RGPD y Socios

Lo que los socios necesitan saber sobre el cumplimiento del RGPD en nuestra solución de marketing de canal.

¿Cuáles son mis obligaciones de privacidad de datos al participar en el programa Extu?

Existen cuatro obligaciones clave que tienen los socios cuando utilizan los servicios de Extu para enviar materiales de marketing a sus suscriptores:

Establecer la base legal para el procesamiento de información personal en las listas de Suscriptores.
Esto significa que usted:
- ha obtenido el consentimiento expreso del destinatario individual en su lista de suscriptores para recibir material de marketing suyo a través de una acción afirmativa clara, libre y plenamente informada.
- se basa en intereses legítimos como fundamento legal para usar la dirección de correo electrónico en su lista de suscriptores para enviar materiales de marketing habiendo llevado a cabo una evaluación documentada de los intereses legítimos (es decir, existe una expectativa razonable por parte del destinatario de que puede recibir material de marketing debido a una relación comercial y el impacto en la privacidad se ha evaluado como bajo). Consulte ¿Cómo me aseguro de que mi lista de suscriptores cumpla con el RGPD? para más información.
Los Avisos de Privacidad deben dar información completa sobre el procesamiento de datos personales.
Como controlador de su lista de suscriptores, su aviso de privacidad debe cumplir con los requisitos de equidad y transparencia según el RGPD y revelar:
- El fundamento legal en el que se basa la recopilación y el procesamiento de información personal, incluido el procesamiento de direcciones de correo electrónico con fines de marketing directo. En la mayoría de los casos, el fundamento legal en el que se basará será el consentimiento o los intereses legítimos. También puede basarse en otros motivos, como la ejecución de un contrato u obligación legal, cuando procese información personal en el curso de su actividad de negocios (por ejemplo, información de contacto para proporcionar productos o servicios a un cliente en particular).
- Qué información personal comparte con Extu (esto debe incluir la notificación de que las direcciones de correo electrónico de los clientes y las copias de facturas/recibos se compartirán para administrar y validar campañas).
- Con quién comparte información personal y una lista de procesadores externos, que incluye a Extu.
Deben existir medidas técnicas y organizacionales adecuadas. Sus sistemas deben ser seguros; esto incluye tener protecciones de TI y ciberseguridad adecuadas, así como buenos controles internos, políticas y directrices con respecto a la recolección, el uso, el intercambio y el manejo de información personal.
Sea el socio de Extu en materia de privacidad. Necesitamos trabajar juntos para asegurarnos de cumplir con los estándares de privacidad adecuados y hacer todo lo posible para proteger la información personal que recolectamos y procesamos durante el envío de materiales de marketing. Necesitamos ayudarnos mutuamente a abordar cualquier pregunta, queja o solicitud de privacidad, responder a una posible violación de datos y realizar investigaciones o evaluaciones de privacidad. Estamos aquí para apoyarle y usted debe notificarnos inmediatamente:
- en caso de una violación de datos potencial o real
- si recibe una solicitud de acceso del sujeto de datos
- si recibe alguna queja o reclamo de un suscriptor o regulador con respecto a la privacidad o la información personal
- si tiene alguna pregunta o inquietud sobre la privacidad en general.

¿Cómo me aseguro de que mi lista de suscriptores cumpla con el RGPD?

Los socios deben auditar su lista de suscriptores y comprobar el cumplimiento del RGPD cuando se unan al programa por primera vez y de forma regular a partir de entonces. Incluso si no está sujeto al RGPD, los términos y condiciones de Extu requieren que usted tenga una base legal para procesar las listas de suscriptores y para que Extu proporcione los servicios de marketing.

Auditar su lista de clientes significa evaluar las direcciones de correo electrónico y otra información que haya recolectado y verificar si tiene un fundamento legal para dicho procesamiento. Si no tiene un fundamento legal para la recolección, entonces la dirección de correo electrónico no debe incluirse en su lista de suscriptores.

Si bien existen seis fundamentos legales para el procesamiento según el RGPD, los fundamentos más probables que se aplican para la recolección y el uso de una dirección de correo electrónico con fines de marketing directo son:

consentimiento; o
Interés legítimo.

Es su responsabilidad analizar sus actividades de procesamiento de datos y elegir el fundamento adecuado. Si no está seguro de cuál de los motivos legales enumerados en el RGPD se aplica a usted, consulte con sus asesores legales para asegurarse de que las actividades de procesamiento estén debidamente justificadas. Es importante recordar que el RGPD consagra el principio de “responsabilidad”, lo que significa que usted debe poder demostrar el cumplimiento, por lo que el mantenimiento diligente de registros es vital para respaldar estas justificaciones.

