Saltar al contenido principal

El GDPR y la privacidad de los datos

1. ¿Qué es el GDPR?

GDPR son las siglas en inglés del Reglamento General de Protección de Datos.

Se trata de un marco legal que protege los derechos de privacidad de los datos de cualquier persona que viva en la Unión Europea, así como de los habitantes de Islandia, Liechtenstein y Noruega -países que forman parte del mercado único del Espacio EconómicoEuropeo (EEE)- y Suiza.

Nota: la Ley de Protección de Datos(DPA) del Reino Unido se modificó en 2021 para integrar los requisitos del GDPR de la UE. Así que, aunque el país no está técnicamente cubierto por el GDPR post-Brexit, sus regulaciones de privacidad de datos son muy similares.

Breve historia del GDPR

La Comisión Europea comenzó a planificar el proyecto de ley en enero de 2012, ya que buscaba reformar la normativa de protección de datos de la Unión.

El acuerdo del Parlamento Europeo y el Consejo se alcanzó en abril de 2016, y el RGPD entró en vigor en mayo de 2018.

El RGPD sustituye a la Directiva de Protección de Datos de la UE, una ley arcaica de hace una década, cuyas normas mínimas para el tratamiento de datos no protegían adecuadamente la información personal en nuestra era digital moderna.

Hoy en día, el GDPR se considera una de las leyes de privacidad de datos más estrictas del mundo, y su impacto desde 2018 ha sido sorprendente: los países y subestados lo han utilizado como modelo para construir sus propias leyes de privacidad de datos, las empresas han sido golpeadas con multas multimillonarias por incumplimiento, y el marketing en línea nunca volverá a ser el mismo.

El RGPD abre el acceso de los consumidores a los datos personales que poseen las empresas y restringe lo que éstas pueden hacer con esta información.

¿Cuáles son los derechos de los consumidores en el marco del RGPD?

El RGPD se articula en torno a la protección de los ocho derechos básicos de los titulares de los datos, recogidos en los artículos 12 a 23:

Para comprender mejor toda la jerga, puede consultar nuestro Glosario de Términos.

¿Qué considera el GDPR como datos personales?

El GDPR de la UE sólo se aplica a los datos personales, que considera cualquier información relacionada con una persona identificable. Cualquier cosa que pueda confirmar su presencia física en algún lugar también se clasifica como datos personales bajo el GDPR - esto incluye cosas como las imágenes de CCTV y las huellas dactilares.

¿Qué considera el GDPR como datos personales sensibles?

El GDPR coloca ciertos tipos de datos personales sensibles en una "categoría especial" que debe ser tratada con seguridad adicional. Esto incluye información relacionada con:

  • Opiniones políticas
  • Raza o etnia
  • Religión o creencias filosóficas
  • Sexualidad o vida sexual de una persona
  • La pertenencia a un sindicato
  • Información genética
  • Datos biométricos: cuando se tratan para identificar a alguien

¿Cuáles son las sanciones por incumplimiento del RGPD?

Los requisitos del RGPD son aplicados por las autoridades nacionales de protección de datos de los Estados miembros de la UE y del EEE, y por el derecho de acción privada, como en el caso de Max Schrems y su grupo de defensa de NYOB.

Ha establecido un sistema de sanciones de dos niveles y las empresas que se descubra que han hecho un mal uso de los datos según el GDPR pueden ser multadas:

  • Hasta 10 millones de euros, o el 2% de los ingresos anuales mundiales del año anterior, lo que sea mayor
  • Hasta 20 millones de euros, o el 4% de los ingresos anuales mundiales, lo que sea más alto.

¿A quién no se aplica el GDPR?

El RGPD de la UE sólo se aplica a los datos personales, que considera cualquier información relacionada con una persona identificable.

Cualquier cosa que pueda confirmar su presencia física en algún lugar también lo es. Dado que el GDPR llega fuera del ámbito territorial de la Unión Europea, el número de exenciones formales del GDPR es muy reducido:

  • Empresas que desaconsejan activamente el tratamiento de datos de ciudadanos de la UE
  • Empresas que procesan datos de ciudadanos de la UE, sin dirigirse directamente a los sujetos o supervisar su comportamiento

La Comisión Europea afirma que algunas obligaciones del RGPD no se aplicarán a las empresas en las que el tratamiento de datos personales no sea una actividad empresarial fundamental -como el nombramiento de un responsable de la protección de datos o la clasificación de datos personales según el RGPD-, lo que incluye cosas como las grabaciones de CCTV y las huellas dactilares.

Exenciones informales al GDPR

Hay una serie de escenarios que liberan a las empresas de la supervisión del GDPR.

Si no está operando en la UE, puede estar exento del GDPR si no utiliza un idioma de la UE, una moneda o se refiere a los consumidores de la UE - esto es difícil dado el uso de algunos de estos idiomas en todo el mundo, por lo que su intención es importante.

También tendría que asegurarse de que los residentes de la UE no puedan registrarse para obtener una cuenta o comprar algo.

Si su empresa recoge datos, puede estar exenta si no procesa datos personales, es decir, cualquier cosa que pueda utilizarse por sí misma para identificar a alguien. Los datos anónimos tampoco están cubiertos por el RGPD.

Quedan algunos supuestos específicos que quedan fuera del ámbito de aplicación del RGPD: no se aplican a muchas empresas privadas y varían de un país a otro de la UE.

En general, se refieren a partes muy específicas del RGPD. Es posible que determinadas empresas no tengan que facilitar a las personas los datos personales que constan en sus archivos, o que no tengan que comunicar determinada información en su aviso de privacidad. He aquí algunos ejemplos:

  • Las fuerzas del orden están exentas del GDPR en situaciones específicas
  • El periodismo está exento del RGPD, si su cumplimiento implica la supresión de las libertades de prensa
  • Las universidades están exentas de dar a los estudiantes acceso a los exámenes en situaciones específicas.

¿Cuáles son los principios clave del RGPD?

El artículo 5 establece siete principios que actúan como marco general para guiar el tratamiento de los datos personales. Los responsables del tratamiento de datos deben cumplir estos principios y ser capaces de demostrar su cumplimiento en cualquier momento.

1. Legalidad, equidad y transparencia

La legalidad significa que debe tener una buena razón para recoger y procesar los datos.

La imparcialidad significa que nunca debe ocultar deliberadamente el motivo por el que recoge y procesa los datos, y significa que no los manipulará ni hará un mal uso de ellos.

Transparencia significa ser abierto, claro y honesto con los interesados sobre quién eres y qué vas a hacer con los datos personales.

2. Limitación de la finalidad

El GDPR establece que los datos personales se "recogen con fines específicos, explícitos y legítimos".

Debe establecer claramente la finalidad de la recogida de datos, comunicarla a los usuarios en un aviso de privacidad y asegurarse de que sus actividades se mantienen dentro de estos límites establecidos. Si no es así, debes adquirir un nuevo consentimiento de los usuarios, a menos que exista un precedente legal para hacerlo.

3. Minimización de datos

Esto significa recopilar la menor cantidad de datos necesarios para cumplir su objetivo

4. Precisión

Significa que todos los datos que se recogen y almacenan son correctos. Requiere establecer sistemas y auditorías periódicas para garantizar que los datos incorrectos se corrijan, actualicen o eliminen.

5. Limitación del almacenamiento

El GDPR le obliga a justificar durante cuánto tiempo almacena los datos personales. Esto se puede hacer estableciendo una política de limitación de almacenamiento y anonimizando los datos una vez que el período de tiempo establecido haya terminado.

