A continuación presentamos una visión general de cómo nuestra empresa ha aplicado el Reglamento Europeo 2016/679 (el llamado Reglamento General de Protección de Datos o 'RGPD', por sus siglas en inglés) a su tratamiento de datos personales. El foco de tus actividades de marketing, digitales y de otro tipo, debe estar en tus usuarios. Gracias a la segmentación avanzada de Blendee, nuestros clientes podrán utilizar características demográficas, de comportamiento pasado y presente y comprender en qué fase se encuentran los usuarios dentro del Ciclo de Vida del Cliente, realizando un seguimiento de su comportamiento tanto online como offline.Estos segmentos dinámicos, actualizados en tiempo real, te permitirán conocer mejor a tus usuarios, construyendo experiencias dedicadas para ellos
Reglamento de la RGPD ➝Desde su creación, Adabra siempre ha prestado gran atención a las normas de privacidad y a todos los cambios posteriores. Por consiguiente, al operar en el ámbito de la perfilación y la segmentación de datos, era necesario estar en consonancia (incluso un paso adelante en muchos casos) con las obligaciones jurídicas. Por lo tanto, fue relativamente fácil adaptarse a la RGPD, ya que la mayoría de los requisitos de las nuevas normas ya estaban presentes en el marco inicial de nuestros sistemas. Pero veamos juntos y en detalle qué nuevas funcionalidades ofrece nuestra plataforma y dónde se ha modernizado para cumplir con las nuevas regulaciones:
El RGPD otorga determinados derechos a los usuarios ("interesados") cuyos datos se procesan. Entre ellos, cabe mencionar sin duda el derecho al olvido, que en el nuevo marco del RGPD pasa a ser sinónimo de derecho a la supresión de datos. Esto significa que los interesados tienen derecho a solicitar la supresión de sus datos personales si ya no son necesarios en relación con los fines para los que fueron recogidos y tratados; si se han tratado de forma ilícita; y/o si el interesado ha retirado su consentimiento o se ha opuesto al tratamiento y el responsable del tratamiento ya no tiene otros fines ni otros fundamentos jurídicos para tratar los datos.
Entre los demás derechos contemplados en el RGPD, merece una mención específica el derecho a la portabilidad de los datos, que permite a nuestros clientes y a sus usuarios solicitar en un formato estructurado, de uso común y lectura mecánica los datos personales que les conciernen y/o solicitar su transferencia a un nuevo proveedor, en caso de que sus contratos se transfieran a este último. El derecho a la portabilidad de los datos se aplica a todo tratamiento de datos personales: basado en el consentimiento del usuario; realizado de forma automatizada. Cabe señalar, no obstante, que el derecho a solicitar la transmisión de datos a otro responsable del tratamiento sólo existe si la operación es tecnológicamente viable, lo que requiere, por ejemplo, que los dos sistemas en cuestión, emisor y receptor, sean compatibles entre sí. La plataforma Blendee permite el ejercicio sencillo e inmediato del derecho a la portabilidad de los datos, por lo que los clientes y sus usuarios podrán obtener fácilmente una copia y/o transferir todos sus contactos a otro responsable del tratamiento, en la forma que les resulte más cómoda: en forma de fichero o a través de API.
El artículo 4 del RGPD define los datos personales como "toda información sobre una persona física identificada o identificable ("el interesado")", precisando que "es identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social". Esto significa que incluso un identificador en línea es un dato personal. Por otro lado, los datos anónimos son información que, originalmente o tras un tratamiento específico, no puede asociarse a una persona física identificada o identificable. Si el seguimiento de los usuarios se realiza sobre la base de datos anónimos, que por tanto no permiten su identificación, ni siquiera indirecta, el RGPD no se aplica y el cliente no tiene que preocuparse de obtener su consentimiento.
Para utilizar Blendee correctamente, no es necesario modificar los formularios de recogida de contactos. No será necesario incluir ninguna solicitud de consentimiento adicional, aparte de las que nuestros clientes utilizan normalmente, siempre que faciliten la información a los interesados y adquieran la prueba de haberlo hecho.
La plataforma Blendee permitirá, en línea con las obligaciones impuestas por el RGPD, detectar, identificar y almacenar pruebas del origen de los datos personales ("fuente de datos"), identificando dónde y de quién se recopilaron.
En el caso de la plataforma Blendee, los datos personales de los usuarios se procesan con fines de elaboración de perfiles y marketing con su consentimiento, que puede revocarse en cualquier momento. El derecho a revocar el consentimiento para el tratamiento de los datos de usuario de nuestros clientes se aplica a los datos tratados tanto en formato digital como en papel, así como a todas las copias de seguridad de dichos datos. Para hacer efectivo este derecho, Blendee ha habilitado el botón de revocación (Opt Out), ajustando también los plazos estándar de uso y almacenamiento de datos. Los clientes y/o sus usuarios también pueden oponerse a recibir más comunicaciones promocionales por correo electrónico utilizando el enlace de "cancelación de suscripción" correspondiente en cada correo electrónico promocional enviado.
