GPRD y Mailchimp

El GDPR será aplicable el 25 de mayo de 2018 y establecerá un alto nivel de privacidad global, Derechos y cumplimiento.

Tenga en cuenta que esta guía es solo para fines informativos y no debe confiarse en ella.
Consejo legal. Lo alentamos a que trabaje con abogados legales y otros profesionales para determinar precisamente cómo el GDPR podría aplicarse a su organización.

¿Qué es el GDPR?

Por ahora, es probable que haya oído hablar del GDPR: el Reglamento general de protección de datos, una ley de privacidad aprobada por la Comisión Europea en 2016. El GDPR reemplazará la Directiva de privacidad de la Unión Europea conocida como Directiva 95/46 / CE (la «Directiva»), que ha sido la base de la ley europea de protección de datos desde 1995.
Un reglamento como el GDPR es un acto vinculante, que debe seguirse en su totalidad a lo largo de los Estados unidos. El GDPR es un intento de fortalecer, armonizar y modernizar la ley de protección de datos de la UE y mejorar los derechos y libertades individuales, en consonancia con la comprensión europea de la privacidad como un derecho humano fundamental. El GDPR regula, entre otras cosas, cómo las personas y las organizaciones pueden obtener, usar, almacenar y eliminar datos personales. Tendrá un significado impacto en las empresas de todo el mundo.

¿Cuándo entra en vigencia?

El GDPR fue adoptado en abril de 2016, pero oficialmente será ejecutable a partir del 25 de mayo de 2018.
No habrá un «período de gracia», por lo que es importante que las organizaciones afectadas por el GDPR obtengan listo para eso ahora.

¿A quién afecta?

El alcance del GDPR es muy amplio. El GDPR afectará (1) a todas las organizaciones establecidas en la UE, y (2) todas las organizaciones involucradas en el procesamiento de datos personales de ciudadanos de la UE.

Este último es el Introducción de la GDPR del principio de «extraterritorialidad»; es decir, el GDPR se aplicará a alguna organización que procesa datos personales de ciudadanos de la UE
-independientemente de donde esté establecido, e independientemente de dónde se lleven a cabo sus actividades de procesamiento.

Esto significa que el GDPR podría aplicarse a cualquier organización en cualquier parte del mundo, y todas las organizaciones deben realizar un análisis para determinar si están procesando o no los datos personales de ciudadanos de la UE. El GDPR también se aplica a través de todas las industrias y sectores.
Existen algunas definiciones que ayudarán a comprender el amplio alcance del GDPR.

¿Qué se considera «datos personales»?

Según el GDPR, los datos personales son cualquier información relacionada con un persona identificada o identificable; es decir, información que podría ser utilizada, por sí misma o en junto con otros datos, para identificar a un individuo.

Considere el alcance extremadamente amplio de esa definición. Los datos personales ahora incluirán no solo datos que comúnmente se consideran de naturaleza personal (por ejemplo, números de seguridad social, nombres, direcciones físicas, direcciones de correo electrónico), sino también datos tales como direcciones IP, datos de comportamiento, datos de ubicación, datos biométricos, financieros información y mucho más.

Esto significa que, para los usuarios de MailChimp, al menos la mayoría de los la información que recopile sobre sus suscriptores y contactos se considerará personal datos bajo el GDPR.

También es importante señalar que incluso los datos personales que se han recogido como un «Pseudónimo» puede considerarse información personal si el seudónimo puede vincularse a cualquier individuo particular.

Datos personales confidenciales, como información de salud o información que revela la raza u origen étnico, requerirá una protección aún mayor. No debe almacenar datos de esta naturaleza dentro de su cuenta de MailChimp.

¿Qué significa «procesar» los datos?

