Asegúrate de que tu empresa cumple con el RGPD

Preguntas frecuentes

• ¿Qué es el RGPD?

  Algo nos dice que ya ha oído hablar del RGPD. El Reglamento General de Protección de Datos (o "RGPD", por sus siglas en inglés) es una ley europea de privacidad que entró en vigor el 25 de mayo de 2018, y cuyo objetivo era fortalecer, armonizar y modernizar la ley de protección de datos de la UE y mejorar los derechos y libertades individuales, de acuerdo con la comprensión europea de la privacidad como un derecho humano fundamental. El RGPD regula cómo las personas y organizaciones pueden obtener, usar, almacenar y compartir datos personales. Como reglamento, debe seguirse en su totalidad en toda la UE.

• ¿Se me aplica el RGPD?

  El alcance del RGPD es muy amplio. Este se aplica a (1) todas las organizaciones establecidas en la UE y (2) todas las organizaciones que se dirijan o supervisan a personas en la UE. Básicamente, esto significa que el RGPD se aplicará a la mayoría de las organizaciones que traten datos personales de habitantes de la UE, independientemente del lugar en el que esté establecida la organización y de dónde se lleven a cabo sus actividades de tratamiento de datos. Esto significa que el RGPD podría aplicarse a cualquier organización en cualquier parte del mundo, en todos los sectores e industrias. Debes realizar tu propio análisis para determinar en qué medida (si la hubiera) tu organización puede estar sujeta al RGPD.

• ¿Qué se considera "datos personales"?

  Los datos personales son cualquier información relacionada con una persona identificada o identificable; es decir, información que podría utilizarse, por sí sola o junto con otros datos, para identificar a una persona. Ten en cuenta el alcance extremadamente amplio de esta definición: no solo incluye información que se considere de naturaleza personal (p. ej., números de la seguridad social, nombres, direcciones físicas, direcciones de correo electrónico), sino también datos como direcciones IP, datos de comportamiento, datos de ubicación, datos biométricos, información financiera y mucho más. Esto significa que, para los clientes de Mailchimp, al menos la mayoría de la información que recojas sobre tus contactos se considerará información personal según el RGPD.

  Esta amplia definición abarca direcciones de correo electrónico de trabajo que contengan el nombre de una persona o cualquier información de contacto comercial vinculada o relacionada con una persona, como el nombre de la persona, el cargo, la empresa, la dirección comercial, el número de teléfono laboral, etc. Por el contrario, los datos personales no incluyen nombres de comercios genéricos, direcciones comerciales, direcciones de correo electrónico genéricas ni ninguna otra información comercial general, siempre que esta información no se haya vinculado a una persona. Por lo tanto, por ejemplo, "John.Smith@mailchimp.com" probablemente se consideraría "datos personales" regidos por el RGPD, mientras que "contact@mailchimp.com" no.

  También es importante tener en cuenta que incluso la información que no pueda identificar a una persona en particular por sí misma, pero que podría combinarse con otra información para identificar a una persona (lo que se conoce como "datos seudonimizados"), se considera datos personales. Por ejemplo, una dirección de correo electrónico con hash se seguirá considerando datos personales, aunque seudonimizados.

  Los datos personales sensibles, como la información sanitaria o la información que revele el origen racial o étnico de una persona, requieren una protección aún mayor. No debes almacenar datos de esta naturaleza en tu cuenta de Mailchimp.

• ¿Qué significa "tratar" datos?

  El tratamiento es cualquier operación que se realice con datos personales, ya sea por medios automatizados o no. Esto incluye recoger, registrar, organizar, estructurar, almacenar, adaptar, recuperar, utilizar, combinar, borrar, destruir, divulgar, difundir o poner a disposición de otro modo datos personales.

  Básicamente, si estás recopilando y gestionando datos personales de personas que residan físicamente en Europa (incluso si no son ciudadanos), estás tratando datos personales en el sentido prescrito por el RGPD. Esto significa, por ejemplo, que si alguno de tus públicos de Mailchimp contiene la dirección de correo electrónico, el nombre u otros datos personales de una persona ubicada en Europa, entonces estás tratando datos personales en virtud del RGPD.

