Tras nuestra primera ronda de #viernesinformativos que haremos cada dos viernes en las oficinas de Cysae (hoy sobre RGPD), podemos extraer las siguientes conclusiones conforme a las dudas planteadas:

1. ¿Que herramienta de newsletter recomiendas?
2. ¿Puedo enviar mensajes a antiguas bases de datos?
3. Si tengo un cliente y me pide la supresión o la portabilidad, ¿debo cancelar su contrato?
4. ¿Cómo me aseguro que he borrado todos los datos sobre un cliente?
5. ¿Qué servicio cloud recomiendas? ¿Dropbox, Gdrive, servidor privado?

1. ¿Que herramienta de newsletter recomiendas?

Tras el análisis de distintas herramientas disponibles en el mercado, hemos visto que la inmensa mayoría de clientes utilizan o Mailchimp o Mailpoet.

MailChimp es un servicio independiente. Por lo tanto, se puede usar desde muchas plataformas para crear sitios web. Es una opción ideal si el sitio web no está en WordPress porque permite a los desarrolladores integrarlo en aplicaciones web mediante API. Además, MailChimp ofrece estadísticas detalladas para cada envío o integrar los productos de la empresa en el boletín de noticias y recopilar estadísticas que le permiten ver el % de las ventas realizadas a través del correo electrónico.

En cuanto a la seguridad de los datos personales, MailChimp se encuentra perfectamente adaptada al RGPD. Con ello, consigue que los datos no se vendan ni comercialicen. Además, ni los propios empleados tienen acceso a los datos que se registran en la aplicación.

Por otro lado, MailPoet es una extensión, lo que significa que es exclusivo para usuarios de WordPress. La principal ventaja es que permite administrar todo desde su tablero, por lo que no es necesario crear una cuenta en otro lugar. Sin embargo, MailPoet no cuenta con la mejor de las políticas de seguridad en cuanto a protección de datos personales. Si bien se encuentra adecuada al RGPD, la entidad contrata servicios de terceros para mantener sus propios servicios. Además, los propios empleados tienen acceso a todos los datos registrados.

Así, MailPoet es recomendable a todos aquellos que quieran sencillez y facilidad, antes que plena seguridad.

2. ¿Puedo enviar mensajes a antiguas bases de datos?

El RGPD obliga a que todo tratamiento de datos esté legitimado, principalmente en cuatro elementos:

– Consentimiento: tengo el consentimiento informado del interesado.
– Cumplimiento de relación contractual: es necesario para cumplir con un contrato.
– Interés legítimo: un interés de la entidad responsable relacionado con la finalidad del tratamiento y que no prevalezcan los derechos de los afectados.
– Obligación legal: me obliga la ley a ello.

Si obtuve mi base de datos conforme a alguna de estas modalidades, puedo seguir enviando mensajes.

El problema es que 1) los consentimientos antiguos no valen porque la información que ha de proporcionarse a los afectados a cambiado y los requisitos del consentimiento también, y 2) que no es fácil justificar en un interés legítimo el envío de mensajes, y menos aún comunicaciones comerciales. ¿Puedo?: Depende.

3. Si tengo un cliente y me pide la supresión o la portabilidad, ¿debo cancelar su contrato?

En el primer caso, definitivamente sí. El ejercicio del derecho de supresión implica que el responsable del tratamiento (la entidad) deberá eliminar todos los datos del cliente, por tanto, no podría ser cliente por pura lógica. En este caso, convendría informarle al cliente de esta situación; que dejaría de tener la condición de cliente.

Por otro lado, no siempre estamos obligados a suprimir los datos de quien nos lo solicita. En este sentido, si el tratamiento se basó en el mero consentimiento, sí, pero no en otros casos. En el caso de clientes, el tratamiento se basó en el cumplimiento de la relación contractual, por tanto, si esta finaliza, deberán suprimirse los datos.

El derecho a la portabilidad no necesariamente implica la supresión de los datos, por tanto, un cliente podrá solicitar la portabilidad pero, si no solicita la cancelación del contrato y/o la supresión de sus datos, el contrato seguirá vigente.

4. ¿Cómo me aseguro de que he borrado todos los datos sobre un cliente?

Si datos constan en soporte automatizado (formato electrónico), la supresión implica que los datos no puedan ser recuperados con posterioridad, por ningún medio, alcanzando la totalidad de las bases de datos, archivos y copias de seguridad, ello con independencia de que los datos se encuentren en un software almacenado en recursos corporativos o en un SaaS, en dispositivos de almacenamiento externo o en los propios equipos de la entidad.

5. ¿Qué servicio de almacenamiento cloud recomiendas? ¿Dropbox, Gdrive, servidor privado?

Analizado el ‘Google Security Whitepaper’ de G Suite (donde se encuentra Google Drive) comprobamos que la seguridad y la protección de los datos se encuentra presente en los criterios de diseño, cumpliendo en su totalidad con el RGPD.

En primer lugar, Google cuenta con una fuerte cultura de seguridad que se traslada en todos sus empleados, los cuales son analizados previamente a formar parte del equipo y, una vez forman parte de la entidad, reciben formación en seguridad y protección de manera constante.

En segundo lugar, Drive combina un modelo de seguridad y una infraestructura de nube que no depende de una sola tecnología para garantizar la seguridad. Google crea seguridad a partir de capas progresivas que proporcionan verdadera defensa en profundidad.

En tercer lugar, G Suite permite a los administradores la exportación y la eliminación de los datos de los clientes en cualquier momento, cumpliendo así con uno de los principios del RGPD. A su vez, los usuarios de G Suite pueden usar la funcionalidad de consola y los servicios administrativos que ofrece la aplicación para acceder, rectificar, restringir el procesamiento o bien eliminar información, de ellos o bien de interesados, que se haya depositado en el sistema.

En cuarto lugar, G Suite cuenta con un mecanismo certificado por las Autoridades Europeas de Protección de Datos, a través del cual facilitan las transferencias de datos personales fuera de la Unión Europea cumpliendo con los requisitos del Reglamento.

Por último, Drive cuenta con verificaciones independientes de los controles de seguridad, privacidad y cumplimiento, sometiéndose de manera periódica a varias auditorías de terceros independientes para proporcionar esta seguridad (ISO 27001, ISO 27017, ISO 27018, SSAE16/ ISAE 3402).

Por ello, recomendamos siempre la unificación de todos los sistemas de almacenamiento compartidos de que actualmente disponen las entidades en G Suite.