Según el GDPR, el procesamiento es «cualquier operación o conjunto de operaciones que se realizan con datos personales o conjuntos de datos personales, ya sea mediante medios automatizados, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poniendo a disposición, alineación o combinación, restricción, borrado o destrucción. «Básicamente, si está recopilando, gestionando, utilizando o almacenando datos personales de ciudadanos de la UE, está procesando datos de la UE
datos personales dentro del significado prescrito por el GDPR. Esto significa, por ejemplo, que si alguno de sus listas de MailChimp contienen la dirección de correo electrónico, el nombre u otros datos personales de cualquier ciudadano de la UE, entonces está procesando datos personales de la UE bajo el GDPR.
Tenga en cuenta que incluso si no cree que su negocio se verá afectado por el GDPR, el GDPR y sus principios subyacentes aún pueden ser importantes para usted. La ley europea tiende a establecer la tendencia a la regulación de la privacidad internacional, y una mayor conciencia de la privacidad ahora puede darle una ventaja competitiva después.

¿En qué se diferencia el GDPR de la Directiva? ¿Cómo están cambiando las obligaciones?

Si bien la GDPR conserva muchos principios establecidos por la Directiva.

Debe tener una «base legal» para hacerlo, como cuando el procesamiento es necesario para la ejecución de un contrato, un individuo ha dado su consentimiento (consulte los requisitos de consentimiento anteriores), o el procesamiento es en «interés legítimo» de la organización.

Existen muchos otros principios y requisitos introducidos por el GDPR, por lo que es importante revisar el GDPR en su totalidad para asegurarse de que comprende completamente sus requisitos y cómo se pueden aplicar a usted.

¿Habla la GDPR de algo sobre transfronterizos? ¿Transferencia de datos?

Sí, el GDPR contiene disposiciones que abordan la transferencia de datos personales de los Estados miembros de la UE a terceros países, como los Estados Unidos.

Sin embargo, las disposiciones del GDPR relativas a las transferencias transfronterizas de datos no difieren radicalmente de las disposiciones vigentes en virtud de la Directiva. El GDPR, al igual que la Directiva, no contiene ningún requisito específico de que los datos personales de los ciudadanos de la UE se almacenen solo en los Estados miembros de la UE.

Más bien, el GDPR requiere que se cumplan ciertas condiciones antes de transferir los datos personales fuera de la UE, identificando una serie de motivos legales diferentes en los que las organizaciones pueden confiar para realizar transferencias de datos transfronterizas. Un terreno legal para transferir datos personales establecidos en el GDPR es un » decisión de adecuación. «Una decisión de adecuación es una decisión de la Comisión Europea de que existe un nivel adecuado de protección para los datos personales en el país, territorio u organización donde se transfiere.

El marco de Privacy Shield constituye uno de esos ejemplos de una decisión de adecuación.

MailChimp participa y ha certificado su conformidad con el marco del Escudo de la privacidad, y estamos comprometidos a tratar todos los datos personales recibidos de los países miembros de la UE de acuerdo con los principios aplicables del marco del Escudo de privacidad.

¿Qué significa esto para ti?

En general, significa que esperamos que los clientes de la UE de MailChimp puedan seguir confiando en la certificación de Escudo de privacidad de MailChimp para transferir sus datos personales obtenidos legalmente a MailChimp bajo el GDPR.

¿Necesita cumplir con el GDPR?

Debe consultar con asesoría legal y de otro tipo con respecto al alcance total de sus obligaciones de cumplimiento. En términos generales, sin embargo, si usted es una organización organizada en la UE o una que está procesando los datos personales de ciudadanos de la UE, el GDPR se aplicará a usted. Incluso si todo lo que hace es recopilar o almacenar direcciones de correo electrónico, si esas direcciones de correo electrónico pertenecen a ciudadanos de la UE, es probable que el GDPR se aplique a usted.

¿Qué ocurre si no cumple?

El incumplimiento de la GDPR puede generar enormes sanciones financieras. Las sanciones por incumplimiento pueden ser de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

¿Tiene importancia si usted es controlador o procesador?

Si accede a datos personales, lo hace como controlador o como un procesador, y existen diferentes requisitos y obligaciones según la categoría en la que se encuentre. Un controlador es la organización que determina los propósitos y los medios para procesar los datos personales. Un controlador también determina los datos personales específicos que se recopilan de un sujeto de datos para su procesamiento. Un procesador es la organización que procesa los datos en nombre del controlador.