6. Integridad y confidencialidad (seguridad)

Esto significa que estás obligado a mantener los datos personales a salvo de los riesgos internos y externos, y protegerlos del tratamiento no autorizado, así como de la pérdida o el daño accidental.

7. Responsabilidad

Las empresas deben contar con procesos, procedimientos y documentación adecuados para demostrar el cumplimiento de los principios de tratamiento de datos, y las autoridades de supervisión tienen la facultad de exigir pruebas de ello en cualquier momento.

Comprender el cumplimiento del GDPR

El GDPR ha establecido un nuevo estándar para la protección de datos de los ciudadanos y residentes de la UE, y presenta un desafío para las empresas que se arriesgan a enormes multas por incumplimiento.

El GDPRestablece ciertas obligaciones que las organizaciones deben seguir, lo que limita el uso de los datos personales.

También define ocho derechos de los interesados que garantizan derechos específicos para los datos personales de un individuo, dando en última instancia a los individuos más autonomía sobre su información personal y cómo se utiliza.

Pero no basta con cumplir los requisitos del RGPD, y es posible que se pregunte qué es el cumplimiento del RGPD.

Las empresas también deben ser capaces de demostrar, cuando se les solicite, que disponen de políticas y procedimientos para garantizar que el flujo de datos es seguro en cada punto del recorrido del cliente.

El cumplimiento requiere una auditoría completa de las bases de datos, la introducción de sistemas de consentimiento previo y el establecimiento de la base legal de los datos recogidos.

Las empresas también tendrán que estudiar el consentimiento de las cookies, la redacción de la política de privacidad estándar, los avisos de privacidad y las actividades de terceros.

Tendrán que realizar evaluaciones de riesgo, asegurar los datos y prepararse para las violaciones.

Todo lo que tenga que ver con los datos debe estar documentado de forma permanente y precisa, todo ello para garantizar que se respeten en todo momento los derechos de los usuarios de la UE.

Elcumplimiento del RGPD debe verse como una oportunidad. La privacidad ha sido durante mucho tiempo una de las principales preocupaciones de los consumidores, y el cumplimiento de una normativa de datos más estricta fomentará la confianza de los consumidores.

2. CCPA y otras normas de privacidad de datos

A medida que las actividades sociales y económicas siguen migrando en línea, también sigue creciendo la importancia de la privacidad y la protección de datos.

Países de todo el mundo están adoptando medidas para reformar su legislación sobre la recogida, el uso y el intercambio de datos personales sin el consentimiento explícito de los consumidores, un recurso ahora más valioso que el oro(Economist).

Qué es la Ley de Privacidad del Consumidor de California (CCPA)

La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos a nivel estatal. Introducida en 2020, regula el manejo de la información personal de los residentes de California.

Solo se aplica a las empresas comerciales.

Breve historia de la CCPA

La Ley de Privacidad del Consumidor de California comenzó como una propuesta de votación de un grupo de privacidad llamado Californianos por la Privacidad del Consumidor. El lenguaje oficial de la iniciativa fue aprobado por el Departamento de Justicia el 18 de diciembre de 2017, lo que permitió al grupo de privacidad comenzar a recoger firmas.

La CCPA fue aprobada en la legislatura estatal y firmada por el gobernador estatal Brown el 28 de junio de 2018. Posteriormente, se promulgaron cinco enmiendas que fueron firmadas por el Gobernador del Estado, Newsom, el 11 de octubre de 2019. La CCPA entró en vigor el 1 de enero de 2020 y obligó a retirar la iniciativa 17-0039 de la Ley de Derecho a la Privacidad del Consumidor.

Es la primera ley de este tipo en EE.UU., y otros estados prestarán mucha atención a las implicaciones prácticas cuando creen sus propias leyes de privacidad.

Será sustituida por la Ley de Derechos de Privacidad de California (CPRA), más amplia, en 2023.

Mientras que una ley federal de privacidad de datos para EE.UU. sigue estando fuera de alcance, el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA) sigue siendo un reto. Sólo el 11% de las empresas cumplen plenamente las normas del reglamento, según un estudio de Cytrio. El informe se basa en un estudio de 5.175 empresas estadounidenses con ingresos de entre 25 millones de dólares y más de 5.000 millones de dólares durante un periodo de seis meses.

La ley comienza enumerando los cinco derechos que pretende proteger, por lo que es un buen punto de partida:

  1. El derecho de los californianos a saber qué información personal se recoge sobre ellos
  2. El derecho de los californianos a saber si su información personal se vende o se divulga y a quién
  3. El derecho de los californianos a decir no a la venta de información personal
  4. El derecho de los californianos a acceder a su información personal
  5. El derecho de los californianos a la igualdad de servicio y precio, incluso si ejercen sus derechos de privacidad

Sanciones por el incumplimiento de la CCPA

Esta ley ha introducido multas potencialmente paralizantes por el mal uso de los datos.

Ha otorgado al Fiscal General de California la facultad de multar a las empresas con hasta 2.500 dólares por infracción, cifra que se eleva a 7.500 dólares si hay una clara intención.

Las empresas que sufran una violación de datos también se arriesgan a una demanda colectiva y al pago de hasta 750 dólares a cada consumidor afectado.

Sin embargo, la ley da a las empresas 30 días para rectificar cualquier uso indebido de los datos, si procede.

CCPA vs. GDPR

La CCPA ha sido denominada a menudo como el "GDPR de Estados Unidos".

Se considera una de las leyes más estrictas de su tipo en los Estados Unidos y refleja el GDPR en términos de protección de datos que ofrece a los residentes de California.

Al igual que el RGPD, la CCPA incluye el derecho a la transparencia, exigiendo a las empresas que informen a los consumidores sobre qué datos se recogen y cómo se comparten. También otorga a los consumidores el derecho a acceder, eliminar y excluirse de cualquier actividad de datos si así lo solicitan.

La CCPA proporciona algunos de los ocho derechos del GDPR de los sujetos de datos, pero en realidad está más construida en torno a enfatizar dos derechos adicionales - estos están implícitos en el GDPR, pero no se reconocen como derechos en sí mismos:

El derecho de los californianos a decir no a la venta de información personal (o "opt-out") El derecho de los californianos a la igualdad de servicio y precio, incluso si ejercen sus derechos de privacidad (o derecho a no represalias)

A continuación se muestra una comparación de las dos leyes.

GDPR

CCPA

Jurisdicción de la ley

Cualquier entidad que trate datos personales con:

  • Un establecimiento en la UE
  • Ofrece bienes y servicios en la UE
  • Controla el comportamiento de los usuarios en la UE
 

Se aplica a cualquier entidad con ánimo de lucro que opere en California y que realice alguna de las siguientes actividades, anualmente

:
  • Obtiene más de 25 millones de dólares de ingresos brutos
  • Maneja datos personales de más de 50.000 consumidores, hogares o dispositivos
  • Obtiene más del 50% de los ingresos de la venta de información personal de los consumidores
 

Aplicación de la ley

 
  1. Autoridades nacionales de protección de datos
  2. Derecho de acción privada
 
 
  1. Fiscal General de California
  2. Derecho de acción privada para las infracciones notificables en virtud de la CCPA
 

Alcance de las multas

El GDPR tiene un sistema de sanciones de dos niveles, y las autoridades nacionales de protección de datos están facultadas para multar a las empresas

:
  • Hasta 10 millones de euros, o el 2% de los ingresos anuales mundiales del año anterior - lo que sea mayor
  • Hasta 20 millones de euros, o el 4% de los ingresos anuales mundiales - lo que sea más alto
 

El Fiscal General de California está facultado para multar a las empresas:

  • Hasta 2.500 dólares por infracción - aumentando a 7.500 dólares cuando el uso indebido de datos sea claramente intencionado
  • Hasta 750 dólares por consumidor afectado por la violación de datos a través de demandas colectivas

Las empresas tienen un período de rectificación de 30 días, si procede.

