Artículo publicado originalmente en HubSpot por Laura Martinez Molera (@LauraMolera)
El Reglamento General de Protección de Datos (RGPD) repercutirá notablemente en cómo los profesionales del marketing abordan su trabajo y cómo las empresas obtienen, almacenan, gestionan o procesan los datos personales de los ciudadanos de la Unión Europea.
Para comenzar, nos gustaría destacar una investigación que llevó a cabo el equipo de HubSpot, aunque, desafortunadamente, no son buenas noticias. Solo el 36% de los profesionales del marketing son conscientes del RGPD, mientras que el 15% de las empresas no han tomado medidas al respecto y corren riesgo de incumplimiento. Podríamos afirmar que hay una falta de acción preocupante, y la mayoría de las empresas no están preparadas debidamente para el RGPD. Sin embargo, confiamos en que esta publicación actúe como fuerza motivadora para comenzar a tomar medidas en la industria.
El reglamento consta de dos partes fundamentales. En primer lugar, incluso si tu empresa no tiene sede en la UE, pero controlas o procesas datos de ciudadanos de dicha región, estarás obligado a respetar el RGPD. En segundo lugar, las sanciones potenciales por incumplir el reglamento serán graves. Según el tipo de infracción, las empresas podrían tener multas de hasta €20 millones o el 4% de sus ingresos anuales globales, lo que sea mayor. Estas sanciones demuestran que el ente regulador se toma el asunto en serio y las empresas no pueden darse el lujo de ignorar la ley.
Por otro lado, creemos que el reglamento es una medida muy positiva, ya que permite que los buenos profesionales del marketing continúen llevando a cabo una labor positiva poniendo siempre en primer lugar a las personas y sus inquietudes. También significa que estos profesionales tendrán que trabajar más y de manera constante para captar la atención y «ganarse» el derecho de interactuar con sus clientes.
Sin embargo, el esfuerzo no será suficiente: los profesionales del marketing se verán obligados a mejorar sus estrategias y a volverse más creativos para poder crecer. Esto también es positivo: todo lo que ayude a empoderar a los consumidores y haga crecer a los profesionales del marketing debe ser bienvenido.
Eso sí, las empresas que anteponen sus propias necesidades a las de los consumidores o recurren a engañosas tácticas outbound se encontrarán con una cruda realidad. Su mundo cambiará drásticamente, ya que el RGPD fomentará la pronta eliminación de tácticas de marketing como la compra de listas, los correos electrónicos en frío y el spam.
Estas tácticas no solo son obsoletas, sino que ofrecen una mala experiencia a los destinatarios y cada vez son menos eficaces. El inbound marketing siempre ha sido la antítesis de estas tácticas: pone al consumidor primero y lo atrae con contenido valioso. Ahora, gracias a este reglamento, otras empresas tendrán que adaptar su estrategia de marketing.
¿Qué repercusiones tendrá el RGPD sobre mis actividades de marketing?
Quizá te estés preguntando por dónde comenzar con el RGPD. Hay mucha información acerca del nuevo reglamento, de modo que, para ayudarte, hemos creado una página web exclusiva sobre el RGPD con información completa sobre el reglamento, incluyendo qué es, por qué surgió, un glosario y los cambios más importantes que traerá para las leyes de privacidad de datos de la Unión Europea.
Ahora analizaremos la metodología del inbound marketing y veremos los principios del RGPD que debemos tener en cuenta en las distintas etapas:
Etapa 1 – Recopilación de datos
Transparencia
El RGPD se diseñó con el fin de garantizar mayor transparencia entre las organizaciones que recopilan y controlan los datos (los «controladores de datos») y los individuos de los cuales se recolectan datos (las «partes interesadas»). Esto significa que cualquier organización que atraiga visitantes a su sitio web y desee recopilar datos a través de un formulario deberá comunicar claramente a estas personas para qué se usarán sus datos. Los usuarios tendrán que dar su consentimiento para el uso de dichos datos, y este debe ser claro, en palabras simples, y «fundamentado, específico, directo y revocable». También se deberá informar a las partes interesadas acerca de su derecho a retirar este consentimiento.
