PROTEGE TUS COMUNICACIONES COMERCIALES DE MULTAS EN PROTECCIÓN DE DATOS

3ECIX es la solución en Protecciónde Datos para realizarComunicaciones Comerciales seguras 06

1 El Reto de un DPO antelas campañas comerciales 01

2Las Sanciones porincumplimiento en lasComunicaciones Comerciales 04

4 Las 5 claves para evitar sancionesen Protección de Datos 08

5 Ventajas de usarCONSENT, ROBINSON, TPC y COOKIES 09

6 Ecix Group 10

01

Una de las mayores preocupaciones que los DPOs de grandes compañías han colocado en

su Top 3 en materia de privacidad es cómo controlar que las campañas comerciales se

realicen correctamente. Y es que el nivel de riesgo asociado a este posible incumplimiento

conlleva importantes impactos para la organización por varios motivos:

El Reto de un DPO ante las campañas comerciales01

Grandes volumetrías: Se manejan bases de datos con miles o millones de clientes, y

con multitud de registros, donde se producen modificaciones, actualizaciones,

bloqueos, borrados, etc. de manera constante.

Complejidad tecnológica: Dentro de las organizaciones se utilizan diferentes canales

para la captación de datos (formularios, páginas web diversas, apps, compra de datos,

procesos de digitalización de papel, etc.), se realiza un tratamiento informático muy

heterogéneo (consolidación de datos, conexión con terceros, APIs, etc.) y se utilizan

diversas tecnologías y plataformas (diferentes CRMs, herramientas en Cloud,

tratamiento por terceros, herramientas en servidores propios, legacy informático, etc.)

Complejidad jurídica: A las anteriores hay que sumar los diferentes motivos de

legitimación para el uso de los datos con fines comerciales (algunos con

consentimiento, otros por interés legítimo, otros procedentes de reglas de

corresponsabilidad o como cesionarios, la necesidad de cruzar antes con Listas

Robinson, etc.)

Intervención de terceros: En muchos casos, se cuenta con agencias especializadas y

proveedores expertos que manejan esas bases de datos, plataformas, explotación de

datos, envíos comerciales, etc. pero sobre los que no se realizan controles concretos

para tener las garantías de cumplimiento adecuadas.

02

Por todo ello, ante cada envío comercial masivo resulta complicado para un DPO

garantizar que esa comunicación va a llegar únicamente a las personas a las que debe

llegar y cumplir con ello los requisitos legales de protección de datos.

Con el contexto mencionado anteriormente, es crítico preparar “listas blancas” donde

únicamente estén los destinatarios:

Cuyo consentimiento hemos obtenido y tenemos custodiado.

Cuyo consentimiento está vinculado clara y específicamente a una finalidad

comercial.

Cuyo consentimiento no es necesario porque existe un interés legítimo

justificado.

Y además que:

No hayan retirado su consentimiento.

No hayan ejercido un derecho de cancelación u oposición.

No estén en una Lista Robinson pública (p.e. de ADigital).

No estén duplicados en varias de las BBDD y no estén actualizadas.

Desarrollar campañas sin las debidas garantías podría suponer el incumplimiento de la

normativa de protección de datos, un impacto reputacional considerable y el agravante de

que son campañas que llegan a muchos miles o millones de personas.

Muchas compañías han

confundido el hecho de dotarse

de una herramienta de gestión

de consentimientos con el

hecho de tener controladas

dichas campañas comerciales,

pero ya hemos visto que son

dos cosas que conviene

diferenciar.

03

Todo ello genera dificultades en los procesos internos de las compañías a nivel de toma de

decisión sobre las campañas con las áreas de Marketing, tratamiento informático de

datos, cruce de información de muy diversas fuentes, agencias y proveedores especialistas

que manejan dichos listados, consideración de fechas concretas para tener “listas limpias”,

etc.

Resulta fundamental la labor del DPO, en su labor de garante y control, de diseñar e

implantar un procedimiento de Control de Campañas comerciales que cuente con los

instrumentos y herramientas que garanticen el cumplimiento de la normativa ante cada

uno de los envíos comerciales que la compañía vaya a realizar y que:

Aglutine las diferentes fuentes de información y datos legitimados.

Consulte las herramientas de gestión de consentimientos, de derechos ARCO, la

lista Robinson de ADigital, etc.

Realice una comprobación de fechas justo antes del lanzamiento de la campaña.

Obligue al proveedor o agencias que realiza los envíos a garantizar que se realiza

sobre una “lista limpia”.

Deje rastro de todos los tratamientos y controles para garantizar nuestro

“accountability” y auditoría del proceso.

Refleje un histórico de envíos y listas para poder gestionar posteriormente ante la

Autoridad de Control cualquier información al respecto.

1

2

3

4

5

6

04

Las Sanciones por incumplimiento en las Comunicaciones Comerciales02

Tras las ya conocidas sentencias a BBVA y Caixabank, recientemente ha sido un operador

como Vodafone quien ha sido sancionado. Analizando los motivos de la multa:

Se impone la sanción basándose no sólo en la Ley de Protección de Datos

(LOPDGDD) con 6 millones de euros, sino también en el incumplimiento de la Ley

General de Telecomunicaciones (LGT) con 2 millones de euros y la Ley de Sociedad

de la Información (LSSICE) con 150.000 euros.

