Blendee
Automatización del marketing y GDPR

Entre los demás derechos contemplados en el RGPD, merece una mención específica el derecho a la portabilidad de los datos, que permite a nuestros clientes y a sus usuarios solicitar en un formato estructurado, de uso común y lectura mecánica los datos personales que les conciernen y/o solicitar su transferencia a un nuevo proveedor, en caso de que sus contratos se transfieran a este último. El derecho a la portabilidad de los datos se aplica a todo tratamiento de datos personales: basado en el consentimiento del usuario; realizado de forma automatizada. Cabe señalar, no obstante, que el derecho a solicitar la transmisión de datos a otro responsable del tratamiento sólo existe si la operación es tecnológicamente viable, lo que requiere, por ejemplo, que los dos sistemas en cuestión, emisor y receptor, sean compatibles entre sí. La plataforma Blendee permite el ejercicio sencillo e inmediato del derecho a la portabilidad de los datos, por lo que los clientes y sus usuarios podrán obtener fácilmente una copia y/o transferir todos sus contactos a otro responsable del tratamiento, en la forma que les resulte más cómoda: en forma de fichero o a través de API.

El artículo 4 del RGPD define los datos personales como "toda información sobre una persona física identificada o identificable ("el interesado")", precisando que "es identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social". Esto significa que incluso un identificador en línea es un dato personal. Por otro lado, los datos anónimos son información que, originalmente o tras un tratamiento específico, no puede asociarse a una persona física identificada o identificable. Si el seguimiento de los usuarios se realiza sobre la base de datos anónimos, que por tanto no permiten su identificación, ni siquiera indirecta, el GDPR no se aplica y el cliente no tiene que preocuparse de obtener su consentimiento.

Para utilizar Blendee correctamente, no es necesario modificar los formularios de recogida de contactos. No será necesario incluir ninguna solicitud de consentimiento adicional, aparte de las que nuestros clientes utilizan normalmente, siempre que faciliten la información a los interesados y adquieran la prueba de haberlo hecho.

La plataforma Blendee permitirá, en línea con las obligaciones impuestas por el GDPR, detectar, identificar y almacenar pruebas del origen de los datos personales ("fuente de datos"), identificando dónde y de quién se recopilaron.

En el caso de la plataforma Blendee, los datos personales de los usuarios se procesan con fines de elaboración de perfiles y marketing con su consentimiento, que puede revocarse en cualquier momento. El derecho a revocar el consentimiento para el tratamiento de los datos de usuario de nuestros clientes se aplica a los datos tratados tanto en formato digital como en papel, así como a todas las copias de seguridad de dichos datos. Para hacer efectivo este derecho, Blendee ha habilitado el botón de revocación(Opt Out), ajustando también los plazos estándar de uso y almacenamiento de datos. Los clientes y/o sus usuarios también pueden oponerse a recibir más comunicaciones promocionales por correo electrónico utilizando el enlace de "cancelación de suscripción" correspondiente en cada correo electrónico promocional enviado.

Los datos personales de nuestros clientes (y los datos de sus usuarios) se procesan y almacenan en territorio europeo. En caso de que los datos se transfieran fuera del territorio europeo, de conformidad con el GDPR, Blendee se asegurará de que los países a los que se transfieran los datos garanticen un nivel adecuado de protección de los datos personales (y que, por lo tanto, exista una decisión de adecuación de la Comisión Europea), o de que existan garantías adecuadas a través de medios contractuales como las "Cláusulas contractuales tipo" (de conformidad con el artículo 46, apartado 2, letras c) y d), del GDPR).

El RGPD quiere que los principios de privacidad desde el diseño y privacidad por defecto se apliquen desde la concepción del tratamiento de datos personales. En última instancia, deben establecerse medidas técnicas y organizativas adecuadas para aplicar eficazmente principios de protección de datos como la minimización e integrar en el tratamiento las salvaguardias necesarias para proteger los derechos de los usuarios y garantizar que solo se traten -por defecto- los datos necesarios.

Existen fuertes multas administrativas por infracciones del GDPR y del Decreto Legislativo 196/2003 (el llamado "Código de Privacidad") de hasta 20 millones de euros o el 4% de la facturación de las empresas, la cifra que sea más alta. El reglamento interno (Decreto Legislativo 196/2003) también prevé sanciones penales para infracciones específicas y perentorias.

Las nuevas normas sobre responsabilidad están diseñadas para garantizar que cualquiera que trate datos personales haya adoptado medidas de seguridad organizativas y tecnológicas adecuadas al riesgo que plantean los datos y pueda demostrar que su tratamiento se lleva a cabo de conformidad con el RGPD.

Toda persona que trate datos personales debe estar preparada para detectar y tratar cualquier violación de datos personales (violación de datos) y notificarla a la Autoridad de Protección de Datos en un plazo de 72 horas desde que tenga conocimiento de ella. En los casos en que la violación pueda suponer un perjuicio grave para los derechos y libertades de los usuarios, también deberá comunicárseles la violación por los medios adecuados. Se produce una violación de datos personales en el caso de una violación de seguridad que provoque, de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la difusión o el acceso no autorizados a datos personales. Para la notificación a la Autoridad de Protección de Datos, existe un procedimiento especial en línea disponible en el sitio web oficial de la Autoridad.

Cualquier persona que trate datos personales debe adoptar medidas de seguridad adecuadas al nivel de riesgo al que están expuestos los datos. Las medidas de seguridad físicas, lógicas y organizativas deben garantizar la confidencialidad, disponibilidad e integridad de los datos personales tratados por el responsable y el encargado del tratamiento. La evaluación de riesgos debe actualizarse periódicamente, al igual que las medidas de seguridad que sirven para mitigar los riesgos identificados. Estas medidas de seguridad incluyen, entre otras: la seudonimización, el cifrado, la capacidad de garantizar la resistencia de los datos de forma permanente (mediante copias de seguridad, planes de recuperación en caso de catástrofe) y procedimientos para probar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Es aconsejable adoptar y documentar un procedimiento específico para notificar las violaciones de datos y, de forma más general, para gestionar los incidentes informáticos. El procedimiento debe difundirse ampliamente en el entorno empresarial del cliente. Incluso si el incidente de seguridad no requiere notificación a la Autoridad, al no cumplirse los requisitos previos para la notificación, debe anotarse en un registro interno especialmente preparado, de modo que quede documentado en caso de controles por parte de la Autoridad.

Es aconsejable disponer de un procedimiento específico para tramitar las solicitudes de ejercicio de los derechos de los usuarios, proporcionándoles documentación específica y preparando formularios específicos para facilitar el ejercicio de los derechos. En el caso concreto de las operaciones de tratamiento que se basan en el consentimiento de los usuarios, debe garantizarse que éstos puedan ejercer su derecho a retirar su consentimiento u oponerse al tratamiento con la misma facilidad con la que se les pidió que lo expresaran.

Para determinadas actividades de tratamiento que implican el uso de nuevas tecnologías y presentan un alto riesgo para los derechos y libertades de los usuarios, es necesario llevar a cabo una evaluación específica del impacto del tratamiento en la protección de datos. Las medidas específicas emitidas por la Autoridad Italiana de Protección de Datos y el Consejo Europeo de Protección de Datos identifican las operaciones de tratamiento que deben someterse a una evaluación de impacto.
En caso de que, al final de la evaluación de impacto, los riesgos para los derechos y libertades de los interesados sigan siendo significativos, deberá consultarse a la Autoridad Italiana de Protección de Datos para que adopte las medidas oportunas.

Cuando las principales actividades de tratamiento de datos personales consistan en un seguimiento regular y sistemático a gran escala de los interesados, o en el tratamiento a gran escala de datos pertenecientes a categorías especiales, deberá nombrarse a un responsable de la protección de datos (RPD). El RPD es designado en función de sus cualidades profesionales y sus conocimientos especializados en materia de protección de datos y ciberseguridad.
El RPD informa a la alta dirección sobre las actividades realizadas y supervisa la aplicación concreta por parte del responsable o encargado del tratamiento de las medidas prescritas por el RGPD y la normativa interna. El RPD actúa como punto de contacto para las solicitudes de los interesados y para las solicitudes de la Autoridad de Protección de Datos.