PROTEGE TUS COMUNICACIONES COMERCIALES DE MULTAS EN PROTECCIÓN DE DATOS
3ECIX es la solución en Protecciónde Datos para realizarComunicaciones Comerciales seguras 06
1 El Reto de un DPO antelas campañas comerciales 01
2Las Sanciones porincumplimiento en lasComunicaciones Comerciales 04
4 Las 5 claves para evitar sancionesen Protección de Datos 08
5 Ventajas de usarCONSENT, ROBINSON, TPC y COOKIES 09
6 Ecix Group 10
01
Una de las mayores preocupaciones que los DPOs de grandes compañías han colocado en
su Top 3 en materia de privacidad es cómo controlar que las campañas comerciales se
realicen correctamente. Y es que el nivel de riesgo asociado a este posible incumplimiento
conlleva importantes impactos para la organización por varios motivos:
El Reto de un DPO ante las campañas comerciales01
Grandes volumetrías: Se manejan bases de datos con miles o millones de clientes, y
con multitud de registros, donde se producen modificaciones, actualizaciones,
bloqueos, borrados, etc. de manera constante.
Complejidad tecnológica: Dentro de las organizaciones se utilizan diferentes canales
para la captación de datos (formularios, páginas web diversas, apps, compra de datos,
procesos de digitalización de papel, etc.), se realiza un tratamiento informático muy
heterogéneo (consolidación de datos, conexión con terceros, APIs, etc.) y se utilizan
diversas tecnologías y plataformas (diferentes CRMs, herramientas en Cloud,
tratamiento por terceros, herramientas en servidores propios, legacy informático, etc.)
Complejidad jurídica: A las anteriores hay que sumar los diferentes motivos de
legitimación para el uso de los datos con fines comerciales (algunos con
consentimiento, otros por interés legítimo, otros procedentes de reglas de
corresponsabilidad o como cesionarios, la necesidad de cruzar antes con Listas
Robinson, etc.)
Intervención de terceros: En muchos casos, se cuenta con agencias especializadas y
proveedores expertos que manejan esas bases de datos, plataformas, explotación de
datos, envíos comerciales, etc. pero sobre los que no se realizan controles concretos
para tener las garantías de cumplimiento adecuadas.
02
Por todo ello, ante cada envío comercial masivo resulta complicado para un DPO
garantizar que esa comunicación va a llegar únicamente a las personas a las que debe
llegar y cumplir con ello los requisitos legales de protección de datos.
Con el contexto mencionado anteriormente, es crítico preparar “listas blancas” donde
únicamente estén los destinatarios:
Cuyo consentimiento hemos obtenido y tenemos custodiado.
Cuyo consentimiento está vinculado clara y específicamente a una finalidad
comercial.
Cuyo consentimiento no es necesario porque existe un interés legítimo
justificado.
Y además que:
No hayan retirado su consentimiento.
No hayan ejercido un derecho de cancelación u oposición.
No estén en una Lista Robinson pública (p.e. de ADigital).
No estén duplicados en varias de las BBDD y no estén actualizadas.
Desarrollar campañas sin las debidas garantías podría suponer el incumplimiento de la
normativa de protección de datos, un impacto reputacional considerable y el agravante de
que son campañas que llegan a muchos miles o millones de personas.
Muchas compañías han
confundido el hecho de dotarse
de una herramienta de gestión
de consentimientos con el
hecho de tener controladas
dichas campañas comerciales,
pero ya hemos visto que son
dos cosas que conviene
diferenciar.
03
Todo ello genera dificultades en los procesos internos de las compañías a nivel de toma de
decisión sobre las campañas con las áreas de Marketing, tratamiento informático de
datos, cruce de información de muy diversas fuentes, agencias y proveedores especialistas
que manejan dichos listados, consideración de fechas concretas para tener “listas limpias”,
etc.
Resulta fundamental la labor del DPO, en su labor de garante y control, de diseñar e
implantar un procedimiento de Control de Campañas comerciales que cuente con los
instrumentos y herramientas que garanticen el cumplimiento de la normativa ante cada
uno de los envíos comerciales que la compañía vaya a realizar y que:
Aglutine las diferentes fuentes de información y datos legitimados.
Consulte las herramientas de gestión de consentimientos, de derechos ARCO, la
lista Robinson de ADigital, etc.
Realice una comprobación de fechas justo antes del lanzamiento de la campaña.
Obligue al proveedor o agencias que realiza los envíos a garantizar que se realiza
sobre una “lista limpia”.
Deje rastro de todos los tratamientos y controles para garantizar nuestro
“accountability” y auditoría del proceso.
Refleje un histórico de envíos y listas para poder gestionar posteriormente ante la
Autoridad de Control cualquier información al respecto.
1
2
3
4
5
6
04
Las Sanciones por incumplimiento en las Comunicaciones Comerciales02
Tras las ya conocidas sentencias a BBVA y Caixabank, recientemente ha sido un operador
como Vodafone quien ha sido sancionado. Analizando los motivos de la multa:
Se impone la sanción basándose no sólo en la Ley de Protección de Datos
(LOPDGDD) con 6 millones de euros, sino también en el incumplimiento de la Ley
General de Telecomunicaciones (LGT) con 2 millones de euros y la Ley de Sociedad
de la Información (LSSICE) con 150.000 euros.
