Preguntas frecuentes sobre el RGPD
Objetivos del artículo
Consulta las preguntas frecuentes sobre el RGPD para ayudarte a cumplir con la normativa.
El RGPD es el Reglamento General de Protección de Datos, una ley promulgada por la Comisión Europea en 2016 que entró en vigor el 25 de mayo de 2018. Su objetivo es proteger la privacidad de todos los ciudadanos de la UE, incluso cuando esos ciudadanos interactúan con empresas situadas fuera de la Unión Europea, imponiendo normas en torno a los datos personales. Para obtener más información sobre el RGPD, consulta nuestra serie de blogs.
La información proporcionada aquí tiene un propósito educativo y no debe interpretarse como asesoramiento legal. Klaviyo alienta a todos sus clientes, así como a todos los comerciantes de ecommerce, que busquen asesoramiento legal para obtener orientación específica sobre cómo deben garantizar el cumplimiento con el RGPD.
¿Es legal que transfiera datos de mis clientes europeos a Klaviyo?
Sí. El RGPD reconoce una serie de mecanismos legales para transferir datos fuera de la UE. Tras la invalidación del marco del Escudo de la Privacidad entre la UE y EE. UU., en Klaviyo incorporamos las Cláusulas Contractuales Tipo de la Comisión Europea en nuestro Apéndice de protección de datos, el cual forma parte de nuestras Condiciones del servicio. Te recomendamos consultar con tu equipo legal para determinar cuál es el mecanismo de transferencia adecuado para cualquier transferencia de datos que pueda realizar tu organización.
Si no podemos demostrar la confirmación de suscripción explícita de los perfiles heredados, ¿hay alguna forma de confirmar el consentimiento por correo electrónico?Si no podemos demostrar la confirmación de suscripción explícita de los perfiles heredados, ¿hay alguna forma de confirmar el consentimiento por correo electrónico?
Antes de que el RGPD entrara en vigor (25 de mayo de 2018), te recomendábamos enviar una campaña de renovación de permisos a todos tus suscriptores en la UE. Sin embargo, ahora que el RGPD está en vigor, ya no recomendamos esta práctica. Antes de ponerte en contacto con cualquiera de tus clientes o suscriptores actuales para los que no puedas demostrar una confirmación de suscripción explícita, consulta con tu equipo legal.
¿Cómo demostramos el consentimiento, incluido el día en que un suscriptor confirmó su suscripción?¿Cómo demostramos el consentimiento, incluido el día en que un suscriptor confirmó su suscripción?
Además de utilizar la doble confirmación de suscripción, tienes que conservar el texto que se le mostró al consumidor en el formulario, correo electrónico o página web donde dio su consentimiento. Por lo tanto, tendrás que poder proporcionar tanto la fecha y hora en que se otorgó el consentimiento como el texto exacto al que la persona dio su aprobación.
Para los campos de correo electrónico de nuestros sitios web, ¿tenemos que añadir más casillas de verificación para que los clientes las marquen antes de enviar sus datos?Para los campos de correo electrónico de nuestros sitios web, ¿tenemos que añadir más casillas de verificación para que los clientes las marquen antes de enviar sus datos?
Klaviyo proporciona formularios que cumplen con el RGPD con varias casillas de verificación, lo que permite un consentimiento detallado (p. ej. consentimiento separado para marketing por correo electrónico y marketing por Facebook).
Tendrás que seleccionar formularios identificados como conformes con el RGPD y después personalizarlos según corresponda en función de tu programa de marketing. Si recopilas información personal sobre consumidores de la UE a través de otras plataformas, también tendrás que hacer cambios en esas plataformas.
¿Qué tipos de datos personales procesan, dónde se alojan, con quién se comparten y cuánto tiempo se conservan?¿Qué tipos de datos personales procesan, dónde se alojan, con quién se comparten y cuánto tiempo se conservan?
Encontrarás información sobre los datos que procesamos y las medidas que adoptamos para protegerlos en nuestro Apéndice de procesamiento de datos (DPA). Las medidas de seguridad se describen específicamente en el Anexo 2 del Apéndice. También puedes leer nuestras Condiciones del servicio completas.
¿Deberíamos actualizar la letra pequeña cuando capturamos correos electrónicos para incluir información sobre cómo se almacena su información en Klaviyo?¿Deberíamos actualizar la letra pequeña cuando capturamos correos electrónicos para incluir información sobre cómo se almacena su información en Klaviyo?
