El propósito de esta página es ayudarle a tener una visión clara de las implicaciones legales al licenciar una o más soluciones de nuestras Huellas para productos minoristas.
Cumplimiento de GDPR
Haga clic en cualquiera de los siguientes enlaces para ir directamente a una de las siguientes secciones:
¿QUÉ ES GDPR?
PRIVACIDAD POR DISEÑO Y PRIVACIDAD POR DEFECTO
TRATAMIENTO DE DATOS CON FINES DE MARKETING
¿QUÉ SON LOS DATOS PERSONALES?
BASE JURÍDICA PARA EL TRATAMIENTO
COMPARTIR LOS DATOS CON APLICACIONES DE TERCEROS
¿Qué es GDPR?
El Reglamento General de Protección de Datos (GDPR) es un marco legal que establece pautas para la recopilación y el procesamiento de información personal de las personas dentro de la Unión Europea (UE). El artículo 5 del RGPD establece los seis principios de protección de datos. Estos principios son la base del GDPR y requieren que los datos personales sean:
— procesadas de manera legal, justa y transparente;
— utilizado para el propósito para el que se recopiló (y ese propósito está expresamente especificado y es legítimo);
— pertinentes y limitados a lo que sea necesario en relación con los fines para los que se tratan;
— precisa y, en su caso, actualizada;
— conservados durante no más tiempo del necesario para el propósito para el que se tratan los datos personales;
—y procesados de manera que proteja la seguridad y confidencialidad de los datos personales.
Operamos dentro de este marco, donde el controlador de los datos personales es responsable de cumplir con los seis principios anteriores. Además, se requerirá que el controlador de los datos personales demuestre el cumplimiento de estos principios, por lo que es importante que se establezcan políticas adecuadas.
— procesadas de manera legal, justa y transparente;
— utilizado para el propósito para el que se recopiló (y ese propósito está expresamente especificado y es legítimo);
— pertinentes y limitados a lo que sea necesario en relación con los fines para los que se tratan;
— precisa y, en su caso, actualizada;
— conservados durante no más tiempo del necesario para el propósito para el que se tratan los datos personales;
—y procesados de manera que proteja la seguridad y confidencialidad de los datos personales.
Operamos dentro de este marco, donde el controlador de los datos personales es responsable de cumplir con los seis principios anteriores. Además, se requerirá que el controlador de los datos personales demuestre el cumplimiento de estos principios, por lo que es importante que se establezcan políticas adecuadas.
Privacidad por diseño y privacidad por defecto
Implementamos medidas técnicas y organizativas en las primeras etapas del diseño de las operaciones de procesamiento, de tal manera que salvaguarden los principios de privacidad y protección de datos desde el principio ('protección de datos por diseño'). Nos aseguramos de que los datos personales se procesen con la mayor protección de privacidad (por ejemplo, solo se procesan los datos necesarios, un período de almacenamiento corto, accesibilidad limitada) para que, por defecto, los datos personales no sean accesibles a un número indefinido de personas (“protección de datos por defecto”).
Privacidad por diseño establece que cualquier acción que una empresa emprenda que implique el procesamiento de datos personales debe realizarse teniendo en cuenta la protección de datos y la privacidad en cada paso. Esto incluye proyectos internos, desarrollo de productos, desarrollo de software, sistemas de TI y mucho más. En la práctica, esto significa que el departamento de TI, o cualquier departamento que procese datos personales, debe garantizar que la privacidad esté incorporada en un sistema durante todo el ciclo de vida del sistema o proceso.
Privacidad por defecto significa que una vez que un producto o servicio se ha lanzado al público, la configuración de privacidad más estricta debe aplicarse de forma predeterminada, sin ninguna entrada manual del usuario final. Además, cualquier dato personal proporcionado por el usuario para permitir el uso óptimo de un producto solo debe conservarse durante el tiempo necesario para proporcionar el producto o servicio. Si se procesa más información de la necesaria para proporcionar el servicio, entonces se ha violado la “privacidad por defecto”.