Obligaciones del responsable de la protección de datos

No

Alcance de la información afectada

Datos personales relacionados con una persona, incluidos los datos de identificación del dispositivo.

Datos personales "susceptibles de ser asociados" a un consumidor o a un hogar.

Cubre a los empleados

?

Discrimina entre procesadores y controladores

Sí, con obligaciones claramente definidas para cada uno de ellos.

Distingue entre empresas y proveedores de servicios, pero las diferencias obligatorias están mal definidas.

Restricciones adicionales para los datos sensibles

No

Respeta el derecho de acceso

Respeta el derecho de supresión

Respeta el derecho de rectificación

No

Respeta el derecho a la portabilidad

Sí, pero sólo implícitamente en relación con el derecho de acceso de los consumidores a la información personal.

Respeta el derecho a la restricción del tratamiento

No

Respeta el derecho a ser notificado

Exige que las empresas notifiquen a los consumidores "en el momento de la recogida o antes" el tipo de información personal que se recoge y para qué se va a utilizar.

Respeta el derecho de oposición

Los consumidores tienen derecho a "decir no a la venta de información personal".

Respeta el derecho a rechazar la toma de decisiones automatizada

No

No hay represalias (derecho a no ser discriminado)

Interpretación del consentimiento

El consentimiento debe ser libre, específico, informado, inequívoco y retirable (normalmente a través de un opt-in).

Se requiere el consentimiento para la venta de información personal. Algunas acciones requieren un consentimiento explícito, como la venta de datos de niños.

Obliga a divulgar la política de privacidad

Requiere un nuevo enlace en la página de inicio

No

Requiere un enlace en la página de inicio que diga "No venda mis datos personales"

Obligaciones de conservación de datos

No

Restricciones a la elaboración de perfiles

No

Restricciones a las transferencias internacionales de datos

No

Proporciona consideraciones especiales para los niños

Obligaciones de seguridad de los datos

Obligaciones de notificación de violaciones de datos

Contratos con proveedores de servicios

No es obligatorio, pero es beneficioso

Obligaciones de "privacidad por diseño

No

 

¿Qué otras normas de privacidad existen?

 

El RGPD ha inspirado una amplia gama de legislaciones nacionales que ofrecen niveles de protección de datos similares, aunque no idénticos.

A continuación se presenta una lista de países que la Comisión Europea considera que tienen leyes adecuadas para la protección de datos según el RGPD:

Argentina Ley de Protección de Datos Personales nº 25.326, protecciones constitucionales 2001

Bahrein Ley de Protección de Datos Personales 2019 Las personas se arriesgan a una posible condena de un año de prisión por transferir ilegalmente datos personales fuera del país.

Brasil Ley General de Protección de Datos LGPD 2020

Canadá Ley de protección de la información personal y los documentos electrónicos (PIPEDA) 2000

Israel Reglamento de seguridad de datos 2017

Japón Ley de protección de la información personal (APPI) 2020

Ley de protección de datos de Kenia 2019

Ley de protección de datos de Mauricio 2017

Ley de privacidad de Nueva Zelanda 2020

Reglamento de protección de datos de Nigeria 2019

Paraguay Ley nº 6534/20 de protección de datos personales de crédito 2020

Qatar Ley nº 13 2016

Sudáfrica Ley de Protección de la Información Personal (POPI) 2020 Al igual que varias normativas africanas de protección de datos, la POPI se distingue del GDPR en que solo se aplica a las empresas sudafricanas que procesan datos dentro del país, y es menos estricta en cuanto al consentimiento para los datos que no son de "categoría especial".

Corea del Sur Ley de Protección de Datos Personales (PIPA) 2011, 2020 Considerada una de las leyes de privacidad de datos más estrictas del mundo.

Tailandia Ley de Protección de Datos Personales 2021

Turquía Ley de protección de datos personales nº 6698 2016

Reino Unido Ley de Protección de Datos (2018) La ley fue modificada a partir de 2021 para integrar los requisitos del GDPR de la UE.

Ley de protección de datos y privacidad de Uganda 2019

Ley uruguaya de protección de datos personales y acción de habeas data 2008

Si quieres encontrar una ley que no haya sido mencionada aquí, encuentra la lista completa en el portal de información sobre privacidad dedatos de la UNCAD .

3. Últimas noticias sobre el GDPR

El RGPD está en las noticias constantemente últimamente.

En esta sección encontrará las últimas noticias sobre el RGPD de hoy. Abarca la aplicación del RGPD, las violaciones de datos y las actualizaciones de las políticas de protección de datos, tanto en Europa como en el resto del mundo:

Desplácese por la página o haga clic en los enlaces de arriba para saltar a una sección.

Noticias principales sobre el RGPD

Francia: la última APD que declara ilegal Google Analytics

Febrero de 2022 - La autoridad de protección de datos de Francia ha dictaminado que Google Analytics infringe el artículo 44 del RGPD, que prohíbe la transferencia de datos personales fuera de la UE/EEE a menos que el país receptor pueda ofrecer una protección de datos adecuada.

Esta decisión se produce poco después de que la Autoridad de Protección de Datos austriaca dictara una sentencia similar sobre Google Analytics en la acción privada presentada ante los tribunales por Max Schrems.

Más información en la noticia completa

La DPA multa a IAP Europe con 250.000 euros por violaciones del GDPR

Febrero de 2022 - La autoridad de protección de datos de Bélgica ha multado a la asociación europea de marketing y publicidad digital con 250.000 euros por infringir el Marco de Transparencia y Consentimiento (TCF).

La decisión de sancionar a IAB Europe y limitar el uso del TCF, junto con la exigencia de eliminar todos los datos actuales, afectará a editores, anunciantes, empresas tecnológicas y grandes empresas tecnológicas como Google y Amazon.

Más información en la noticia completa

El TJUE tumba el Escudo de Privacidad UE-EEUU

Julio de 2020 - El Tribunal de Justicia de la Unión Europea(TJUE) ha dictaminado esta semana que las empresas no pueden almacenar los datos de tráfico de los ciudadanos de la UE en los Estados Unidos.

Esta decisión histórica pone fin al acuerdo bilateral entre la UE y EE.UU. sobre el intercambio de datos, y tiene amplias implicaciones para muchas empresas, incluidas las más importantes del sector tecnológico.

Más información en la noticia completa.

Noticias sobre la aplicación del GDPR

Las mayores sanciones económicas hasta la fecha

Fecha

DPA

Multa

Empresa

Motivo

1

Julio 2021

Luxemburgo

746 millones de euros

Amazon

Política inadecuada de consentimiento de cookies.

2

Septiembre de 2021

Irlanda

225 millones de euros

Whatsapp

Tratamiento de datos mal explicado en el aviso de privacidad.

3

Enero de 2022

Francia

90 millones de euros

Google Irlanda

Procedimientos inadecuados de consentimiento de cookies en YouTube.

4

Diciembre de 2021

Francia

60 millones de euros

Facebook

Procedimientos inadecuados de consentimiento de cookies.

5

Enero 2022

Francia

60 millones de euros

Google LLC

Procedimientos inadecuados de consentimiento de cookies en YouTube.

6

Junio de 2020

Francia

50 millones de euros

Google

Aviso de privacidad inadecuado.

