6 preguntas y respuestas sobre los comerciantes y el RGPD

El Delegado de la Protección de Datos (DPD) de ZEROSIX responde a 6 preguntas sobre los comerciantes y el RGPD (Reglamento General de Protección de Datos) (Reglamento General de Protección de Datos), en el contexto de un programa de fidelización.

¿Cuál es la situación del comerciante según el RGPD?

Al implantar un programa de fidelización, el objetivo del comerciante es satisfacer a sus clientes para fidelizarlos a largo plazo.

Este objetivo sólo puede alcanzarse si el comerciante desarrolla una verdadera estrategia para conocer a sus clientes, lo que implica la recolecta y administración de sus datos personales.

Sólo teniendo esta información puedes proporcionarles ofertas personalizadas y coherente con su perfil y comportamiento de compra.

Según el RGPD, al decidir recoger y utilizar los datos personales de sus clientes, el comerciante se convierte en un responsable del tratamiento, lo que le obliga a cumplir con varias obligaciones legales.

Al gestionar un programa de fidelización, ¿en qué debe centrarse un comerciante? ¿Cuáles deben ser los principales puntos de atención para un comerciante?

El comerciante debe adoptar una actitud responsable y transparente al recoger y tratar los datos personales de sus clientes. Debe comportarse con sus datos como querría que la gente se comportara con sus propios datos personales.

En primer lugar, el comerciante debe buscar el consentimiento explícito e inequívoco del individuo cuando recoge datos sobre él o ella. Este es el caso si el comerciante informa al individuo de los fines para los que se recogen los datos. El responsable del tratamiento debe solicitar de nuevo el consentimiento de la persona y explicar el nuevo uso de los datos, si es datos, si pretende utilizarlos para otros fines.

El comerciante debe conservar absolutamente un registro de este consentimiento y de los fines del tratamiento, ya que debe poder justificarlo en cualquier momento, especialmente en caso de inspección por parte de la CNIL.

En segundo lugar, el comerciante sólo debe recoger los datos estrictamente necesarios para la aplicación del programa de fidelización y no solicitar información que no sea útil para el comerciante.

En tercer lugar, el comerciante debe estar preparado para responder a la solicitud de un cliente de un historial del tratamiento de sus datos dentro del programa, de la supresión total o parcial de sus datos, o de la eliminación de sus datos.del tratamiento de sus datos dentro del programa, una supresión total o parcial de sus datos (derecho al olvido) o su devolución en un formato estándar y legible (para poder cambiar eventualmente el formato de sus datos). (derecho al olvido) o a que se les devuelvan sus datos en un formato estándar y legible (posiblemente para cambiar de proveedor) derecho a la portabilidad).

Para ello, el comerciante debe tener cuidado de asegurar los datos utilizados en su programa de fidelización (durante su transferencia, almacenamiento, acceso y archivo) para que no sean robados ni utilizados para fines distintos de aquellos para los que fueron recogidos.

Por último, recomendaría al comerciante que se asegure de utilizar aplicaciones que incorporen todas estas obligaciones en los formularios de inscripción al programa de fidelización y también en los correos electrónicos/sms relacionados con la aplicación del programa.

En este contexto, la información del cliente (periodo de conservación de los datos, finalidad exacta de la recolecta, derecho de rectificación de la información personal, etc.) deben adaptarse a las nuevas medidas de la medidas del RGPD, y se debe proporcionar un mecanismo para recoger explícitamente el consentimiento ("checkbox"), a menos que exista una base legal para la recogida de los datos (por ejemplo, en la ejecución de un contrato, legislación, etc.).

¿Cómo puede un comerciante que no tiene conocimientos jurídicos y/o técnicos atender la RPGD?

