Ya hemos respondido a algunas preguntas generales sobre el GDPR en esta entrada de blog:
Más adelante hemos compilado algunas preguntas adicionales específicas de usuarios de la Emarsys Marketing Platform.
Si tiene alguna pregunta adicional sobre la protección de datos, por favor envíe una solicitud de asistencia para que podamos agregarla a nuestra documentación.
Emarsys no es un despacho jurídico especializado en la legislación de seguridad de datos y no ofrecemos asesoramiento jurídico. Queremos ayudarle a comprender cómo puede afectarle esta legislación como cliente de Emarsys y este artículo da por sentado que utiliza la Emarsys Marketing Platform adecuadamente, conforme a nuestra documentación.
Debería siempre dirigirse a una fuente jurídica cualificada cuando quiera comprobar si cumple o no la legislación en una situación concreta.
General
- ¿Proporciona alguna recomendación o plantilla para los contenidos necesarios (consentimiento, puede cancelarse en cualquier momento, uso de datos, etc.) para suscripciones al boletín?
- ¿Ofrece una plantilla para un documento de Contrato de Tratamiento de Datos?
- ¿Cuáles son los fundamentos jurídicos a los que tengo que hacer referencia en lo que se refiere al tratamiento de datos personales para el boletín?
- ¿Afecta el GDPR al alcance del art. 7 párr. 3 de la Ley Contra la Competencia Desleal (UWG) (publicidad para clientes existentes sin consentimiento)?
- ¿Tiene que traducirse la política de privacidad a todos los idiomas de la audiencia target?
Consentimiento
- ¿Tienen que renovarse los antiguos consentimientos, p.ej., tienen que volver a obtenerse?
- ¿Cómo documento las circunstancias en las que se dio el consentimiento para poder ser capaz de aportar pruebas de la suscripción en un momento dado?
- ¿Puede compilarse información tal como la "fuente de datos", etc. retroactivamente?
- En lo que respecta al procedimiento de doble suscripción, ¿está permitido volver a enviar un email de confirmación, si no se dio la confirmación?
- ¿Es obligatoria la doble suscripción offline? Por ejemplo, para un folleto en una tienda, en este tipo de situación, ¿el consentimiento está implícito al indicar la dirección de email? ¿Necesitan los clientes recibir un email de confirmación?
- ¿Requiere el rastreo de aperturas y clics un consentimiento independiente?
- ¿Cómo exactamente tiene que documentarse el proceso de suscripción que garantiza el consentimiento?
- ¿Tiene que pedir una suscripción al boletín la fecha de nacimiento del suscriptor para poder garantizar que este sea mayor de 16 años?
- ¿Tiene que actualizarse el consentimiento de suscriptores existentes menores de 16 años?
- Si me encuentro ejecutando una campaña para repetir permisos y así volver a captar el consentimiento, ¿puedo hacerlo con una solicitud colectiva de consentimiento, p.ej., para Web Extend, Predict e email, con un solo clic?
Oficina de protección de datos y autoridad de supervisión
- ¿Quién necesita tener un responsable de protección de datos?
- ¿Cuáles son las funciones de un responsable de protección de datos?
- ¿Quién es la potencial autoridad supervisora?
- ¿Cómo se puede contactar con una autoridad supervisora?
Ubicación geográfica
- ¿Como sociedad suiza, ¿necesitamos cumplir los nuevos requisitos?
- ¿Se aplica el GDPR de forma uniforme en todos los países de la UE o hay diferencias nacionales?
- ¿Dónde se encuentran los servidores de Emarsys localizados?
Rastreo de respuestas y comportamiento
- ¿Será necesario el consentimiento para el rastreo de Web Extend?
- ¿Requiere el rastreo de aperturas y clics un consentimiento independiente?
- ¿Durante cuánto tiempo se conservarán los datos de respuesta?
- ¿Qué datos se permite transferir a la Emarsys Marketing Platform y de qué forma?
Emparejamiento
- ¿Se pueden publicitar los cupones en el email de confirmación (p.e., "Confirme ahora y reciba un cupón por XYZ")?
- ¿Constituyen los 5 incentivos ofertados para la suscripción al boletín un "emparejamiento"?
