Ir al contenido
Inicio » GDPR y CRM (Parte 1): ¿Qué es GDPR y cómo afecta a CRM?

GDPR y CRM (Parte 1): ¿Qué es GDPR y cómo afecta a CRM?

Si no se ha escondido debajo de una roca durante los últimos meses, probablemente haya escuchado mucho sobre GDPR. Acerca de cómo si GDPR fuera la ley del país en los EE. UU., Sus estándares podrían haber evitado la violación de datos de Equifax (ahora una de las más grandes de la historia). Acerca de cómo GDPR no perdona a nadie, con gigantes como Google revisando sus productos para cumplir. E incluso sobre cómo el Congreso de los Estados Unidos, animado por el escándalo de Cambridge Analytica, interrogó a Mark Zuckerberg sobre si Facebook expandiría sus herramientas de privacidad compatibles con GDPR a los usuarios de todo el mundo, durante su Audiencia del Congreso sobre la privacidad.

Ya sea que se haya estado escondiendo debajo de una roca, o que esté al tanto de GDPR, es legalmente imperativo que su negocio también cumpla con la ley histórica de mayo 25th. Con tanto que cambiar en tan poco tiempo, comenzar puede ser abrumador. Para ayudarlo a navegar ese viaje, hemos creado esta serie de piezas 3 en GDPR. En él, cubriremos todo lo que necesita saber para cumplir con la parte principal de la ley:

  1. ¿Qué es GDPR y cómo afecta a CRM? (Parte 1)
  2. Cómo Vtiger lo ayuda a cumplir con GDPR, incluida la administración de consentimiento eficaz (Parte 2)
  3. Cómo configurar las nuevas funciones de privacidad de Vtiger para cumplir con GDPR (Parte 3)

Divulgación

Esta serie cubre el cumplimiento general de los principios y derechos principales de GDPR (artículos 5 a 23). Hay otros procesos, responsabilidades y estándares que debe cumplir (artículos 24 a 43) y no están cubiertos en esta serie.

Esta serie y los cambios del producto venideros se derivan de algunas fuentes diferentes. De los textos jurídicos y sus interpretaciones generalmente aceptadas. Desde las conversaciones con los clientes y sus abogados, y desde otras investigaciones terciarias sobre soluciones que cubren los problemas de consentimiento legal que abordábamos. La guía general en la que se ha extraído debería ayudar a la empresa promedio a comenzar el camino hacia el cumplimiento, pero no debe considerarse un asesoramiento legal, que aún recomendamos que busque al interpretar GDPR para su escenario específico.

Si ya comprende la importancia de GDPR y no necesita un manual básico, no dude en pasar a la sección titulada “Así es como GDPR cambia su negocio”.

¿Qué es GDPR?

GDPR es una nueva ley europea que entrará en vigencia el 25th de mayo, 2018, que regula la forma en que las empresas pueden recopilar, almacenar y utilizar los datos de los ciudadanos europeos. Más sobre esto en un segundo.

¿Por qué se promulgó GDPR?

En pocas palabras: para evitar que las empresas recopilen y utilicen indiscriminadamente los datos de las personas de manera que puedan perjudicarlos. Hoy en día, las empresas tratan los datos de la misma manera que las naciones económicas imperialistas tratan a los países extranjeros. Capturan todo lo posible y lo explotan con poco respeto por los deseos de los propietarios, o preocupados por el efecto nocivo que tiene sobre ellos.

Esa comparación puede parecer dura, porque nadie muere cuando una empresa compra una lista de clientes potenciales y comercializa sin su consentimiento. Pero, cuando Equifax perdió críticamente los datos confidenciales de más de 140 millones de personas, y luego esencialmente los dejó para que se ocuparan de las consecuencias, el daño fue mucho más palpable. Sus identidades privadas y futuros financieros estaban condenados a un futuro incierto que circulaba en el mercado negro. Eso podría ser fácilmente su historial de búsqueda de Google o mensajes privados, y aún así tendría pocos recursos legales si sucediera.

La reacción lógica a esto, entonces, es

¡Si solo alguien me diera el derecho a elegir quién puede tener mis datos, para qué pueden y no pueden usarlos, se asegurará de que estén seguros y los castigará por violar estos derechos!

Y eso es exactamente lo que hace el RGPD por los ciudadanos de la UE.

¿Tengo que cumplir con GDPR?