Ejemplo: Su nombre es Amalia Decó. Vive en España y su pasión es el diseño de interiores. En este artículo, utilizaremos a Amalia a modo de ejemplo. Si Amalia descarga un ebook de la empresa Colores & Co S.A. para obtener más información sobre los colores que puede combinar para la decoración de su nuevo hogar, Colores & Co S.A. deberá asegurarse de explicarle a Amalia de qué manera usará sus datos.
Por ejemplo, si Colores & Co S.A. planea monitorizar el uso que hace Amalia de su sitio web, desea enviarle más información por correo electrónico o quiere compartir sus datos con empresas afiliadas fuera de la Unión Europea, deberá informárselo a Amalia claramente y ella deberá dar su consentimiento. No basta con que Colores & Co S.A. cuente con un formulario marcado previamente para enviarle información a Amalia por email, debido a que la opción de «cancelación de suscripción» ya no estará permitida en virtud del RGPD.
Más importante aún es que si Colores & Co S.A. decide utilizar los datos de Amalia para un nuevo propósito en algún momento de la relación, deberá volver a obtener el consentimiento de Amalia. De modo que, si bien resulta claro que la transparencia es fundamental a la hora de recopilar datos, también es importante que las organizaciones se muestren abiertas y transparentes en todo el proceso de marketing, y en términos de cómo gestionan los datos personales después de que la relación haya finalizado.
Reducción de datos
Cuando una organización recopila datos de un individuo para convertir un visitante de su sitio web en una oportunidad de venta, deben recordar que, según el RGPD, solo pueden recabar información que sea adecuada, relevante y limitada a aquello que sea necesario estrictamente para el propósito de la recopilación. Los datos recopilados por una organización que se consideren innecesarios o excesivos constituirán una infracción del RGPD.
Ejemplo: Colores & Co S.A. creó una página de destino para que prospectos como Amalia descarguen un ebook sobre esquemas de colores para la sala de estar. Antes de descargar el ebook, Amalia deberá completar los campos que creó Colores & Co S.A. Es razonable que la empresa solicite el nombre, la dirección de correo electrónico e incluso detalles sobre el proyecto que Amalia está a punto de emprender. Sin embargo, si intentara recopilar información sobre la familia de Amalia (si es casada o tiene hijos, por ejemplo) o sobre su estado de salud, esto se consideraría excesivo, ya que dichos datos no son necesarios para una empresa de pintura y decoración.
Etapa 2 – Almacenamiento y procesamiento de datos
Propósito y limitaciones de uso
Las organizaciones solo pueden usar la información que recopilan y almacenan para propósitos específicos, explícitos y legítimos. No pueden usarla de manera que resulte incompatible con el propósito para el que se recopiló y si planean transferirla o compartirla con otras empresas, deberán asegurarse de obtener el consentimiento de la parte interesada para ello.
Ejemplo: Tras haber descargado el ebook de Colores & Co S.A., Amalia decide inscribirse en un curso online para aprender más sobre pintura y decoración. Si el curso lo impartiera un tercero en nombre de Colores & Co S.A., la empresa deberá asegurarse de que la empresa que organiza el curso obtenga el consentimiento de Amalia para usar los datos. Además, la empresa que ofrece la capacitación solo podrá usar los datos para el propósito que Amalia consintió.
Seguridad
Una vez que se recopila la información, la organización deberá asegurarse de que esta se almacene de acuerdo con las disposiciones del RGPD en materia de seguridad. Esto significa que debe tomar «las debidas medidas de seguridad técnicas y organizacionales» para proteger los datos personales del procesamiento no autorizado y su divulgación, acceso, destrucción, alteración o pérdida accidental. Según el tipo de información recopilada y las maneras en que se utiliza, las empresas podrían tener que cifrar los datos, usar métodos de seudonimización y anonimización para protegerlos o separar los datos de otro tipo de información en el sistema.
