza por las cosas. En algunos aspectos, es un marco para un enfoque digital de sentido común no solo para el marketing, sino también para optar por no participar en ciertas cosas. Definitivamente es algo en lo que deberías estar pensando ahora. Y si no lo ha hecho, entonces está un poco por detrás de la bola 8.

Resumen

Act-On producirá seminarios web, hojas de datos y otros contenidos sobre el RGPD durante el próximo año. También puede enviar un correo electrónico a David si tiene alguna pregunta: [email protected] .