• ¿Cuál es la diferencia entre un responsable del tratamiento de datos y un encargado del tratamiento de datos?

  Si tratas datos personales, lo haces como responsable del tratamiento o como encargado del tratamiento, y existen diferentes requisitos y obligaciones que se te aplicarán en función del papel que desempeñes. Es importante que entiendas si actúas como responsable o como encargado y te familiarices con las responsabilidades que se te aplican.

  Un responsable del tratamiento es la organización que determina los fines y medios del tratamiento: toma decisiones importantes como qué datos personales se recopilan, para qué se utilizan, cuánto tiempo se conservan y con quién se comparten. Un encargado del tratamiento es una organización que trata los datos en nombre del responsable del tratamiento y solo bajo las instrucciones de este. Esto normalmente significa que un encargado del tratamiento no puede utilizar datos personales para ningún otro fin que no sea proporcionar un servicio al responsable del tratamiento pertinente.

  Los responsables del tratamiento conservan la responsabilidad principal del cumplimiento del RGPD (incluida, por ejemplo, la obligación de notificar a las personas sobre el tratamiento, responder a las personas que ejerzan sus derechos de privacidad e informar de las infracciones de seguridad a las autoridades de protección de datos); sin embargo, el RGPD también impone algunas responsabilidades directas a los encargados del tratamiento.

  En el contexto de Mailchimp, en la mayoría de las circunstancias, nuestro cliente actúa como responsable del tratamiento. Nuestros clientes, por ejemplo, deciden qué información de sus contactos se carga o transfiere a su cuenta de Mailchimp; indican a Mailchimp, a través de nuestra aplicación, que envíe correos electrónicos a ciertos contactos en sus listas de distribución de correo electrónico; y solicitan a Mailchimp que coloque anuncios en su nombre en plataformas de terceros como Facebook o Instagram.

  Mailchimp actúa como encargado de tratamiento al prestar estos y otros servicios a nuestros clientes. Hay ciertos casos en los que actuamos como responsables del tratamiento, como cuando tratamos información de clientes para nuestros propios fines comerciales (como en la gestión de cuentas y la facturación) y para nuestro proyecto de análisis de datos. Puedes encontrar más información sobre nuestros proyectos de análisis de datos, incluido cómo puedes excluirte del análisis de datos, aquí .

• ¿Cuáles son los principios clave del RGPD?

  El RGPD contiene una serie de principios clave que deben seguirse al tratar datos personales para garantizar el cumplimiento. El responsable del tratamiento es quien debe asegurarse de garantizar el cumplimiento de estos principios clave.

  • Los datos personales deben tratarse de forma justa, legal y transparente: Se debe informar a las personas sobre cómo se utilizarán sus datos personales y nunca debes utilizar los datos de ninguna manera que la persona no esperaría razonablemente. También debes tener una base jurídica para el tratamiento de datos personales, como el consentimiento de la persona, la necesidad de cumplir un contrato o tus propios intereses legítimos.
  • Los datos personales deben recogerse para fines específicos, explícitos y legítimos: Solo debes recoger datos personales para cumplir con fines específicos y no puedes utilizar los datos de una manera que sea incompatible con esos fines.
  • Los datos personales deben ser relevantes y limitarse a lo necesario: Solo debes recoger la información que necesites y no recoger ni utilizar datos innecesarios o redundantes.
  • Los datos personales deben ser precisos y mantenerse actualizados: Debes asegurarte de que los datos que conservas sean precisos y tomar medidas para revisar y actualizar la información cuando sea necesario.
  • Los datos personales solo deben conservarse durante el tiempo que sea necesario: Solo debes almacenar datos personales durante el tiempo que los necesites, y no debes conservarlos indefinidamente o "por si acaso".
  • Los datos personales deben mantenerse protegidos: Debes implementar medidas técnicas y organizativas para proteger los datos personales de acuerdo con el tipo de datos que trates y los recursos y la tecnología disponibles.