El GDPR no ha cambiado las definiciones fundamentales de controlador y procesador, pero ha ampliado las responsabilidades de cada parte. Los controladores serán los principales responsables de la protección de datos (incluida, por ejemplo, la obligación de informar las infracciones de datos a las autoridades de protección de datos); sin embargo, el GDPR sí impone algunas responsabilidades directas sobre el procesador.

En consecuencia, es importante saber si está actuando como controlador o procesador, y para familiarizarse con sus responsabilidades en consecuencia.

Estos formularios son una de las herramientas más importantes de MailChimp que puede usar en lo que respecta a su cumplimiento con GDPR. Aún mejor, son fáciles de usar y están disponibles ahora, por lo que puede comenzar a diseñarlos para satisfacer sus necesidades específicas de cumplimiento de GDPR ahora. Debe diseñar cuidadosamente cada uno de estos formularios para asegurarse de que el lenguaje en el cuerpo y / o el pie de página sea claro, específico y cubra todas las razones posibles para utilizando la información que se solicita.

Sea muy específico sobre el uso previsto de la información que está recopilando.

Si bien la información que recopila a través de estos formularios se transfiere presumiblemente a MailChimp, es su responsabilidad asegurarse de obtener el consentimiento de sus clientes y contactos para enviar su información a MailChimp para el procesamiento, por lo que debe asegurarse de que todas sus ventanas emergentes, formularios, etc. incluyan el lenguaje que proporciona este consentimiento.

Sugerimos que seleccione la opción de doble suscripción para inscribirse en la lista. Tenga en cuenta que esta puede no ser la configuración predeterminada.

Debe poder acceder fácilmente a la capacidad de sus suscriptores y contactos para retirar el consentimiento o cambiar las preferencias. Las opciones de «cancelar suscripción» y «preferencias» del pie de página de MailChimp pueden ayudar.

La opción «cancelar suscripción» se incluye automáticamente en el pie de página de cada campaña enviada a través de MailChimp. Esto permite que cualquier destinatario de la campaña se anule fácilmente de su lista de MailChimp, lo que le ayudará a cumplir con sus obligaciones de GDPR cuando un suscriptor retire su consentimiento para recibir correos electrónicos de marketing.

También tiene la opción de incluir un enlace de «preferencias» en el pie de página de cualquier campaña, que le otorgará a cualquier receptor la posibilidad de actualizar fácilmente los detalles de su perfil dentro de su cuenta de MailChimp, ayudándole a cumplir con los requisitos de derecho de acceso de GDPR.

Asegúrese de actualizar frecuentemente cualquier información almacenada en su cuenta de MailChimp relacionada con sus suscriptores o contactos, como el nombre y la información de contacto, cuando así lo solicite un suscriptor o un contacto.

También debe asegurarse de mantener registros precisos, especialmente del consentimiento de sus suscriptores y contactos, que le permita enviarles correos electrónicos de marketing, almacenar y usar sus datos personales, y cualquier otra actividad de procesamiento que esté realizando. MailChimp puede ayudarlo a obtener un comprobante de consentimiento y guardará un registro del consentimiento de sus suscriptores / contactos en su cuenta de MailChimp. Cuando utiliza un formulario de suscripción de MailChimp para agregar suscriptores y contactos a su cuenta, MailChimp registra la dirección de correo electrónico, la dirección IP y la marca de tiempo asociada con cada suscriptor o contacto que completa y envía el formulario, proporcionándole una prueba de acceso fácil consentimiento.