7

Octubre de 2020

Alemania

35 millones de euros

H&M

Seguimiento de empleados sin consentimiento

8

Febrero de 2020

Italia

27,8 millones de euros

TIM

Variedad de acciones ilícitas, en su mayoría relacionadas con contactos no solicitados.

9

Octubre de 2020

REINO UNIDO

22 millones de euros

British Airways

Violación de datos que afecta a 400.000 clientes.

10

Octubre de 2020

REINO UNIDO

20,4 millones de euros

Marriott

Violación de datos a la base de datos de reservas de los huéspedes.

Actualizaciones de otras políticas de protección de datos

Nuevas leyes de privacidad

Febrero de 2022 - Los legisladores californianos están elaborando un nuevo proyecto de ley para proteger los datos personales en línea de los niños. Esto sigue a la normativa británica recientemente promulgada sobre el código de los niños.

Diciembre de 2021 - Zimbabue pone en vigor su primera ley de privacidad: la Ley de Protección de Datos nº 05/2021.

Diciembre de 2021 - El Consejo de Ministros de Jordania aprueba el proyecto de ley de protección de datos personales de 2021 y lo somete a la Cámara de Representantes del reino.

Octubre de 2021 - Ruanda promulgó su primera ley de protección de datos, la Ley nº 058/2021.

Octubre de 2021 - Entra en vigor una enmienda a las leyes de protección de datos de Hong Kong, que penaliza el doxxing.

Septiembre de 2021 - La Comisión de Protección de Datos Personales de Singapur publica sus directrices de privacidad revisadas.

Agosto de 2021 - La Comisión de Protección de Datos Personales de Japón publica las directrices para las enmiendas de 2020 a su Ley de Protección de Datos Personales (APPI), aclarando aspectos de la ley que antes no estaban claros.

Septiembre de 2021 - Entra en vigor la Ley de Seguridad de Datos de China.

Agosto de 2021 - Cabo Verde modifica su Ley de Protección de Datos de 2001, acercándola al RGPD en una serie de aspectos clave de la privacidad.

Junio de 2021 - La Comisión Europea inicia conversaciones para adoptar una "decisión de adecuación" para la transferencia de datos personales a Corea del Sur. Esto significa que está conforme con que las leyes de privacidad de datos de Corea del Sur cumplan los requisitos del RGPD.

Abril de 2021 - Burkina Faso promulga su Ley de Protección de Datos, que sustituye a la anticuada legislación de 2004.

Marzo de 2021 - Zambia promulga la ley de protección de datos, convirtiéndose en el 31º país africano en aprobar una legislación de protección de datos. Normativa y orientación

Diciembre de 2021 - La autoridad de protección de datos de Senegal publicó reglamentos relacionados con los períodos de retención de datos para diferentes clasificaciones de datos que van desde seis meses hasta 10 años.

Diciembre de 2021 - Kenia publicó su Reglamento de Protección de Datos que desarrolla su Ley de Protección de Datos de 2019. Endurece las leyes nacionales de privacidad en una serie de cuestiones que serían reconocibles para cualquiera que haya estado siguiendo el GDPR.

Junio de 2021 - Sudáfrica emitió notas de orientación de POPIA sobre el procesamiento de información personal especial y la información personal de los niños. Esto siguió a las instrucciones de marzo y abril sobre las solicitudes de autorización previa y las exenciones para el tratamiento ilegal de la información personal, respectivamente.

Marzo de 2021 - Uganda adoptó su Reglamento de Protección de Datos y Privacidad, que complementa su Ley de Protección de Datos y Privacidad y ofrece más detalles sobre cuestiones como la autoridad de protección de datos, las obligaciones de gestión de datos y los derechos de los interesados.

4. Las implicaciones del GDPR para los profesionales del marketing digital

El RGPD es una gran obligación para los profesionales del marketing.

El marketing digital consiste en utilizar los sitios web, los motores de búsqueda, los correos electrónicos y las redes sociales para impulsar la participación de los consumidores en su empresa y aumentar los ingresos.

¿Cómo afecta el GDPR al marketing?

El GDPR y el marketing van de la mano, ya que la ley introduce bastantes requisitos esenciales para los profesionales del marketing.

Consentimiento de datos

El consentimiento es un componente importante de los requisitos del GDPR. En la práctica, se trata de contar con la autorización en todo su ecosistema de marketing.

Es necesario buscar activamente el permiso explícito de los usuarios para la recopilación y el uso de sus datos personales. Los "opt-ins" premarcados son cosa del pasado, ya que, para cumplir con el GDPR, el consentimiento debe ser una elección deliberada.

Acceso a los datos

El RGPD ha dado a los residentes de la UE un mayor control sobre la forma en que se recogen y utilizan sus datos personales, incluida la posibilidad de acceder a ellos, transferirlos o eliminarlos.

Es su responsabilidad como comercializador asegurarse de que respeta estos deseos y tiene sistemas para acceder rápidamente a estas solicitudes.

Enfoque de los datos

El GDPR exige que tenga una justificación legal para cualquier dato personal recogido.

Todo esto significa que usted sólo recoge los datos que necesita para proporcionar a su cliente un producto o servicio de calidad.

¿Por qué cumplir con el GDPR?

Más allá de las implicaciones de las multas del GDPR, el cumplimiento del GDPR trae consigo una serie de beneficios para los vendedores:

  • Crea una estrategia de marketing sostenible
  • Aumenta la confianza de clientes y consumidores
  • Optimiza la precisión, organización y seguridad de los datos
  • Mejora las opciones tecnológicas disponibles
  • Mejora las relaciones con el DPO, la C-Suite y otros departamentos
  • Proporciona la tranquilidad de llevar a cabo los negocios de forma ética

¿Cómo cumplir con el GDPR?

El GDPR y su sitio web

La información obtenida de las cookies del sitio web ha sido durante mucho tiempo una herramienta útil para los vendedores en la era digital, permitiéndoles personalizar el alcance basado en el análisis del comportamiento que sigue a los usuarios en Internet.

Sin embargo, el GDPR exige el consentimiento para la recogida de cookies, un consentimiento claro, específico e inequívoco.

Los usuarios también deben poder retirar su consentimiento en cualquier momento.

El GDPR y su CRM

Los profesionales del marketing deben tener en cuenta cómo recogen, procesan y manejan los datos. En lo que respecta al CRM, deben tener en cuenta lo siguiente

  • Tipo de datos: las empresas solo pueden recoger y almacenar datos que puedan justificar legalmente para ofrecer a los consumidores su producto o servicio
  • Almacenamiento y transferencia de datos: las empresas deben encriptar los datos personales para protegerlos del riesgo de acceso no autorizado o de una violación de datos
  • Procesamiento de datos: las empresas deben procesar los datos personales de forma que no puedan utilizarse para identificar a los interesados.
  • Acceso a los datos: las empresas deben auditar sus sistemas y procesos para ver quién tiene acceso a los diferentes tipos de datos en los archivos.

El GDPR y su marketing por correo electrónico

El cumplimiento del GDPR para el marketing por correo electrónico significa evitar las comunicaciones no deseadas o de spam: los consumidores tienen que haber optado por entrar en campañas de correo electrónico prolongadas.

Las empresas tienen que pedir el consentimiento explícito del consumidor sobre cómo se utilizarán sus datos personales antes de enviar cualquier correo electrónico. Esto incluye cuando las empresas adquieren listas de correo electrónico de terceros.

El GDPR y su software

Las empresas que desarrollan software deben asegurarse de que los requisitos del GDPR de "privacidad por defecto y diseño" se incorporan desde el principio.

