El 25 de mayo entra en vigor el nuevo Reglamento de Protección de Datos de la Unión Europea, más conocido como GDPR por sus siglas en inglés, o RGDP. ¿Cómo afecta esta normativa a las empresas que operan por fuera de la UE?
El Reglamento General de Protección de Datos (RGPD) es un reglamento relativo al tratamiento de datos personales y a la libre circulación de esos datos que entrará en vigencia el 25 de mayo en todo el territorio de la Unión Europea. Esta ley afectará la manera en que las empresas recolectan, guardan, gestionan o procesan los datos personales de usuarios de esa zona.
Sin embargo, aunque se trate de una normativa de la UE, el GDPR es de obligatorio cumplimiento para cualquier empresa o particular que gestione datos de usuarios de su territorio. Es decir, no sólo se aplica a organizaciones o empresas establecidas en la Unión Europea, sino a todas aquellas que ofrezcan productos y servicios a usuarios a la UE, o analicen su comportamiento, independientemente de su ubicación.
Por eso, si tu web o tienda online se encuentra en Latinoamérica, o en cualquier otra ubicación fuera de la Unión Europea, es posible que también debas ajustarte a la reglamentación. En especial si tienes usuarios o clientes de la UE y estás guardando sus datos.
Puedes pensar que no tienes datos personales de usuarios, y que no es necesario realizar ninguna acción. Pero es importante analizarlo y estar seguro, para evitar cualquier tipo de amonestación.
Por ejemplo, puede ser que captures emails para enviar newsletters de artículos de tu blog o promociones de productos de tu tienda online. Si en esa lista tienes usuarios de la UE, tendrás que ajustarte al GDPR.
También es posible que tengas un formulario de contacto y recolectes información de los usuarios que lo completan, como el email o el teléfono. Si ese usuario es de la UE, también deberás ajustarte al GDPR.
Incluso algo tan simple como un usuario europeo introduciendo sus datos para poder realizar algún comentario o evaluación de tu producto o post, hará que tu sitio quede sujeto a la reglamentación del GDPR.
Plan de acción
Muchas empresas que desarrollan sus negocios en internet deberán ajustarse a este nuevo reglamento. Cada empresa es diferente, y las acciones necesarias para cumplimentar la norma pueden ser distintas según cada caso. Sin embargo, algunas cuestiones básicas a corregir pueden ser:
- No enviar correos electrónicos a usuarios que no lo hayan solicitado (por ejemplo, newsletters).
- No enviar emails de recuperación de compras no finalizadas (también conocido como carritos abandonados), a no ser que el usuario haya optado por recibir este tipo de correos.
- No negarse a facilitar sus datos personales a tus usuarios, si ellos lo solicitan.
- Adaptar tus formularios, eliminando todos los opt-ins o tildes de conformidad autocompletados.
- Todos los formularios deben tener un checkbox para completar la acción (envío, suscripción, etc.) y mostrar una cláusula resumen informativa de tu tratamiento de datos, con un enlace a una página donde habrá la información completa y detallada del tratamiento de datos personales.
- Actualizar la Política de Privacidad, incluyendo los siguientes puntos:
- Cumplimiento y sometimiento al GDPR.
- Especificación de la información almacenada de los usuarios (ip, navegador, cookies, etc.) y de las personas o empresas que tienen acceso a esa información (por ejemplo, Google para realizar campañas SEM, Mailchimp para realizar Newsletters, etc.)
- Especificación de la identidad del responsable de la gestión de los datos.
Desde ya, la cumplimentación probablemente requiera acciones adicionales. Tu equipo de legales será el más indicado para asesorarte en este sentido. Para una lectura pormenorizada de lo que implica el GDPR, el texto completo de la normativa puede descargarse en www.boe.es/doue/2016/119/L00001-00088.pdf.
Nuestro partner HubSpot elaboró una lista de preguntas que sirven como hoja de ruta para pensar las acciones que aún deben realizarse para cumplimentar el GDPR. Recomendamos su lectura como complemento a este informe.
