Campo non valido
  • HOME
  • Blog
  • Email marketing y privacidad: del Oficial de Privacidad de Datos a las nuevas sanciones
Marco Maglio
17 marzo 2016
Tiempo de lectura: 6 min.

Email marketing y privacidad: del Oficial de Privacidad de Datos a las nuevas sanciones

Hemos llegado al acto final de nuestro viaje por las novedades del Reglamento general de protección de datos, que está por publicarse en el Diario Oficial de la Unión Europea. Recapitulemos el camino recorrido juntos:
753x436
Índice
  • hemos elaborado una panorámica de la nueva reforma;
  • nos adentramos en las novedades del texto de la ley, explorando los primeros cinco puntos esenciales;
  • hemos abierto un paréntesis para detenernos en dos puntos clave de la privacidad a nivel de empresa: la autorización y los perfiles, que también se ven afectados por la reforma.

Solo queda cerrar el círculo, entrando en los detalles de las últimas cinco novedades sustanciales de la reforma europea. Comencemos.

256x218
Prueba la plataforma
Descubre todo lo que puedes hacer con MailUp.

Desde el desarrollo de integraciones hasta el apoyo estratégico, desde la creación de conceptos creativos hasta la optimización de resultados.

ACTIVA AHORA

6) Menos burocracia, más sustancia: adiós a la notificación

Hasta hoy, quien llevaba a cabo ciertos tipos de tratamiento (de geolocalización, estudios genéticos, elaboración de perfiles, puntualidad de los pagos y otros tipos de tratamientos particularmente invasivos) tenía que notificar previamente de su actividad al Garante para la protección de los datos personales.

Con la reforma europea, que entrará en vigor en 2018, queda abolida la obligación de notificación al Garante. Considerada demasiado onerosa desde los puntos de vista administrativo y financiero – y nunca realmente eficaz -, la notificación será reemplazado por mecanismos y procedimientos que se centran en las operaciones de tratamiento que presentan riesgos potenciales para los derechos y libertades de los interesados, por su naturaleza, alcance o propósito.

Bajo la nueva regulación, es necesario evaluar el grado de impacto que tal tratamiento puede tener sobre la privacidad de los contactos.

7) Un nuevo protagonista: el Oficial de Privacidad de Datos

Preparémonos para una nueva figura clave para la privacidad de las empresas: nace el Oficial de Privacidad de Datos, también llamado responsable de la protección de los datos personales. Una figura obligatoria en los casos en que:

  • quien procesa los datos es una entidad pública;
  • la empresa procesa un volumen importante de datos personales;
  • la empresa procesa sistemáticamente datos sensibles o judiciales.

El Oficial de Privacidad de Datos, que puede ser un consultor externo a la empresa, debe cumplir con los requisitos de profesionalidadindependencia y autonomía de gasto, convirtiéndose en una especie de auditor interno de los procesos de tratamiento de los datos personales y en el referente para el Garante de la privacidad, la persona a contactar en caso de que la autoridad quiera obtener información u oponerse a determinadas actividades de tratamiento.

Los cometidos esenciales del Oficial de Privacidad de Datos son:

  • informar y aconsejar al titular o responsable del tratamiento en relación con las obligaciones derivadas del reglamento europeo;
  • velar por la implementación y aplicación de las políticas del titular o del responsable del tratamiento en materia de protección de datos personales, incluidas la atribución de responsabilidades, la formación del personal que participa en el tratamiento y las auditorías relacionadas;
  • comprobar la implementación y aplicación del reglamento europeo; la seguridad de los datos; la respuesta a las peticiones de los interesados en ejercer los derechos reconocidos por el reglamento;
  • garantizar la conservación de la documentación relacionada con los tratamientos efectuados por el titular;
  • comprobar que las violaciones de los datos personales sean documentadas, notificadas y comunicadas;
  • comprobar que el titular o el responsable del tratamiento lleven a cabo la evaluación del impacto de la protección de datos y soliciten la autorización o consulta previa en los casos previstos;
  • hacer de punto de contacto entre la empresa y el Garante;
  • comprobar que se lleven a término las demandas del Garante y, dentro de sus competencias, cooperar por iniciativa propia o a petición de la autoridad.