Tenga en cuenta que cualquier consentimiento que obtenga de sus suscriptores y contactos debe cumplir con los requisitos de GDPR, independientemente de cuándo se obtuvo dicho consentimiento. Sin embargo, el considerando 171 del GDPR indica que puede continuar confiando en cualquier consentimiento existente que cumpla con los estándares GDPR para el consentimiento. Esto significa que no es necesario volver a solicitar el consentimiento de sus suscriptores o contactos cuando el GDPR entre en vigencia siempre y cuando cumpla con todos los requisitos del GDPR cuando obtuvo el consentimiento inicialmente. Recomendamos consultar con un abogado local para determinar si los consentimientos obtenidos antes de que el GDPR cumplan con sus requisitos o si debe contactar a sus suscriptores y contactos para volver a solicitar el consentimiento de acuerdo con los requisitos del GDPR, o confiar en una base legal diferente para su procesamiento bajo el GDPR.

Debe revisar cualquier integración o complementos de MailChimp que esté utilizando (o planee usar) y los términos asociados con ellos, para asegurarse de que ha revelado adecuadamente las posibles actividades de procesamiento de datos asociadas con su uso. de esos servicios a sus suscriptores y contactos. Por ejemplo:

Si elige usar la función de redireccionamiento de productos o la característica de anuncios de remarketing web de Google, o si ha conectado su tienda de comercio electrónico a su cuenta de MailChimp, su sitio web puede establecer una cookie MailChimp que le permite rastrear ciertas actividades de sus suscriptores. También se pueden establecer otros píxeles en su sitio web a través de esta cookie, y estos se describirán en los términos específicos aplicables a cada función. Debe asegurarse de implementar un mecanismo apropiado de aviso y notificación de cookies con respecto al uso de estas cookies y píxeles relacionados.

Anuncios de Facebook: cuando usa ciertas opciones dentro de la plataforma de compra de anuncios de Facebook, como la función de audiencia personalizada, un valor hash de las direcciones de correo electrónico de sus suscriptores se pueden transferir a Facebook. Solo aquellas direcciones de correo electrónico que usted seleccione expresamente se transfieren a hash y se transfieren a Facebook. Los Términos de uso adicionales de MailChimp para Facebook e Instagram Ad Buying requieren que cualquier persona que esté usando la función de compra de anuncios de Facebook obtenga el permiso de sus suscriptores para transferir datos a Facebook.

Debe revisar la declaración de privacidad y las prácticas aplicables a su organización y asegurarse de que proporcione la notificación adecuada de que los datos personales de sus suscriptores o contactos se transferirán a MailChimp y serán procesados ​​por MailChimp. Por ejemplo, es posible que desee considerar la actualización de su declaración de privacidad para incluir un lenguaje que identifique específicamente a MailChimp como uno de sus procesadores y delinee el procesamiento aplicable.

Es importante recordar que las listas de MailChimp funcionan de forma independiente, y eliminar un suscriptor de una lista no garantiza que esa misma dirección de correo electrónico también se borre de otras listas donde pueda estar presente.

Derecho a oponerse: puede optar por no participar de la inclusión de los datos de sus suscriptores o contactos en nuestros proyectos de ciencia de datos simplemente cambiando la configuración de privacidad en su cuenta.

Derecho de rectificación: puede acceda y actualice sus listas de suscriptores / contactos dentro de su cuenta de MailChimp para corregir o completar la información de suscriptores / contactos a petición suya en cualquier momento.

Además, cualquier sujeto de datos (incluidos sus suscriptores y contactos) puede ponerse en contacto directamente con MailChimp para acceder, corregir y / o eliminar la información que MailChimp pueda tener sobre el interesado.

Derecho de portabilidad: puede exportar cualquiera de sus listas, o la información seleccionada dentro de cualquier lista, en cualquier momento accediendo a su cuenta de MailChimp.

El GDPR se hará exigible el 25 de mayo de 2018 y establecerá una gran barrera para los derechos de privacidad global y cumplimiento. Estamos preparando activamente nuestros procesos comerciales y de cumplimiento para que el GDPR surta efecto, y esta guía está destinada a ayudar a nuestros clientes a hacer lo mismo. Tenga en cuenta que esta guía es solo para fines informativos y no debe considerarse un consejo legal. Lo alentamos a que trabaje con asesores legales y otros profesionales para determinar con precisión cómo se podría aplicar el GDPR a su organización.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *