¿A quién impacta el GDPR?
El GDPR de la UE no solo se aplica a organizaciones en Europa, sino a cualquier organización que procese y almacene datos personales de individuos en la Unión Europea, así como de ciudadanos de la UE que viven en el extranjero. En otras palabras, si planeas tener clientes de Europa, deberás prestar atención.
¿Qué sucede si no cumples?
El GDPR se hará cumplir a partir del 25 de mayo de 2018. Las sanciones por incumplimiento son significativas.
- Se pueden imponer multas de hasta el 4% de los ingresos globales anuales o 20 millones de euros, lo que sea mayor.
- Los individuos tendrán el derecho de buscar compensación por daños, incluyendo la pérdida de control sobre datos personales o limitación de derechos, discriminación, pérdida financiera, daño a la reputación o pérdida de confidencialidad de datos personales protegidos por secreto profesional.
- Los individuos pueden optar por buscar acción contra el controlador de datos, el procesador, o ambos, y posiblemente contra cualquier persona en la cadena de suministro.
¿Cuáles son tus opciones?
Si posees o operas un negocio de ecommerce, tus opciones son insuficientes. Realmente solo hay dos opciones.
Opción 1 - Aceptarlo (¡Buena idea!)
Un amigo me dijo una vez: “si no sabes en qué dirección vas, ya estás perdido.” Creo que esto es especialmente cierto con el GDPR de la UE. Hay mucho que aprender y aún más que necesita ser aclarado. Pero lograr la preparación para el GDPR de la UE comienza con una decisión de cumplir. Evalúa tu situación e identifica áreas donde no estás cumpliendo. Luego puedes establecer una estrategia para minimizar tu responsabilidad.
Opción 2 - No vender a Europa o a sus ciudadanos (¡Mala idea!)
Si no deseas cumplir con el GDPR de la UE, te recomendamos encarecidamente que no planees hacer negocios con nadie de Europa. Recuerda, esos individuos europeos pueden vivir en el extranjero. Limitar tu negocio de ecommerce a las fronteras de EE. UU. no garantiza tu cumplimiento. El riesgo de incumplimiento es significativo y puede describirse como “bajo pena de penalización.” El incumplimiento es una opción, pero no se recomienda.
5 áreas clave de la regulación
La preparación para el GDPR de la UE implica familiarizarse con cinco áreas clave de la regulación: consentimiento, derechos individuales, políticas y responsabilidad.
1. Interés legítimo
El artículo 6 de la regulación GDPR establece que un recolector de datos solo puede procesar datos de manera legal si, entre otras cosas, tiene un interés legítimo o consentimiento. Determinar si tienes un interés legítimo requiere una “evaluación cuidadosa” de las expectativas y el contexto de los datos que estás recolectando.
Es tentador usar una interpretación amplia de interés legítimo para superar la necesidad de consentimiento. Desalentamos el uso de una visión abierta de interés legítimo como una forma de justificar la recolección de datos. El GDPR proporciona algunos ejemplos, como procesar datos personales para prevenir fraudes, fines administrativos internos relacionados con empleados y clientes, garantizar la seguridad de la red y reportar posibles actos criminales o amenazas a la seguridad pública.
Todavía hay un área gris en torno al interés legítimo y la definición se volverá más evidente con el tiempo. La recomendación a corto plazo es acostumbrarse a preguntar: “¿se puede lograr el mismo objetivo sin procesar datos personales?” Si la respuesta es sí, entonces la mejor práctica es alejarse del interés legítimo como base para procesar datos; deberías obtener consentimiento.
2. Consentimiento
Ya no hay consentimiento pasivo. Necesitas declarar para qué vas a usar los datos. Aquí hay dos ejemplos de cómo solicitar consentimiento.
3. Derechos individuales
Bajo el GDPR, el individuo tiene el derecho a ser olvidado. Por ejemplo, si consintieron el uso de los datos para fines de marketing, tienen el derecho a pedirte que los “olvides”. Se han introducido nuevos derechos en torno al acceso de sujetos, la objeción al procesamiento, la portabilidad de datos y la objeción a la elaboración de perfiles, entre otros.
4. Políticas
El artículo 13 de la regulación proporciona 12 áreas clave que necesitas informar a tu consumidor en clear lenguaje, no en legalismos. Desarrolla una política de privacidad estándar que informe a tus clientes cómo gestionas sus datos.
Es necesario tener una persona de contacto designada, así como información de contacto para tu organización en la política de privacidad.
5. Responsabilidad
Educa a tus empleados y proporciona las herramientas para ayudar a impulsar la responsabilidad en toda tu empresa, no solo para esta regulación, sino para todos los datos personales que recibas. La protección de datos es responsabilidad de toda la organización. Cualquiera que entre en contacto con datos necesita ser consciente de las implicaciones y las sanciones por incumplimiento.
Zonos, el líder en tecnología de ecommerce transfronterizo, continuará liderando y guiando a los comerciantes a través del desafío de vender sus productos al mundo. Continuaremos proporcionando preguntas frecuentes y ejemplos de documentos que muestran políticas y procesos internos de privacidad que puedes adoptar. Compartiremos documentos de capacitación interna para que los uses con tu equipo. Zonos toma la privacidad de los datos en serio y está comprometido con la preparación para el GDPR de la UE. Más detalles estarán disponibles de manera regular.
¿Por qué deberías preocuparte por el GDPR?
En todas partes del ecommerce, verás a alguien discutiendo el GDPR de la UE o el Reglamento General de Protección de Datos de la Unión Europea. Hay una variedad de información, desde artículos técnicos hasta especulaciones en redes sociales. Todos queremos saber cómo nos afectará. ¿Qué cambios, si es que hay alguno, tendré que hacer? ¿Qué significa realmente?
En este artículo, echaremos un vistazo rápido al GDPR de la UE: qué es, cómo podemos prepararnos y cómo podría impactar a un negocio en línea.