Adecuación de Awin al GDPR
Escrito por Cristina Sánchez el 9 minutos de lectura
Ofrecimos un webinar para explicar a nuestros Anunciantes y Afiliados todos los desafíos del RGPD y la adecuación al mismo.
El Reglamento General de Protección de Datos que entrará en vigor el próximo viernes 25 de mayo ha supuesto todo un reto y desafío a todas las empresas. Después de muchos meses trabajando sobre la adecuación del RGPD, Awin ha realizado un Webinar el pasado 21 de mayo para informar a todos sus anunciantes, afiliados y a todo el sector de los nuevos principios y obligaciones que el reglamento plantea, los retos a los que Awin se ha enfrentado, la base legal escogida para el tratamiento de datos y el status que Awin tomará dentro del RGPD en base a la actividad de marketing de afiliación que realiza.
Hay varios aspectos claves a tener en cuenta en el nuevo RGPD: en primer lugar el reglamento amplia el alcance puesto que también incluye dentro de su aplicación los datos seudónimos, obliga a las empresas a realizar una evaluación de impacto de protección de datos, aplica a todos los negocios que operen en la UE incluso aunque las acciones de recogida y tratamiento de datos se realice desde un país fuera de la EU y es legislación Europea de aplicación directa desde el 25 de Mayo de 2018 en todos los estados miembros.
El RGPD introduce algunos principios y conceptos fundamentales como la manera en que se deben de tratar los datos de manera justa, legal y transparente con respecto al interesado; toda recogida de datos debe de tener expresado y definido el propósito de los mismos; minimización de los datos, las empresas deben de plantearse usar los menos datos necesarios para seguir ofreciendo el mismo nivel de servicio (principio de minimización); los datos que ya no son necesarios para el cumplimiento de su propósito deben ser eliminados; el RGPR establece una responsabilidad proactiva por parte del responsable de tratamiento de datos ya que debe de demostrar el cumplimento de las obligaciones ante los individuos y la autoridad de control; en todos los nuevos proyectos y nuevas funcionalidades se deberá tener en cuenta el cumplimento de la normativa y intentar que por defecto sea lo menos intrusivo con cuanto a la privacidad de los datos.
El RGPD aumenta los derechos de los individuos de manera muy considerable y para ello dedica todo el capítulo III del Reglamento a la determinación de estos derechos y a establecer también los plazos, contenido y forma de como solicitarlos. Los derechos que contempla para los individuos son: el derecho a ser informado de la recogida de sus datos, propósito y tiempo que serán guardados; derecho a pedir y acceder a la información que las empresas tengan de sus datos; solicitar la eliminación de sus datos en base al “derecho al olvido” o rectificación de los mismos si son inexactos; derecho a restringir el procesamiento de sus datos para ciertos fines concretos; derecho a oponerse al tratamiento de sus datos si es para fines de marketing directo o para la generación de perfiles conductuales; derechos a poder transmitir su datos personales de un responsable de tratamiento de datos a otro; y por supuesto derecho a estar informado si existe cualquier violación de los datos que pueda tener impacto en sus datos personales.
Hay también otras dos definiciones básicas dentro del RGPD en cuanto a el status que las empresas pueden tomar bajo el RGPD:
- Responsable del tratamiento, es quién define el propósito y los medios del procesamiento de datos. Lo puede hacer en solitario o también conjuntamente, lo que se define como corresponsables del tratamiento de datos (Art.26) y el responsable tiene el control sobre el tratamiento de datos, entendiendo este como control en su amplio sentido y no solo a nivel técnico. El responsable del tratamiento deberá controlar pues se cumplan todas las obligaciones, responsabilidades, medidas de seguridad, etc. que el RGPD establece.
- Encargado del tratamiento, es quién procesara los datos en nombre del responsable del tratamiento, sus acciones están totalmente limitadas a las instrucciones e información que le transmita el responsable. No puede determinar por sí mismo ningún cambio o modificación en el tratamiento de datos que no este previamente aceptado y validado por el responsable y para ello es necesario firmar por tanto un acuerdo de tratamiento de datos entre el responsable y el encargado donde se detallarán todas las instrucciones.
Por ultimo también el RGPD establece una serie de supuestos para que el proceso de tratamiento de datos que realice una empresa puede ser considerado lícito, sólo con que se cumpla uno de esas casuísticas el tratamiento pues será considerado lícito. Estos supuestos son:
- El interesado de su explícito consentimiento especifico para uno o varios fines.
- El tratamiento es necesario para proteger un interés vital o un interés público del interesado.
- El tratamiento es necesario para la ejecución de un contrato donde el interesado es parte o participa en él.
- Para el cumplimiento de una obligación legal, en donde ese procesamiento sea vital.
- Para satisfacer intereses legítimos del responsable del tratamiento de datos o de un tercero, siempre que ese interés no prevalezca sobre intereses o derechos y libertades fundamentales del individuo, especialmente si este es un niño.
Ante todos estos retos que el contenido de RGPD planea, Awin ha realizado diferentes acciones para adecuarse al RGPD.
En primer lugar, se ha realizado una Evaluación del impacto de protección de datos, tanto de la tecnología de tracking y seguimiento como de la propia plataforma de afiliación, en dicha evaluación se ha determinado los datos que son tratados en todos y cada uno de los procesos, se ha establecido su propósito y evaluado su riesgo. Con esta evaluación también se han identificado una serie de medidas de protección y salvaguardias necesarias que se han puesto ya en marcha.