  Lo más importante es que debes ser capaz de demostrar cómo cumples con estos principios y cómo te responsabilizas de ello.

• ¿Qué derechos tienen las personas en virtud del RGPD?

  El RGPD otorga a las personas una serie de derechos en relación con sus datos personales. Debes asegurarte de de que puedes reconocer estos derechos si estás tratando datos personales de personas de la UE.

  • Derecho de acceso: Las personas tienen derecho a recibir cierta información sobre cómo se han recogido y utilizado sus datos y a obtener una copia de sus datos de tu empresa.
  • Derecho a la rectificación: Las personas pueden solicitar que sus datos se corrijan o actualicen en cualquier momento.
  • Derecho de supresión (el "derecho al olvido"): En determinadas circunstancias, las personas pueden solicitar que sus datos se eliminen por completo.
  • Derecho a retirar el consentimiento: Si has obtenido el consentimiento de una persona para tratar sus datos personales, esta puede retirar su consentimiento en cualquier momento.
  • Derecho a oponerse al tratamiento: Como alternativa, si te basas en tus intereses legítimos para tratar los datos de una persona, la persona puede oponerse a su tratamiento, y deberás dejar de tratarlos a menos que puedas demostrar que tus intereses prevalecen sobre los intereses y derechos de la persona.
  • Derecho a oponerse al marketing: Las personas tienen el derecho absoluto de oponerse en cualquier momento al tratamiento de sus datos personales con fines de marketing.
  • Derecho a la portabilidad. Las personas pueden pedirte que transfieras sus datos a otra organización.

  Las organizaciones deben responder a estas solicitudes en un plazo de un mes o, en casos excepcionales, en un plazo de tres meses. Excepto el derecho a oponerse al marketing (que es absoluto y, por lo tanto, siempre debe reconocerse), pueden aplicarse ciertas exenciones a los derechos anteriores. Por lo tanto, todas las solicitudes deben revisarse cuidadosamente.

• ¿Cómo se aplica el RGPD al marketing por correo electrónico?

  En lo que respecta a la normativa de marketing por correo electrónico en Europa, el RGPD es solo la mitad de la película. Europa también tiene una ley independiente, la Directiva sobre la privacidad y las comunicaciones electrónicas (o Directiva de privacidad electrónica), que contiene normas complementarias que rigen los requisitos de consentimiento para el marketing electrónico, es decir, el marketing enviado a través de canales de comunicación electrónica (como teléfono, fax, correo electrónico y SMS). Al enviar marketing electrónico, estas normas de consentimiento complementario se aplican además de la necesidad de que las empresas identifiquen motivos para el tratamiento legales en virtud del RGPD.

  En pocas palabras, estas reglas requieren el consentimiento para el marketing por correo electrónico y SMS, a menos que los datos de contacto de una persona se recogieran en el contexto de una venta y la persona hubiera tenido la capacidad de excluirse en ese momento. Si es así, el marketing por correo electrónico y SMS de primera parte está permitido siempre que se ofrezca la opción de excluirse (aunque para el marketing por correo electrónico y SMS de terceros, sigue requiriéndose el consentimiento explícito).

  Dado que la Directiva de privacidad electrónica es una Directiva, lo que significa que debe implementarse en la legislación local de cada estado miembro, debes comprobar la legislación local del estado miembro en cuestión para comprobar los requisitos locales. Por ejemplo, algunos países (como el Reino Unido) son más laxos en cuanto al marketing por correo electrónico B2B (que se puede realizar ofreciendo la opción de exclusión), mientras que otros países (como Alemania) tienen un requisito de suscripción doble más estricto (se proporciona más sobre esto a continuación).

