Este artículo tiene más de 365 días, es probable que no esté actualizado, ante la duda, mejor pregúntame en los comentarios si todavía está vigente
Este plan necesita que los futuros compradores puedan confiar en estas nuevas herramientas, es decir, en tu tienda online, para lo cual han planteado que las actuales leyes de cada Estado, deben actualizarse, para que dejes de recibir tanta publicidad basura, y que sepas que tus datos serán solamente tuyos, y de quien tú lo indiques. ¡Yo sé! Lo de la publicidad basura es un poco utópico, pero a ver, que por algún lado hay que comenzar.
No te voy a matar del aburrimiento, lo prometo, y te diré solamente aquello que tú, como autónoma artesana, debes saber, así que todo aquello que sea para empresas, negocios con más de 250 trabajadores, y así, lo vamos a ignorar, porque no nos interesa. Si es tú caso, déjame un comentario, y haré un artículo específico para esos casos.
Estas son las 10 preguntas más frecuentes que me hacen sobre el tema.
- ¿Tengo que cumplirlo?
Cada caso es diferente, pero si me sigues, significa que vives de tu talento, que lo has convertido o estás en proceso de convertirlo en negocio, por lo que tienes datos de proveedores, clientes o personas de contacto en general. Así que sí, debes cumplir con el RGPD.
No importa si tienes newsletter o no, si recoges estos datos por de manera automatizada, si lo haces en una libreta, que dejas en una gaveta, si tienes 1 o 10.000 suscritos, o si solamente vendes 2 piezas al año. La pregunta fundamental es: ¿recoges datos?.
Me han preguntado sobre las fundaciones, y realmente no importa si vas a tener datos personales por fines comerciales o no, basta con que los obtengas, para que tengas que cumplir la normativa, así que la respuesta sigue siendo sí.
- ¿Quién es quién?
Hay 3 personajes esenciales en todo esto:
- El titular de los datos: el dueño de los datos, también llamado interesado, en mi caso, si estás suscrita a mi newsletter, o eres mi cliente, tú eres la interesada.
- Responsable del tratamiento: quien decide que se harán con los datos del titular, es decir, yo, como dueña de mi negocio, voy a a decidir lo que se hará con la información que recojo.
- Encargado del tratamiento: aquel que va a manejar los datos, según las instrucciones dadas por el responsable, en mi caso, es Mail Chimp, la plataforma que he elegido para tratar los datos de mis suscriptores. En el caso de mis clientes, proveedores y otros contactos, no lo tengo alojado en ningún CRM, ni nada, lo manejo yo directamente.
-
- ¿Cuáles datos puedo recoger?
Lo que REALMENTE necesites. Todo lo demás, te causará problemas.
¿Y qué necesitas realmente? Bueno esto ya depende de lo que hagas. Yo no necesito la fecha de nacimiento, datos económicos, si trabajan o no. Solamente necesito, en el caso de las suscriptoras: nombre, email. Listo.
Por lo que, si hasta ahora has pedido otros datos, que no has usado, es hora que hagas una limpieza a tus contactos, renueves el listado, y les expliques que andas ocupándote del RGPD, por lo que has borrado de tus archivos aquella información que consideras no necesaria.
Hay cierta información considerada como sensible, como te comentaba al inicio, este post va encaminado a negocios de artesanías, si eres psicóloga, nutricionista, médico, economista, déjame un comentario y hablaremos de ello otro día.
- ¿Por cuánto tiempo puedo conservar esos datos?
Un poco igual a lo anterior: por el tiempo que sea necesario. Si ya no seguirás enviando newsletter, entonces infórmalo a todos tus usuarios, y elimina la lista. Igualmente si ofreces servicios.
Te comento mi caso: para poder hacer el registro de marca de una artesana que haya creado una empresa, necesito el documento que la acredita como accionista. Cuando la marca ya está registrada, elimino todo de mi ordenador, servidores, correo electrónico, porque ya no necesito más esa información.
¿Y las facturas? Esto dependerá de las leyes que rijan en tu país, pero deberás guardarlas por el tiempo legalmente aceptable.
Otro ejemplo, si has realizado un presupuesto a un cliente, claro está tienes todos esos datos en un archivo, en una carpeta de tu ordenador, y mencionas que es válido por 30 días. Luego de esos días, deberías eliminarlo.
- Actualmente debo notificar mi fichero a la AEPD, ¿También debo hacerlo con el RGPD?
No, pero sí.
Hasta el 24 de mayo, a las 23:59:59, deberás notificar de tu fichero a la AEPD. Esto para cumplir con la actual LOPD, pero posteriormente, deberás crear un Registro de actividades.