8) Privacidad por diseño, privacidad por defecto

La reforma introduce dos nuevos principios fundamentales: la privacidad por diseño y la privacidad por defecto.

Privacidad por diseño significa que la protección de los datos personales debe planearse y organizarse desde la fase proyectual de la recopilación de información: se hace así obligatorio disponer mecanismos de protección desde que se planifican las actividades y durante toda la gestión del ciclo de vida de los datos; es necesario analizar los flujos de datos vinculados a la actividad que se quiere efectuar, y adoptar criterios que lleven a un mínimo los riesgos del tratamiento y reduzcan la cantidad de datos tratados (lo que se denomina actividad de minimización de datos).

Se entiende como privacidad por defecto la obligación de prevenir la recopilación de datos no necesarios para los fines perseguidos: es necesario evitar la captación de informaciones más allá de los objetivos declarados en la nota informativa.

La privacidad deja de ser un mero requisito legal y se convierte en un elemento intrínseco del proceso de gestión de la información: esta es la verdadera esencia de la reforma, y quien no asuma el nuevo concepto está destinado a vagar en busca de un centro de gravedad permanente.

La privacidad por diseño y la privacidad por defecto se funden en un único precepto organizativo que resulta entonces la auténtica estrella polar en el camino hacia el correcto tratamiento de los datos.

9) La obligación de la autodenuncia de las violaciones

En otros países existe desde hace tiempo, y recibe el nombre de data breach notification («notificación de violación de datos personales»), es decir la obligación de señalar a las Autoridades las violaciones de datos personales ( «personal data breaches») , como la destrucción, pérdida, alteración, divulgación o acceso no autorizado, de manera accidental o ilícita, de los datos personales transmitidos, memorizados o procesados, comoquiera que sea.

Quien trata datos, en caso de violación, debe:

  • notificar lo sucedido a la autoridad de control en un plazo de 72 horas a partir de la violación;
  • señalarlo al directo interesado, sin demoras indebidas.

Este nuevo parámetro de seguridad empuja a las empresas a utilizar programas de software de monitoreo que señalen inmediatamente las violaciones, y a obtener las adecuadas coberturas de seguros para protegerse contra los denominados riesgos cibernéticos («cyber risk» ) , siempre en aumento.

10) Las sanciones de nueva generación

Con la reforma, las sanciones se hacen más rigurosas:

  • hasta 20 millones de euros para personas y empresas que no formen parte de grupos de sociedades;
  • hasta el 4% de la facturación total (consolidada) para los grupos de sociedades.

Se trata de un cambio de ritmo significativo, dictado por la voluntad de hacer mella en las grandes multinacionales que procesan datos en distintas áreas geográficas y tratan de identificar los paraísos legales del tratamiento de datos para evadir la ley, y vigilar su conducta.

Se cierra aquí nuestro viaje por el nuevo reglamento. Entre normativas, actualizaciones y noticias, esperamos haber ofrecido un completo cuadro de la reforma, un marco que te permita actualizar tus actividades de tratamiento de datos personales. ¿Tienes dudas o necesitas aclaraciones sobre la nueva ordenación? No dudes en escribirnos en el espacio para comentarios. Estaremos encantados de ayudarte.

Share this article
80x80
Marco Maglio

Abogado, fundador de Lucerna Iuris, Red Jurídica Internacional compuesta por bufetes de abogados especializados en derecho del marketing y de la comunicación. Presido el Jurado para la Autodisciplina del marketing directo y del comercio electrónico y el Observatorio Italiano de Privacidad. Participo en las actividades de los principales Grupos de trabajo formados por Expertos Internacionales en materia de Protección de Datos y Ley de Marketing y soy miembro del Comité de Asuntos Legales y Ética de FEDMA (Federación Europea de Marketing Directo) como representante de Italia. Soy miembro de la Asociación de Profesionales de la Privacidad y Auditor Senior de Privacidad Certificado.

    Mucho contenido original, cero spam. Suscríbete al boletín

    Inscríbete a la newsletter
    Inscríbete a la newsletter

    TeamSystem S.p.A., Via Sandro Pertini 88, 61122 Pesaro (PU) – Italia
    C.I.F. IT01035310414. MailUp® es una marca registrada. Todos los derechos reservados.

    Contrato de licencia de uso Politica anti-spam
    Privacidad y Cookies Preferencias de cookies