  Sin embargo, el RGPD sigue siendo relevante porque la mayoría de las direcciones de correo electrónico se consideran datos personales y, por lo tanto, también estarán sujetas a los requisitos del RGPD. En particular, cuando se te exija obtener el consentimiento de una persona, deberás hacerlo de acuerdo con el RGPD.

• ¿Qué dice el RGPD sobre el consentimiento?

  Nos alegra que nos lo preguntes. No siempre se requiere el consentimiento para tratar los datos personales de una persona. Sin embargo, cuando se te exija obtener el consentimiento de la persona (que puede ser el caso si estás llevando a cabo cierto marketing por correo electrónico), debes asegurarte de obtener el consentimiento de acuerdo con los estrictos requisitos del RGPD:

  • El consentimiento debe ser voluntario: Las personas deben consentir explícitamente la recogida y el uso de sus datos personales. Esto significa que el silencio, las casillas premarcadas y los opt-in implícitos (p. ej., por inactividad) no son válidos.
  • El consentimiento debe ser informado: Esto significa que debes proporcionar información significativa a las personas sobre por qué estás recopilando la información y explicar claramente cómo planeas usarla. Esta información debe proporcionarse en el momento en que las personas den su consentimiento.
  • El consentimiento debe ser específico: Esto significa que se debe obtener un consentimiento por separado para las diferentes actividades de tratamiento y no debes intentar agrupar diferentes fines bajo un único consentimiento.
  • El consentimiento debe otorgarse libremente: Esto significa que las personas deben tener una elección genuina al dar su consentimiento, y su consentimiento no debe estar condicionado a recibir un producto o servicio.
  • El consentimiento debe ser demostrable: No olvides que debes poder demostrar que has obtenido el consentimiento, incluyendo quién dio el consentimiento, cuándo se dio el consentimiento y qué información se proporcionó a la persona en ese momento.

  Por último, ten en cuenta que ciertos países requieren una "suscripción doble" para llevar a cabo marketing por correo electrónico. La suscripción doble implica un paso de confirmación adicional que permite verificar cada dirección de correo electrónico. Aunque esto no lo exige el RGPD, ni todos los estados miembro de la UE, te recomendamos que habilites la suscripción doble al enviar comunicaciones electrónicas de marketing a personas de la UE.

• ¿El RGPD dice algo sobre las transferencias transfronterizas de datos?

  Sí, el RGPD contiene disposiciones que abordan la transferencia de datos personales de estados miembros de la UE a terceros países, como Estados Unidos. El RGPD no contiene ningún requisito específico de que los datos personales de las personas de la UE se almacenen solo en los estados miembros de la UE. Más bien, el RGPD requiere que se cumplan ciertas condiciones antes de que los datos personales se transfieran fuera de la UE, identificando una serie de mecanismos diferentes que las organizaciones pueden utilizar para realizar transferencias transfronterizas de datos: decisiones de adecuación, cláusulas contractuales estándar, reglas corporativas vinculantes, mecanismos de certificación y códigos de conducta. El propósito principal de estos mecanismos es garantizar que cuando los datos personales de los europeos se transfieren al extranjero, la protección viaje con los datos.

  Una decisión de adecuación es una decisión de la Comisión Europea de que el país o territorio donde se transfieren los datos personales proporciona un nivel adecuado de protección. Antes de la decisión de 2020 que invalidaba los marcos de protección de la privacidad UE-EE. UU. y Suiza-EE. UU., El marco del Escudo de privacidad UE-EE. UU. era uno de esos ejemplos de una decisión de adecuación.

  A partir del 10 de julio de 2023, la Comisión Europea adoptó un nuevo Marco de Privacidad de Datos (DPF) UE-EE. UU., otorgando adecuación a Estados Unidos. Las Partes previamente certificadas bajo el Marco del Escudo de Privacidad UE-EE. UU. y comprometidas a mantener los Principios del DPF ahora pueden confiar en esta decisión de adecuación para transferir datos de la UE a los Estados Unidos. Mailchimp es una de esas empresas y continuará protegiendo los datos del EEE, Reino Unido y Suiza de conformidad con sus obligaciones de certificación.

  Además, Mailchimp se compromete contractualmente a transferir y procesar todos los datos de sus usuarios de la UE, Suiza y el Reino Unido de conformidad con las cláusulas contractuales tipo de la UE, que siguen siendo un mecanismo válido de exportación de datos y que se aplican automáticamente de conformidad con el Apéndice de procesamiento de datos de Mailchimp. Puedes obtener más información sobre nuestra certificación del marco de privacidad de datos (DPF, por sus siglas en inglés) UE-EE. UU. aquí.

  Si está transfiriendo datos personales a otras organizaciones que se encuentran fuera de la UE, entonces debe asegurarse de tener un terreno adecuado para realizar la transferencia transfronteriza de datos, como una decisión de adecuación o cláusulas contractuales estándar aprobadas por la Comisión Europea.

• ¿Se sigue aplicando el RGPD al Reino Unido después del Brexit?

  El RGPD de la UE es un Reglamento de la UE y ya no se aplica al Reino Unido. Sin embargo, cualquier empresa que opere dentro del Reino Unido debe cumplir con la ley de protección de datos de este país. El RGPD se ha incorporado a la ley de protección de datos del Reino Unido como el "RGPD del Reino Unido", por lo que en la práctica hay pocos cambios en los principios, derechos y obligaciones de protección de datos fundamentales contenidos en el RGPD del Reino Unido.

  Además, recuerda que si tienes tu sede en el Reino Unido pero te diriges o supervisas a personas de la UE, seguirás estando sujeto al RGPD incluso después del final del periodo de transición.

• ¿Qué sucede si no cumples con el RGPD?

  El incumplimiento del RGPD puede dar lugar a grandes sanciones económicas. Las sanciones por incumplimiento pueden ser de hasta 20 millones de euros o el 4 % de la facturación anual global, lo que sea mayor.

• ¿Por qué es importante la protección de datos?

  Además del hecho de que se te puede exigir que sigas ciertas leyes de protección de datos basadas en tus operaciones comerciales, la protección de datos ofrece varios beneficios. Seguir las prácticas recomendadas de protección de datos es especialmente importante si tu empresa trata los datos personales de los clientes.

  El compromiso de proteger los datos de los clientes ayuda a generar confianza con tus clientes, lo que te ayuda a conservar los clientes durante mucho tiempo y a reducir los costes de adquisición de clientes.

  La protección de datos también es excelente porque puede ayudarte a cambiar la forma en que gestionas tus datos y garantizar que estén seguros, pero siempre disponibles. La recopilación y gestión adecuadas de datos son los pilares de la protección de datos, por lo que proteger tus datos e implementar elementos como el consentimiento del RGPD puede ayudarte a mejorar tu gestión de datos en su conjunto. Esto significa que los datos siempre están disponibles cuando tú o tus clientes los necesitáis, para que las operaciones comerciales no se interrumpan.

• ¿Cuáles son los beneficios del consentimiento del RGPD?

  En primer lugar, es esencial que sigas el RGPD si debes hacerlo en función de los datos que recopiles. Si tu empresa recopila datos personales de cualquier persona de la UE, el consentimiento del RGPD puede ser una parte importante para asegurarte de que estás recopilando esos datos legalmente.

  La mejora de la gestión de datos es uno de los beneficios del cumplimiento del RGPD. Cuando utilizas el consentimiento del RGPD y recopilas datos de acuerdo con el RGPD, también tienes la oportunidad de adoptar las prácticas recomendadas de gestión de datos que puede que no hayas utilizado antes. Dado que el cumplimiento del RGPD requiere que recopiles, almacenes y gestiones datos de una manera concreta, ayuda a mejorar la gestión de datos de forma predeterminada. Si ya estás revisando sus procesos de recopilación y gestión de datos, puedes aprovechar la oportunidad para asegurarte de que también estás al tanto del cumplimiento del RGPD.