El registro de actividades, en parte, viene a ser la información que ya le has dado a la AEPD en tu notificación, pero no creas que es llevar una bitácora de todo lo que haces con los datos, es solamente una plantilla, para que al momento de una inspección, la AEPD pueda saber cómo recoges los datos, para qué, y cómo los cuidas. Vamos a llamarle manual de instrucciones, para tenerlo más claro. Esto no debes notificarlo, simplemente debes elaborarlo y tenerlo a mano para explicarle a tus usuarios, titulares de datos, agente de la AEPD, cómo es tu política de protección de datos.
Si quieres un lugar donde tienes toda esta información, entonces ve a este enlace donde verás este documento y muchos otros que tu negocio necesita.
- ¿Cómo puedo hacer una lista de email marketing sin problemas?
Cumpliendo con el RGPD. Ya veo tu cara, ¡ostras Caribay! ¡Descubriste América! Pero que mi frase tiene sentido eh, ya verás.
Resulta que últimamente he escuchado opiniones como: tendrás que eliminar todas tus listas de email marketing; ya no podrás seguir teniendo ventanas emergentes para pedir el email; ya no podrás enviar emails. Y la verdad es que estas leyes no son para frenar el comercio electrónico, al contrario, es para darles más impulso, por lo que estas frases, son totalmente sin sentido.
De esto te hablaré con detalle la próxima semana, porque a estas alturas, no me debes estar queriendo, pero créeme que puedes implementar todo a tiempo. Vamos un paso de cada vez. Lo importante a saber hoy es que debes ser:
- Transparente: diles a tus usuarios la finalidad de su email, nada de déjame tu email que te mando un ebook y luego me mandas mil cosas. Dime la verdad, como decimos en Venezuela, échame todo el cuento, desde aló.
- Directa: no hace falta palabras propias de la RAE, algo que cualquiera entienda, que al final lo que se busca es claridad en el mensaje.
- Precavida: tienes el consentimiento, les contaste todo, pero ha llegado la AEPD a tu puerta y tu no tienes cómo demostrarles que el interesado te ha dado su email libremente sin presiones. Para esto puedes implementar casillas de verificación y el doble opt in
- Permisiva: si alguien cambia de idea, tengas un método para que se den de baja sin problema, o puedan cambiar sus datos.
- ¿Puedo ceder los datos de mis suscriptores a otra persona?
Sí, pero debes informarle a tus seguidores, clientes, que esos datos van a ser cedidos a otra persona. Es un poco la transparencia que hablamos al inicio.
Ejemplo: estás organizando un evento, y resulta que parte del incentivo para quien dará la charla es que tendrá al listado de emails de todas las que hayan comprado una entrada. No hay problema en esto, siempre y cuando:
- Estas personas hayan aprobado que recojas su email para fines publicitarios
- Estén enteradas, antes de dar su consentimiento, que sus datos serán enviados a la persona que dará la charla que es Fulana de Tal.
- Que en efecto su consentimiento no sea solamente para darte los datos a ti, sino a quien les hayas mencionado que se van a ceder.
- ¿Puedo usar el email de la compra, para enviarle mi newsletter?
Lo mismo de lo anterior, si le preguntaste y te dijo que sí, entonces claro que puedes. Pero, ojo aquí, si la compra está condicionada a una casilla de verificación o algo, en donde la venta no se hace efectiva, hasta que se autoriza el uso del email, entonces significa que no es ni libre ni voluntario.
Debes dejar que tu cliente siga con la compra normalmente, y no limitarlo, porque se puede entender que le estás obligando.
- Además de las acciones que hago en mi página, gestor de email marketing, y en los formularios ¿necesito hacer algo más?
Sí, en todo momento debes velar que los datos estén seguros y protegidos, en el mundo online y offline esto incluye cosas como:
- Si trabajas en un coworking, vigilar que no dejas ningún documento o fichero abierto con datos personales, cuando vas al baño.
- Si tienes los datos personales en una memoria portátil, que esté encriptada (y por favor, que el código de encriptación no esté en el mismo dispositivo, que esto es como tener un frigorífico sin electricidad, no te sirve de nada)
- Si pierdes los datos, y dependiendo de ciertas cosas que hablaremos en otro día, avisarle tanto a la AEPD como a los titulares de los datos.
- Si tu nicho se trata de niños, saber que aplican reglas diferentes, si es tu caso, déjame un comentario para hacer un post solamente sobre eso.
