El RGPD (Reglamento General de protección de datos), requiere que las organizaciones protejan los datos personales en todas sus formas. También cambia las reglas de consentimiento y fortalece los derechos de privacidad de las personas. En este artículo, explicaremos cómo garantizar el cumplimiento del correo electrónico RGPD.
Los usuarios de correo electrónico envían más de 100 correos electrónicos relacionados con el trabajo por día en promedio , y se espera que ese número aumente. Si bien es posible que no consideremos que el correo electrónico está sujeto al Reglamento General de Protección de Datos (RGPD) de la Unión Europea , su buzón de correo contiene una gran cantidad de datos personales. Desde nombres y direcciones de correo electrónico hasta archivos adjuntos y conversaciones sobre personas, todo podría estar cubierto por los estrictos requisitos nuevos del RGPD sobre protección de datos.
Cualquier organización (empresas, organizaciones benéficas, incluso autónomos, microempresas) que maneja la información personal de ciudadanos o residentes de la UE está sujeta al RGPD . Eso incluye organizaciones que no están en la UE pero que ofrecen bienes o servicios a las personas allí. Los requisitos se reducen básicamente a dos cosas: proteger los datos de las personas y facilitar que las personas ejerzan el control sobre sus datos. Aquellos que no sigan las reglas pueden recibir una multa de 20 millones de euros o el 4 por ciento de los ingresos mundiales , lo que sea más alto, más una indemnización por daños.
Si bien la mayor parte del enfoque con respecto a los requisitos de correo electrónico RGPD se ha centrado en el marketing por correo electrónico y el correo no deseado, hay otros aspectos, como el cifrado y la seguridad del correo electrónico, que son igualmente importantes para el cumplimiento de RGPD. A continuación, explicaremos qué dice realmente el RGPD y qué significa para el correo electrónico.
Tenga en cuenta que nada de lo que lea aquí es un buen sustituto del asesoramiento legal. Recomendamos nos consulte para comprender cómo se aplica el RGPD a su situación específica.
Cifrado y seguridad RGPD
Lo que dice el RGPD:
Si recopila, almacena o utiliza los datos de personas en la UE, el RGPD se aplica a usted. Y eso significa que puede tener la obligación de cambiar la forma en que opera su organización de algunas maneras fundamentales.
El RGPD requiere «protección de datos por diseño y por defecto», lo que significa que las organizaciones siempre deben considerar las implicaciones de protección de datos de cualquier producto o servicio nuevo o existente. El artículo 5 del RGPD enumera los principios de protección de datos a los que debe adherirse, incluida la adopción de medidas técnicas adecuadas para proteger los datos. El cifrado y la seudonimización se mencionan en la ley como ejemplos de medidas técnicas que puede utilizar para minimizar el daño potencial en caso de una violación de datos.
Lo que significa para el correo electrónico:
Cuando se trata de correo electrónico, el cifrado es la opción más factible. Hace apenas cinco años, eso no habría sido cierto. Pero la tecnología de cifrado de correo electrónico se ha desarrollado rápidamente, y varias compañías ahora ofrecen un servicio de correo electrónico cifrado de extremo a extremo, entre ellas INTERIBÉRICA. El correo electrónico seguro y basado en la nube ahora es una opción práctica y conveniente.
Si bien no se requiere cifrado, corresponde a cada organización desarrollar una justificación para desarrollar las prácticas de seguridad de datos más apropiadas.
Retención de correo electrónico bajo RGPD
Lo que dice el RGPD:
El borrado de datos es una gran parte del RGPD. Es uno de los seis principios de protección de datos: el Artículo 5 (e) establece que los datos personales pueden almacenarse «por un tiempo que no sea necesario para los fines para los que se procesan los datos personales». El borrado de datos también es uno de los derechos personales protegido por el RGPD en el Artículo 17 , el famoso » derecho a ser olvidado «. «El interesado tendrá derecho a obtener del controlador la eliminación de los datos personales que le conciernen sin demora indebida». Hay algunas excepciones a esto último requisito, como el interés público. Pero, en términos generales, tiene la obligación de borrar los datos personales que ya no necesita.
El RGPD requiere que las organizaciones protejan los datos personales en todas sus formas. También cambia las reglas de consentimiento y fortalece los derechos de privacidad de las personas. En este artículo, explicaremos cómo garantizar el cumplimiento del correo electrónico RGPD.
Lo que significa para el correo electrónico:
Muchos de nosotros nunca borramos correos electrónicos. Hay muchas buenas razones: es posible que algún día tengamos que referirnos a ellas como un registro de nuestras actividades o incluso para posibles litigios. Pero cuantos más datos conserve, mayor será su responsabilidad si hay una violación de datos. Además, el borrado de datos personales innecesarios ahora es requerido por la ley europea. Debido al RGPD, debe revisar periódicamente la política de retención de correo electrónico de su organización con el objetivo de reducir la cantidad de datos que sus empleados almacenan en sus buzones. La regulación requiere que usted pueda demostrar que tiene una política establecida que equilibra sus intereses comerciales legítimos con sus obligaciones de protección de datos bajo el RGPD.
Desde un punto de vista técnico, el borrado de datos de correo electrónico puede ser bastante simple y, a menudo, puede automatizarse, de modo que le permita configurar los mensajes para su eliminación después de un período de tiempo designado. Independientemente de la estrategia de retención de correo electrónico que decida su organización, requerirá algo de tiempo para acostumbrarse, pero reducirá significativamente su exposición a RGPD.
