Easypromos y el nuevo Reglamento General de Protección de Datos de la UE (RGPD)

Posted in: Noticias EasypromosÚltima actualización: 20/03/19

El Reglamento General de Protección de Datos de la Unión Europea (RGPD) es la Ley con la que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los residentes dentro de la UE. Este Reglamento comenzará a aplicarse el 25 de mayo del 2018, dos años después de que entrara en vigor.

El RGPD aplica a cualquiera que trate datos de usuarios residentes de la Unión Europea. Easypromos ya pertenece a un país de la UE (España), y está adecuada a la actual legislación española (LOPD) que regula los derechos de los usuarios, el consentimiento para la cesión de datos y las responsabilidades de los Encargados del tratamiento de datos, con lo que la adecuación ha sido muy natural.

Según el nuevo reglamento, debe ser mucho más claro para los usuarios, quien trata y guarda sus datos personales y para qué se van a utilizar. Ya no es válido esconderlo en unas bases legales o políticas de privacidad largas y complicadas de entender porque además, el consentimiento del usuario para el tratamiento de sus datos tiene que ser informado, específico y libre.

En este documento explicamos todas las acciones que hemos realizado en Easypromos para adecuarnos al RGPD.

 

El compromiso de Easypromos con el RGPD

Nuestro compromiso es trabajar para el éxito de nuestros clientes, y para ello una de nuestras bases es y ha sido siempre la seguridad de los datos de los participantes de los concursos. Y por este motivo, este compromiso incluye el cumplimiento del nuevo Reglamento General de Protección de Datos de la Unión Europea.

Hemos analizado todos los requisitos del RGPD y confirmamos que ya estamos adecuados para el día 25 de Mayo del 2018, y para ello hemos actualizado nuestras condiciones de uso de la plataforma, en el que incluimos nuestro compromiso de cumplir con todas las disposiciones de la RGPD como encargado del tratamiento. Ver nuestro compromiso en la cláusula 17 de las Condiciones de Uso Generales de Easypromos.

Además, como parte de este compromiso seguimos trabajando para facilitar herramientas que permitan a nuestros clientes ser más eficientes en su adecuación al RGPD, y también comprometidos con la mejora continúa de nuestros procedimientos internos para garantizar la confidencialidad, disponibilidad e integridad de los datos de nuestros clientes.

 

Nuestra adecuación el RGPD

La adecuación de Easypromos al RGPD se basa en 3 pilares:

  1. Implementación de nuevas herramientas que permita a nuestros clientes crear campañas con todas las opciones para alinearlas con el RGPD.
  2. Adecuación de la política contractual con nuestros clientes en nuestra condición de encargados del tratamiento de los datos de los participantes de los concursos, así como implementación de nuevos procedimientos para garantizar la confidencialidad, integridad y disponibilidad de estos datos y nuestros compromisos con los Responsables de los datos.
  3. Actualización de nuestra política de privacidad y protección de los datos de nuestros clientes, así como revisiones para la obtención del consentimiento para el envío de comunicaciones comerciales, para adecuarlas a los requerimientos de el RGPD.

Sabemos que para el lector de este artículo los dos primeros pilares son los importantes, pero debemos tener siempre presente la propia privacidad y gestión de datos de nuestros propios clientes.

 

A continuación listamos las acciones realizadas para cada uno de estos 3 pilares.

1. Implementación de herramientas para generar campañas alineadas con el RGPD

En los concursos y sorteos online existe un intercambio entre las marcas y los usuarios participantes. En estos intercambios, los usuarios ceden datos personales a cambio de tener la opción de ganar un premio.

Según el RGPD, la marca organizadora del concurso es el responsable de los datos de los usuarios que se registran y participan. Según el nuevo reglamento, el responsable de los datos tiene varias obligaciones, pero en referencia a la gestión de campañas promocionales nosotros destacamos:

  1. La marca debe informar claramente al participante de quién será el titular de los datos de los usuarios participantes, qué finalidad de uso tienen esos datos, y cómo el participante podrá ejercer sus derechos de supresión, cancelación, rectificación, acceso y portabilidad sobre esos datos.
  2. El consentimiento de la cesión de datos por parte del participante debe ser específico y no ambiguo.

 

Nota: La Agencia Española de Protección de Datos ha publicado un documento con buenas prácticas de cómo informar correctamente a los usuarios de la política de protección de datos en procesos de registro como un formulario online de participación.

Por lo tanto nosotros, como plataforma de creación de promociones y concursos, debemos proporcionar herramientas que permitan crear formularios de participación alineados con los controles, recomendaciones y buenas prácticas del RGPD. Éstas son algunas de las implementaciones realizadas:

  • Campo de texto legal: Es un campo en donde la marca puede introducir un texto legal explícito en el formulario de toma de datos. Es el campo recomendando para insertar la primera capa de información de política de privacidad de datos.
  • Campos informativos adicionales en todos los campos de texto: Para cada uno de los campos de los formulario se ha añadido opciones para dar información adicional a los usuarios.
  • Para todas las plantillas de diseño, se pueden personalizar textos introductorios al formulario de registro, para introducir texto adicional en la pantalla. En las promociones Marca Blanca además, se pueden realizar inserciones de texto HTML con personalización vía CSS.
  • Casillas de validación de textos legales o suscripciones a boletines con doble opt in habilitado.
  • Control del estado por defecto de las casillas de validación
  • Control de acceso al formulario de participación por edad.

formulario_sorteo copy

 

Por otra parte, para que los participantes puedan ejercer sus derechos, hemos implementado nuevas opciones en el panel de control del organizador de la marca para facilitar esta tarea:

  • Información completa del consentimiento del usuario: cuándo, qué consintió y desde donde consintió. Esta información es exportable y fácilmente accesible.
  • Controles rápidos para localizar a participantes.
  • Controles rápidos para eliminar, y editar participaciones y participantes.
  • Herramientas para poder exportar toda la información de un participante de un concurso para una fácil y ágil portabilidad.
  • Herramientas que permitan sincronizar y exportar automáticamente los datos de los participantes con CRMs o bases de datos externas, para que las marcas puedan ejercer los derechos de los usuarios desde sus sistemas centralizados.

Además informamos que toda la infraestructura de Easypromos se encuentra dentro de la Unión Europea, con lo que no es necesario informar explícitamente a un usuario participante de la Unión Europea, que se realizará una transferencia internacional de datos.

Y finalmente seguimos trabajando en:

  • Material divulgativo sobre buenas prácticas en la creación de campañas y promociones alineadas con el RGPD.
  • Nuevas opciones para incrementar la productividad para los administradores en materia de protección de datos en la gestión de la campaña.

 

2) Nuestros compromisos como encargados del tratamiento de los datos de los participantes de los concursos.

En los concursos y promociones a través de nuestra plataforma, Easypromos actúa como encargado del tratamiento de los datos de los usuarios participantes. Para cumplir con las exigencias de la nueva reglamentación como encargados del tratamiento de datos, hemos realizado las siguientes acciones:

a) Actualización de nuestros compromisos como encargados de tratamiento en nuestras Condiciones Generales.

Hemos actualizado nuestras condiciones generales añadiendo la cláusula 17, en la que indicamos nuestro compromiso al cumplimiento de todas las obligaciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. En ella se establece el rol de Easypromos como encargados de tratamiento de los datos de los participantes titularidad de la marca organizadora.

Como encargados de tratamiento nuestros compromisos son: (i) no ceder datos a terceros (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales en caso de incidencia física o técnica (iv) garantizar la seguridad de los datos a través de la eficiencia de las medidas técnicas y organizativas.

Por otra parte como encargados de tratamiento nuestro compromiso incluye siempre asistir y cooperar con el organizador del concurso, el responsable de los datos de los participantes.

b) Incorporación de un Delegado de Protección de Datos (DPD o DPO)

Al ser una empresa que gestiona datos a gran escala, hemos incorporado un Delegado de Protección de Datos a Easypromos, que será el responsable de velar por el cumplimiento de la protección de datos en Easypromos. Nuestro DPD es la persona jurídica Letslaw SL (www.letslaw.es) y sus funciones serán:

  • Informar y asesorar en materia de protección de datos
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento Europeo de Protección de Datos
  • Tareas relacionadas con la evaluación del impacto
  • Cooperar con la Autoridad de Control
  • Punto de contacto en temas de protección de datos

c) Sello de certificación ISO 27001 y evaluación de impacto

Para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, en Easypromos estamos pasando el proceso de certificación ISO 27001. Hemos adoptado este sistema de gestión de la seguridad de la información como el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos de la empresa y sus riesgos, considerando el impacto para la organización, y adoptando los controles y procedimientos más eficaces y coherentes con la estrategia de negocio.