Esto significa que las medidas de privacidad de datos se incluyen en el software desde las primeras etapas de desarrollo.

5. ¿Cuáles son las implicaciones del GDPR en su pila tecnológica de marketing?

El objetivo principal del RGPD es proteger los datos personales de los ciudadanos de la UE y controlar con quién puede compartir esta información una empresa.

El marketing digital, y la tecnología relacionada, se alimentan de estos datos personales.

Por lo tanto, el GDPR considera que los proveedores de cada una de estas plataformas en su pila -así como otros terceros que pueden acceder a sus datos personales- son "procesadores de datos".

Dado que su empresa sigue siendo el "controlador de datos" según la terminología del GDPR, esto significa que usted es responsable en última instancia de lo que estas plataformas hacen con sus datos. Debe estar seguro de la calidad de estos datos, de cómo se recopilan y de cómo fluyen a través de su ecosistema martech.

Soluciones de software que cumplen con el GDPR

Para los profesionales del marketing, las soluciones de software se refieren a las herramientas que les permiten comercializar de forma más inteligente, para alcanzar mejor sus objetivos digitales.

Se trata de una industria enorme, ya que se estima que el mercado global de tecnología de marketing tendrá un valor de 344.800 millones de dólares en 2021 (MarTech Alliance).

El crecimiento de Martech ha sido sorprendente, y el panorama ha cambiado drásticamente entre 2011 y 2020.

Las cifras de Martech Alliance muestran que el número de proveedores se ha disparado de 150 a 8.000 durante este tiempo, lo que supone un aumento del 5.233%, que ilustra la importancia de esta tecnología para las empresas de hoy en día.

¿Por qué es importante el Martech?

Es habitual que los distintos departamentos de una empresa funcionen en silos, con procesos de colaboración que no son óptimos.

Si se utiliza correctamente, el Martech puede eliminar estos silos y acercar a los departamentos, permitiéndoles trabajar más eficazmente hacia objetivos comunes, al tiempo que ofrecen una mejor experiencia al cliente.

Otras ventajas de la tecnología de marketing son

  • Mejor creación de contenidos: mejorar la comprensión de un comercializador de la eficacia de su entrega de contenidos, lo que les permite entender el rendimiento, optimizar la experiencia y ofrecer contenido a medida.
  • Mejora de la eficiencia: automatizar las tareas repetitivas y que requieren mucho tiempo, permitiendo a los empleados centrarse en otras cosas
  • Mejora de la orientación al consumidor: crea estrategias que se adaptan individualmente a cada cliente, lo que da lugar a relaciones más sólidas con los clientes, una mayor confianza y la repetición del negocio.

Problemas de adopción

Aunque la tecnología está en constante cambio, las organizaciones pueden permanecer algo inflexibles. La tecnología de marketing puede permitir a las empresas seguir el ritmo de las crecientes expectativas de los clientes, pero deben utilizar sus soluciones de forma eficaz.

¿Qué categorías de MarTech existen?

La gama de opciones de martech es más amplia que nunca.

Aunque evidentemente hay cierto solapamiento, las opciones de martech se dividen en gran medida en las siguientes seis categorías:

1. Publicidad

Integrar las diferentes plataformas de publicidad y promoción utilizadas para los anuncios de pago y racionalizar las siguientes áreas:

2. Rendimiento del contenido

Mejore la creación de contenidos, la automatización y otros procesos. Los ejemplos incluyen:

  • Optimización de motores de búsqueda (SEO)
  • Sistemas de gestión de contenidos (CMS)
  • Gestión de activos digitales (DAM)

3. Datos y análisis

Agilice la recopilación y el análisis de datos; optimice su sitio web, mejore la UX del producto, etc. Algunos ejemplos son

  • Plataformas de datos de clientes (CDP)
  • Plataformas de gestión de datos (DMP)
  • Análisis de sitios web
  • Analítica predictiva

4. Gestión

Se utiliza para mejorar la colaboración entre directivos, la comunicación y la ejecución de proyectos. Algunos ejemplos son:

  • Presupuestos y finanzas
  • Comunicación
  • Gestión de proyectos
  • Contratación de personal
  • Seguimiento del tiempo

5. Ventas

Permita a sus equipos de marketing y ventas colaborar mejor, automatizar procesos y ejecutar la gestión de ventas y clientes a escala.

De hecho, estas herramientas pueden conectar múltiples departamentos, más allá del marketing y las ventas, con el servicio de atención al cliente, el éxito y las finanzas también. Algunos ejemplos son

  • Gestión de la relación con el cliente (CRM)

6. Medios sociales

Esta categoría de tecnología de marketing incluye:

¿Qué es una pila de marketing?

En pocas palabras, su pila de marketing es la colección de varias tecnologías que su departamento está utilizando.

Como herramientas individuales, normalmente sólo proporcionarán un trabajo de beneficio limitado - pero, si usted es capaz de casar con éxito los datos (entre las herramientas y los departamentos) y automatizar los procesos, pueden ser los cimientos de una estrategia exitosa.

Al desarrollar una pila tecnológica de marketing, los departamentos de marketing pueden visualizar cómo sus diferentes plataformas y sistemas están trabajando juntos, con el objetivo de integrar todo para una mejor experiencia de usuario interna y externa.

¿Cómo puede garantizar el cumplimiento del GDPR con martech?

 

  • Contrate a un responsable del tratamiento de datos
  • Recopile un informe de martech utilizado por su empresa para identificar cualquier "procesador de datos"
  • Exija que cada plataforma martech proporcione documentación sobre su cumplimiento del GDPR
  • Decidir qué tecnología de mercado mantener y cuál reemplazar
  • Dar prioridad a la calidad sobre la cantidad cuando se trata de datos personales de los clientes
  • Sea abierto sobre lo que hace con los datos personales
  • Firme un acuerdo de procesamiento de datos con sus procesadores de datos

En el mundo moderno, sería casi imposible que las empresas crecieran al ritmo deseado sin una pila integrada de Martech.

Cuando se utilizan correctamente, estas herramientas optimizan lo que se puede conseguir con los datos personales archivados. Pero es absolutamente esencial asegurarse de que cada plataforma y cada proceso cumplan con el GDPR.

6. El futuro del RGPD

El RGPD llegó al mundo en una ola de optimismo sobre el futuro de la protección de la privacidad de los datos de los consumidores.

Sin embargo, aunque sigue siendo uno de los marcos de privacidad de datos más estrictos del mundo, aún no se ha aprovechado todo su potencial.

Este artículo repasa la privacidad de los consumidores, el RGPD y sus efectos en el futuro del marketing. Examina los éxitos y las dificultades de la ley, antes de repasar lo que depara el futuro para las leyes de privacidad y las empresas que están a su merced,

Los aspectos positivos hasta ahora

No cabe duda de que el RGPD ha aumentado la seriedad con la que las empresas manejan los datos personales, y la velocidad con la que las empresas han mejorado las prácticas de seguridad ha sido bastante sorprendente.

Incluso antes de la enorme multa de 746 millones de euros impuesta a Amazon, los directivos de las empresas debían ser muy conscientes del riesgo que el RGPD suponía para ellas; ha estimulado una enorme inversión en políticas y sistemas de privacidad, y ha creado una cultura de privacidad de datos por diseño y responsabilidad.

Se prevé que habrá que gastar 9.000 millones de dólares para que la economía mundial cumpla con el GDPR(Forbes), es decir, 9.000 millones de dólares que se están invirtiendo en la protección de la información personal de las personas que viven en la Unión Europea.