Ejemplo: ahora que los datos de Amalia Decó están almacenados en los sistemas de Colores & Co S.A., es responsabilidad de esta última garantizar su seguridad. Primero, Colores & Co S.A. deberá evaluar el tipo de información que planea recabar y trabajar junto al equipo de seguridad para garantizar que se cumplan los estándares del RGPD.
Estos estándares variarán en función de los tipos de datos recopilados y cómo se usarán. Por ejemplo, los estándares relacionados con la seguridad serán más estrictos en el caso de información confidencial, datos biométricos o información sobre niños. Solo los empleados que necesiten acceder a esta información para el fin previsto tendrán acceso, y los contratos con proveedores que hagan relación a estos datos contendrán las disposiciones de seguridad pertinentes.
Precisión
Ahora, las personas podrán pedir a las organizaciones que corrijan o actualicen su información en cualquier momento si dicha información ya no es correcta.
Ejemplo: Amalia Decó compró pintura de Colores & Co S.A. y también se suscribió a su programa de fidelidad para recibir descuentos y nuevas ideas por correo electrónico. Amalia cambió de proveedor de correo y quiere que Colores & Co S.A. actualice sus datos para continuar recibiendo emails en su nueva dirección.
Responsabilidad
La organización es responsable de garantizar el cumplimiento de sus obligaciones en virtud del RGPD. No solo tendrá que guardar registros, como registros de consentimiento de todos los datos recopilados, para demostrar cumplimiento; también deberá asegurarse de contar con políticas que rijan la recolección y el uso de esos datos.
Es posible que deban designar a un oficial de protección (DPO) y también deban asegurarse de implementar una política de «privacidad por diseño/defecto» para garantizar que tienen en cuenta el impacto potencial que un proyecto o una iniciativa podrían tener sobre la privacidad de los individuos. Los controladores deberán asegurarse de que los contratos de los proveedores estén actualizados de modo que incluyan las disposiciones necesarias para proteger los datos que dichos proveedores procesan en su nombre.
Ejemplo: Colores & Co S.A. decide llevar a cabo una campaña de marketing orientada a personas como Amalia, donde ofrecen una vacante para un webinario de diseño de interiores que organizará una empresa de capacitación externa. Antes de lanzar la campaña, Colores & Co S.A. deberá asegurarse de que su sistema cuenta con la capacidad de obtener el consentimiento de Amalia y los demás participantes con respecto al uso de sus datos (incluido el uso compartido con el tercero) y de registrar ese consentimiento. También necesitarán políticas en torno a cómo usarán esa información y deberán asegurarse de que el contrato con la empresa que ofrece el curso de capacitación incluya las disposiciones que requieren los contratos de los encargados de procesamiento en virtud del Artículo 28 del RGPD.
Etapa 3 – Fin de la relación
Retención
Las organizaciones solo retendrán los datos personales durante el tiempo que sea necesario para cumplir con el fin previsto para el cual se recopilaron. De modo que si la relación finaliza por cualquier motivo, deberán asegurarse de contar con una política de retención de datos que detalle por cuánto tiempo se retendrá la información de la persona en cuestión y la justificación comercial por la cual se retienen los datos por ese período específico.
A la hora de redactar los borradores de sus políticas de retención, las organizaciones deberán tener en cuenta si existe alguna ley o normativa que los obligue a retener algunos de los datos por un período específico. Por ejemplo, podrían tener que conservar información financiera si la ley establece que se realizarán auditorías. Si bien esto está permitido, debe estar detallado expresamente en la política de retención y se debe informar claramente a Amalia. El principio de transparencia continúa siendo importante, incluso en esta etapa de la relación.