- ¿Qué es lo que no permite exactamente la prohibición del emparejamiento? ¿Qué seguirá estando permitido?
Gestión de datos
- Si no se permite el almacenamiento de direcciones IP, entonces, ¿cómo se pueden documentar a los efectos de evidencia de consentimiento?
- ¿Se puede seguir utilizando información que no se requiere necesariamente para el marketing por email, como el sexo o el tratamiento?
- ¿Se le tiene que dar, de hecho, al cliente la posibilidad de poder borrar todos los datos personales almacenados en diferentes sistemas con "un solo clic"?
- ¿Me está permitido seguir recolectando datos con seudónimo (rastreo) para continuar entendiendo cómo se usa mi sitio web?
- ¿Puedo usar datos de back-end de clientes para el análisis, p.e., para determinar la calidad de un segmento de clientes, si sólo contacto entonces con aquellos clientes que se suscribieron a la personalización?
- Un cliente está solicitando información sobre sus datos almacenados, ¿cuál es la forma más sencilla de transmitir esta información al cliente y qué formato debería adoptar la información?
¿Proporciona alguna recomendación o plantilla para los contenidos necesarios (consentimiento, puede cancelarse en cualquier momento, uso de datos, etc.) para suscripciones al boletín?
El consentimiento siempre debería ser específico, informado y sin ambigüedades en todos los casos. La copia de suscripción, por tanto, debe restringirse al envío de publicidad y no puede contener otra información o instrucciones distintas. Algo del tipo "dirección de email para boletín y notificaciones de premios" no es suficiente.
Del mismo modo, la persona correspondiente (sujeto de datos) debería poder entender claramente el alcance del consentimiento, p.e., qué empresa está publicitando qué productos o servicios.
Por último, antes de enviar su consentimiento, la parte interesada debe estar informada en todo momento de su derecho a revocar el consentimiento. Puede mencionarse de inmediato o explicarse en la política de privacidad una notificación de que el usuario puede darse de baja en cualquier momento y cuáles son los métodos a su disposición a tal efecto y, como mínimo, se debería proporcionar el enlace de bajas y la dirección de email para ello.
La política de privacidad debería incluir, entre otras cosas, los fundamentos jurídicos, una nota en el boletín (remitente, tipo de emails, derecho de baja en cualquier momento, métodos de baja y, en caso de baja de publicidad para clientes existentes - en Alemania conforme al art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal) - un pasaje que explique que no se incurrirá en gasto alguno por la baja, más allá de los costos de transmisión conforme a la tarifa básica, así como información sobre el tratamiento de datos (qué datos se compilan, cómo se tratan los datos, cómo se usan y durante cuánto tiempo se guardan y se deben especificar los terceros).
Hemos proporcionado algunos textos de ejemplo para que los pueda usar en este artículo: Buenas prácticas de Suscripción.
¿Ofrece una plantilla para un documento de Contrato de Tratamiento de Datos?
¿Cuáles son los fundamentos jurídicos a los que tengo que hacer referencia en lo que se refiere al tratamiento de datos personales para el boletín?
Los fundamentos jurídicos para el tratamiento de información personal después de la suscripción al boletín son el consentimiento recibido de conformidad con el Art. 6 (1) (a) GDPR, o, en caso de una dirección de email obtenida en relación con la venta de bienes y servicios (en Alemania), art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal).
Los fundamentos jurídicos para el registro del comportamiento de los usuarios y el proceso de registro podrían ser un interés legítimo de conformidad con el Art. 6 (1) (f) GDPR. En este caso, el interés legítimo es una oferta de boletín que sea tanto de calidad alta como técnicamente seguro.
¿Afecta el GDPR al alcance del art. 7 párr. 3 de la Ley Contra la Competencia Desleal (UWG) (publicidad para clientes existentes sin consentimiento)?
El art. 7 párr. 3 UWG (Ley Contra la Competencia Desleal) se basa en la Directiva de Privacidad electrónica. Por consiguiente, existen normas comparables dentro de la UE. Seguirá resultando aplicable. El principio de un sistema jurídico uniforme resulta de aplicación.