GDPR se aplica a usted si cumple alguna de las siguientes condiciones:

  1. Tienes clientes en la UE.
  2. Presta servicios a ciudadanos de la UE (gratuitos o de pago).
  3. Usted mercado a los ciudadanos de la UE
  4. Usted supervisa las actividades de los ciudadanos de la UE.

Si su negocio es exclusivamente local y externo a la UE, probablemente no tenga que preocuparse por el RGPD. Es poco probable que una florería en la zona rural de Ohio que solo comercializa y envía a la ciudad local tenga que cumplir, incluso si alguien de la UE pasa por su sitio web y termina en su solución de análisis.

Pero el hecho de que su empresa sea pequeña no significa que el GDPR no se aplique. Una empresa de SEO de una pequeña ciudad que comercializa sus servicios en línea y ya tiene algunos clientes de algunos otros países, incluso si no se dirige específicamente a los clientes de la UE, es probable que tenga que cumplir con GDPR porque podría preverse que la empresa de SEO agradecería negocios de clientes europeos si surgieran.

¿Qué derechos tengo que cumplir?

Los ciudadanos de la UE ahora poseen legalmente incluso los datos sobre ellos que están en su poder. Y tienen algunos derechos fundamentales que acompañan a esa propiedad. Estamos usando la regla 80/20 para resumir los textos a continuación en una sola línea. Al igual que con cualquier resumen, siempre hay advertencias, por lo que si tiene curiosidad, haga clic en los enlaces incluidos para leer el texto legal completo y las excepciones (¡no son largas!):

  1. Cuando recopila datos de alguien, debe revelar qué planea hacer con él y durante cuánto tiempo planea conservarlo, entre otra información, en el momento de la recopilación (artículos). 7, 12, 13, 14)
    1. Por lo general, no puede almacenar información relacionada con antecedentes penales (artículo 10)
    2. Solo puede almacenar información sobre niños si un tutor consiente (artículo 8)
    3. Debe obtener el consentimiento para almacenar y utilizar datos confidenciales (artículo 9, 10)
  2. Cuando está usando datos de alguien, todos sus usos deben hacerse con el consentimiento para ese uso, en relación directa con un uso ya acordado, o porque pasó el Prueba de balance de intereses, con algunas advertencias (artículo 6)
  3. Debe responder a las siguientes solicitudes de derechos de un contacto dentro del mes 1 de la solicitud (artículo 12)
    1. Para saber qué información tiene sobre ellos y para qué la utiliza (artículo 15)
    2. Para corregir cualquier información que tengas sobre ellos (artículo 16)
    3. Para borrar los datos que tengas sobre ellos (artículo 17)
    4. Para restringir su capacidad de usar sus datos sin tener que eliminarlos (artículo 18)
    5. Para saber cuándo ha borrado o dejado de usar sus datos (artículo 19)
    6. Para portar sus datos sobre ellos a un competidor (artículo 20)
    7. Para objetar cualquier proceso (artículo 21)
    8. Para objetar la toma de decisiones automatizada (algorítmica) (artículo 22)
  4. No debe utilizar ni almacenar datos durante más tiempo del necesario (considerando 39)
  5. Debe usar los datos seguros de una manera que sea proporcional en seguridad al daño potencial que podría ocurrirle al sujeto de los datos si los datos estuvieran expuestos (artículo 25, 32)

¿Cómo afecta GDPR a mi negocio?

Cómo almacenar y manejar los datos de contacto

Hay tipos de datos 2 a considerar en GDPR. Datos sensibles, y datos personales. Aquí hay ejemplos específicos de datos, agrupados por tipo.

No sensible Sensible
Sin identificación personal Marca favorita de chips
Código postal
Género
Religión
Etnia
Afiliación política
Identificación personal Nombre Completo
Dirección de correo electrónico
Identificación del facebook
Numero de identificacion nacional
Número de tarjeta de crédito

Informacion sensible

Estos son datos que no están disponibles públicamente y que se pueden usar indebidamente para dañar a las personas, como un número de pasaporte o la afiliación política de alguien. GDPR recomienda obtener el consentimiento para almacenar datos confidenciales y, posteriormente, protegerlos, siempre que sea posible. Estos datos se protegen mejor haciendo lo siguiente:

  • Encriptar estos campos en las bases de datos para evitar el uso incorrecto si hay una violación de datos
  • Ocultando estos campos en las vistas de los empleados para evitar el uso indebido por parte de los empleados cuando el acceso no es necesario (por ejemplo, solo se muestran los últimos dígitos 4 de un CC #)
  • Registre cuándo los empleados desenfocan los valores para evitar el uso indebido cuando el acceso es necesario

Datos de identificación personal

Los datos solo pueden ser perjudiciales si se pueden vincular a una persona. GDPR permite que sus contactos le soliciten que borre sus datos de identificación personal (sujeto a ciertas condiciones).

