bento icon close

Todo lo que necesitas saber y todas las acciones que realiza Sarbacane para ayudarte

Los datos personales no son datos como cualquier otro, protegerlos es una necesidad, y ahora una obligación. El abanico de temas que cubre el RGPD es muy variado. ¡Es un trabajo emocionante!"

Antoine DELECOURT

Director de Protección de Datos Sarbacane Software

Certificado como Responsable de Protección de Datos por el Consejo Profesional de Evaluación y Certificación*

*Certificado No.: DPCDPO1052813-2022-11

Cómo Sarbacane te ayuda a cumplir con el RGPD

Una aplicación conforme a la RGPD

La aplicación Sarbacane proporciona a tus usuarios herramientas que permiten una comunicación alineada a las normas del RGPD, como:

  • Gestión automática de bajas
  • Creación y administración de listas negras
  • Registro de datos relacionados con la inscripción y la cancelación de contactos
  • Avisos legales obligatorios que deben incluirse al crear formularios de contacto
  • Validación de la inscripción por medio de formularios de contacto con double opt-in

Gestión automática de los envíos

Cada campaña de comunicación enviada con Sarbacane es analizada y moderada antes de su envío final.

Esta verificación permite a Sarbacane asegurarse de que sus usuarios cumplan con la normativa europea. En caso contrario, Sarbacane está autorizado a rechazar ciertos envíos. Las razones pueden variar: base de destinatarios obtenida sin consentimiento, enlace de baja inexistente, etc.

RGPD: definición, contexto y aplicaciones

¿Qué es la RGPD?

La RGPD es el Reglamento General de Protección de Datos. Se trata de un reglamento adoptado por el Parlamento Europeo el 14 de abril de 2016 y que entró en vigor en la Unión Europea el 24 de mayo de 2018. Su objetivo es reforzar la protección de las personas y sus derechos fundamentales proporcionando un marco legal para el tratamiento de sus datos personales.

¿Quiénes son los actores responsables del nuevo reglamento europeo?

El Reglamento Básico Europeo de Protección de Datos hace responsables a dos tipos de actores: el responsable del tratamiento de datos y el encargado del tratamiento.

¿Eres tú uno de estos actores?

Para recordar: El responsable del tratamiento determina los fines y los medios de tratamiento aplicados a los datos personales.

Posteriormente, podrás designar a uno o más encargados del tratamiento para que actúen en determinadas fases del mismo, de acuerdo con los fines, en su nombre y bajo sus instrucciones. La RGPD también permite que los encargados sean considerados responsables.

Ejemplo:

¿Eres el encargado de Marketing, Gerente de Comunicaciones, Representante de Ventas, Gerente de Operaciones, Administrador de TI, Asistente Legal, Especialista en e-Commerce o el encargado de recursos humanos?

En caso afirmativo, seguramente desempeñas un papel en la finalidad y los medios de tratamiento aplicados a los datos personales en tu empresa. Sin embargo, es tu empresa, la entidad legal, y no tú como persona física la responsable del tratamiento. A menos que se demuestre que, personalmente, has actuado de forma independiente en la determinación de las finalidades y medios particulares del tratamiento de datos.

¿Cuáles son las obligaciones de los responsables del tratamiento de datos?

Trámites preliminares

A partir del 25 de mayo de 2018, se tendrán en cuenta dos principios fundamentales: la privacidad por diseño y la privacidad por defecto y la responsabilidad.

Protección de datos por defecto y por diseño

La protección de datos por diseño o por defecto es la necesidad de integrar sistemáticamente las medidas necesarias para garantizar la protección de los datos personales al crear un nuevo producto o servicio. Cualquier actor, en cualquier etapa del proceso de creación de un producto o servicio, debe cumplir con este principio.

Principio de responsabilidad

A esto se añade el principio de responsabilidad. Los responsables del tratamiento de datos personales y los subcontratistas también deben implementar procesos que garanticen la protección de los datos personales, y ser capaces de demostrar en todo momento su conformidad con la normativa europea (en otras palabras: Poder controlar y confirmar permanentemente la eficacia de estos procesos mediante documentación y medidas internas).

¿En qué áreas es aplicable el RGPD?