- Caribay, ¿puedes encargarte de adaptar mi negocio al RGPD?
¡Claro! te digo cómo implementarlo en tu negocio a través de los textos para tu sitio web, contratos de confidencialidad y otros elementos que te ayudarán a evitar problemas. Haz click en el botón y verás cómo.
Además de ello, si diseñas páginas web, eres community manager, secretaria virtual, o cualquier actividad en la que manejes los datos de otras personas, significa que eres una encargada del tratamiento, y tengo para ti un pack de plantillas con todas las legalidades necesarias en el comercio electrónico.
La imagen de la entrada ha sido tomada por Ana, de Luz y Colores
Hola Caribay,
me ha encantado tu post: claro, conciso y concreto.
Seguiré atenta a todo lo que publiques y estoy más que interesada en el curso.
Por cierto, y a modo de petición, cuéntanos qué ocurre en Portugal, tú que lo conoces. Mi intención es mudarme allí en pocos meses y me gustaría radicar también mi empresa allí.
Gracias!!!
Gracias María!!! me alegro que te haya gustado.
En Portugal estamos también adaptando las plataformas al RGPD, pero debo admitir que la AEPD en ese aspecto tiene muchas herramientas e información que la Agencia Portuguesa podría imitar, ya que no tienen una información tan clara.
¡Hola Caribay!
Felicitaciones por este artículo tan interesante y además, explicar de forma muy clara lo que se necesita con el nuevo reglamento.
Sobre la inscripción del fichero en la AGPD, si ya lo tenemos inscrito, ¿tenemos que volver a notificarlo? Y la otra pregunta es ¿cómo hacemos saber a la AGPD de qué ya tenemos la web, formularios… actualizados con la nueva normativa? (estos días lo subiré todo actualizado, me falta revisarlo todo).
Un fuerte abrazo,
Vero.
Gracias Vero.
Con el RGPD no tendrás que hacer notificaciones previas, viene a ser un cambio como de primaria, donde nuestras madres verificaban si hacíamos bien los deberes antes de entregarlos a la maestra, a la universidad, donde lo hacemos por nuestra cuenta, y luego la AEPD, en caso de inspección, te dirá si lo hiciste bien o no. No se lo tienes que hacer saber a la AEPD, simplemente lo tienes todo a punto.
Un beso!
Hola Caribay, no entiendo muy bien lo del “Registro de actividades”? yo tengo el mail y el nombre de mis clientes alojado en mailchimp y no lo uso para nada, ni lo miro, solo envio una NL a la semana a la lista, entonces ¿no me sirve la lista de mailchimp como registro de actividad?
Gracias!
Hola Carmen!
El registro de actividades debe tener otra información, no es tanto los datos que recoges en sí (por ejemplo el nombre de Juan, Pedro, María) sino cuáles vas a recoger. Debe tener:
1. El nombre y los datos de contacto del responsable (en este caso tú) y, en su caso, del corresponsable (si tienes alguna socia), del representante del responsable (si eres una empresa, sería en el primero el nombre de la empresa y aquí tu nombre), y del delegado de protección de datos (esto lo obviamos porque quizás en tu caso no sea necesario, no todos necesitan un delegado de protección de datos).
2. La finalidad del tratamiento, es decir, bueno este registro es para newsletter, otro para clientes y otro para proveedores. Entonces: la finalidad del tratamiento de la newsletter sería para enviar información relacionada con el negocio, como promociones, información de cómo usar los productos o servicios etc
3. una descripción de las categorías de interesados y de las categorías de datos personales: son datos sensibles? recoges información sobre la salud? aquí llenarías esa información
4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios
en terceros países u organizaciones internacionales;
5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación
de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el
artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas; (por ejemplo en mailchimp, y la certificación del privacy shield)
6) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
7) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el
artículo 32, apartado 1.
Este registro debes llevarlo si tienes un tratamiento no ocasional de los datos, pero como esto de “no sea ocasional” deja espacio a mucha cosa, mi recomendación es simplemente tenerlo y ya.
Recuerda que además de los datos de tus suscriptores, también manejas de tus proveedores y clientes.
Un beso!
Hola de nuevo Caribay 🙂 por lo que me explicas esto es un documento que se genera solo una vez, no es algo dinámico, verdad? no cambia, salvo que yo cambio lo que envio no? es decir, si yo solo uso los datos para enviar la NL semanal, tengo un documento donde recojo toda esta informacion que tu me describes guardada y no tengo que añadir un registro por cada NL que envio, no?
gracias!