Si los requisitos del art. 7 párr. 3 UWG se cumplen, entonces el tratamiento de datos relativo a los mismos también estará permitido conforme al GDPR. Se trata de una normativa especial conforme al Art. 95 GDPR. No obstante, la interferencia futura y la decisión jurídica resultante no pueden regularse. Esperemos a ver a dónde llevará en el futuro la Normativa de Privacidad electrónica. El borrador contiene una cláusula relativa a esta cuestión.
¿Tiene que traducirse la política de privacidad a todos los idiomas de la audiencia target?
Si el sitio web está específicamente creado para un país (p.e., usando el dominio ".de"), entonces sí. Una página web, no obstante, por definición, es mundialmente accesible y una traducción a todos los idiomas del mundo resultaría completamente exagerada.
¿Tienen que renovarse los antiguos consentimientos, p.ej., tienen que volver a obtenerse?
Cualquier consentimiento obtenido legalmente hasta este punto seguirá siendo válido. O, al menos, un consentimiento obtenido de conformidad con la legislación alemana y austriaca, pues la normativa que rige el consentimiento en estos países ya iba prácticamente en línea con el GDPR.
Los menores de edad, concretamente, pueden suponer un tropiezo en este sentido; en el futuro, se exigirá el consentimiento paterno para los niños menores de 16 años. No obstante, esta edad puede reducirse en algunos Estados Miembros, como en Austria (14 años) y el Reino Unido (13 años). Esto también resulta de aplicación a los datos existentes.
Además, la prohibición de emparejamiento debe tenerse en cuenta. Si bien el nuevo reglamento es en cierto modo ambiguo, los requisitos cada vez serán más estrictos que en el pasado. Versiones populares como "deme su permiso y se le incluirá en este concurso" deberían tal vez convertirse en "todos nuestros suscriptores al boletín se incluirán automáticamente en un concurso".
El resultado será similar desde el punto de vista del publicista, pero la formulación presenta menos riesgos desde un punto de vista jurídico.
¿Cómo documento las circunstancias en las que se dio el consentimiento para poder ser capaz de aportar pruebas de la suscripción en un momento dado?
Desde un punto de vista técnico, información tal como la ubicación, la dirección IP y el sello temporal, que se requieren como parte de la demostración de consentimiento, pueden documentarse fácilmente mediante la inclusión de una doble suscripción.
No obstante, el archivado de las políticas de privacidad y los contratos de consentimiento debería llevarse a cabo de manera independiente. Por ejemplo, al realizar cambios, debería conservar versiones pasadas de sus páginas web relevantes (p.e., pantallazos guardados como PDFs o imágenes) para rastrear los cambios.
Además, podría enviar una copia de cada email de confirmación que se envíe como parte de la doble suscripción a un archivo de email interno que use la función CCO.
¿Puede compilarse información tal como la "fuente de datos", etc. retroactivamente?
Sí. Resulta de incumbencia para el controlador el cumplimiento de la obligación de revelación, con independencia de si los registros se compilaron antes o después de que la GDPR entrara en vigor. No obstante, de conformidad con el Art. 15 (1) (g) GDPR, la información sobre la fuente de los datos únicamente se exige presentarla en casos en los que los datos personales no se recolectan de la persona correspondiente (el sujeto de datos).
En lo que respecta al procedimiento de doble suscripción, ¿está permitido volver a enviar un email de confirmación, si no se dio la confirmación?
No. En cuanto al GDPR, nada ha cambiado a este respecto.
¿Es obligatoria la doble suscripción offline? Por ejemplo, para un folleto en una tienda, en este tipo de situación, ¿el consentimiento está implícito al indicar la dirección de email? ¿Necesitan los clientes recibir un email de confirmación?
Una suscripción doble no se exige explícitamente en el GDPR. No obstante, debe ser posible dar pruebas de que la persona a la que pertenece la dirección de email, p.e., la persona que tiene autorización para usar la dirección de email, era la persona que se registró y no otra.
La doble confirmación proporciona únicamente el medio factible e "impermeable" de recolectar esta evidencia.
A este respecto, el offline no es diferente del online. La alternativa sería archivar cada folleto o cada firma. Además, al digitalizar direcciones de email manuscritas, suelen producirse errores sin una doble confirmación del consentimiento, el spam es inevitable. Por tanto, recomendamos encarecidamente que, cuando se han recibido direcciones de email a través de una fuente offline, estas vayan seguidas de un email de confirmación.