Blendee ha implantado una política de seguridad de datos y procedimientos de gestión de sistemas informáticos, todos ellos documentados y a disposición del cliente. El tratamiento de datos personales por parte de Blendee se ha sometido a una evaluación del impacto sobre la privacidad (DPIA), tal y como exige el RGPD. La DPIA también está a disposición de nuestros clientes para cumplir sus obligaciones de conformidad con el artículo 35 del RGPD.
Los datos personales de nuestros clientes (y los datos de sus usuarios) se procesan y almacenan en territorio europeo. En caso de que los datos se transfieran fuera del territorio europeo, de conformidad con el RGPD, Blendee se asegurará de que los países a los que se transfieran los datos garanticen un nivel adecuado de protección de los datos personales (y que, por lo tanto, exista una decisión de adecuación de la Comisión Europea), o de que existan garantías adecuadas a través de medios contractuales como las "Cláusulas contractuales tipo" (de conformidad con el artículo 46, apartado 2, letras c) y d), del RGPD).
El RGPD quiere que los principios de privacidad desde el diseño y privacidad por defecto se apliquen desde la concepción del tratamiento de datos personales. En última instancia, deben establecerse medidas técnicas y organizativas adecuadas para aplicar eficazmente principios de protección de datos como la minimización e integrar en el tratamiento las salvaguardias necesarias para proteger los derechos de los usuarios y garantizar que solo se traten -por defecto- los datos necesarios.
Existen fuertes multas administrativas por infracciones del RGPD y del Decreto Legislativo 196/2003 (el llamado "Código de Privacidad") de hasta 20 millones de euros o el 4% de la facturación de las empresas, la cifra que sea más alta. El reglamento interno (Decreto Legislativo 196/2003) también prevé sanciones penales para infracciones específicas y perentorias.
Las nuevas normas sobre responsabilidad están diseñadas para garantizar que cualquiera que trate datos personales haya adoptado medidas de seguridad organizativas y tecnológicas adecuadas al riesgo que plantean los datos y pueda demostrar que su tratamiento se lleva a cabo de conformidad con el RGPD.
La trazabilidad de los datos es una declinación del principio de responsabilidad. De hecho, sólo adquiriendo la trazabilidad y las pruebas de los métodos de recogida de datos, de los consentimientos, de las operaciones realizadas con los datos y de su supresión, el responsable del tratamiento podrá demostrar que ha actuado correctamente con respecto a los datos.
Toda persona que trate datos personales debe estar preparada para detectar y tratar cualquier violación de datos personales (violación de datos) y notificarla a la Autoridad de Protección de Datos en un plazo de 72 horas desde que tenga conocimiento de ella. En los casos en que la violación pueda suponer un perjuicio grave para los derechos y libertades de los usuarios, también deberá comunicárseles la violación por los medios adecuados. Se produce una violación de datos personales en el caso de una violación de seguridad que provoque, de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la difusión o el acceso no autorizados a datos personales. Para la notificación a la Autoridad de Protección de Datos, existe un procedimiento especial en línea disponible en el sitio web oficial de la Autoridad.
Cualquier persona que trate datos personales debe adoptar medidas de seguridad adecuadas al nivel de riesgo al que están expuestos los datos. Las medidas de seguridad físicas, lógicas y organizativas deben garantizar la confidencialidad, disponibilidad e integridad de los datos personales tratados por el responsable y el encargado del tratamiento. La evaluación de riesgos debe actualizarse periódicamente, al igual que las medidas de seguridad que sirven para mitigar los riesgos identificados. Estas medidas de seguridad incluyen, entre otras: la seudonimización, el cifrado, la capacidad de garantizar la resistencia de los datos de forma permanente (mediante copias de seguridad, planes de recuperación en caso de catástrofe) y procedimientos para probar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Es aconsejable adoptar y documentar un procedimiento específico para notificar las violaciones de datos y, de forma más general, para gestionar los incidentes informáticos. El procedimiento debe difundirse ampliamente en el entorno empresarial del cliente. Incluso si el incidente de seguridad no requiere notificación a la Autoridad, al no cumplirse los requisitos previos para la notificación, debe anotarse en un registro interno especialmente preparado, de modo que quede documentado en caso de controles por parte de la Autoridad.
Es aconsejable disponer de un procedimiento específico para tramitar las solicitudes de ejercicio de los derechos de los usuarios, proporcionándoles documentación específica y preparando formularios específicos para facilitar el ejercicio de los derechos. En el caso concreto de las operaciones de tratamiento que se basan en el consentimiento de los usuarios, debe garantizarse que éstos puedan ejercer su derecho a retirar su consentimiento u oponerse al tratamiento con la misma facilidad con la que se les pidió que lo expresaran.