El alcance es el siguiente: Se aplica a los responsables y encargados del tratamiento establecidos en la Unión Europea (UE) y a los establecidos fuera de la UE que efectúan tratamientos destinados a suministrar bienes y servicios a personas de la UE o a controlar su conducta dentro de la UE.

¿Cómo debes prepararte para cumplir con este reglamento?

Los derechos y obligaciones dispuestos por el reglamento europeo incluyen:

La portabilidad de los datos

La transferibilidad de datos: tu cliente podrá solicitarte que le envíes todos sus datos en un soporte legible para darlos a tu competidor si decide cambiar de proveedor.

Notificación de violación de datos:

en caso de violación de datos (fallas, acceso no autorizado, etc), el responsable tiene la obligación de informar en las siguientes 72 horas a la autoridad de protección de datos o incluso a las personas cuyos datos fueron violados si el riesgo de violación a los derechos y libertades de estas personas es elevado.

La posesión de un registro de tratamiento de datos

Bajo condiciones, pero recomendada.

El nombramiento de un Director de Protección de Datos (DPD)

(bajo condiciones) que garantice la protección de datos personales.

El análisis del impacto

Antes de la puesta en marcha del nuevo tratamiento, se deben realizar análisis de impacto en caso de un alto riesgo de incumplimiento a la protección de datos personales. Es aconsejable para un tratamiento ya implementado que presenta un alto riesgo.

¿Cuáles son las sanciones?

En caso de incumplimiento al reglamento europeo de protección de datos personales, se ha definido una nueva escala de sanciones. La multa puede alcanzar el 4% de la facturación global del infractor con un límite de 20 millones de euros, se cobrará la cantidad más elevada.

Como profesional del marketing y/o de la comunicación digital, ¿qué datos personales pueden ser procesados?

No es sólo el mensaje (naturaleza, significado) que envías lo que tendrá que cambiar para cumplir con los requisitos de la RGPD, sino también la forma en que tratas los datos personales de tus contactos. Debes ser transparente informándoles antes del tratamiento de los datos. En el caso de que la justificación legal se base en el consentimiento, debes poder otorgar pruebas válidas de que se ha dado el consentimiento.

¿Qué es un dato personal y cómo se aplica en el email marketing?

Los datos personales son una información que puede utilizarse para identificar directa o indirectamente a una persona física. Una dirección de email como "apellido.nombre@nombrededominio.com" identifica directamente a una persona, mientras que un número de cliente identifica a una persona indirectamente.

Por otra parte, una dirección de email genérica por sí misma no identifica a una persona (a menos que tenga información adicional). Las direcciones de email como "contacto@nombredelaempresa.com" son coordenadas de una persona jurídica y no se consideran "datos personales" en el marco de la RGPD.

Con la aplicación de la RGPD, ¿qué pasa con el consentimiento?

La reglas aplicables en temas de comunicación electrónica no son cuestionadas por la RGPD.

Hay que señalar que el proyecto de reglamento europeo sobre la privacidad electrónica, que sigue siendo objeto de debate, aborda temas que combinan la comunicación digital y el consentimiento del usuario. Este tema seguirá desarrollándose en los próximos meses.

Cuando hablamos de datos personales, tendemos a pensar en el consentimiento de las personas cuyos datos estamos procesando. Hoy en día, Internet está lleno de información sobre el concepto de consentimiento y cómo ha evolucionado a lo largo de los años hasta llegar a la definición actual establecida por la RGPD...

El texto europeo recuerda que el consentimiento es una de las bases jurídicas sobre las cuales se puede sustentar el tratamiento de datos. Pero no es la única base pra el tratamiento de datos (ej: ejecución de un contrato), y en este mismo sentido, es erróneo afirmar que la RGPD va a convertir al consentimiento en un tema obligatorio y será la regla a seguir.

Sin embargo, la RGPD refuerza las condiciones que se aplican cuando es necesario un tratamiento de datos basado en el consentimiento (por ejemplo, en el caso de la prospección comercial en el B2C) o cuando se decide justificar el tratamiento de datos mediante el consentimiento. Debe obtenerse un consentimiento válido de conformidad con la RGPD:

Declaración o acta positiva clara e inequívoca de la persona

Los cuadros marcados por defecto, los consentimientos pasivos o implícitos deben ser eliminados definitivamente.