Gran parte de la resolución se centra en todos los requisitos que tienen que ver con

las acciones comerciales de la compañía: recogida de consentimientos, bases

legitimadoras para los envíos, facilitar el ejercicio de los derechos de oposición de

clientes, promociones realizadas por terceros, uso de las listas Robinson, falta de

control en los tratamientos, etc. En este sentido, han tenido mucho peso en la

fijación de la sanción el carácter continuado de las infracciones (desde 2018), el

volumen de usuarios, el volumen de expedientes (162), el número de tratamientos

comerciales (200 millones), etc.

Uno de los aspectos sancionados es relativo al incumplimiento de los requisitos

para realizar una Transferencia Internacional de Datos, en concreto a una empresa

de Perú que actuaba como encargado de tratamiento.

Asimismo, hay que destacar la comisión de una infracción grave del artículo 73

LOPDGDD j), k) y p), por incumplimiento de las obligaciones relacionadas con la

diligencia debida a la hora de contratar a terceras compañías como encargadas de

tratamiento (y subencargados) que no ofrecen garantías suficientes ni son

monitorizados tras su contratación. Sin duda este es uno de los aspectos en los que

muchas compañías están poniendo el acento para realizar estudios de

confiabilidad en privacidad TPC (Third Party Compliance), antes de contratar

dentro de sus procesos de homologación y en dedicar los recursos adecuados a

realizar un seguimiento posterior del cumplimiento de tales requisitos.

Como conclusiones de este caso conviene resaltar:

Con esta sanción se comprueba cómo la Autoridad Española se va alineando a la

tendencia europea en el sentido de elevar las cuantías de las sanciones, en casos

que afectan especialmente a colectivos muy grandes de usuarios/clientes.

Las sanciones millonarias no solo van a recaer en entidades financieras, sino que

pueden recaer en entidades de otros sectores como es telecomunicaciones u

otros.

Resulta fundamental que todas las organizaciones lleven a cabo un ejercicio de

revisión de sus políticas de protección de datos, realizando un diagnóstico que

refleje las posibles desviaciones entre los procedimientos que ya se han

implantado y los criterios que la AEPD va fijando a través de estas recientes

resoluciones. Sin duda, llama la atención la elevada cuantía de estas sanciones,

pero las resoluciones de la Agencia siempre fueron, desde mucho antes del RGPD,

uno de los pilares fundamentales para generar criterios de interpretación para la

correcta aplicación de la norma en las empresas.

Y aunque, habrá que estar a las sentencias derivadas de los correspondientes

recursos, es fundamental revisar los modelos de privacidad de todo tipo de

entidades, en particular en lo relativo a las bases legitimadoras, la custodia de

consentimientos, las políticas de envíos comerciales y las cesiones de datos entre

empresas del Grupo.

05

La Protección de Datos es una materia que requiere de una enorme tecnificación y de

profesionales muy especializados porque a la propia complejidad de implantar los

requisitos normativos en una organización se le unen dos aspectos principales:

El impacto económico, reputacional y operacional que su incumplimiento

conlleva, y la correspondiente atención sobre estos riesgos en las capas

directivas de las empresas, y

La velocidad con la que ganan presencia los fenómenos como el Big Data, el

Cloud, la Inteligencia Artificial, y en general, la Transformación Digital de las

compañías, donde un correcto Gobierno de los Datos y su debida protección

son elementos nucleares para conseguir los objetivos que se persiguen.

1

2

06

ECIX es la solución en Protección de Datos para realizar Comunicaciones Comerciales seguras03

Mediante Consultoría especializada

Nuestro servicio experto en Protección de Datos para Comunicaciones Comerciales

cuenta con consultores que llevarán a cabo:

Revisión de las clausulas de consentimientos.

Definición y mantenimiento de la política de conservación de consentimientos.

Creación de los documentos de justificación y ponderación del interés legítimo.

El modelo operativo de gestión y contestación de derechos ARCOPOL a clientes.

La revisión de los textos de cada campaña comercial.

El análisis de datos ante quejas de clientes y derechos de oposición.

La revisión de contratos con agencias y proveedores.

La revisión del modelo de controles con tales terceros (TPC).

07

Mediante el uso de diferentes Tecnologías: Consent, Robinson, TPC y Cookies

Además de la consultoría ECIX cuenta con 4 tecnologías que permiten la puesta en

marcha de Comunicaciones Comerciales que verifiquen y evidencien los consentimientos

de los usuarios, así como el nivel de cumplimiento de las terceras partes que participan en

el proceso, tales como agencias de comunicación, cumpliendo las normas de protección

de datos.

Consent, Robinson y TPC son las soluciones para verificar y evidenciar el nivel de

cumplimiento de las terceras partes y agencias intervinientes así como los

consentimientos de los usuarios para las comunicaciones comerciales cumpliendo las

normas de protección de datos.