Así que, aunque el cumplimiento del GDPR ha sido un interminable dolor de cabeza para las empresas, es una gran noticia para los usuarios de Internet de Europa.

Y, dado que el salario medio de los profesionales de la privacidad ha aumentado en más de 6.000 dólares en sólo dos años, el RGPD también ha sido una gran noticia para ellos.

Éxito para Bruselas

La introducción del RGPD es también un verdadero éxito para la UE, ya que convierte a Europa en la policía de datos del mundo y en el referente de la legislación internacional sobre privacidad de datos.

Las empresas multinacionales también celebran la practicidad de contar con un único marco de privacidad para el cumplimiento en todos los Estados miembros de la UE, aunque esto ha funcionado mejor en la teoría que en la práctica.

Catalizar la reforma de la privacidad de los datos a nivel mundial

La marea creciente levanta todos los barcos, y los legisladores de más de 120 países se están inspirando en el RGPD a la hora de redactar su propia legislación para el sector de la tecnología; esta tendencia mundial a reforzar los derechos de los consumidores es una prueba más de la ambición del RGPD.

América del Norte

En los Estados Unidos, sólo tres estados tienen actualmente leyes de privacidad similares al GDPR: Colorado, Virginia y Connecticut. Pero este número pronto se disparará, con más de 30 estados en proceso de elaboración de proyectos de ley.

De cara al futuro, esto podría ser toda la presión que necesita el gobierno de EE.UU. para intensificar los esfuerzos para introducir una ley federal propia, y hace tiempo que se necesita un reemplazo del ya desaparecido acuerdo del Escudo de Privacidad entre la UE y EE.UU.

EE.UU. puede inspirarse en la legislación nacional sobre privacidad de Canadá, cuya PIPEDA ha sido reconocida por la Comisión Europea por cumplir con muchos de los requisitos del GDPR, a pesar de que -principalmente- se entiende de manera diferente el consentimiento como base legal para el procesamiento de datos.

África

África va a la zaga de los pioneros occidentales. La Unión Africana ha impulsado una legislación similar a la del RGPD en todo el continente y la mitad de los 54 países del continente han introducido sus propias leyes de privacidad de datos.

Sudáfrica ha aprobado finalmente su Ley de Protección de Datos Personales (POPI) tras cinco años de trabajo.

Pero aunque muchas de ellas comparten los principios fundamentales del RGPD, el continente en su conjunto carece de mecanismos de aplicación y las grandes disparidades plantean problemas a las organizaciones multinacionales que operan allí.

Tampoco hay fondos suficientes para la formación de los funcionarios en materia de privacidad de datos, mientras que la dependencia del continente de los cibercafés en lugar de los dispositivos personales hace más difícil el control del mal uso de los datos personales.

En general, sin embargo, las leyes de privacidad de datos en África han evolucionado sustancialmente en los últimos 3 años y la tendencia general es positiva.

América del Sur

La legislación sobre privacidad de datos del continente se remonta más atrás que la de EE.UU. y el ritmo de la reforma en los últimos años ha sido sorprendente.

Pero, aunque América Latina ha modelado durante mucho tiempo sus leyes de privacidad según los precedentes europeos para facilitar los negocios, la falta de un marco general para el continente es un reto para las organizaciones multinacionales.

En virtud de un acuerdo con el MERCOSUR, la transferencia de datos a la UE depende de que los países latinoamericanos miembros introduzcan una legislación similar a la del RGPD, pero sólo un puñado de países -Argentina. Paraguay, Uruguay y Brasil- han dado los pasos necesarios hasta ahora.

Asia

Asia también ha endurecido sus leyes de privacidad de datos, y varios países de la región han actualizado la legislación para alinearla con el modelo europeo.

China se cierne sobre la región, y ha introducido su propia Ley de Protección de Datos Personales(PIPL).

Las normativas japonesa y surcoreana cumplen con los estándares del GDPR en materia de privacidad de datos, y la tendencia general es positiva. Sin embargo, los próximos años pondrán a prueba el marco de privacidad de datos de la región, ya que las violaciones de datos siguen aumentando y los reguladores luchan por su aplicación.

Aumento del poder de los ciudadanos particulares

La ley también ha proporcionado una plataforma para que los ciudadanos privados desafíen a las empresas en los tribunales.

Max Schrems es el ejemplo más famoso en este sentido, pero ahora hay muchas más personas que están utilizando los derechos de acción privada y las demandas colectivas para llevar a las empresas a los tribunales.

La aplicación de la ley está creciendo

Como ocurre con todas las leyes nuevas, el RGPD tuvo problemas de iniciación y de adaptación.

Según un estudio de DLA Piper, al menos algunos Estados miembros de la UE están cada vez más dispuestos a enfrentarse a las grandes empresas tecnológicas, y las multas del RGPD aumentaron un 700% en 2021, y es probable que esta tendencia continúe también en 2022.

El número de notificaciones de violaciones de datos recibidas por las autoridades de protección de datos también ha aumentado constantemente año tras año, desde que el RGPD entró en escena en 2018.

Las multas del RGPD también han sido el detonante de cambios positivos.

Tras recibir una multa de 35,3 millones de euros en octubre de 2020, H&M respondió introduciendo una serie de nuevas medidas para proteger los datos personales de los consumidores.

Esto incluyó el nombramiento de un nuevo Coordinador de Protección de Datos, así como la creación de una estrategia de protección de datos a largo plazo.

H&M también está trabajando en el pago de indemnizaciones a los empleados que se vieron afectados.

Las dificultades hasta ahora

A pesar de estos éxitos, siguen existiendo dificultades.

Falta de armonización entre países

Aunque el RGPD está casi totalmente implantado en toda la UE, el grado de integración varía de un país a otro.

Las autoridades supervisoras también varían en la forma de interpretar el RGPD, y su aplicación puede entrar en conflicto con las diferentes leyes locales de cada estado.

También hay una lentitud en las investigaciones transfronterizas por el momento.

Esta falta de armonía en materia de privacidad de datos entre los Estados miembros de la UE es una verdadera frustración para los profesionales de la privacidad. También dificulta la elaboración de orientaciones estandarizadas.

Naturaleza confusa del cumplimiento

El hecho de que la incertidumbre sobre el cumplimiento de la normativa aún planee sobre la comunidad empresarial no pinta bien el RGPD.

La redacción de la ley es muy ambigua y muchas empresas son reacias a gastar enormes cantidades de dinero rediseñando sus sistemas de datos desde cero, si no pueden estar seguras de que se librarán de las multas por el mal uso de los datos.

Las empresas también se han visto afectadas por la definición excesivamente amplia del RGPD de lo que es una violación de los datos personales.

La notificación de infracciones en 72 horas también ha creado problemas a las empresas, lo que ha provocado que las APD se vean desbordadas por notificaciones innecesarias, ya que las empresas se precipitaron antes de comprender plenamente lo que estaba ocurriendo.

Resistencia de las grandes tecnológicas

Muchas multinacionales tecnológicas siguen aferrándose a los modelos de negocio basados en la obtención de ingresos por datos.

Este enfoque se enfrenta a la resistencia de un lobby tecnológico muy poderoso y las violaciones del RGPD siguen siendo un elemento básico de las noticias diarias. Los conflictos en esta guerra de datos tan pública han incluido:

Los esfuerzos de aplicación se retrasan con respecto a las solicitudes

El optimismo inicial en torno a este proyecto de ley ha sido sustituido poco a poco por la frustración ante la lentitud de su aplicación.

El número de violaciones de la privacidad supera lo que los reguladores pueden hacer cumplir, y un gran número de ellas siguen sin ser abordadas.