El RGPD todavía no tiene una certificación específica, pero la metodología de gestión, procedimientos y los controles de la ISO 27001 incluyen los controles, obligaciones y recomendaciones del RGPD.

d) Medidas técnicas de seguridad

La seguridad y la fiabilidad del sistema siempre ha sido uno de los pilares fundamentales de Easypromos. Es por eso, que muchas de las medidas de control de la RGPD e ISO 27001 ya estaban implementadas como:

  • Seudonimización de los datos de usuarios
  • Técnicas de cifrado de todos los datos en reposo
  • Copias de seguridad y cifrado de las copias de seguridad
  • Firewalls y detectores de intrusismo
  • Controles de acceso a la información
  • Comunicaciones cifradas
  • Procedimientos de control y comunicación de incidencias
  • Monitorización 24×7 de los sistemas
  • Procedimientos de recuperación de desastres técnicos o físicos

Algunas de las técnicas que ya venimos aplicando las explicamos en este enlace.

 

3) Actualización Política de Privacidad y Consentimiento de Comunicaciones comerciales con nuestros clientes

El tercer pilar de nuestra adecuación está siendo la revisión de nuestros procedimientos internos para la protección de los datos de nuestros propios clientes, que hacen uso de nuestra plataforma. Para ello estamos realizando estas tareas:

  1. Actualización de nuestra política de privacidad para una definición más clara y entendible de los datos que pedimos a los usuarios, y de qué forma pueden ejercer nuestros clientes sus propios derechos, y en donde indicamos también nuestra política de generación de perfiles para comunicaciones segmentadas. Pueden revisar nuestra política de privacidad actualizada en este enlace: https://www.easypromosapp.com/politica-privacidad-proteccion-datos/ Además hemos separado las cláusulas en materia de protección de datos en varios ficheros. Por una parte tenemos (i) la política de privacidad con nuestros clientes, por otra parte (ii) la política de privacidad con los usuarios que aceptan la aplicación Easypromos para hacer Login Social en las redes sociales, y finalmente (iii) el acuerdo de encargado de tratamiento de los datos de los participantes titularidad del organizador de la promoción descrito en el punto anterior.
  2. Revisión de los consentimientos de las comunicaciones comerciales y aceptación de políticas: Estamos en el proceso de revisión de los consentimientos de los clientes de nuestras comunicaciones comerciales, para así tener almacenado de forma unívoca la confirmación de cada cliente, como estable la RGPD. En los próximos días nuestros clientes deberán reconfirmar si desean seguir recibiendo comunicaciones comerciales y de qué tipo por parte de Easypromos. Por otra parte se están revisando todos los formulario de captación de datos, para introducir nuestra política de privacidad, y la información de primera capa de la cesión de datos.
  3. Implementación de herramientas para ejercer los derechos de los clientes de forma eficiente. Como indicamos en nuestra política de privacidad, nuestros clientes pueden ejercer todos sus derechos, y es por eso que estamos implementando herramientas internas que nos permita ser eficientes cuando un usuario ejerce su derecho de portabilidad y de olvido o supresión.

La implementación de estos 3 pilares nos permite garantizar que Easypromos llega ya con una correcta adecuación al nueva Reglamento para el día 25 de Mayo del 2018. La seguridad de los datos de nuestros clientes es fundamental para nuestra compañía, y seguiremos trabajando a diario y de forma continua para adaptarnos y mejorar a nivel jurídico, organizativo y técnico.

Para cualquier duda en materia de protección de datos, por favor, póngase en contacto con nuestro Delegado de Protección de Datos al correo dpo@easypromosapp.com.

 

solicitar demo

Carles Bonfill

Fundador y CEO de Easypromos