Una vez que se borran los datos personales, la información relacionada que es importante para la toma de decisiones empresariales, como los historiales de compra y el compromiso con sus servicios digitales, es segura de almacenar porque ya no están asociados con una persona identificable.

Tenga cuidado con los grupos de información de identificación no personal, ya que los grupos pueden convertirse en identificadores si ese grupo es exclusivo de una sola persona. Por ejemplo, cuando conoce el código postal, el género, la etnia y la fecha de nacimiento de una persona, esas propiedades juntas pueden ser exclusivas de una sola persona y pueden identificarse con ella a través de alguna otra fuente de información, por lo que es importante asegurarse de que eso no suceda con lo que queda de su conjunto de datos borrado.

Límites de almacenamiento

Nadie debería tener que permanecer en su base de datos para siempre, solo porque completaron su formulario web una vez. Ahora debe dejar de usar automáticamente y, finalmente, eliminar los datos de identificación personal cuando ya no sean necesarios. El límite de tiempo apropiado para usar varía de un caso a otro. En nuestro caso, eliminaremos nuestros datos de contacto un año después de que un contacto deje de interactuar directamente con nosotros.

Cómo presentar formularios web

DIVULGACIONES

Las personas solo deberían enviar información en línea si saben lo que el destinatario va a hacer con ella. Por lo tanto, sus formularios web ahora deben indicar directamente cómo se utilizará la información o un enlace a la información sobre cómo usará sus datos. Esto se puede hacer a través de información sobre herramientas, o enlazando directamente a una política de uso de datos.

Opciones de correo electrónico

Si desea suscribir a alguien a su correo electrónico de marketing después de enviar un formulario, ahora también debe dar su consentimiento explícito. Eso significa mostrar una casilla de verificación sin marcar con un lenguaje claro como "Me gustaría recibir un correo electrónico de marketing de [empresa]". Simplemente no preguntar, o proporcionar una casilla de verificación pre-marcada ya no cuenta.

Cómo escribes tu política de privacidad

Siempre que recopile información de alguien, o planee usarla para un nuevo propósito, debe informarle sobre algunos conceptos básicos que generalmente se transmiten a través de una política de privacidad. Esto debe estar escrito en un lenguaje que sea claro, fácil de entender y dividido de tal manera que cada uso de sus datos y propósito se escriban por separado. Las cosas más importantes para incluir en esta política son:

  • Qué hace tu empresa y cómo contactarte
  • Cómo utiliza sus datos y con qué fines no buscará el consentimiento
  • Con quién compartirás sus datos
  • Si transferirá los datos fuera del país del contacto
  • ¿Cuánto tiempo planea utilizar los datos para
  • Todos los derechos del sujeto (acceder, corregir, borrar, restringir o datos de puerto, o presentar una queja)
  • ¿Qué pasa si el contacto no proporciona los datos?
  • Si tomas decisiones automáticas con sus datos.

Cómo conduces el email marketing

Doble opt-ins

Para enviar un correo electrónico de marketing a alguien, debe tener una prueba no falsificable de que desea recibirlo de usted. Debido a que cualquier persona puede completar un formulario en su sitio que dice ser otra persona, la mejor manera de obtener esa prueba es con un correo electrónico de doble opción.

Los correos electrónicos de suscripción doble funcionan así: cuando alguien indica que quiere recibir su correo electrónico (ya sea verbalmente o marcando una casilla en un formulario web), le envía un correo electrónico que contiene un enlace especial. Si hacen clic en él, se registra su clic y se agregan a su lista de correo electrónico.

Gestionar las preferencias y optar por no participar.

Siempre que envíe un correo electrónico a un contacto, debe ser tan fácil para ellos optar por no participar como para que lo hagan. Por lo general, esto incluye incluir un enlace de cancelación de suscripción en la parte inferior del correo electrónico. Una solución más robusta permitiría a los contactos administrar sus entradas y salidas de listas de correo electrónico específicas desde una página accesible desde el pie de página del correo electrónico.

Cómo rastrea a los clientes en sitios web, correo electrónico y documentos

Muchos de los servicios digitales que proporciona a los clientes realizarán un seguimiento de sus acciones y le proporcionarán análisis, para que pueda aprender cómo mejorar su experiencia. Eso podría ser un sitio web, una campaña de correo electrónico o un documento que hayas compartido con ellos. Independientemente de cómo se realiza el seguimiento, en la mayoría de los casos, debe informar a los usuarios que se están realizando un seguimiento y proporcionarles la posibilidad de no participar en su seguimiento.