En 2021, los reguladores del RGPD fueron notificados sobre más de 130.000 violaciones de datos personales(DLA Piper).

Las APD están sobrecargadas de trabajo. Entre mayo de 2018 y marzo de 2020, las autoridades de protección de datos repartieron solo 231 multas y sanciones, una gota en el océano al lado de las 144.376 denuncias presentadas durante ese tiempo.

También están infrafinanciados. Un estudio realizado por el navegador web Brave concluyó que los reguladores no han recibido la financiación necesaria para aplicar eficazmente el RGPD.

Como resultado, las autoridades de protección de datos son reticentes a la hora de tomar medidas contra las grandes empresas debido a los enormes presupuestos legales de los que disponen Facebook y Google, por ejemplo.

Lo más importante es que el número de personal de protección de datos que trabaja en toda la UE apenas ha aumentado desde 2019, de nuevo debido a la escasez de fondos.


Irlanda y la regla de la ventanilla única

La oficina del CPD irlandés lleva más de dos décadas sin fondos suficientes y la carga de trabajo es elevada. Actualmente tiene abiertas investigaciones sobre al menos 17 grandes empresas multinacionales.

Esto se debe a que el GDPR tiene una regla de "ventanilla única", que dice que las empresas deben ser procesadas en cualquier estado miembro en el que decidan situar su sede.

Irlanda es el destino número 1 de las empresas tecnológicas estadounidenses, lo que significa que el CPD irlandés está dirigiendo investigaciones sobre algunas de las empresas más ricas y poderosas de Silicon Valley, en nombre de toda Europa.


Restringir el crecimiento empresarial y la innovación

Los conflictos de la innovación con la protección de los derechos individuales y el GDPR parecen estar obstaculizando seriamente la capacidad de la UE para desarrollar nuevas tecnologías.

El conocimiento de muchas tecnologías importantes para el futuro ya estaba extendido cuando se redactó el RGPD, pero la normativa hace casi imposible desarrollarlas o incluso utilizarlas.

Esto llega en un momento en que el continente necesita desesperadamente soluciones digitales, y no hay ninguna orientación práctica sobre cómo el RGPD puede dar cabida a las nuevas tecnologías en el futuro.

Inteligencia artificial (IA)

La inteligencia artificial se encuentra encorsetada por los estrictos requisitos del RGPD para obtener el consentimiento en el tratamiento de datos, lo que sitúa a las empresas de la UE en desventaja competitiva frente a sus competidores norteamericanos y asiáticos.

Blockchain

Blockchain es una base de datos digital de información (como los registros de transacciones financieras) que puede utilizarse y compartirse en una red descentralizada y de acceso público.

Esta tecnología se considera una poderosa herramienta para aumentar la seguridad de los datos y puede aplicarse a todo, desde el intercambio seguro de datos médicos y los mecanismos de votación hasta los mercados NFT y los pagos transfronterizos.

Una característica clave de la tecnología blockchain es que los datos personales intrínsecos no pueden modificarse sin el consentimiento de todos los implicados.

Así, a pesar de que blockchain tiene el potencial de cumplir los objetivos del GDPR -como el flujo seguro de datos e información-, la ley exige que los consumidores puedan solicitar la eliminación de la información personal, lo que hace que ambos sean incompatibles en la actualidad.

Salud

Los requisitos del RGPD en materia de minimización de datos, limitación de la finalidad y transferencia de datos seudonimizados fuera de la UE dificultan el intercambio de datos sanitarios.

También ha actuado como un poderoso control de la gestión sanitaria durante la pandemia de COVID, ya que restringió el uso de los datos de seguimiento y el intercambio de datos entre las autoridades sanitarias locales.

Gobernanza electrónica

En la última década, las medidas de gobierno electrónico han tenido un profundo impacto en la calidad de la prestación de servicios públicos a los ciudadanos, aunque las cuestiones de privacidad y seguridad -centrales en el RGPD- están haciendo que se pierda el impulso.

¿Cómo cambiará el RGPD en el futuro?

Facilidad de cumplimiento

La Comisión Europea quiere facilitar a las empresas más pequeñas el cumplimiento de la normativa del RGPD.

Esto significaría proporcionarles orientación, apoyo y herramientas adicionales, como las cláusulas contractuales estándar, que las empresas pueden pegar simplemente en sus propios contratos con los clientes.

Facilidad para ejercer los derechos del RGPD

Esto incluye ver la portabilidad de datos más allá de la banca y las telecomunicaciones.

Demandas privadas

Los derechos de acción privada y las demandas colectivas son vías claras para avanzar en el ejercicio de los derechos de los ciudadanos de la UE en virtud del RGPD.

Se prevé que estas demandas privadas sean cada vez más comunes, y estas sentencias tendrán un fuerte impacto en la interpretación del RGPD en los próximos años.

Proactivo más que reactivo

En general, la aplicación del RGPD durante los tres primeros años de la ley ha sido reactiva, como resultado de las notificaciones de violaciones de datos o de las quejas de los interesados.

Sin embargo, las autoridades de protección de datos se están volviendo mucho más proactivas a la hora de dirigirse a las empresas antes de que se presenten problemas de incumplimiento.

Se prevé que esta sofisticación en la aplicación del RGPD aumente en los próximos años.

Eficacia de las autoridades de protección de datos

Existe un impulso para mejorar el funcionamiento de las autoridades de protección de datos, especialmente teniendo en cuenta que el caso contra Whatsapp ilustró la naturaleza enrevesada de los mecanismos de aplicación del RGPD.

La mejora de la eficacia incluye una mejor colaboración entre las autoridades de protección de datos de los Estados miembros, con debates continuos sobre cómo pueden trabajar mejor juntos para hacer cumplir el RGPD. También se apoya un enfoque más centralizado de la aplicación.

Esta armonización incluye la coherencia regional y la adecuación de los recursos al creciente número de solicitudes.

¿Qué depara el futuro a las empresas?

Futura legislación a tener en cuenta

Reglamento sobre privacidad electrónica de la UE

Este Reglamento sustituirá a la Directiva sobre privacidad electrónica e introducirá nuevas normas sobre las comunicaciones electrónicas. Un borrador de propuesta visto en abril de 2021 incluía regulaciones para la inteligencia artificial que estaban en línea con el GDPR.

Sustitución del escudo de privacidad

El Escudo de Privacidad permitía a las empresas estadounidenses procesar los datos de los ciudadanos de la UE, siempre que adoptaran las normas de privacidad más estrictas del RGPD. Sin embargo, la legislación estadounidense significaba que el gobierno de Estados Unidos podía seguir vigilando esos datos.

Después de que Max Schrems impugnara este conflicto legal, el Escudo de Privacidad fue anulado. Sería conveniente para todos acordar un sustituto,

Una ley en evolución

Dado su impacto sísmico en las leyes de privacidad globales, no es de extrañar que el GDPR esté tardando en asentarse.

Sin embargo, desde su introducción en 2018, sin duda ha reforzado tanto las medidas de seguridad como la protección del consumidor.

También se ha aprendido mucho sobre los aspectos en los que el GDPR ha tenido éxito y en los que se puede mejorar en el futuro.

Sin duda, las mejoras introducidas por otros países en la legislación sobre la privacidad de los datos también influirán en la regulación y la aplicación de la privacidad de los datos en Europa.

7. Análisis de visitantes: datos web que dan prioridad a la privacidad y que cumplen con el GDPR

¿Qué es lo que hace que la analítica de visitantes tenga como prioridad la privacidad?

