Qué cambios hay que realizar para cumplir con la GDPR

Las nuevas leyes de protección de datos de la Unión Europea (GDPR General Data Protection Regulation) entran en vigor el 25 de mayo de 2018 y afectan a cualquier empresa que gestione datos personales de usuarios europeos. Las sanciones pueden suponer un 4% de los ingresos de la empresa, así que hay que tomárselo muy en serio.

Los cambios ponen el foco en el uso y gestión de los datos personales. Para facilitar su comprensión vamos a dividir los cambios según los siguientes bloques:

Registro de datos

• Define en detalle la información que vas a recoger según las necesidades de negocio.
• Revisa la información que ya tienes y si te han dado consentimiento para utilizarla.
• Registra sólo la información que realmente sea importante.
• Solicita permiso explícito para utilizar la información que recoges e informa para qué la vas a utilizar.
• Utiliza el sistema de doble opt-in para confirmar el proceso.
• No utilices la casilla pre seleccionada para confirmar la aceptación de las condiciones.
• Informa de forma clara las condiciones de uso.

Gestión de los datos

• Utiliza la información que has recogido de forma que cumplas con el consentimiento del usuario.
• Comunica a los usuarios registrados cualquier cambio que realices en tu aviso legal, política de privacidad y política de cookies.
• Permite a los usuarios que restrinjan el uso que se hace de su información si así lo solicitan.
• Registra todas las actividades que se realicen con los datos del usuario.

Almacenamiento y acceso

• Almacenar la información de forma encriptada.
• Asegura que la información no pueda perder, pues eres responsable de cualquier pérdida de información.
• Permite que los usuarios pueda acceder y leer la información que tienes sobre ellos.
• Permite que los usuarios se puedan dar de baja del servicio.
• Permite que puedan modificar su información cuando lo necesiten.
• Permite que los usuarios puedan impedir que utilices su información para segmentar, tomar decisiones automáticas o cualquier otro tipo de aplicación del marketing.

Eliminación y transferencia de datos

• Permite que los usuarios puedan exportar sus datos a través de un sistema de login con contraseña.
• Permite que el usuario elimine todos sus datos (derecho a ser olvidado).
• Utiliza un método sencillo para poder migrar la información de usuarios de un servidor a otro de la organización.
• Define un sistema que permita borrar de forma segura su información personal.
• Nunca penalices a los usuarios por borrar o transferir la información a otro servicio.
• Borra toda la información personal que no hayas utilizado en los últimos 6 meses. Para poderles enviar información de nuevo tendrás que volver a solicitar su consentimiento.

¿Qué cambios hay que realizar en la página web?

1. Revisa tu aviso legal, política de privacidad y política de cookies
   • Identidad del responsable de la gestión de datos
   • Datos que se están registrando y utilizando
   • Servicios de terceros que utilizas (hosting, email marketing, crm en cloud…)
   • Plazos de conservación de los datos
   • Finalidad de la utilización de los datos y si utilizas alguna herramienta de segmentación
   • Derecho del usuario a solicitar el acceso, rectificación, supresión, portabilidad o limitación en el tratamiento de los datos
   • Ubica los elementos informativos en el pie de página para que sean accesibles desde cualquier página.
2. Incorpora el checkbox sin marcar de “Acepto los términos y condiciones” e incluye un texto resumen sobre lo que se hace con los datos que se recogen.
3. Implanta el doble opt-in para el registro de usuarios en el newsletter.

Si utilizas un sistema como Zoho para el envío de newsletters, ya cumples con todos los requisitos de gestión, almacenamiento, transferencia y eliminación de datos. Pero aún así, deberías gestionar el newsletter con ZohoCampaigns y dejar el resto de formularios web con ZohoCRM hasta que cumplan con toda la normativa. Están en proceso y avisan de que estará lista para el 25 de mayo.