¿Qué representa RGPD para mi empresa?
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea (UE) enfocada en la protección y privacidad de datos de todos los ciudadanos y residentes de la UE. El RGPD regula cómo las empresas, incluyendo a GoDaddy, pueden procesar los datos personales de individuos en la UE. El RGPD entró en vigor el 25 de mayo de 2018. Para una descripción más detallada de lo que es el RGPD y cómo GoDaddy cumple con dicha ley, consulta la información en nuestro Centro de Privacidad.
GoDaddy no es un bufete de abogados
Esperamos que este documento te proporcione una perspectiva general sobre lo que es el RGPD y lo que representa para ti, pero GoDaddy no se dedica a brindar asesoría legal y esta no es una guía completa del RGPD. Todas las situaciones empresariales son diferentes y RGPD es un reglamento muy complejo. Si tienes alguna pregunta específica sobre tus operaciones comerciales y el impacto que el RGPD causaría (y otras leyes de privacidad aplicables), te aconsejamos que acudas a un abogado.
No somos expertos en tu empresa
Aunque nos encantaría poder darte un consejo concreto sobre cómo debes manejar tu cumplimiento con el RGPD, es imposible a todos los efectos. Cada entidad comercial funciona de manera diferente, con diferentes políticas, protocolos, empleados, ubicaciones, entre otros. Por eso, queremos darte una visión general de la opinión de GoDaddy sobre el RGPD, pero existen varios detalles en la regulación que te presentamos en este documento, donde necesitarás hacer tus propias evaluaciones en función de tu situación particular.
¿Por qué GDPR es diferente?
RGPD es muy similar a otras leyes de privacidad en todo el mundo. La característica que hace que el RGPD sea extraordinariamente conocido es que trasciende el ámbito de la UE y llega hasta cualquier empresa en el mundo que maneje datos personales sobre personas de la UE, y también entraña sanciones importantes (hasta 20 millones de euros o el 4% de los ingresos anuales globales) por incumplimiento. De este modo, la operación de más países, más multas, más alcance, se traduce en una cobertura más amplia de los medios de comunicación. Esto no significa que no haya diferencias, pues RGPD exige a las empresas afectadas que concedan ciertos derechos a sus clientes (como el “derecho al olvido” y el “derecho a la portabilidad de los datos”) y que pongan en práctica algunas medidas de cumplimiento corporativo.
¿Mi negocio ha sido impactado?
Existen dos motivos por los que tu empresa puede sufrir un impacto. Si tu empresa está localizada o si realizas negocios con clientes dentro del Área Económica Europea (EEA, por sus siglas en inglés) cuando vendes bienes o servicios, por favor sigue leyendo. Si no realizas actividades comerciales en esa región o no te interesas por los ciudadanos de la UE, lo más probable es que estés preparado (de nuevo, comunícate con tu propio asesor legal para que lo confirme).
¿Mis productos y servicios de GoDaddy se ajustan a RGPD?
Por sí solo, ningún producto o servicio es “compatible con RGPD”. No obstante, cuando se ajusta correctamente a las necesidades concretas de tu negocio y se utiliza conjuntamente con otras medidas, políticas y procesos que implementas en función de las necesidades de tu negocio (algunos de los cuales se describen a continuación), se pueden utilizar de forma compatible con RGPD. No hay nadie que conozca tu empresa mejor que tú. Aunque GoDaddy pretende ofrecer las herramientas y los recursos para ayudar a tu empresa a lograr el cumplimiento de RGPD, y nosotros estamos aquí para ti, no somos los indicados para asegurar tu cumplimiento con ninguna ley aplicable a tu actividad comercial.
¿Qué significa el cumplimiento con RGPD?
El objetivo de RGPD es la privacidad de la información personal. En resumidas cuentas, la cuestión es asegurarse de que los datos personales de tus clientes están protegidos y se utilizan de forma correcta. Antes de entrar en detalles, a continuación se presentan algunas definiciones clave bajo la ley que nos ayudarán a definir las responsabilidades correspondientes en relación con el manejo de datos personales:
- Titular de los datos: La persona que da la información personal. Puede tratarse de un cliente, un empleado o alguien que visita tu sitio web (este último si recopilas información sobre el mismo utilizando “cookies y tecnologías similares”).
- Controlador de datos: La entidad que determina las finalidades y medios del procesamiento de los datos personales.
- Procesador de datos: La entidad que procesa los datos personales en nombre del controlador de datos.
- Procesamiento: Se refiere a toda operación o conjunto de operaciones realizadas en los datos personales, por medios automáticos o no automáticos, como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, la combinación o asociación, restricción, cancelación o destrucción.