Relación entre el controlador de datos y el procesador de datos
Privacidad por diseño establece que cualquier acción que una empresa emprenda que implique el procesamiento de datos personales debe realizarse teniendo en cuenta la protección de datos y la privacidad en cada paso. Esto incluye proyectos internos, desarrollo de productos, desarrollo de software, sistemas de TI y mucho más. En la práctica, esto significa que el departamento de TI, o cualquier departamento que procese datos personales, debe garantizar que la privacidad esté incorporada en un sistema durante todo el ciclo de vida del sistema o proceso.
Privacidad por defecto significa que una vez que un producto o servicio se ha lanzado al público, la configuración de privacidad más estricta debe aplicarse de forma predeterminada, sin ninguna entrada manual del usuario final. Además, cualquier dato personal proporcionado por el usuario para permitir el uso óptimo de un producto solo debe conservarse durante el tiempo necesario para proporcionar el producto o servicio. Si se procesa más información de la necesaria para proporcionar el servicio, entonces se ha violado la “privacidad por defecto”.
Relación entre el controlador de datos y el procesador de datos
El controlador de datos determina los fines para los cuales y los medios por los cuales se procesan los datos personales. Por lo tanto, si su empresa decide “por qué” y “cómo” deben procesarse los datos personales, es el controlador de datos.
Su empresa es un controlador conjunto cuando, junto con una o más organizaciones, determina conjuntamente “por qué” y “cómo” se deben procesar los datos personales. Los controladores conjuntos deben establecer un acuerdo que establezca sus respectivas responsabilidades para cumplir con las reglas del GDPR. Los principales aspectos del acuerdo deben ser comunicados a las personas físicas cuyos datos están siendo tratados.
El procesador de datos procesa los datos personales únicamente en nombre del responsable del tratamiento.
Específicas a nuestras soluciones, las actividades que emprendemos están legalmente enmarcadas como procesamiento de datos para CRM Omnicanal, Marketing Basado en Ubicación y Aplicación de Lealtad y como controlador conjunto para Ecosystem Analytics. Los deberes del procesador hacia el controlador y la función de controlador conjunto deben especificarse en un contrato u otro acto legal. Proponemos Acuerdos de Procesamiento de Datos específicos que aclaran el papel de cada empresa involucrada.
El procesador de datos procesa los datos personales únicamente en nombre del responsable del tratamiento.
Específicas a nuestras soluciones, las actividades que emprendemos están legalmente enmarcadas como procesamiento de datos para CRM Omnicanal, Marketing Basado en Ubicación y Aplicación de Lealtad y como controlador conjunto para Ecosystem Analytics. Los deberes del procesador hacia el controlador y la función de controlador conjunto deben especificarse en un contrato u otro acto legal. Proponemos Acuerdos de Procesamiento de Datos específicos que aclaran el papel de cada empresa involucrada.
Tratamiento de datos con fines de marketing
Para fines de marketing directo, los datos personales a menudo se recopilan del interesado (cliente). Por ejemplo, al comprar algunos artículos, una persona deja sus datos de contacto y desea que se le notifique sobre nuevas mercaderes.
Los datos personales deben ser tratados de manera legal y justa, en una cantidad que sea necesaria para lograr el propósito del marketing directo. El RGPD establece que los datos procesados deben ser adecuados a la finalidad y deben ser proporcionados. Se debe garantizar la autenticidad y exactitud de los datos. Los datos deben conservarse durante un período que sea necesario para lograr fines de marketing directo.
El proveedor de marketing directo (el responsable del tratamiento) está obligado a:
— Proporcionar información completa al cliente sobre las fuentes de datos;
— Proporcionar al cliente su información de contacto;
— Proporcionar al cliente la oportunidad de solicitar la terminación del uso de datos en un formulario, que se utiliza para marketing directo y/o definir los medios disponibles y adecuados para tal solicitud (por ejemplo, al enviar una notificación comercial, indicar un número de teléfono o un sitio web, donde uno puede negarse a recibir dichas notificaciones);
— Tomar medidas organizativas o técnicas, que permitan proteger los datos contra la destrucción accidental o ilegal, modificación, divulgación, obtención, cualquier otra forma de uso ilegal o pérdida accidental o ilegal.
— Dejar de tratar los datos personales del cliente con fines de marketing directo a petición (cesar el procesamiento de datos incluso en el caso de que el marketing directo se lleve a cabo a través de agencias de publicidad), lo que incluye la eliminación de datos de la base de datos y la terminación de las notificaciones.