¿Requiere el rastreo de aperturas y clics un consentimiento independiente?
No, véase la respuesta anterior. La política de privacidad debería indicar que está registrando si un email se ha abierto, cómo lo rastrea y en qué enlaces se ha hecho clic. Los datos se recolectan para su análisis y para adaptar el contenido del email a las preferencias concretas del lector.
¿Cómo exactamente tiene que documentarse el proceso de suscripción que garantiza el consentimiento?
Los datos de registro que deben almacenarse son las direcciones IP, el sello temporal, una URL / pantallazo del formulario de registro y, en caso de doble suscripción, el email de confirmación exacto recibido. Se puede elegir cómo se conservan individualmente los registros, pero, en caso de queja, todos los registros completos deben estar disponibles rápidamente para poder presentarlos de manera puntual.
¿Tiene que pedir una suscripción al boletín la fecha de nacimiento del suscriptor para poder garantizar que este sea mayor de 16 años?
Debería bastar con señalar esto durante el proceso de registro añadiendo una nota de que los suscriptores deben tener más de 16 años. Al registrarse, el suscriptor confirma que él o ella tiene al menos 16 años de edad.
Pero puede que este no sea el caso si una oferta va dirigida a niños. En este caso, puede ser necesario obtener una verificación, así como el consentimiento de un progenitor o tutor. La forma exacta en la que esto debe conseguirse sin sobrepasar el límite y mientras se sigue cumpliendo el propósito pretendido queda aún pendiente (p.e., ¿solicitando una copia de un documento de identidad por email?).
¿Tiene que actualizarse el consentimiento de suscriptores existentes menores de 16 años?
Sí. A partir del 25 de mayo de 2018, las condiciones básicas del GDPR tendrán que cumplirse. Si el consentimiento de un menor se ha proporcionado sin el consentimiento de su tutor legal, las condiciones del GDPR no se han cumplido. Es decir: esto significa que el consentimiento ya no será válido a partir de la fecha de entrada en vigor (25 de mayo) y, por consiguiente, habrá que corregirlo.
Si me encuentro ejecutando una campaña para repetir permisos y así volver a captar el consentimiento, ¿puedo hacerlo con una solicitud colectiva de consentimiento, p.ej., para Web Extend, Predict e email, con un solo clic?
No se requiere un consentimiento independiente y expreso para Web Extend y Predict. Para su campaña de repetición de permisos, puede enlazar con un formulario en el que la suscripción al boletín y el consentimiento en cuanto a la protección de datos se soliciten de manera independiente, p.e., mediante dos marcas de verificación independientes.
¿Quién necesita tener un responsable de protección de datos?
Ver Art. 37 (1) GDPR: "El controlador y el procesador designarán un responsable de protección de datos cuando:
- el tratamiento lo realice una autoridad u organismo público, salvo cuando los juzgados actúen en su capacidad judicial;
- las actividades centrales del controlador o del procesador consistan en operaciones de tratamiento que, en virtud de su naturaleza, alcance y / o propósito, requieran un control regular y sistemático de los sujetos de datos a gran escala o
- las actividades centrales del controlador o del procesador consistan en el tratamiento a gran escala de categorías especiales de datos conforme al Artículo 9 o a datos relativos a condenas penales y delitos a los que se hace referencia en el Artículo 10".
Hay más probabilidades de que resulten de aplicación los párrafos 2 y 3. Si existe cualquier duda, se debe designar un responsable de protección de datos.
¿Cuáles son las funciones de un responsable de protección de datos?
Ver Art. 39 (1) GDPR: "El responsable de protección de datos tendrá al menos las siguientes tareas:
- informar y avisar al controlador o al procesador y a los empleados que realicen el tratamiento de sus obligaciones conforme a este Reglamento y a otras disposiciones de protección de datos de la Unión o del Estado Miembro;
- controlar el cumplimiento de este Reglamento, de otras disposiciones sobre protección de datos de la Unión o del Estado Miembro y con las políticas del controlador o procesador relacionadas con la protección de datos personales, incluyendo la asignación de responsabilidades, la creación de conciencia y la formación de personal implicado en las operaciones de tratamiento y las auditorías relacionadas;
- proporcionar asesoramiento, cuando se precise, en lo que respecta a la evaluación del impacto de la protección de datos y controlar su cumplimiento conforme al Artículo 35;
- cooperar con la autoridad supervisora;
- actuar como punto de contacto para la autoridad supervisora en cuestiones relacionadas con el tratamiento, incluyendo la consulta previa a la que se hace referencia en el Artículo 36, y consultar, si procede, lo relativo a cualquier otro asunto".