Email marketing y spam
Lo que dice el RGPD:
Entre los otros principios de protección de datos en el Artículo 5 se encuentran “legalidad, equidad y transparencia”. Esto significa que solo puede usar los datos de las personas si está permitido bajo una de las seis justificaciones legales, debe ser justo para el interesado y debe ser basado en una comunicación transparente e inequívoca con el interesado. (El «sujeto de los datos», por cierto, es la persona identificable de la que se tratan los datos).
Hay seis «bases legales» para que usted «procese» (recopile, almacene, use, etc.) los datos de las personas. Estos se enumeran en el artículo 6 . El primero es el consentimiento, que debe obtenerse sin ambigüedades y después de una explicación completa de lo que planea hacer con los datos. Específicamente:
El consentimiento debe ser «otorgado libremente, específico, informado e inequívoco».
Las solicitudes de consentimiento deben ser «claramente distinguibles de los demás asuntos» y presentadas en «lenguaje claro y claro».
Los interesados pueden retirar el consentimiento otorgado previamente cuando lo deseen, y usted debe respetar su decisión. No puede simplemente cambiar la base legal del procesamiento a una de las otras justificaciones.
Los niños menores de 13 años solo pueden dar su consentimiento con el permiso de sus padres.
Debe conservar evidencia documental de consentimiento.
La sexta base legal es tener un «interés legítimo» para procesar los datos de la persona. Aunque el término es vago y podría aplicarse a una amplia gama de situaciones, puede ser difícil confiar en esta base porque los «derechos y libertades fundamentales del interesado» a menudo pueden anular su interés legítimo. Además, queda por ver cómo los reguladores y los tribunales interpretarán esta base. Probablemente no quieras ser un caso de prueba.
Las otras cuatro bases legales son menos comunes, pero es una buena idea revisar el Artículo 6 para asegurarse de que no se apliquen a usted. La conclusión es que debe tener mucho cuidado al usar los datos de alguien a menos que esté seguro de que la persona quiere que se usen de esa manera.
Sin embargo, la Directiva de privacidad electrónica, específicamente el artículo 13 , presenta a las organizaciones otra forma de utilizar los datos de una persona para fines de marketing que se deriva de la base contractual del RGPD. En el contexto de la venta de un bien o servicio, una organización «puede usar estos datos de contacto electrónicos para la comercialización directa de sus propios productos o servicios similares, siempre que los clientes tengan la oportunidad de objetar clara y distintamente, de forma gratuita y de manera fácil «, de acuerdo con el Artículo 13, parte 2. Básicamente, esto significa que una organización puede enviarle legalmente correos electrónicos de marketing sobre el servicio que le brindan, siempre que le informen que puede optar por no participar en cualquier momento y existe opción de darse de baja en todas las comunicaciones.
Lo que esto significa para el correo electrónico:
Después de la aprobación del RGPD, algunas personas dijeron que sería «el fin del marketing por correo electrónico» o «el fin del correo no deseado». Pero no será ninguno de los dos. El spam siempre se ha prohibido o va en contra de los términos de uso de la mayoría de los proveedores de correo electrónico. Aquellos que envían correos masivos no solicitados o maliciosos probablemente continuarán enviándolos. ¿Se agotó su carpeta de spam después del 25 de mayo de 2018, cuando entró en vigencia el RGPD?
En cuanto al marketing por correo electrónico, el RGPD no prohíbe el marketing por correo electrónico de ninguna manera. El RGPD no se propuso ser antiempresarial, solo pro-consumidor. Un buen correo electrónico de marketing idealmente debería proporcionar valor al destinatario y ser algo que quiera recibir de todos modos. Lo que hace el RGPD es aclarar los términos de consentimiento, exigiendo a las organizaciones que soliciten una aceptación afirmativa para poder enviar comunicaciones. Y también debe facilitar que las personas cambien de opinión y se den de baja. Solo si un correo electrónico de marketing no presenta la opción de cancelar la suscripción, se envía a alguien que nunca se suscribió o no anuncia un servicio relacionado con uno que el receptor utiliza, está violando el RGPD.
Seguridad organizacional del correo electrónico
Lo que dice el RGPD:
Hay un aspecto más del correo electrónico del RGPD, y es la seguridad del correo electrónico. El Artículo 5 (f) dice que debe proteger los datos personales «contra pérdida accidental, destrucción o daño, utilizando medidas técnicas u organizativas apropiadas».
Lo que esto significa para el correo electrónico:
El cifrado de correo electrónico es una medida técnica. Las medidas organizativas tienen que ver con políticas internas, gestión y capacitación. Noventa y uno por ciento de los ataques cibernéticos comienzan con un correo electrónico de phishing, en el que los piratas informáticos intentan obtener acceso a una cuenta o dispositivo mediante engaño o malware. Los enlaces y archivos adjuntos de cuentas desconocidas nunca se deben hacer clic o descargar. Una vez que un atacante obtiene acceso a una cuenta o dispositivo, a menudo es fácil acceder a otros, lo que significa que un error de un empleado podría comprometer grandes cantidades de datos. Si no puede mostrar a los reguladores que ha implementado las medidas técnicas y organizativas adecuadas, entonces podría estar pendiente de multas y compensaciones enormes de la UE a los interesados.
Para evitar responsabilidades, es importante educar a su equipo sobre la seguridad del correo electrónico. Los pasos básicos, como requerir la autenticación de dos factores, pueden ser muy útiles para proteger los datos y cumplir con el RGPD.
Por cierto…, ¿sabes que si usas gmail, hotmail y servicios gratuitos similares para tu empresa no estásn cumpliendo con la ley de protección de datos? más información en nuestro próximo post.