La Oficina del Comisionado de Información también tiene más información sobre fundamentos legales, junto con una herramienta de orientación interactiva sobre fundamentos legales para ayudarlo a determinar qué fundamento se aplica.

Consentimiento

Consentimiento significa que la persona en cuestión ha dado libremente su consentimiento claro y explícito para el procesamiento de sus datos personales para un fin específico.

Cuando revise su lista de suscriptores debe considerar si se dio consentimiento expreso y si sigue siendo válido. Consentimiento válido según el RGPD:

debe ser dado libremente; Esto significa brindar a las personas opciones y control genuinos y continuos sobre cómo utilizar sus datos.
debe ser obvio y requerir una acción positiva para aceptarlo. Las solicitudes de consentimiento deben ser destacadas, separadas de otros términos y condiciones, concisas y fáciles de entender, fáciles de usar y basadas en una aceptación positiva en lugar de una inscripción previa. casilla marcada u “optar por no participar”.
deberá detallar específicamente el nombre del controlador, los fines del procesamiento y los tipos de actividad de procesamiento.

Asegúrese de mantener registros que demuestren el consentimiento: quién dio su consentimiento, cuándo, cómo y qué se les dijo.

Ejemplos de consentimiento expreso incluyen:

Registro a través de un formulario web o en línea, siempre que la casilla de participación no esté preseleccionada de forma predeterminada.
Se completa un formulario fuera de línea que indica claramente que la persona puede ser agregada a su lista de suscriptores de marketing por correo electrónico y ha indicado expresamente su voluntad de recibir dichos correos electrónicos.
Le han dado su tarjeta de presentación; siempre que 1) usted haya indicado explícitamente que al entregarle su tarjeta de presentación acepta ser agregado a su lista de suscriptores de marketing por correo electrónico; o 2) agregaron su tarjeta de presentación a un contenedor o pila que indica claramente que al agregar dicha tarjeta de presentación aceptan ser agregados a su lista de suscriptores de marketing por correo electrónico. En cualquier caso, deberá comunicar de forma transparente la base de su procesamiento mediante la comunicación de su aviso de privacidad.
Proporcionarle otro permiso expreso por escrito para que se agregue a su lista de suscriptores de marketing por correo electrónico antes de comunicarse con ellos por correo electrónico.

Puede encontrar más información sobre el consentimiento en el sitio web de la Oficina del Comisionado de Información: ICO: Consentimiento y Orientación sobre el Consentimiento

Interés legítimo

Pueden existir casos en los que se puede confiar en sus intereses legítimos con los suscriptores y se pueda establecer una “inclusión voluntaria suave“.

Se puede confiar en el interés legítimo si el marketing que se llevará a cabo responde a los intereses legítimos de su propia empresa o de un tercero, que podría incluir proveedores de software, cuando existen motivos razonables de que el individuo esperaría el procesamiento y es probable que haya un impacto mínimo en la privacidad. La Comisión de la UE ha confirmado que el procesamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo siempre que se hayan cumplido todos los criterios necesarios.

Para basarse en el interés legítimo como base para un procesamiento legal, deberá realizar y mantener un registro de su evaluación de interés legítimo. El sitio web de la Oficina del Comisionado de Información tiene una plantilla de muestra de evaluación de intereses legítimos que puede utilizar como guía.

Una vez que haya establecido y registrado su justificación de interés legítimo como fundamento para el procesamiento legal, puede revisar su lista de suscriptores para determinar si alguna de las direcciones de correo electrónico cumple con los criterios de inclusión voluntaria suave.

La inclusión voluntaria suave se aplica únicamente a los clientes existentes (no a los clientes potenciales). Para ser elegible para su inclusión en la suscripción voluntaria, la dirección de correo electrónico debe haberse obtenido durante la venta de un producto o servicio a esa persona.

No se aplican límites de tiempo legales con respecto a la inclusión voluntaria suave, pero como guía, las compras realizadas dentro de los seis a 24 meses posteriores a la fecha de la revisión podrían considerarse un período de tiempo razonable. Recuerde que debe haber una expectativa razonable de que el suscriptor dé su consentimiento para recibir los correos electrónicos de marketing.

Puede encontrar más información sobre el interés legítimo en el sitio web de la Oficina del Comisionado de Información: ICO: Intereses Legítimos y Orientación sobre Intereses Legítimos.

Preguntas frecuentes rápidas

Potencialmente. El RGPD se aplica en la medida en que usted:

es una empresa establecida en la UE
ofrece bienes o servicios a personas en la UE o monitorea el comportamiento de las personas en la UE
procesa la información personal de personas en la UE.

Incluso si el RGPD no se aplica a su negocio, aún tiene la obligación de cumplir con las leyes de privacidad locales y asegurarse de obtener los consentimientos necesarios de sus suscriptores en relación con la información personal que recolecta.