¿Quién es la potencial autoridad supervisora?
De conformidad con el Art. 56 (1) GDPR, la autoridad supervisora de la oficina principal o de las sucursales concretas del controlador o procesador es la autoridad responsable.
No obstante, de conformidad con el Art. 56 (2) GDPR, las autoridades de otros Estados Miembros de la UE también pueden actuar, si reciben una queja o son conscientes de una infracción y el asunto tiene que ver únicamente con una sucursal ubicada en su Estado Miembro o únicamente afecta significativamente a los sujetos de datos en su Estado Miembro.
¿Cómo se puede contactar con una autoridad supervisora?
No existe un procedimiento formal para contactar con una autoridad supervisora y esto puede realizarse a través de las opciones de contacto especificadas por la autoridad supervisora (ver por ejemplo sus sitios web).
Como sociedad suiza, ¿necesitamos cumplir los nuevos requisitos?
Sí, porque el tratamiento de datos por parte de Emarsys se realiza en la UE y, por tanto, el GDPR resulta de aplicación. Además, casi ningún operador de sitios web suizo ofrece servicios exclusivamente a clientes con sede en Suiza ni a aquellos situados en los países colindantes, lo que, de conformidad con el Art. 3 (2) (a) GDPR, significa que el Reglamento General de Protección de datos resultaría de aplicación en cualquier caso.
¿Se aplica el GDPR de forma uniforme en todos los países de la UE o hay diferencias nacionales?
Básicamente, se aplicará un único conjunto de normas a todos los Estados Miembros de la UE. No obstante, algunos Estados Miembros requerirán legislaciones nacionales adicionales. Incluso Alemania tiene una nueva Ley de Protección de Datos Federal que amplía la política hasta cierto punto. Se trata menos de marketing y más sobre la vídeovigilancia, la puntuación y las comprobaciones de crédito o el tratamiento de datos personales.
En cualquier caso, hay muchas de las denominadas cláusulas de flexibilidad en el GDPR que permiten cierto nivel de maniobrabilidad para la legislación nacional.
¿Dónde se encuentran los servidores de Emarsys localizados?
¿Será necesario el consentimiento para el rastreo de Web Extend?
Si bien el propio GDPR no requiere esto, se sigue teniendo que mencionar en la política de privacidad y el cliente debe aceptar las condiciones indicadas en la política de privacidad (p.e., al registrarse en el boletín o al visitar el sitio web por primera vez en la ventana emergente de cookies). Esto, no obstante, podría cambiar con la futura Normativa de Privacidad electrónica de la UE. El si, el cúando y en qué forma se implantará esta política actualmente sigue siendo desconocido.
¿Durante cuánto tiempo se conservarán los datos de respuesta?
No hay un límite fijado, pero tiene la obligación de proporcionar información sobre el tiempo que mantendrán los datos. Típicamente, esta notificación se incluirá en la política de privacidad.
Al mismo tiempo, debe establecer procesos para garantizar que los datos que ya no se necesiten o para los que ya no hay un uso legítimo se eliminen adecuadamente y de forma puntual.
¿Qué datos se permite transferir a la Emarsys Marketing Platform y de qué forma?
El embarque de datos hace posible usar la plataforma en todas sus facetas. Pero responsamos a esta pregunta desde un punto de vista diferente: ¿cuáles son las restricciones en lo que se refiere a la transferencia de datos?
Categorías especiales de datos personales conforme al Art. 9 GDPR requieren medidas extraordinarias. Las categorías especiales incluyen, por ejemplo, datos sobre visiones políticas o religiosas o datos relativos a la salud, preferencias sexuales o etnia. El resto de datos puede tratarse sin problema alguno, siempre que se cumplan las condiciones generales, como el consentimiento de la persona correspondiente (sujeto de datos).