Para nosotros, la privacidad de los datos es un principio indiscutible.

No vendemos los datos ni los transmitimos a terceros.

Los datos se agregan y anonimizan, y sólo se utilizan para proporcionar al propietario del sitio web las estadísticas y la información necesarias para mejorar el rendimiento del sitio. Estos datos no se pueden relacionar con ninguna persona.

¿Qué leyes de protección de datos y privacidad cumplimos?

Desde la primera versión de nuestra aplicación, nuestra prioridad siempre ha sido la protección y la privacidad de los datos que nuestros clientes nos confían. Por eso nos centramos en estar al día con todas las leyes de privacidad de datos, y en asegurarnos de que cumplimos con cada una de ellas: BDSG, CCPA, CPA, DPA, ePrivacy, GDPR, LGPD, PECR, PIPEDA, PIPL, PDP, POPI, VCDPA y TTDSG.

¿Qué datos web tratamos?

Los tipos y cantidades de datos personales que procesamos se limitan a los establecidos en el contrato con el cliente. No los compartimos con terceros. Sólo tratamos los datos personales tal y como se describe en nuestra Política de Privacidad.

¿Por qué y cómo procesamos los datos de la web?

En Visitor Analytics, somos conscientes de la confianza que nuestros clientes depositan en nuestro producto y equipo, y de nuestra responsabilidad de mantener sus datos y su privacidad seguros.

Por lo tanto, somos transparentes en cuanto a la información que recopilamos cuando usted utiliza nuestros productos y servicios, por qué la recopilamos y cómo la utilizamos para mejorar el servicio para usted.

Nuestras Condiciones de Uso y Acuerdo de Procesamiento de Datos describen cómo tratamos los datos personales en relación con el uso de nuestra App y cómo los cuidamos.

¿Quién tiene acceso a los datos de la web?

Todos los datos que recopilamos para nuestros clientes son información confidencial.

Los controles de acceso de los empleados de Visitor Analytics protegen los datos de los clientes de accesos no autorizados, y utilizamos un script especial para acceder a los datos del propietario de un sitio web (tanto a los datos de la cuenta como a los de sus visitantes) y realizamos auditorías para garantizar el cumplimiento de los controles.

¿Qué es la ISO 27001?

Estamos orgullosos de tener la certificación ISO 27001.

La ISO 27001 es una norma reconocida internacionalmente que garantiza que nuestra aplicación cumple las mejores prácticas para un sistema de gestión de la seguridad de la información.

Esto ayuda a nuestra organización a gestionar la seguridad de activos como la información financiera, la propiedad intelectual, los datos de los empleados o la información que nos confían terceros, como sitios web y otros clientes o socios.

¿Cómo ayudamos a los clientes a gestionar la privacidad de sus datos web?

Gracias al innovador enfoque de Visitor Analytics sobre el seguimiento sin consentimiento, las empresas ya no necesitan cookies ni banners de consentimiento.

La aplicación lo hace con un Centro de Privacidad, donde los usuarios pueden elegir entre cuatro modos de privacidad diferentes:

  1. Privacidad por defecto
  2. Privacidad básica
  3. Seguimiento sin cookies
  4. Protección completa

¿Qué es el modo de privacidad por defecto?

Esta es la configuración de privacidad por defecto cuando se configura la aplicación por primera vez. Utilizando este modo, no se anonimiza nada. Podrás acceder a los siguientes tipos de datos: Dirección IP, historial de páginas, visitantes que regresan, ubicación aproximada del visitante y resolución de la pantalla. No se utilizan cookies, pero sí la huella digital. Se requiere un banner de consentimiento en el sitio.

¿Qué es el modo de privacidad básico?

Utilizando este modo, las direcciones IP se anonimizan. Podrá acceder a los siguientes tipos de datos: Historial de páginas, visitantes que regresan, ubicación aproximada del visitante y resolución de la pantalla. No se utilizan cookies, pero sí la huella digital. Se requiere un banner de consentimiento en el sitio.

¿Qué es el modo de seguimiento sin cookies?

Utilizando este modo, las direcciones IP son anónimas. Ya no podrá acceder al historial de páginas, pero podrá seguir accediendo a los datos sobre visitantes que regresan, ubicación aproximada del visitante y resolución de pantalla. No se utilizan cookies, pero sí la huella digital. Ya no se requiere un banner de consentimiento, ya que no se almacenan datos.

A partir del modo Cookieless Tracking, las empresas pueden empezar a acceder a más datos, de forma legal y ética, sin perder los rechazos del banner de consentimiento de las cookies.

Este enfoque utiliza huellas digitales que pueden ser reconocidas posteriormente.

A diferencia de las cookies, las huellas digitales no se almacenan en el dispositivo del usuario y, por lo tanto, no pueden proporcionar datos sobre lo que hace el visitante fuera de las sesiones en ese sitio concreto. Esto hace imposible el seguimiento cruzado.

Se almacenan algunos datos anónimos, pero sólo dentro del entorno de análisis y de forma agregada, lo que hace imposible asociarlos con los hábitos y el historial de un individuo en particular.

¿Qué es el modo de protección total?

Utilizando este modo, las direcciones IP se anonimizan, no se muestra el historial de la página, los visitantes que regresan sólo se adivinan y las resoluciones de pantalla son aproximadas. Aún así, podrá acceder a la ubicación aproximada de los visitantes. Este es nuestro modo más seguro, ya que no se almacenan cookies, huellas digitales u otros datos. Esto significa que no se requiere un banner de cookies.

Utilizando la Protección Completa, no se generan ni almacenan datos de seguimiento ni cookies y nunca se accede a los detalles del dispositivo del usuario.

No hay ninguna huella digital. No se almacenan datos personales. No se utilizan cookies. Sólo una identificación única.

Por lo tanto, no es necesario el consentimiento: una cosa menos de la que preocuparse cuando se gestiona un sitio web.

Esto también significa que el 100% de los datos estadísticos y analíticos éticos están disponibles para que los usuarios se basen en ellos a la hora de tomar decisiones de mejora del sitio web.

Preguntas frecuentes

¿Los datos del registro de sesiones y del mapa de calor se consideran datos personales?

Estos datos no se consideran información personal mientras no estén vinculados a una dirección IP específica. Al utilizar el modo de seguimiento sin cookies y el modo de protección completa, las IP se anonimizan.

¿Cómo funciona la huella digital?

A diferencia de las cookies (que son establecidas por los servicios en el almacenamiento del navegador del usuario), la huella digital ya está establecida para cada navegador, como una especie de identificador del agente de usuario (nombre del navegador, versión, resolución de pantalla, etc.)

¿Cuál es la diferencia entre la huella digital y la identificación única?

La huella digital no cambia a menudo, mientras que el ID único es un ID diferente generado por nosotros, como un hash en el servidor para cada sesión.

¿Dónde se almacenan los datos de la huella digital? ¿Cuánto tiempo se almacenan? ¿Qué ocurre con esos datos?

La huella digital NO se almacena en ningún lugar del navegador. Normalmente no cambia, a menos que haya una actualización de la versión del navegador, o una desinstalación y reinstalación. Siempre se calcula sobre la marcha.

¿Cómo es de legal la recogida de datos sin utilizar cookies o banners de consentimiento?

El GDPR y otras leyes de privacidad son muy específicas cuando se trata de datos que pueden crear un perfil individual aproximado. Al no almacenar ningún dato y no utilizar direcciones IP, patrones de actividad como el historial de páginas, o ubicaciones exactas o configuraciones de dispositivos, no hay forma de identificar un perfil individual.