También tiene la obligación, según los Términos generales de servicio de Extu, de cumplir con ciertos requisitos de privacidad de datos (consulte ¿Cuáles son mis obligaciones de privacidad de datos al participar en el programa Extu?)

Información o recursos adicionales sobre sus obligaciones de privacidad locales:

▪ Recursos de privacidad de Australia: ACMA y OAIC y Orientación de RGPD de la OAIC
▪ Recursos de privacidad de EE. UU.: CAN-SPAM y CCPA
▪ Recursos de privacidad en Canadá: CASL y PIPEDA

A menos que pueda garantizar al 100% que una lista que ha comprado está compuesta únicamente por personas que han dado su consentimiento según el GDPR, no apoyamos a los socios que utilizan una lista comprada. Los socios nunca deben utilizar direcciones de correo electrónico copiadas o extraídas de Internet o de grupos de noticias; de listas compradas, prestadas o alquiladas; u otras direcciones de correo electrónico que se obtuvieron sin (a) la aceptación y el consentimiento expresos del destinatario del correo electrónico o (b) otra base legal para la recolección, como el interés legítimo.

Es un incumplimiento de los términos y condiciones de Extu utilizar listas de terceros que no cumplen con el fundamento legal del GDPR para los requisitos de recolección o los requisitos de consentimiento de las leyes de privacidad locales.

El RGPD es un paso positivo para la protección de datos. No se trata de impedir que las empresas persigan sus intereses comerciales. Extu ha estado trabajando arduamente para garantizar que apoyamos a nuestros socios con el cumplimiento del RGPD (consulte RGPD y Extu) y, como controlador y procesador de sus datos y los datos de sus suscriptores, estamos aquí para ayudarlo. Si bien hacemos todo lo posible para garantizar que nuestro servicio se brinde en conformidad con el RGPD, usted es propietario y controla su lista de suscriptores. Esto significa que, como controlador de datos, usted debe asegurarse de que:

sus listas de suscriptores incluyen personas para quienes existe una base legal para la recolección
tiene las divulgaciones adecuadas en su aviso de privacidad
sabe qué hacer si recibe una solicitud o queja de privacidad
dispone de medidas técnicas y organizacionales adecuadas.

Consulte las obligaciones de los socios para obtener más detalles.

Un controlador es la parte que determina los fines, condiciones y medios de procesamiento de los datos personales, mientras que el procesador es la parte que procesa los datos personales en nombre del controlador. Los socios son controladores de la información personal de sus clientes (incluida su lista de suscriptores). Dada la naturaleza de los servicios de marketing digital de múltiples proveedores proporcionados directamente por Extu, también se nos considera un controlador según el RGPD.

Cuando la queja o solicitud se relacione con datos personales sobre los cuales Extu es responsable del tratamiento, debe notificarlo inmediatamente a Extu enviando un correo electrónico a nuestro responsable de privacidad a privacidad@extu.com. Deberá considerar por separado sus otras obligaciones respecto de dicha queja o solicitud y considerar buscar asesoramiento legal sobre los pasos a seguir.

No. Usted es dueño de su lista y no la compartiremos con patrocinadores sin su permiso expreso. Para poder brindar nuestros servicios a sus suscriptores, se nos otorgará una licencia para acceder y utilizar su lista.

Datos estadísticos, de comportamiento y basados en el rendimiento en forma agregada y no identificada. También podemos compartir detalles de ventas y transacciones que nos usted envíe a través de recibos/facturas para validar la efectividad de las campañas de marketing. Solicitaremos su consentimiento antes de compartir datos de clientes potenciales con patrocinadores. Consulte nuestros términos de servicio y aviso de privacidad para obtener más información.

Podemos compartir información personal (incluida su lista de suscriptores) con terceros, pero solo con el fin de proporcionar u optimizar los servicios como se establece más específicamente en el Aviso de Privacidad de nuestro sitio web. Puede encontrar una lista completa de los procesadores o proveedores de servicios externos de Extu aquí.

Descargo de responsabilidad: esta es una guía general de algunos de los requisitos del RGPD. Esta guía no constituye asesoramiento legal ni una declaración de los pasos que debe seguir para garantizar su propio cumplimiento, y usted acepta no confiar en la información proporcionada aquí para su propio cumplimiento. Para obtener información de asesoramiento completa, consulte el sitio web de la Oficina del Comisionado de Información del RU: Guía del RGPD. Si tiene preguntas adicionales, le recomendamos que busque el asesoramiento de un profesional jurídico o de privacidad.

Tenga en cuenta que, según su acuerdo de servicio con Extu, usted es totalmente responsable de proporcionar y certificar la legalidad de las direcciones de correo electrónico de sus clientes.