El consentimiento debe ser resaltado

Informar a la persona con palabras fáciles sobre el uso de sus datos, la persona debe ser consciente del consentimiento dado y de su alcance. Evite el uso de la negación.

El consentimiento debe ser libre y específico

El consentimiento debe ser libre y específico: El consentimiento debe tener un propósito específico (por ejemplo, para enviar ofertas comerciales). Y el consentimiento no debe ser forzado (es decir, no puede estar asociado a descuentos, regalos o servicios). También es necesario distinguir entre el consentimiento para el tratamiento de los datos y el consentimiento para las condiciones de uso.

El derecho de suprimir su consentimiento en cualquier momento

Debes informar a la persona que tiene el derecho a retirar su consentimiento en cualquier momento, indicando que es tan simple retirar el consentimiento como darlo.

Conservar la prueba del consentimiento obtenido

Conserva la prueba del consentimiento (la responsabilidad de la prueba recae sobre ti): la persona que consentimiento dió, en qué momento y a quién. Se debe implementar un seguimiento de las acciones de consentimiento: el consentimiento, sus propósitos y los consentimientos anulados.

Hacer que el retiro del consentimiento sea fácil

Hacer que el retiro del consentimiento sea fácil para la persona (parámetros modificables en su cuenta cliente, por ejemplo).

Por otro lado, el derecho de ser informado sobre el tratamiento de datos se ve reforzado por el reglamento europeo.Los usuarios deben ser claramente informados del uso de sus datos, de los receptores, de la duración de la conservación de los datos, de la posibilidad de rectificar, eliminar o limitar sus datos, o hasta la posibilidad de oponerse al tratamiento.

¿Cuál es la principal obligación del controlador en relación con sus subcontratistas?

El responsable del tratamiento de datos debe utilizar únicamente proveedores que demuestren las garantías suficientes en la puesta en marcha de medidas técnicas y organizacionales apropiadas para la protección de datos, de tal manera que el tratamiento responda a las exigencias de la RGPD.

Como cliente de una solución de email marketing, debes asumir la responsabilidad del tratamiento que utiliza el proveedor para el envío de newsletters o campañas de email a tu nombre, desde tu cuenta y bajo tus instrucciones. Por lo tanto, es tu responsabilidad asegurarte de que esta solución de email marketing implemente los medios necesarios para garantizar la protección de los datos personales.

Cómo Sarbacane asegura el cumplimiento del RGPD

Sarbacane se implica en todos los niveles del ecosistema

Hace unos meses, fue nombrado un equipo dedicado específicamente a seguir los nuevos planteamientos de la RGPD. Está constituido de profesionales con perfiles técnicos y jurídicos que impulsan avances concretos y semanales sobre el tema.

Soluciones concretas ya en marcha

El nombramiento de un Director de Protección de Datos (DPD)

La implementación de un registro de tratamiento de datos que permita tener una visión actualizada sobre el tratamiento de datos personales.

Sarbacane pone a disposición de sus usuarios y clientes una declaración sobre la protección de datos de carácter personal para una comunicación más transparente.

Además, los equipos de Sarbacane van a ser capacitados (y lo permanecerán) en las actualizaciones de la RGPD.

Sarbacane estableció un acuerdo sobre el tratamiento de datos personales.

Sarbacane, propietaria de Sarbacane, es miembro adherente de la AFCDP (Asociación Francesa de Corresponsales de Protección de Datos Personales) y, por lo tanto, participa en grupos de trabajo para intercambiar opiniones sobre la protección de datos personales con otros profesionales.

Nota sobre el alojamiento de datos

Tus campañas de email y SMS son alojadas en Europa. Sobre el envío de SMS, sus datos son igualmente alojados dentro de la Unión Europea. En el caso de nuestra relación con clientes, cuando se comunica con soporte, tu dirección de correo electrónico y el contenido de tus comunicaciones son igualmente transmitidas y alojadas en los Estados Unidos, bajo la protección de las cláusulas de la Comisión Europea.