Gran parte de la resolución se centra en todos los requisitos que tienen que ver con
las acciones comerciales de la compañía: recogida de consentimientos, bases
legitimadoras para los envíos, facilitar el ejercicio de los derechos de oposición de
clientes, promociones realizadas por terceros, uso de las listas Robinson, falta de
control en los tratamientos, etc. En este sentido, han tenido mucho peso en la
fijación de la sanción el carácter continuado de las infracciones (desde 2018), el
volumen de usuarios, el volumen de expedientes (162), el número de tratamientos
comerciales (200 millones), etc.
Uno de los aspectos sancionados es relativo al incumplimiento de los requisitos
para realizar una Transferencia Internacional de Datos, en concreto a una empresa
de Perú que actuaba como encargado de tratamiento.
Asimismo, hay que destacar la comisión de una infracción grave del artículo 73
LOPDGDD j), k) y p), por incumplimiento de las obligaciones relacionadas con la
diligencia debida a la hora de contratar a terceras compañías como encargadas de
tratamiento (y subencargados) que no ofrecen garantías suficientes ni son
monitorizados tras su contratación. Sin duda este es uno de los aspectos en los que
muchas compañías están poniendo el acento para realizar estudios de
confiabilidad en privacidad TPC (Third Party Compliance), antes de contratar
dentro de sus procesos de homologación y en dedicar los recursos adecuados a
realizar un seguimiento posterior del cumplimiento de tales requisitos.
Como conclusiones de este caso conviene resaltar:
Con esta sanción se comprueba cómo la Autoridad Española se va alineando a la
tendencia europea en el sentido de elevar las cuantías de las sanciones, en casos
que afectan especialmente a colectivos muy grandes de usuarios/clientes.
Las sanciones millonarias no solo van a recaer en entidades financieras, sino que
pueden recaer en entidades de otros sectores como es telecomunicaciones u
otros.
Resulta fundamental que todas las organizaciones lleven a cabo un ejercicio de
revisión de sus políticas de protección de datos, realizando un diagnóstico que
refleje las posibles desviaciones entre los procedimientos que ya se han
implantado y los criterios que la AEPD va fijando a través de estas recientes
resoluciones. Sin duda, llama la atención la elevada cuantía de estas sanciones,
pero las resoluciones de la Agencia siempre fueron, desde mucho antes del RGPD,
uno de los pilares fundamentales para generar criterios de interpretación para la
correcta aplicación de la norma en las empresas.
Y aunque, habrá que estar a las sentencias derivadas de los correspondientes
recursos, es fundamental revisar los modelos de privacidad de todo tipo de
entidades, en particular en lo relativo a las bases legitimadoras, la custodia de
consentimientos, las políticas de envíos comerciales y las cesiones de datos entre
empresas del Grupo.
05
La Protección de Datos es una materia que requiere de una enorme tecnificación y de
profesionales muy especializados porque a la propia complejidad de implantar los
requisitos normativos en una organización se le unen dos aspectos principales:
El impacto económico, reputacional y operacional que su incumplimiento
conlleva, y la correspondiente atención sobre estos riesgos en las capas
directivas de las empresas, y
La velocidad con la que ganan presencia los fenómenos como el Big Data, el
Cloud, la Inteligencia Artificial, y en general, la Transformación Digital de las
compañías, donde un correcto Gobierno de los Datos y su debida protección
son elementos nucleares para conseguir los objetivos que se persiguen.
1
2
06
ECIX es la solución en Protección de Datos para realizar Comunicaciones Comerciales seguras03
Mediante Consultoría especializada
Nuestro servicio experto en Protección de Datos para Comunicaciones Comerciales
cuenta con consultores que llevarán a cabo:
Revisión de las clausulas de consentimientos.
Definición y mantenimiento de la política de conservación de consentimientos.
Creación de los documentos de justificación y ponderación del interés legítimo.
El modelo operativo de gestión y contestación de derechos ARCOPOL a clientes.
La revisión de los textos de cada campaña comercial.
El análisis de datos ante quejas de clientes y derechos de oposición.
La revisión de contratos con agencias y proveedores.
La revisión del modelo de controles con tales terceros (TPC).
07
Mediante el uso de diferentes Tecnologías: Consent, Robinson, TPC y Cookies
Además de la consultoría ECIX cuenta con 4 tecnologías que permiten la puesta en
marcha de Comunicaciones Comerciales que verifiquen y evidencien los consentimientos
de los usuarios, así como el nivel de cumplimiento de las terceras partes que participan en
el proceso, tales como agencias de comunicación, cumpliendo las normas de protección
de datos.
Consent, Robinson y TPC son las soluciones para verificar y evidenciar el nivel de
cumplimiento de las terceras partes y agencias intervinientes así como los
consentimientos de los usuarios para las comunicaciones comerciales cumpliendo las
normas de protección de datos.