Para que esto ocurra de la major manera posible, el comerciante debe:

con respecto a la autoridad de control (CNIL): disponer de toda la documentación de conformidad a nivel interno que describe sus procesos de recogida y tratamiento de datos, y documenta sus medidas de seguridad, incluso de forma sencilla. Lo importante es demostrar que sabe exactamente dónde se encuentran los datos personales de sus clientes, en qué condiciones y de qué manera. Lo importante es demostrar que sabe exactamente dónde están los datos personales de sus clientes, en qué condiciones y con qué fines;
hacia sus clientes miembros del programa de fidelización: llevar sus sitios web, aplicaciones móviles y cualquier otro medio de comunicación que trate los datos de sus clientes en cumplimiento del RGPD (banner de cookies, formularios, menciones obligatorias...);
a sus subcontratistas (proveedores, socios): pedirles oficialmente su plan de cumplimiento y asegurarse de que están en regla, porque, en caso de sanción por parte de la CNIL, se aplicará el principio de corresponsabilidad.
a sus empleados: informarles y formarles sobre el RGPD introduciendo, por ejemplo, un código de de buena conducta (deben saber que existe esta nueva normativa y sus implicaciones para ellos y la la empresa). El comerciante puede designar a una persona que entienda la normativa para que la explique (esta persona no tiene por qué estar a tiempo completo ni ser un empleado de la empresa).

¿Qué datos personales suelen manejar los comerciantes?

En el sentido del RGPD, cualquier dato que identifique directa o indirectamente a una persona física constituye "datos personales".

En un programa de fidelización, el comerciante gestiona esencialmente datos personales como nombre, apellidos, fecha de nacimiento, dirección, correo electrónico y datos personales como el nombre, los apellidos, la fecha de nacimiento, la dirección, el correo electrónico y el número de teléfono de sus clientes.

Pueden recogerse otros datos siempre que sean relevantes para la aplicación del programa (por ejemplo, una oferta promocional dirigida , por ejemplo: una oferta promocional para padres sólo necesita saber si el cliente tiene hijos o no).

En cambio, los datos relativos al lugar de nacimiento, la nacionalidad, la opinión política o religiosa, el número de la tarjeta bancaria, etc., no serán relevantes.

¿Cuáles son los riesgos de incumplimiento con el RGPD?

El Reglamento abre la vía a las acciones civiles de los particulares: el nivel de sanción será proporcional al nivel de cumplimiento ya establecido por el comerciante.

El Reglamento también prevé 2 multas administrativas:

el 2% del volumen de negocios (o 10 millones de euros) para una empresa que no haya puesto en marcha los elementos organizativos y funcionales para cumplir la normativa en absoluto los elementos organizativos y funcionales para cumplir con el reglamento;
el 4% del volumen de negocios (o 20M€) en el caso de una empresa que haya utilizado conscientemente datos personales fuera del marco fuera del marco de este reglamento (reventa a terceros, falta de consentimiento, recogida consentimiento, recogida de datos no relacionados con el tratamiento previsto).

El Reglamento delega el poder de investigación en las autoridades locales (en Francia, la CNIL) a las que el al que el comerciante tendrá que demostrar que ha cumplido los requisitos del Reglamento.

¿Deben los comerciantes nombrar un responsable de la protección de datos (RPD)?

Para un controlador o procesador comercial, el DPO sólo es obligatorio si su las actividades consisten en operaciones de tratamiento que requieren un seguimiento regular y sistemático a gran escala de los interesados O si sus actividades principales consisten en el tratamiento a gran escala de datos sensibles (como datos sanitarios, biométricos, opiniones políticas, etc.) o relativas a delitos y condenas penales.

Aparte de estos casos, el comerciante no tiene que designar a un DP, aunque éste pueda ser útil por sus avanzados conocimientos técnicos y jurídicos.

Cuando el nombramiento de un RPD no es obligatorio, recomiendo que el comerciante designe a un responsable de cumplimiento para impulsar el proyecto internamente y aplicar los procedimientos. Un oficial de cumplimiento para dirigir el proyecto internamente y aplicar los procedimientos. También concienciar a los empleados de los retos del RGPD y de las buenas prácticas en cuanto a confidencialidad de los datos.