Cuando usas datos de clientes

Usted utiliza los datos del cliente para una serie de propósitos. Desde simplemente almacenarlo, hasta enviarles un correo electrónico de marketing, verificar su historial de crédito o compartirlo con terceros que los ayudarán a utilizar mejor sus productos.

Cualquier cosa por la que use los datos del cliente debe hacerse por una de estas tres razones:

  1. Usted ha recibido permiso previo explícito para ese uso.
  2. El uso está relacionado con otro propósito para el que ya ha recibido el consentimiento.
  3. El propósito está en su interés legítimo y no viola los derechos del contacto (la prueba de equilibrio)

Siempre recomendamos obtener el consentimiento para la mayor cantidad de propósitos posibles, ya que esta es la única forma indiscutible de utilizar los datos de sus contactos. Cualquiera que sea el consentimiento que obtenga para un propósito, la mejor manera de obtenerlo es de alguna manera no falsable. Estos van desde una comunicación grabada como un correo electrónico, hasta un portal de administración de preferencias en el que los contactos pueden iniciar sesión para administrar sus consentimientos. Al igual que con las preferencias de correo electrónico, es importante permitir que los contactos revoquen su consentimiento al menos con la misma facilidad con la que lo proporcionaron.

Los nuevos derechos legales que debes facilitar.

Derecho a saber qué datos almacena y la capacidad de exportar esos datos

Si un contacto le solicita la información que tiene en su poder, está legalmente obligado a hacerlo. Además, debe divulgar para qué lo utiliza, con quién lo comparte, durante cuánto tiempo planea conservarlo y los demás derechos que tienen. Además, pueden solicitar una copia de toda esta información en un formato legible por la máquina, como un archivo CSV o una base de datos, por lo que el sistema de CRM que utiliza para almacenar su información debería facilitar la creación de dichos archivos.

Derecho a actualizar su información.

Si un contacto le pide que actualice información incorrecta o faltante, una vez que pueda confirmar quiénes son, deberá actualizar esa información en sus sistemas. Esto es particularmente importante si utiliza esos datos para tomar decisiones de forma manual o algorítmica sobre ellos.

Derecho a ser olvidado

Un contacto tiene derecho a que se borren sus datos. Si bien la solución más sencilla es borrar todos los registros asociados con ellos, esto generalmente es indeseable, ya que podría eliminar información comercial importante, como datos de compra, ingresos y otros informes incorrectos. La forma ideal de evitar esto es eliminar la información de identificación personal del registro de un contacto para que ya no pueda identificarla. Las mejores soluciones de CRM compatibles con GDPR facilitarán este tipo de borrado.

Derecho a objetar uno de tus propósitos.

Un contacto puede solicitar que no utilice sus datos para un propósito específico. Eso podría significar optar por no participar en la comercialización, solicitando que no se comparta con un tercero o cualquier otro propósito específico. Para facilitar esto sin requerir una ardua administración de registros, elija una solución de CRM que le permita a sus contactos administrar automáticamente su consentimiento a sus usos, de modo que los equipos responsables de actuar con ese permiso puedan actuar solo en aquellos contactos que hayan dado su consentimiento.

Derecho a dejar de usar su registro completo

Los contactos finalmente tienen el derecho de pedirle que los elimine de todas las formas de procesamiento que realice. Cualquier sistema que utilice para almacenar su información debe poder congelar sus registros para que los usuarios no puedan modificarlos ni enviarlos por correo electrónico con fines comerciales de forma manual o automática.

¡Hay tanto que hacer! ¿Cómo me ayudará Vtiger a cumplir?

Es posible que haya muchas nuevas regulaciones que cumplir, pero los cambios que vienen a Vtiger en mayo 9th permiten a las empresas implementar sin esfuerzo el cumplimiento de GDPR. Ya sea que sus clientes se encuentren en los EE. UU., La UE o en cualquier otro lugar, estos cambios lo ayudarán a presentar divulgaciones, almacenar datos confidenciales de manera más segura, comercializar legalmente el correo electrónico y permitir que sus contactos proporcionen y gestionen sus propios consentimientos con una experiencia que no está disponible con ningún otro. CRM en el mercado hoy.

Puede encontrar un tutorial completo de estos cambios en Parte 2 de esta serie.

¡Manténganse al tanto!