Entre los documentos necesarios para demostrar el cumplimiento de las normas de protección de la intimidad por parte de las empresas, también debe mencionarse el registro de actividades de tratamiento del responsable del tratamiento, en el que deben constar todas las operaciones de tratamiento realizadas, los tipos de datos tratados, las categorías de interesados a los que se refieren los datos, los fines del tratamiento, las categorías de destinatarios a los que se comunican los datos, si los datos se transfieren a países no europeos y, cuando sea posible, los plazos para la supresión de los datos y las medidas de seguridad adoptadas. Cuando los datos personales también se traten en calidad de responsable del tratamiento, también deberá implantarse el registro del responsable del tratamiento, en el que se documentan todas las actividades realizadas por cuenta de uno o varios responsables del tratamiento. El registro del responsable del tratamiento contiene el nombre y los datos de contacto del responsable por cuenta del cual se tratan los datos, las categorías de operaciones de tratamiento realizadas, si los datos se transfieren a un país no europeo y, si es posible, una descripción de las medidas de seguridad adoptadas.
Para determinadas actividades de tratamiento que implican el uso de nuevas tecnologías y presentan un alto riesgo para los derechos y libertades de los usuarios, es necesario llevar a cabo una evaluación específica del impacto del tratamiento en la protección de datos. Las medidas específicas emitidas por la Autoridad Italiana de Protección de Datos y el Consejo Europeo de Protección de Datos identifican las operaciones de tratamiento que deben someterse a una evaluación de impacto.
En caso de que, al final de la evaluación de impacto, los riesgos para los derechos y libertades de los interesados sigan siendo significativos, deberá consultarse a la Autoridad Italiana de Protección de Datos para que adopte las medidas oportunas.
Cuando las principales actividades de tratamiento de datos personales consistan en un seguimiento regular y sistemático a gran escala de los interesados, o en el tratamiento a gran escala de datos pertenecientes a categorías especiales, deberá nombrarse a un responsable de la protección de datos (RPD). El RPD es designado en función de sus cualidades profesionales y sus conocimientos especializados en materia de protección de datos y ciberseguridad.
El RPD informa a la alta dirección sobre las actividades realizadas y supervisa la aplicación concreta por parte del responsable o encargado del tratamiento de las medidas prescritas por el RGPD y la normativa interna. El RPD actúa como punto de contacto para las solicitudes de los interesados y para las solicitudes de la Autoridad de Protección de Datos.
Nos dirigimos a nuestros clientes con la máxima claridad y transparencia, como siempre hemos hecho.
Para poder utilizar Blendee, debes firmar el contrato de licencia y autorizar el tratamiento de tus datos personales por parte de la empresa, de conformidad con lo dispuesto en sus Condiciones Generales de Servicio (CGS), que hemos actualizado para todo lo que implica la aplicación del RGPD.
La ley no es retroactiva, es decir, que seguirá siendo posible utilizar todos los perfiles de comportamiento recogidos legalmente antes de la entrada en vigor de la RGPD.
A partir de ahora se deberá permitir la elaboración y el perfilado sobre la base de nueva información en conformidad con la RGPD.
La eliminación de datos sólo será necesaria si el interesado lo solicita.
El consentimiento es válido si es "expreso". El RGPD ha descartado la posibilidad de cualquier forma de consentimiento implícito o tácito (es decir, el silencio no equivale al consentimiento), o el consentimiento obtenido proponiendo una serie de opciones preseleccionadas.
Debe, por tanto, ser libre (es decir, no forzado ni condicionado), formulado de forma específica(y, por tanto, no expresado con referencia a un tratamiento genéricamente identificado, mientras que los consentimientos para fines diferentes deben ser independientes entre sí), informado(es decir, precedido de información pertinente). El consentimiento podrá revocarse en cualquier momento. La revocación no afectará al tratamiento lícito realizado hasta la revocación.
Explicación del almacenamiento de datos
Blendee ha optado por ubicar sus servidores y actividades de procesamiento de datos personales en el territorio de la Unión Europea, teniendo muy en cuenta los datos personales de los usuarios y sus necesidades de protección.
Así es!
Los servidores utilizados por Blendee están ubicados en Italia y geográficamente redundantes dentro de la Unión Europea. Además, nuestros proveedores aplican la norma ISO-27001 sobre la gestión y protección de la seguridad de la información e incluso en caso de integraciones con plataformas de terceros residentes fuera de la Unión Europea, Blendee aplica garantías adecuadas para el tratamiento de los datos, verificando la existencia de decisiones de adecuación de la Comisión Europea para el país importador de los datos o aplicando las "Cláusulas Contractuales Tipo" (de conformidad con el art. 46, ap. 2, lett. c) y lett. d), RGPD).
Elige al partner adecuado como guía
hacia el éxito.
¡Descubre Blendee y crea una estrategia ganadora!
Contáctanos para una consultaAlgunos artículos que podrían interesarte