Permite gestionar millones de consentimientos de forma eficaz y centralizada.

Permite tener trazabilidad de todo el ciclo de vida del consentimiento.

Integración sencilla y transparente para usuarios y empleados mediante API.

Ecix funciona como tercero de confianza ante auditorías e inspecciones.

Cookies es la solución que permite cumplir con la última actualización de la AEPD para el

uso de Cookies, de Agosto de 2020, que establece nuevas obligaciones para las empresas

que son de imperativo cumplimiento desde el 31 de Octubre 2020. Esta solución te

permite cumplir con las nuevas directrices para así evitar riesgos y sanciones para tu

empresa, tanto desde el punto de vista técnico como jurídico.

Mitigamos el riesgo de

incumplimiento con una

solución completa que recoge

las obligaciones en

cumplimiento de Cookies de la

AEPD, y además almacena y

gestiona los consentimientos

aceptados o rechazados por tus

usuarios para poder tratar sus

datos personales cumpliendo

con los requisitos exigidos en el

RGPD, aprovechando los

beneficios del blockchain para

una trazabilidad irrefutable.

08

Las 5 claves para evitar sanciones en Protección de Datos con tus Campañas Comerciales04

Centraliza y certifica tus consentimientos online2Obtén consentimientos con facilidad a través de formularios integrables, en los

que el usuario elige qué aceptar, rechazar o modificar.

Gestiona el catálogo de consentimientos y preferencias de forma centralizada.

Todos los consentimientos obtenidos son custodiados por Consent, que actúa

como tercero de confianza.

Mantén actualizada la política de Cookies1Cumpliendo con la obligación existente desde el 31 de Octubre 2020.

Registra los consentimientos y revocaciones en blockchain3Sigue el rastro de cada consentimiento guardando todas las modificaciones.

Demuestra quién otorgó qué consentimientos, cuándo y a qué hora, en qué

condiciones y con qué preferencias (email marketing, etc).

Obtén un certificado con fuerza probatoria, válido en auditorías o juicios, en el

que Ecix Group actúa como tercero de confianza.

Verifica y evidencia los consentimientos para comunicaciones comerciales4Gestiona de forma global y centralizada las listas blancas para acciones

comerciales.

Minimiza posibles impactos reputacionales controlando y evidenciando el

cumplimiento en tus envíos comerciales.

Cumple con las exigencias del RGPD al contrastar con listas públicas de

consentimientos.

Verifica y evidencia el nivel de cumplimiento de terceras partes y proveedores5Conoce el nivel de cumplimiento de las agencias y los proveedores en su

proceso de homologación previo a contratarlos.

Establece un umbral de riesgos para asegurar que trabajas con empresas

confiables y con garantías en protección de datos.

Acredita ante las Autoridades de Control tu diligencia debida en la

precontratación, contratación de encargados de tratamientos y seguimiento y

monitorización durante el contrato.

Genera evidencias de cumplimiento en todo el proceso antes del envío de una

campaña comercial a través de un proveedor.

09

Ventajas de usar CONSENT, ROBINSON, TPC y COOKIES para tus Campañas Comerciales05

Ayudan a cumplir la política de Cookies exigida por la AEPD.

Ayudan a controlar y evidenciar el cumplimiento en los envíos comerciales.

Ayudan a controlar y evidenciar el cumplimiento de las terceras partes implicadas.

Evidencian los consentimientos obtenidos.

Ayudan a prevenir sanciones económicas. +114 millones de euros multas por

incumplimiento RGPD desde 2018.

Minimizan posibles impactos reputacionales.

1

2

3

4

5

6

10

ECIX Group06Como especialistas en Cumplimiento Normativo y Derecho Digital, ECIX Group puede

ayudarte a afrontar los retos a los que las funciones de Compliance, Riesgos, Privacidad y

Ciberseguridad se van a enfrentar en el nuevo escenario empresarial con nuestros

servicios especializados y herramientas pioneras.

ECIX: Asesorando desde hace más de 20 años en las áreas de

Compliance y Protección de Datos a las principales empresas

españolas. En ECIX prestamos un servicio de primer nivel mediante

un equipo de más de 150 profesionales especializados y una

Metodología propia fruto del resultado de la investigación y la

aplicación de las matemáticas y el Big Data.

www.ecixgroup.com

ELIX Regtech: Desarrollando herramientas desde 2002 que

ayuden a nuestros clientes en la identificación y gestión de riesgos

legales y empresariales. Desde soluciones de Protección de Datos,

Cookies, Consentimientos, GRC, evaluación de terceras partes

(TPC), Formación y Concienciación, etc.

www.elixregtech.com

Expertos en gestión de riesgos empresarialesMadridPaseo de la Castellana, 52.28046 Madrid(+34) 91 001 67 67

ZaragozaC/Zurita 10, entresuelo dcha.50001 Zaragoza(+34) 976 11 37 57

BarcelonaAvenida Diagonal, 468.08029 Barcelona(+34) 93 807 48 50