Ejemplo: Tras ordenar algunos insumos de Colores & Co S.A. y decorar su hogar, Amalia ya no necesita los servicios de esta empresa y cierra su cuenta. Colores & Co S.A. deberá asegurarse de cumplir con su propia política de retención de datos si desea retener la información de Amalia luego de que esta cierra su cuenta.
Eliminación
Si, en cualquier momento, una persona solicita que se eliminen sus datos, el controlador de datos deberá cumplir con este pedido y confirmar la eliminación, no solo de sus propios sistemas, sino también de los sistemas de los proveedores que se encontraban procesando esta información en nombre de la organización.
Ejemplo: Tras ordenar insumos de Colores & Co S.A., Amalia descubre un competidor que ofrece mejores productos, y quiere que sus datos se eliminen de la base de datos de Colores & Co S.A. Envía un correo electrónico para solicitar la eliminación y la empresa confirma rápidamente dicha acción. La empresa debe asegurarse de que los datos de Amalia también se eliminen de las bases de datos de sus proveedores.
Por qué el RGPD es beneficioso para los profesionales del marketing
Las organizaciones deben implementar muchos cambios para garantizar el cumplimiento con el RGPD, pero estos cambios son beneficiosos. De hecho, hay 3 modificaciones principales que impulsarán la industria del marketing:
1) La atención de las personas será tratada con el respeto que merece.
Si los profesionales del marketing quieren tener éxito cuando se implemente el RGPD, tendrán que proporcionar más valor a sus clientes, y esto significa que su trabajo se tornará más difícil. Tendrán que trabajar arduamente para atraer a los consumidores y ganarse el derecho a interactuar con ellos, y deberían hacerlo, ya que la atención es un bien preciado, y en la práctica, los profesionales del marketing han abusado de él a lo largo de muchos años.
2) Habrá más transparencia entre las personas y las empresas que retienen sus datos.
Si el RGPD tiene éxito, proporcionará una mayor transparencia y control para los ciudadanos de la Unión Europea en torno al uso de sus datos por parte de las organizaciones. La transparencia es clave. Si bien son pocos los usuarios que creen que compartir sus datos es beneficioso, suelen hacerlo cuando quieren utilizar un servicio o un producto. Exigir que las empresas que recopilan datos sean transparentes implica que tendrán que ponerse en contacto y brindar valor a la parte interesada. Confiamos en que el aumento en la comunicación y la transparencia en torno a la recopilación de datos ayudará a los usuarios a apreciar el valor de compartir su información privada.
3) Se establecerá una barrera más alta para los profesionales del marketing.
Seamos honestos: el RGPD elevará los estándares de los profesionales del marketing. Las tácticas que no cuenten con mecanismos de consentimiento en virtud del RGPD pasarán a la historia. Esto significa que los profesionales del marketing deberán adoptar una mentalidad más creativa y animarse a innovar. Como resultado de esta nueva realidad y del cumplimiento del RGPD, veremos estrategias de marketing más creativas y sofisticadas.
El RGPD marca un momento decisivo en la industria del marketing. Está llevando a muchas organizaciones a repensar sus estrategias de marketing y es una excelente oportunidad para articular la importancia de que los usuarios compartan sus datos y cómo eso lleva a una mayor personalización, mejores productos y servicios, y una economía de datos más eficiente y confiable. Durante mucho tiempo las empresas han guardado silencio. Ya es hora de hablar del tema y estamos felices de poder contribuir.
GDPR: 10 aspectos fundamentales
1. Transparencia
El GDPR se diseñó para garantizar que haya más transparencia entre las organizaciones que recopilan y controlan los datos y las personas cuyos datos personales se recopilan. Esto significa que cualquier organización que atraiga personas a su sitio web y desee recopilar datos a través de un formulario debe comunicar claramente a esa persona para qué se utilizarán los datos.
El individuo deberá dar su consentimiento para ese uso y el consentimiento debe ser claro, informado, específico, inequívoco y revocable.