- Datos personales: El RGPD es aplicable únicamente a los “datos personales”, en concreto, a cualquier información relativa a una persona identificable que pueda ser identificada directa o indirectamente, en particular, por referencia a un identificador. Esta definición prevé una gran variedad de identificadores personales que constituyen datos personales, como el nombre, el número de identificación, los datos de localización o el identificador en línea, lo que pone de manifiesto los cambios tecnológicos y la forma en que las organizaciones recopilan información sobre las personas. Básicamente, si usas los datos para identificar a un usuario, cliente o cualquier persona, son datos personales.
¿Qué significan estas definiciones para mí?
En nuestra relación, algunas veces somos un Controlador de datos (cuando recolectamos tus datos para fines de venta de nuestros productos y servicios, como tu nombre, dirección, correo electrónico, teléfono e información de tarjeta de crédito), y en otras ocasiones somos un Procesador de datos mientras tú eres el Controlador de datos (como cuando utilizas nuestros servicios de host para efectos comerciales propios y la información se transmite a nuestros servidores para que podamos proporcionar, administrar y mantener los servicios por ti (a continuación encontrarás más información al respecto)).
¿Qué exige la ley en concreto?
Ahora bien, la versión oficial del GDPR es de 261 páginas, consta de 173 considerandos, 99 artículos y (como ya se ha dicho) es compleja y a menudo extensa, vaga y ambigua (lo sé, somos afortunados). Hablaremos sólo de algunos de sus principios clave:
Transparencia
¿Qué datos estás recopilando y qué uso se les dará? Un principio importante de toda ley de privacidad, como el RGPD, es explicar esto a tus clientes de forma sencilla tal que puedan leer y entender.
Nos imaginamos que has recibido casi un millón de correos electrónicos de “hemos actualizado nuestra política de privacidad” hace poco, ¿no? No es una coincidencia. RGPD obliga a las empresas a que ofrezcan una mayor transparencia y claridad sobre cómo recopilan y utilizan la información de sus clientes (en otros términos, a que sea de fácil utilización). Las políticas de privacidad son el mecanismo para que ofrezcas transparencia, al explicar a tus clientes con claridad y en un lenguaje sencillo cómo recopilas y utilizas sus datos personales y cómo pueden ponerse en contacto contigo o hacer valer los derechos que les corresponden.
GoDaddy ofrece herramientas que te permitirán incorporar políticas de privacidad en tus sitios web y, ocasionalmente, proporciona plantillas para que puedas trabajar desde ellas. Sin embargo, dado que desconocemos el funcionamiento de tu empresa, nos resulta imposible facilitarte una política de privacidad que cumpla con todos los requisitos.
Controles del cliente y administración del consentimiento
La transparencia es un buen inicio, pero si utilizas (o recopilas) información de tus clientes aparte de la que es estrictamente necesaria para suministrarles los bienes o servicios que vendes, entonces también debes estar seguro de que tienen las opciones para consentir usos adicionales, y de que disponen de los medios necesarios para revocar ese consentimiento.
En este caso, lo más obvio es el uso de direcciones de correo electrónico o números de teléfono recopilados para comunicarte con tus clientes (normalmente nos referimos a participaciones o darse de baja para tales comunicaciones/suscripciones). Los clientes pueden proporcionar esta información mientras crean una cuenta o compran un producto o servicio. No obstante, también incluye la recopilación de información que tú hagas sobre las personas que visitan tus sitios web por medio de herramientas normalmente conocidas como “cookies” (y tecnologías similares como píxeles, scripts, etc.). Sin duda habrás visto “banners de cookies” al visitar sitios web, y de forma parecida al uso de una política de privacidad, estos banners de cookies te permiten una mayor transparencia. Mostrando un banner de cookies, las personas pueden conocer más acerca de las herramientas que se están utilizando para recopilar su información, aceptar o rechazar ese uso, y/o de otra manera controlar minuciosamente qué cookies pueden resultar aceptables para su uso.
Según RGPD, es preciso otorgar a tus clientes el derecho a dar su consentimiento para esa recopilación (y uso posterior), y la única forma de otorgarlo correctamente es si presentas la opción para ejercer dicho consentimiento de una manera fácil de entender, específica (para el uso particular) y explícita. No se pueden utilizar las casillas marcadas previamente, el silencio o la inactividad para manifestar el consentimiento de tu cliente. Si por ejemplo, en tu sitio web hay una casilla de verificación que dice “Compartiremos tus datos con otros anunciantes”, no puedes preseleccionar la casilla de verificación para que los usuarios puedan acceder al procesamiento de sus datos. La casilla de verificación debe permanecer desmarcada para los usuarios interesados en el EEA hasta que voluntariamente acepten o den su consentimiento a dicho tratamiento.
En definitiva, tienes que asegurarte de que tus clientes puedan controlar el uso de sus datos personales, comunicaciones y consentimiento, incluido el derecho a revocar ese consentimiento.
