Email marketing y privacidad: el nuevo reglamento en 10 puntos

Si con la primera entrada del blog hemos demarcado una visión general de la nueva normativa, ahora es el momento de entrar en los detalles de las novedades de la reforma. Hemos identificado 10, y hoy te mostramos las cinco primeras, desde la extensión geográfica de las obligaciones hasta la presentación de la Evaluación de Impacto en la Privacidad.

En rápida enumeración, presentamos los cambios con la reforma

Surge la pregunta: «Si una empresa no europea procesa los datos personales de los ciudadanos del viejo continente, ¿qué ley se aplica?» Hasta ahora se aplicaba la del titular del tratamiento, es decir, de quien toma los datos.

Con la reforma cambia todo: las obligaciones del reglamento también se extienden al tratamiento de los datos personales no desarrollados en la Unión Europea pero que son utilizados para la oferta de bienes y servicios a los ciudadanos de los 28 países miembros de la Unión; de igual manera se aplica para los tratamientos que implican el monitoreo de datos.

Cambio revolucionario si pensamos que las viejas reglas contemplaban que la legislación aplicable era exclusivamente la de la nación en la cual se llevaba a cabo el tratamiento de los datos.

¿Y para Facebook y Google? ¿Cómo deben comportarse a la luz de la nueva regulación? Incluso los dos gigantes de Silicon Valley estarán sujetos al cumplimiento de la legislación europea.

Bajo la nueva regulación es obligatorio elaborar un sistema documental de gestión de la privacidad que contenga todos los actos, periódicamente actualizados, relacionados con el tratamiento de los datos personales.

Es la lógica de la rendición de cuentas, es decir, la correcta organización, documentación y trazabilidad de las actividades del tratamiento. El sistema de documentación deberá incluir una «abundante» serie de informaciones: cómo se tomaron los datos, dónde, cuándo. Una especie de caja negra del tratamiento.

Quien no organice de la mejor manera posible la gestión de datos será punible, independientemente de los abusos que podrían derivar de ello o no.

Las políticas de privacidad no serán más un instrumento burocrático y formal. Bajo la nueva regulación la información debe ser proporcionada de una manera concisa, clara, comprensible y de fácil acceso, con un lenguaje sencillo y claro, en particular en el caso de la información destinada específicamente a menores de edad.

La información debe ser proporcionada por escrito, en papel o en soporte electrónico. Si así lo solicita el interesado, la información podrá ser administrada oralmente, siempre y cuando hubiese sido probada por otros medios la identidad del titular.

Por otra parte, se debe mantener informados a los interesados ​​sobre el origen de los datos procesados e indicar su tiempo de conservación.

Con el reglamento anterior, la persona interesada en modificar, integrar o eliminar su propia información encuentra grandes dificultades para solicitar el acceso a los datos.

Los nuevos criterios están diseñados para facilitar el ejercicio de los propios derechos del interesado, incluidos los mecanismos para solicitar y obtener el libre acceso a los datos, su rectificación y supresión. Es una de las obligaciones de quien recoge los datos predisponer los medios necesarios para reenviar solicitudes por vía electrónica, en particular, en los casos en que los datos personales sean procesados por medios electrónicos.

Nos hemos acostumbrado durante años a gestionar la llamada Declaración de Políticas de Seguridad (DPS), una especie de fotografía que documenta la adecuación de las medidas de seguridad adoptadas para procesar los datos personales.

En 2012 dejó de ser obligatoria, pero con el nuevo reglamento pronto deberemos aprender a movernos con una nueva herramienta: la Evaluación de Impacto de la Privacidad (EIP), o documento para la evaluación del impacto en el tratamiento de datos.

Consiste en un verdadero análisis de los riesgos potenciales asociados con el procesamiento de los datos: el titular tiene ahora la obligación de hacer una evaluación de los impactos determinados por el tratamiento de los datos, desde el momento del diseño del proceso empresarial y de las aplicaciones informáticas en apoyo de la operación, en particular, en los casos en que el procesamiento presente riesgos específicos para los derechos y libertades de los interesados.

El proceso implica tres fases distintas, que deben llevarse a cabo periódicamente, al menos anualmente:

1. análisis de riesgos (list analysis);
2. definición de la lista de factores críticos (gap list);
3. definición del programa de intervención (action plan).

La probabilidad y el nivel de riesgo relacionado con el procesamiento de los datos serán determinados por la naturaleza, el campo de aplicación, el contexto y el propósito del tratamiento de los datos.

Una verdadera revolución para aquellos que están acostumbrados a las cadencias cómodas del DPS. Con la EIP se presenta un análisis profundo de los procesos de empresa que tiene como objetivo gestionar los riesgos mediante la prevención de los mismos.

Con nuestra sección Privacidad queremos ofrecer un mapa orientativo entre las complicadas disposiciones del nuevo Reglamento europeo. Síguenos en nuestro blog, en la próxima entrada te guiaremos entre los últimos cinco puntos clave de la reforma, ofreciendo un enfoque sobre las novedades en las actividades de perfilado.