Los datos personales deben ser tratados de manera legal y justa, en una cantidad que sea necesaria para lograr el propósito del marketing directo. El RGPD establece que los datos procesados deben ser adecuados a la finalidad y deben ser proporcionados. Se debe garantizar la autenticidad y exactitud de los datos. Los datos deben conservarse durante un período que sea necesario para lograr fines de marketing directo.
El proveedor de marketing directo (el responsable del tratamiento) está obligado a:
— Proporcionar información completa al cliente sobre las fuentes de datos;
— Proporcionar al cliente su información de contacto;
— Proporcionar al cliente la oportunidad de solicitar la terminación del uso de datos en un formulario, que se utiliza para marketing directo y/o definir los medios disponibles y adecuados para tal solicitud (por ejemplo, al enviar una notificación comercial, indicar un número de teléfono o un sitio web, donde uno puede negarse a recibir dichas notificaciones);
— Tomar medidas organizativas o técnicas, que permitan proteger los datos contra la destrucción accidental o ilegal, modificación, divulgación, obtención, cualquier otra forma de uso ilegal o pérdida accidental o ilegal.
— Dejar de tratar los datos personales del cliente con fines de marketing directo a petición (cesar el procesamiento de datos incluso en el caso de que el marketing directo se lleve a cabo a través de agencias de publicidad), lo que incluye la eliminación de datos de la base de datos y la terminación de las notificaciones.
¿Qué son los datos personales?
Los datos personales se definen en el RGPD como: “datos personales” significa cualquier información relativa a una persona física identificada o identificable (“interesado”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física”.
El GDPR cubre el procesamiento de datos personales de dos maneras:
— datos personales procesados total o parcialmente por medios automatizados (información en formato electrónico) — ese es nuestro caso
— datos personales tratados de manera no automatizada que formen parte de un “sistema de archivo” (información manual en un sistema de archivo) o estén destinados a formar parte de él.
Ejemplos de tipos de datos personales recopilados de forma electrónica por nuestras herramientas:
— Datos Clásicos: Nombre, Apellidos, Fecha/Lugar de Nacimiento, Domicilio, Teléfono, Profesión, etc.
— Datos Digitales: Correo electrónico, Perfiles de Redes Sociales, etc.
— Datos Sensientes: Datos biométricos (Fotos del usuario)
El GDPR cubre el procesamiento de datos personales de dos maneras:
— datos personales procesados total o parcialmente por medios automatizados (información en formato electrónico) — ese es nuestro caso
— datos personales tratados de manera no automatizada que formen parte de un “sistema de archivo” (información manual en un sistema de archivo) o estén destinados a formar parte de él.
Ejemplos de tipos de datos personales recopilados de forma electrónica por nuestras herramientas:
— Datos Clásicos: Nombre, Apellidos, Fecha/Lugar de Nacimiento, Domicilio, Teléfono, Profesión, etc.
— Datos Digitales: Correo electrónico, Perfiles de Redes Sociales, etc.
— Datos Sensientes: Datos biométricos (Fotos del usuario)
Fundamento jurídico para el tratamiento
Hay seis bases legales disponibles para el procesamiento. Ninguna base es 'mejor' o más importante que las otras; qué base es la más apropiada para usar dependerá de tu propósito y relación con el individuo. Debe determinar su base legal antes de comenzar el procesamiento, y debe documentarlo. Tenga cuidado de hacerlo bien la primera vez; no debe cambiar a una base legal diferente en una fecha posterior sin una buena razón. Si está procesando datos de categoría especial, debe identificar tanto una base legal para el procesamiento general como una condición adicional para el procesamiento de este tipo de datos.