Derecho al olvido
Ya hemos mencionado antes que RGPD es muy parecido a otras leyes de privacidad en todo el mundo; este es un derecho de sus clientes que es único de RGPD. El RGPD concede a las personas el “derecho a ser olvidadas” (el “Derecho de Supresión” bajo la ley). De este modo, el cliente puede pedir que sus datos personales sean borrados (y “olvidados”), en caso de que los datos personales recopilados ya no sean necesarios para los fines para los que fueron recopilados o procesados.
En los casos en que exista el derecho, es necesario que elimines los datos personales del individuo de tus sistemas (salvo que por razones comerciales o legales legítimas, estos datos deban conservarse, digamos, para propósitos de informes financieros o necesidades de retención legal).
Por ejemplo, si un cliente opta por interrumpir sus relaciones comerciales contigo, puede que ya no desee que conserves información sobre él que hayas recopilado y almacenado en el pasado. Aunque este derecho tiene limitaciones, con algunas excepciones y complejos detalles, cuando corresponda, es necesario que consideres cómo y tu capacidad para cumplir con esa solicitud cuando se haga.
A su vez, GoDaddy, según lo hemos explicado y de acuerdo con nuestra Adenda sobre procesamiento de datos, cumplirá con las solicitudes que recibamos de ti (el Controlador de datos) para eliminar la información de tus clientes de nuestros sistemas cuando lo pidas.
Derecho a la Portabilidad de datos
El derecho a la portabilidad de datos es otro derecho único de RGPD que permite a las personas obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios. De este modo pueden mover, copiar o transferir datos personales de forma sencilla de un entorno de TI a otro con seguridad, sin que ello afecte a su facilidad de uso.
Imagínate que eres un planificador de eventos. Tu cliente te facilitó todos sus datos de contacto y sus preferencias personales, pero luego se mudó y optó por contratar a un nuevo planificador de eventos. En el EEA, podría obtener fácilmente una copia electrónica de sus datos personales para comunicarse con un nuevo planificador de eventos. GoDaddy sirve de ayuda en caso de que los datos personales de tus clientes existan y puedan exportarse desde los productos o servicios que ofrecemos.
Privacidad desde el diseño
La privacidad por diseño (o por defecto) esencialmente significa que cuando tú obtienes, procesas, almacenas o utilizas datos personales, las protecciones necesarias son contempladas e incluidas; no se necesitan consideraciones especiales ni pasos adicionales, sólo se recopilan los datos mínimos necesarios, son recibidos de manera segura (por ejemplo, encriptados), almacenados en un lugar seguro, y sólo las personas con un requerimiento válido y que han sido entrenadas apropiadamente tienen acceso a ellos. Esto implica asegurarse de que las terceras partes también dispongan de protecciones antes de enviarles los datos personales de tus clientes.
En esencia, esto es lo mismo que visitar el consultorio de un médico. Como paciente, uno espera que sus registros médicos, las observaciones tomadas y los consejos recibidos permanezcan seguros y confidenciales. Aplica ese mismo tipo de vigilancia a los titulares de los datos y te mantendrás a salvo.
Cualquier examen de tus operaciones comerciales debe incluir la forma en que los productos y servicios de GoDaddy se pueden utilizar pensando en la privacidad. Mientras que esperamos que nuestros productos y servicios puedan adaptarse a tus necesidades específicas, a ti te corresponde tomar una decisión independiente sobre si el uso de nuestros servicios resulta adecuado para que cumplas con las leyes de privacidad y protección de datos vigentes.
Notificaciones de filtración de datos
Si se produjera una violación de los datos personales, las empresas tienen el deber de notificarlo a su autoridad supervisora en un plazo de 72 horas a partir del momento en que tengan conocimiento de la violación o sin retrasos injustificados. Para obtener más detalles sobre cómo divulgar y qué pasos tomar, por favor consulta esto con tu abogado.
Entonces, ¿qué nos deja esto?
Como ya se ha mencionado antes, en la mayoría de los casos, GoDaddy es tu procesador de datos. Nosotros procesaremos los datos de forma estricta cuando sea necesario para prestar los servicios que tú nos has comprado en tu nombre, o cuando se nos indique lo contrario. ¿Utilizar nuestros servicios de forma que recopile datos para que puedas vender tus productos, o para recopilar información sobre citas o contactos de ventas? No hay problema. En tu nombre, te garantizamos que los datos serán procesados de forma segura.
Como Controlador de datos, tú controlas cómo se usan y almacenan los datos, y nosotros solo los procesaremos de acuerdo con los términos de nuestro de procesamiento de datos para proporcionar y mantener los servicios en tu nombre. Esto significa que debes prestar mucha atención a tus políticas internas y al acceso de los empleados a los registros, incluida la forma en que compartes datos con terceros y la facilidad con la que alguien podría acceder a la información del interesado.
Como se desprende de los puntos clave anteriores, RGPD (y otras leyes de privacidad) tienen por objeto garantizar que los datos que recopilamos y utilizamos para que nuestros negocios sean exitosos, se mantengan correctamente seguros y protegidos.