La forma de transmisión es irrelevante desde un punto de vista jurídico, pero normalmente se realiza electrónicamente.
¿Se pueden publicitar los cupones en el email de confirmación (p.e., "Confirme ahora y reciba un cupón por XYZ")?
No, porque esto significaría que el email de confirmación en sí mismo se convierte en un anuncio y la publicidad únicamente puede enviarse después de la confirmación de la suscripción.
¿Constituyen los 5 incentivos ofertados para la suscripción al boletín un "emparejamiento"?
Estrictamente hablando, sí. Después de todo, persuade al usuario para conceder su consentimiento para publicidad.
Pero todo el mundo lo hace y esta norma probablemente no debería aplicarse de manera irrealísticamente estricta aquí.
El hecho de que este beneficio no esté disponible para aquellos que rechazan la suscripción no constituye una desventaja tan significativa como para afectar a la naturaleza voluntaria de su consentimiento. No obstante, es importante no pasarse de la raya. La suscripción al boletín debe mantenerse en el frente y centrada.
¿Qué es lo que no permite exactamente la prohibición del emparejamiento? ¿Qué seguirá estando permitido?
Esta pregunta no puede responderse en términos generales. Siempre dependerá de las circunstancias únicas de cada caso particular.
Puede estar permitido el emparejamiento de la suscripción con un acceso a un concurso si hay formas alternativas de acceder, p.e., si el participante tiene la oportunidad de participar en la competición por correo, por ejemplo, o de alguna otra manera distinta a tan solo el email. Si esta opción no está disponible, entonces el emparejamiento no está permitido.
La alternativa debe también indicarse claramente en el formulario. Si no hay alternativa, no puede emparejarse y se debe indicar una casilla de verificación independiente para la suscripción al boletín.
En general, se aplica lo siguiente: cuanto más se ofrece como "contrapartida" por la suscripción, más probabilidades hay de que no esté permitido.
Si no se permite el almacenamiento de direcciones IP, entonces, ¿cómo se pueden documentar a los efectos de evidencia de consentimiento?
No es categóricamente cierto que las direcciones IP no puedan almacenarse. Aunque esto se considera información personal en términos del GDPR, el interés del controlador en el tratamiento de la dirección IP (por ejemplo, para prueba de consentimiento) compensará esto de conformidad con el Art. 6 (1) (f) GDPR.
¿Se puede seguir utilizando información que no se requiere necesariamente para el marketing por email, como el sexo o el tratamiento?
Esta es también una cuestión compleja. Si el controlador tiene un interés legítimo (para el experto en marketing, por ejemplo, una mejor relación con los intereses del consumidor) y los intereses del sujeto de datos (el cliente) no compensan esto, puede seguir estando permitido de conformidad con el Art. 6 (1) (f) GDPR.
¿Se le tiene que dar, de hecho, al cliente la posibilidad de poder borrar todos los datos personales almacenados en diferentes sistemas con "un solo clic"?
No. Después de recibir una solicitud, el controlador debe borrar los datos en el plazo de 30 días y enviar la confirmación de esto a la persona correspondiente (sujeto de datos).
¿Me está permitido seguir recolectando datos con seudónimo (rastreo) para continuar entendiendo cómo se usa mi sitio web?
Sí, véase más arriba.
¿Puedo usar datos de back-end de clientes para el análisis, p.e., para determinar la calidad de un segmento de clientes, si sólo contacto entonces con aquellos clientes que se suscribieron a la personalización?
Sí. Si se ha informado adecuadamente al cliente sobre esto (p.e., en la política de privacidad) y este ha prestado su consentimiento, está permitido.
Un cliente está solicitando información sobre sus datos almacenados, ¿cuál es la forma más sencilla de transmitir esta información al cliente y qué formato debería adoptar la información?
No hay ninguna forma jurídicamente prescrita. El Art. 15 (3) oración 3 del GDPR únicamente requiere lo siguiente:
"Cuando el sujeto de datos realice la solicitud por medios electrónicos y a menos que lo solicite de otra manera el sujeto de datos, la información deberá proporcionarse en un formato electrónico comúnmente utilizado".
La manera más sencilla de hacerlo sería por email, tal vez con una hoja de cálculo de Excel adjunta.