Permite gestionar millones de consentimientos de forma eficaz y centralizada.
Permite tener trazabilidad de todo el ciclo de vida del consentimiento.
Integración sencilla y transparente para usuarios y empleados mediante API.
Ecix funciona como tercero de confianza ante auditorías e inspecciones.
Cookies es la solución que permite cumplir con la última actualización de la AEPD para el
uso de Cookies, de Agosto de 2020, que establece nuevas obligaciones para las empresas
que son de imperativo cumplimiento desde el 31 de Octubre 2020. Esta solución te
permite cumplir con las nuevas directrices para así evitar riesgos y sanciones para tu
empresa, tanto desde el punto de vista técnico como jurídico.
Mitigamos el riesgo de
incumplimiento con una
solución completa que recoge
las obligaciones en
cumplimiento de Cookies de la
AEPD, y además almacena y
gestiona los consentimientos
aceptados o rechazados por tus
usuarios para poder tratar sus
datos personales cumpliendo
con los requisitos exigidos en el
RGPD, aprovechando los
beneficios del blockchain para
una trazabilidad irrefutable.
08
Las 5 claves para evitar sanciones en Protección de Datos con tus Campañas Comerciales04
Centraliza y certifica tus consentimientos online2Obtén consentimientos con facilidad a través de formularios integrables, en los
que el usuario elige qué aceptar, rechazar o modificar.
Gestiona el catálogo de consentimientos y preferencias de forma centralizada.
Todos los consentimientos obtenidos son custodiados por Consent, que actúa
como tercero de confianza.
Mantén actualizada la política de Cookies1Cumpliendo con la obligación existente desde el 31 de Octubre 2020.
Registra los consentimientos y revocaciones en blockchain3Sigue el rastro de cada consentimiento guardando todas las modificaciones.
Demuestra quién otorgó qué consentimientos, cuándo y a qué hora, en qué
condiciones y con qué preferencias (email marketing, etc).
Obtén un certificado con fuerza probatoria, válido en auditorías o juicios, en el
que Ecix Group actúa como tercero de confianza.
Verifica y evidencia los consentimientos para comunicaciones comerciales4Gestiona de forma global y centralizada las listas blancas para acciones
comerciales.
Minimiza posibles impactos reputacionales controlando y evidenciando el
cumplimiento en tus envíos comerciales.
Cumple con las exigencias del RGPD al contrastar con listas públicas de
consentimientos.
Verifica y evidencia el nivel de cumplimiento de terceras partes y proveedores5Conoce el nivel de cumplimiento de las agencias y los proveedores en su
proceso de homologación previo a contratarlos.
Establece un umbral de riesgos para asegurar que trabajas con empresas
confiables y con garantías en protección de datos.
Acredita ante las Autoridades de Control tu diligencia debida en la
precontratación, contratación de encargados de tratamientos y seguimiento y
monitorización durante el contrato.
Genera evidencias de cumplimiento en todo el proceso antes del envío de una
campaña comercial a través de un proveedor.
09
Ventajas de usar CONSENT, ROBINSON, TPC y COOKIES para tus Campañas Comerciales05
Ayudan a cumplir la política de Cookies exigida por la AEPD.
Ayudan a controlar y evidenciar el cumplimiento en los envíos comerciales.
Ayudan a controlar y evidenciar el cumplimiento de las terceras partes implicadas.
Evidencian los consentimientos obtenidos.
Ayudan a prevenir sanciones económicas. +114 millones de euros multas por
incumplimiento RGPD desde 2018.
Minimizan posibles impactos reputacionales.
1
2
3
4
5
6
10
ECIX Group06Como especialistas en Cumplimiento Normativo y Derecho Digital, ECIX Group puede
ayudarte a afrontar los retos a los que las funciones de Compliance, Riesgos, Privacidad y
Ciberseguridad se van a enfrentar en el nuevo escenario empresarial con nuestros
servicios especializados y herramientas pioneras.
ECIX: Asesorando desde hace más de 20 años en las áreas de
Compliance y Protección de Datos a las principales empresas
españolas. En ECIX prestamos un servicio de primer nivel mediante
un equipo de más de 150 profesionales especializados y una
Metodología propia fruto del resultado de la investigación y la
aplicación de las matemáticas y el Big Data.
www.ecixgroup.com
ELIX Regtech: Desarrollando herramientas desde 2002 que
ayuden a nuestros clientes en la identificación y gestión de riesgos
legales y empresariales. Desde soluciones de Protección de Datos,
Cookies, Consentimientos, GRC, evaluación de terceras partes
(TPC), Formación y Concienciación, etc.
www.elixregtech.com
Expertos en gestión de riesgos empresarialesMadridPaseo de la Castellana, 52.28046 Madrid(+34) 91 001 67 67
ZaragozaC/Zurita 10, entresuelo dcha.50001 Zaragoza(+34) 976 11 37 57
BarcelonaAvenida Diagonal, 468.08029 Barcelona(+34) 93 807 48 50
Top Related