Correcto, solamente debes modificarlo si los datos cambian, supongamos que de Mailchimp pasas a Active Campaign.
De nada!
Mil gracias!! vaya! lo veo un poco complicado, tengo que repasar despacio lo que me cuentas.
bss
Ya verás que con calma te será muy sencillo de hacer. Un paso de cada vez ?
Hola Caribay!
Menudo post más completo, voy a releerlo con calma porqué me he agobiado un pelín!!
Una duda que me entra, así a bote pronto. Por ejemplo, cuando hacen una compra y tu les pides la dirección y el núm. de móvil para poder realizar el envío (es necesario para la agencia de reparto) pero después en un mensaje o email posterior te dan otra información (cambio de dirección o teléfono) como se gestiona? y si se trata de un regalo y el cliente no te dan su propia dirección si no la de la otra persona, que no te ha dado su aprobación expresa para el uso de sus datos??
igual son obviedades, pero en estos momentos no sé muy bien como se procede.
Un saludo y muchísimas gracias por toda la información que compartes!
Laura
Hola Laura!
Me alegro que te haya gustado.
Para nada son obviedades, de hecho el tema del regalo a un tercero es algo que se ha discutido mucho en los foros sobre el RGPD. Vayamos por partes.
1) Los datos que te dan para el envío del producto son totalmente legítimos, no necesitas consentimiento, lo que sí tienes que hacer siempre es el deber de informar, es decir, indicar el mínimo necesario y luego ampliarlo en una política de privacidad. Tienes más info aquí http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf#page=10.
2) Dirección de otra persona: lo ideal es que en estos casos tengas algún aviso que diga algo como: si dejas aquí los datos de alguien que no eres tú, entenderé que tienes su autorización para compartirlos conmigo, y que esa persona y tú saben sobre mi política de privacidad.
Espero haber solucionado tus dudas.
Un abrazo!
Hola! Qué interesante y práctico tu artículo. Gracias! Me surge una duda, ¿El uso de Whatsapp para comunicarte con los clientes si eres una tienda online es legítimo? Y si se ponen en contacto contigo a través de este medio potenciales clientes sin registrar para realizarte cualquier consulta y no han aceptado la política de privacidad, puedes responder sin delinquir :))? Perdón porque la segunda cuestión puede parecer una estupidez, pero después de tanto leer ya no estoy segura de nada.
Hola Marian
Me alegro que te haya gustado. Para nada es estupidez, todas las preguntas son válidas. En este caso el contacto lo tienes en base a una diligencia pre-contractual, o inclusive en el cumplimiento de un contrato. Es lo mismo que me llames al teléfono del escritorio, y apuntes el teléfono en una libreta, siempre el usuario deberá saber que puede acceder a la política de privacidad, pero no estás incumpliendo nada por hablarles por esta vía, ya que has verificado que protegen los datos. Cosa diferente es que utilices una herramienta que luego vaya a compartir los datos con terceros, y no le hayas avisado a tus clientes.
¡Hola! Muy buen post, ¡gracias!
A ver si puedes resolverme esta duda, porque por más que busco, no encuentro nada que me lo aclare: yo tengo un blog en Blogger sin newsletter ni nada con lo que recibir datos de nadie, tampoco vendo nada ni tengo clientes de ningún tipo. He leído que la nueva ley afecta a todos los blogs, pero no entiendo qué podría tener que hacer yo si no tengo información sensible de ningún tipo. ¿Sabes si de verdad tenemos que hacer algo en este caso?
¡Hola!
Si tu blog NO tiene lo siguiente:
* Un formulario que recoge datos (ya sea para contactarte, comentarios en las entradas, newsletter)
* Una cookie que me va siguiendo por el resto de mis búsquedas en internet, porque por ejemplo, vendes cosas mediante afiliación cuando hago click en un determinado producto que tengas expuesto
* El pixel de facebook (o cualquier otro similar, como Metricool)
* Vendes algo (ya sea en internet, o en cualquier tienda física)
* Tienes un email dónde las personas te escriben para decirte oye que he visto en tu blog fafafafafafa
Entonces, si a todo esto dijiste que no, NO te aplica el RGPD. Esto es solamente para aquellos que guarden algún dato personal, ya sea de forma online o en el mundo físico.
Saludos!
Estoy mirándolo a estas alturas este post, ¿sigue siendo correcto? Es para mi primera newsletter, no me he fijado en el artículo solo en tu mención y por eso te estoy escribiendo.
Hola Regi,
Sigue estando actualizado. Ya puedes leerlo al por menor que todo sigue siendo válido.
Un saludo