2. Minimización de datos
Según el GDPR, solo se les permite recopilar datos adecuados, relevantes y limitados a lo necesario para propósito previsto de la obtención. Los datos recopilados por la organización que se consideran innecesarios o excesivos constituirán una infracción del GDPR lo que choca actualmente con la práctica de muchas organizaciones que recogen datos que no usan directamente.
3. Propósito y limitación de uso
Las empresas solo pueden usar los datos recopilados y almacenados por ellos con fines específicos, explícitos y legítimos. No se les permite usarlo de ninguna manera que sea incompatible con el propósito para el que fue recolectado. Además, si planean transferir o compartir los datos con otra empresa, deben asegurarse de contar con el consentimiento de la persona para hacerlo.
4. Seguridad
Una vez que se recopilan los datos, la organización debe asegurarse de que estén almacenados de manera segura. Esto significa que deben usar «medidas de seguridad técnicas y organizativas apropiadas» para proteger los datos personales contra el procesamiento no autorizado y la pérdida, divulgación, acceso, destrucción o alteración accidental.
Según el tipo de datos recopilados y las formas en que se utilizan, las empresas pueden necesitar incriptar los datos, utilizando seudónimos o métodos de anonimización para protegerlo, además de hacer test periódicos del sistema y controles de confidencialidad.
5. Exactitud
Ahora la gente podrá solicitar a las organizaciones que corrijan o actualicen sus datos en cualquier momento si la información ya no es precisa.
6. Responsabilidad
La empresa es responsable de garantizar que cumplan con sus obligaciones en virtud del GDPR. No solo necesitarán mantener registros para comprobar el cumplimiento (por ejemplo, registros de consentimiento para todos los datos recopilados), sino que también deberán asegurarse de contar con políticas vigentes que rijan la recopilación y el uso de esos datos.
Además es posible que necesiten designar a un Delegado de Protección de Datos (DPO) y asegurarse de implementar una política de ‘Privacidad desde el diseño’, para asegurarse de que están considerando sistemáticamente el impacto potencial que un proyecto o iniciativa podría tener en la privacidad de las personas.
7. Retención
Las empresas solo pueden retener datos personales durante el tiempo que sea necesario para cumplir con el propósito de la recopilación. Por lo tanto, al redactar sus políticas de retención, las organizaciones necesitarán considerar si existe alguna ley o regulación que les obligue a aferrarse a algunos de esos datos por períodos específicos incluso cuando el propósito haya desaparecido.
Por ejemplo, es posible que necesiten retener algunos datos financieros para fines de auditoría por ley. Si bien esto está permitido, debe describirse claramente en su política de retención y ser claro. De nuevo, el principio de transparencia es importante.
8. Supresión
Si el individuo solicita en cualquier momento que sus datos se eliminen, el controlador de datos tiene que cumplir con esa solicitud y confirmar la eliminación, no solo de sus propios sistemas, sino dar de baja de los sistemas de proveedores donde procesan sus datos.
9. Don Google
El buscador ya ha tomado partida por la seguridad y recientemente ha empezado a favorecer los sitios web que tienen en cuenta la seguridad de los usuarios que visitan las páginas que están indexadas en el buscador.
Contar con una web con certificados SSL ya ayuda a conseguir un mejor posicionamiento orgánico. Actualmente, los navegadores ya te avisan si un sitio web usa el protocolo HTTP o HTTPS y te informa de los riesgos de seguridad que puede haber en los primeros.
10. Productos para cumplir con el reglamento GDPR
Una de las novedades más importantes que introduce este Reglamento como hemos comentado gira en torno al modo en el que los responsables deben obtener el consentimiento de los usuarios para el tratamiento de sus datos personales, y sobre todo, cómo demostrar que lo han conseguido de forma lícita.
Fuente noticia: hubspot.es Fuente foto: freepik.es