• Como individuo, ¿tengo que cumplir con el RGPD?

  Como individuo, debes mantener el cumplimiento del RGPD siempre que cumplas los criterios. Siempre que recopiles datos personales de personas residentes de la UE, debes seguir el RGPD en lo que respecta a la recopilación, almacenamiento y gestión de esos datos personales. Dicho esto, hay ciertos casos en los que una persona no está obligada a mantener el cumplimiento del RGPD incluso si está recopilando datos de personas en la UE.

  Una de las cosas más importantes que tener en cuenta es que la recopilación de ciertos tipos de datos está exenta del RGPD. Básicamente, solo debes seguir las directrices del RGPD si recopilas información personal de residentes de la UE con fines comerciales. Otros tipos de recopilación de datos no están sujetos a las directrices del RGPD. Esto incluye la recopilación de datos personales, como listas de números de teléfono, direcciones y otra información destinada al uso personal o doméstico. Dicho esto, sigue siendo recomendable mantener el cumplimiento del RGPD si estás recopilando cualquier tipo de datos de los residentes de la UE. Como mínimo, mantener el cumplimiento del RGPD te ayudará a asegurarte de que tus sistemas de protección de datos y gestión estén actualizados.

  Si eres una persona, pero no estás recopilando datos de personas en la UE, no tienes que preocuparte por el cumplimiento del RGPD. Sin embargo, seguir las directrices de marketing y protección de datos del RGPD puede ayudarte a asegurarte de que estás protegiendo los datos privados de los clientes, lo que contribuye en gran medida a aumentar la fidelidad de los clientes e impulsar la reputación de tu marca.

  Incluso como individuo, es importante comprender si se te exige o no mantener el cumplimiento del RGPD. Puede que pienses que estás recopilando una pequeña cantidad de datos que no son particularmente valiosos, pero la protección de datos es crucial cuando se trata de cualquier tipo de datos personales.

• ¿Hay normativas de protección de datos aparte del RGPD que deba seguir?

  Puede que el RGPD sea solo una de las leyes que necesitarás comprender para tu negocio, especialmente si tratas datos personales de personas de fuera de la UE. Los diferentes estados, provincias y países tienen leyes diferentes, por lo que las regulaciones que debes seguir varían según tus operaciones comerciales y los tipos de datos que trates.

  Por ejemplo, California tiene la que puede ser la ley de protección de datos más conocida de los Estados Unidos, que se denomina Ley de Privacidad del Consumidor de California (CCPA). Varios estados, además de California, también pueden tener leyes de protección de datos que se modelan de forma similar a la CCPA o al RGPD. Por supuesto, todavía puedes tener que cumplir con el RGPD y seguir otras normativas si operas fuera de los Estados Unidos, pero recopilar datos de clientes en ciertos estados o países puede suponer requisitos adicionales a los del RGPD.

  También existe una ley canadiense relativa a la protección de datos que se denomina Ley de Protección de la Información Personal y Documentos Electrónicos (Personal Information Protection and Electronic Documents Act, PIPEDA). Esta ley suele denominarse el equivalente canadiense del RGPD, por lo que mantener el cumplimiento de la ley PIPEDA también es importante para muchas empresas. Al igual que con el cumplimiento del RGPD, debes mantener el cumplimiento de la ley PIPEDA si recopilas, utilizas o divulgas la información personal de ciudadanos canadienses con fines comerciales. Y, al igual que en Estados Unidos, también hay leyes regionales de protección de datos dentro de Canadá que pueden afectar tu actividad comercial

  Por último, existen innumerables normativas a la hora de gestionar un negocio, tanto si diriges un negocio online como si no. Por ejemplo, si tienes una campaña de marketing por correo electrónico en los EE. UU., debes seguir la Ley CAN-SPAM de 2003, y hay leyes equivalentes en muchos otros países. Si estás haciendo muchos negocios a nivel internacional, merece la pena hablar con un experto sobre qué leyes debes seguir para mantener los datos de tus clientes protegidos.