El tratamiento de datos personales es lícito si se basa en uno de los siguientes fundamentos jurídicos limitados:
— necesarios para los fines de interés legítimo perseguido por el responsable del tratamiento;
— consentimiento del interesado;
— el tratamiento es necesario para la ejecución de un contrato con el interesado o para tomar medidas preparatorias de dicho contrato;
— necesario para el cumplimiento de una obligación legal
— necesario para proteger los intereses vitales de un interesado o de otra persona;
— necesarias para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferidas al controlador;
Para las actividades de tratamiento relacionadas con categorías especiales de datos, se aplican diferentes motivos. El procesamiento de categorías especiales de datos personales debe basarse en uno de un conjunto limitado de fundamentos legales:
— consentimiento explícito del interesado;
— necesarios para el cumplimiento de obligaciones en virtud de la legislación laboral, de seguridad social o de protección social, o de un convenio colectivo;
— necesario para proteger los intereses vitales de un interesado u otra persona física o jurídica cuando el interesado sea física o legalmente incapaz de dar su consentimiento;
— el tratamiento llevado a cabo por un organismo sin fines de lucro con fines políticos, filosóficos, religiosos o sindicales, siempre que el tratamiento se refiera únicamente a miembros o ex miembros;
— datos personales manifiestamente hechos públicos por el interesado;
— necesarios para el establecimiento, ejercicio o defensa de demandas legales o cuando los tribunales actúen en su capacidad judicial;
— necesarios por razones de interés público sustancial;
— necesarios para los fines de la medicina preventiva u ocupacional, para evaluar la capacidad de trabajo del empleado, el diagnóstico médico, la prestación de atención sanitaria o social o el tratamiento o la gestión de los sistemas y servicios de salud o de asistencia social o un contrato con un profesional de la salud;
— necesarias por razones de interés público en el ámbito de la salud pública;
— necesarios para fines de archivo de interés público, o fines de investigación científica e histórica o estadísticos.
El tratamiento de datos personales es lícito si se basa en uno de los siguientes fundamentos jurídicos limitados:
— necesarios para los fines de interés legítimo perseguido por el responsable del tratamiento;
— consentimiento del interesado;
— el tratamiento es necesario para la ejecución de un contrato con el interesado o para tomar medidas preparatorias de dicho contrato;
— necesario para el cumplimiento de una obligación legal
— necesario para proteger los intereses vitales de un interesado o de otra persona;
— necesarias para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferidas al controlador;
Para las actividades de tratamiento relacionadas con categorías especiales de datos, se aplican diferentes motivos. El procesamiento de categorías especiales de datos personales debe basarse en uno de un conjunto limitado de fundamentos legales:
— consentimiento explícito del interesado;
— necesarios para el cumplimiento de obligaciones en virtud de la legislación laboral, de seguridad social o de protección social, o de un convenio colectivo;
— necesario para proteger los intereses vitales de un interesado u otra persona física o jurídica cuando el interesado sea física o legalmente incapaz de dar su consentimiento;
— el tratamiento llevado a cabo por un organismo sin fines de lucro con fines políticos, filosóficos, religiosos o sindicales, siempre que el tratamiento se refiera únicamente a miembros o ex miembros;
— datos personales manifiestamente hechos públicos por el interesado;
— necesarios para el establecimiento, ejercicio o defensa de demandas legales o cuando los tribunales actúen en su capacidad judicial;
— necesarios por razones de interés público sustancial;
— necesarios para los fines de la medicina preventiva u ocupacional, para evaluar la capacidad de trabajo del empleado, el diagnóstico médico, la prestación de atención sanitaria o social o el tratamiento o la gestión de los sistemas y servicios de salud o de asistencia social o un contrato con un profesional de la salud;
— necesarias por razones de interés público en el ámbito de la salud pública;
— necesarios para fines de archivo de interés público, o fines de investigación científica e histórica o estadísticos.
Compartir los datos con aplicaciones de terceros
En este momento utilizamos tres tipos de integraciones:
— Integración con propiedades digitales propiedad del cliente (sitios web, aplicaciones de fidelización, otros recopiladores de datos)
— Integración con aplicaciones de marketing directo que entregan correos electrónicos y mensajes SMS a los clientes (Telcor y Campaign Monitor)
— Integración con fines de remarketing e informes con los servicios de Facebook, Google y LinkedIn (a través de Footprints for Retail App o API).
— Integración con propiedades digitales propiedad del cliente (sitios web, aplicaciones de fidelización, otros recopiladores de datos)
— Integración con aplicaciones de marketing directo que entregan correos electrónicos y mensajes SMS a los clientes (Telcor y Campaign Monitor)
— Integración con fines de remarketing e informes con los servicios de Facebook, Google y LinkedIn (a través de Footprints for Retail App o API).
