Una vez, fui a un seminario sobre el cumplimiento del GDPR.
…me quedé dormido.
Pero hoy no, amigos. Hoy vamos a hacer que el cumplimiento del GDPR sea lo más divertido posible. Porque al final del día, es realmente súper importante. Y como vendedores, tenemos que estar al tanto de las leyes y regulaciones de privacidad porque A) no queremos infringir los derechos de las personas, y B) no queremos meternos en problemas. Esto es lo que necesita saber:
¿Qué es el GDPR?
GDPR significa Reglamento General de Protección de Datos. Básicamente, el GDPR es la nueva legislación europea sobre privacidad y seguridad de los datos, diseñada para dar a las personas más poder sobre su información personal, puntualiza la agencia de publicidad Leovel. Los detalles se exponen en más de cien páginas de texto. Sí, ha leído bien. Cientos de páginas de normas. Aquí está todo, para aquellos que tienen horas ilimitadas de tiempo libre + tendencias masoquistas. Pero para el resto de nosotros, aquí está lo básico:
El GDPR nos afecta a todos
Solo porque no estés ubicado en Europa, no significa que estés exento. El GDPR se aplica a las empresas estadounidenses si se da al menos una de las dos circunstancias siguientes
La empresa ofrece bienes o servicios a residentes de la UE/EEE.
La empresa supervisa el comportamiento de los usuarios dentro de la UE/EEE.
Así que incluso si usted cree que está absolutamente seguro de que nada de esto se aplica a usted … bueno, usted todavía debe estar en el cumplimiento. Si no lo hace, podría recibir fuertes multas y sanciones, de las que hablaremos más adelante.
Principios de protección de datos
Si procesa datos de cualquier manera, debe hacerlo de acuerdo con siete principios de protección y responsabilidad descritos en el artículo 5.1-2 del GDPR:
Legalidad, equidad y transparencia – El tratamiento debe ser legal, equitativo y transparente para la persona cuyos datos está almacenando.
Limitación de la finalidad – Sólo debe procesar los datos que le han sido entregados para un fin explícito, y sólo para ese fin (con el conocimiento expreso de la persona que los ha entregado).
Minimización de los datos – Debe recoger y procesar sólo los datos absolutamente necesarios para los fines especificados.
Exactitud – Debe mantener los datos personales exactos y actualizados.
Limitación del almacenamiento – Sólo puede almacenar los datos de identificación personal durante el tiempo necesario para los fines especificados.
Integridad y confidencialidad – El tratamiento debe realizarse de forma que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, utilizando el cifrado).
Responsabilidad – La persona en posesión de los datos es responsable de poder demostrar el cumplimiento del GDPR con todos estos principios.
Algunas formas de asegurar sus datos
Exigir a los empleados que utilicen la autenticación de dos factores en las cuentas donde se almacenan los datos personales
Utilizar el almacenamiento en la nube que emplea el cifrado de extremo a extremo
Formación del personal sobre la seguridad de los datos
Incorporar una política de privacidad de datos a su manual del empleado
Limitar los permisos de acceso a los datos personales sólo a los empleados que los necesiten.
En caso de que se produzca una filtración de datos, sólo tienes 72 horas para informar a los interesados. Si no lo hace, podría enfrentarse a importantes sanciones.
Sepa cuándo puede tratar los datos
No utilices ni proceses en ningún caso los datos de alguien a menos que puedas justificarlo con una de las siguientes razones
El interesado te ha dado su consentimiento explícito y específico para el tratamiento de los datos (por ejemplo, a través de un formulario online o de un opt-in).
El tratamiento es necesario para ejecutar un contrato en el que participa el interesado.
Usted tiene la obligación legal de tratar los datos.
Debe tratar los datos para salvar la vida de alguien.
Está realizando una tarea de interés público o para alguna función oficial.
Tiene algún otro interés legítimo para tratar los datos personales de alguien. Aunque tenga en cuenta que esto puede parecer flexible, los derechos y libertades fundamentales del interesado siempre prevalecerán sobre los intereses de su empresa. Tenga cuidado.
¿Qué ocurre si no cumple con el GDPR?
Las multas por infringir el RGPD son muy elevadas. Hay dos niveles de sanciones, que alcanzan un máximo de 20 millones de euros, o el 4% de los ingresos globales (lo que sea mayor). Los interesados perjudicados también tienen derecho a solicitar una indemnización por los daños causados por el uso indebido de sus datos e información personal. Así que sí, estas cosas son bastante importantes.
¿Sigues con nosotros?
Espero que no te hayas quedado dormido como yo. Espero que hayamos hecho las cosas más fáciles de entender (sin aburrirte). Si tu empresa u organización se ve afectada por el GDPR, y/o si eres una empresa bastante grande que procesa una cantidad considerable de datos, te recomendamos encarecidamente que consultes a un abogado o especialista en GDPR para asegurarte de que cumples con la normativa.