Sí, la letra pequeña debe actualizarse para reflejar las siguientes orientaciones para tus clientes y posibles clientes de la UE:
- Utiliza un lenguaje claro y sencillo que sea fácil de entender
- Especifica por qué deseas estos datos y qué vas a hacer con ellos
- Indica el nombre de tu organización y de los procesadores de terceros que vayas a utilizar
- Informa a las personas de que pueden retirar su consentimiento
¿Es necesario proporcionar correos electrónico de suscripción en el idioma local para cumplir con el RGPD?
No necesariamente. Los requisitos específicos pueden variar de un país a otro, por lo que te recomendamos que consultes con tu equipo legal sobre los requisitos específicos de cada país, pero Klaviyo proporciona un texto de confirmación de suscripción predeterminado en varios idiomas.
¿Es obligatorio obtener el consentimiento de los consumidores para todos los datos personales?¿Es obligatorio obtener el consentimiento de los consumidores para todos los datos personales?
Tu única opción para tener una base legal para recopilar o procesar datos sensibles es el consentimiento explícito. Para otros datos personales, puede haber varias opciones a la hora de establecer una base legal, pero el consentimiento es una en la que las organizaciones se basan con frecuencia.
Otras bases legales son:
- El procesamiento es necesario para la ejecución de un contrato o para tomar medidas a petición del interesado antes de celebrar un contrato
- El procesamiento es necesario para el cumplimiento de una obligación legal
- El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona
- El procesamiento es necesario para los intereses legítimos de la empresa y dichos intereses no se ven superados por los intereses o derechos fundamentales del interesado
- El procesamiento es necesario para realizar una tarea de interés público o para cumplir con las responsabilidades de un funcionario público
Te recomendamos consultar con tu equipo legal para determinar la base legal adecuada para el procesamiento de datos por parte de tu organización.
¿Se pueden anonimizar los datos para poder ver un perfil sin ver la información personal identificable?¿Se pueden anonimizar los datos para poder ver un perfil sin ver la información personal identificable?
Actualmente no permitimos que nuestros clientes anonimicen la información de un perfil, pero los datos anonimizados asociados a ese perfil permanecerán en la cuenta (por ejemplo, eventos de Pedido Realizado) para preservar la precisión de las métricas de rendimiento. Los datos pueden anonimizarse cuando se extraen del sistema, pero no dentro de Klaviyo, ya que tienes visibilidad completa de los datos incorporados en cualquier perfil.
De la misma manera, es posible eliminar contactos dejando un registro de la eliminación para demostrar cumplimiento, así como exportar todos los datos de un perfil específico si así lo solicita alguno de tus contactos.
¿Un correo electrónico de carrito abandonado cumple con el RGPD?¿Un correo electrónico de carrito abandonado cumple con el RGPD?
La respuesta a esta pregunta no está del todo clara. Sin embargo, muchas organizaciones consideran que aún se pueden enviar correos electrónicos de carrito abandonado sin consentimiento explícito para recibir comunicaciones de marketing sobre la base de un interés legítimo. Podrías considerar un correo electrónico de carrito abandonado como una comunicación pertinente en respuesta a la intención explícita de completar una transacción con tu negocio. Por otro lado, es posible que otros correos electrónicos activados por un flujo, como los de recuperación o abandono de la navegación, no estén permitidos a menos que los clientes hayan dado previamente su consentimiento para recibir correos electrónicos de marketing de una manera que cumpla con el RGPD.
Dicho esto, la aplicabilidad de los intereses legítimos u otra base legal dependerá de las circunstancias particulares, lo que incluye, por ejemplo, la cantidad y frecuencia de los correos electrónicos y el tiempo transcurrido desde que se abandonó el carrito. Te recomendamos encarecidamente que consultes con tu equipo legal sobre tus campañas de correo electrónico para asegurarte de que cumplen con la legislación aplicable.
¿El uso de Google Fonts cumple con el RGPD?¿El uso de Google Fonts cumple con el RGPD?
El uso de Google Fonts puede causar problemas de cumplimiento del RGPD, ya que el servidor de Google necesita la dirección IP del receptor para entregar las fuentes. Según el RGPD, una dirección IP se considera información personal, ya que puede utilizarse para identificar al usuario. Ten en cuenta que si incluyes Google Fonts en tu biblioteca de fuentes, se considera que estás utilizando Google Fonts.
Como alternativa a Google Fonts, Klaviyo proporciona una selección de fuentes alojadas en Klaviyo que puedes utilizar en tus formularios de registro, páginas de consentimiento y correos electrónicos. Su uso no requiere la IP del receptor.
Recursos adicionales