También la realización de esta Evaluación de impacto nos ha permitido poder tener toda la información para concluir que Awin puede seguir operando bajo el RGPD con la base legal de “interés legítimo” ya que todos los datos tratados en Awin están basado en el cumplimiento del seguimiento y trackeo base del marketing de afiliación y legítimo interés de Awin como responsable de tratamiento de dichos datos.
Awin conformó un equipo de trabajo interdepartamental que ha estado liderando toda la adecuación al RGPD y también ha designado diferentes Delegados de protección de datos en los diferentes países para facilitar a anunciantes y afiliados la consulta de dudas o aclaraciones que necesiten, en el caso de Awin ES dichas consultas pueden ser enviadas a spain-dpo@awin.com. Awin ha habilitado una sección GDPR dentro de la Home https://www.awin.com/es/gdpr en donde de manera continuada Awin informa sobre su adecuación al RGPD.
Awin ha realizado un taller sobre el RGPD a todos los empleados y ha desarrollado un programa continuo de capacitación en privacidad para los empleados de Awin.
Para determinar el status que Awin debe tener bajo el RGPD, en base a su actividad de marketing de afiliación, Awin solicito la opinión legal al respecto al bufete de abogados Sheridans. En la relación del marketing de afiliación sólo el Anunciante es el que puede determinar el propósito, porque es él quien decide si abrir o no un programa de afiliados en la plataforma Awin. Sin embargo, Awin también participa en la determinación del propósito del procesamiento, porque determina junto con el Anunciante el modelo económico del tratamiento, y además Awin determina los datos que se deben procesar para facilitar el trackeo. Por lo tanto, es Awin quien determina el cómo y los medios del tratamiento datos.
En base a esto, por tanto, sólo cabe la opción de que Awin tenga el estatus de “corresponsable de tratamiento de datos” junto con el Anunciante, teniendo pues que someterse a las mismas obligaciones y tendrá el mismo nivel de responsabilidad que los Anunciantes. El RGPD establece pues, que los corresponsables deberán de mutuo acuerdo establecer las obligaciones, responsabilidades, medidas de seguridad y la cooperación ante una violación de datos y es lo que Awin plantea a sus Anunciantes con la firma de un Acuerdo de Tratamiento de Datos.
En cuanto a los afiliados, la relación que Awin tendrá con ellos será también de “corresponsables de tratamiento de datos”. Los afiliados ya son responsables de tratamiento para todo aquello que realiza para sus propios fines, lo que hace en el caso de la colaboración con afiliación es ampliar ese alcance de responsabilidad también a los enlaces de afiliación.
El estatus de encargado de datos para los afiliados no reflejaría la realidad, puesto que el encargado no puede realizar ni tomar ninguna decisión que no haya sido previamente indicada por el responsable, esto en el negocio de la afiliación significaría instrucciones detallas muy al detalle con cada uno de los anunciantes con los que el afiliado colaborara y la menor modificación de ellas (en base a una mejor consecución de resultados) necesitaría una previa confirmación del responsable, por lo que esto conduciría a la a la parálisis de la colaboración en la realidad.
Por tanto, dentro del marketing de afiliación lo más adecuado desde el punto de vista de Awin es que tanto anunciantes, afiliados y plataforma de afiliación tomen el papel de responsables del tratamiento de datos, siendo pues corresponsables de dicho tratamiento. Sin embargo, esto no significa que sean responsables por los errores de los demás. Cada uno tendrá su única responsabilidad por sus propias acciones, ya que cada uno es responsable de su propio procesamiento.
Por ello Awin ha actualizado y adaptado los Términos y Condiciones de los afiliados al RGPD, sirviendo esto como base de acuerdo entre los afiliados y Awin y en donde se describe nuestro estado de responsables conjuntos con respecto al tratamiento de datos. Se ha incluido la aclaración de las responsabilidades del afiliado (punto 3.8) y también sus responsabilidades con respecto a las actividades de sus sub-afiliados.
Respecto a los datos Awin, tras todo el trabajo de adecuación al RGPD, puede indicar que todos los datos utilizados por Awin son seudónimos, no confidenciales, en gran parte técnicos y no relacionados con el comportamiento, las predicciones o las evaluaciones de los intereses del consumidor o personalidades.
Solo utilizamos datos de seguimiento, datos necesarios y relativo al seguimiento de las transacciones. Awin no desarrolla perfiles de usuarios conductuales dentro de su actividad de marketing de afiliación.
Awin ha tomado todas las medidas de seguridad técnicas y organizativas necesarias para proteger los datos contra pérdida, divulgación no autorizada u otras formas de uso indebido.
Los datos se almacenan en un entorno seguro que no es accesible al público. Con todas las mediadas y salvaguardias necesarias. En algunos casos, los datos han sido cifrados antes de la transmisión (por ejemplo, procesar sus datos de inicio de sesión).
Además, se han establecido todas las medidas y procedimientos para, de forma continuada, confirmar que los sistemas y entornos mantienen los estándares de seguridad necesarios.
Con todo lo expuesto en el Webinar, Awin considera estar adaptada al RGPD ante su eminente entrada en vigor.
Puedes volver a ver el Webinar en este post
Dudas o preguntas relacionadas sobre RGPD dirigirlas a spain-dpo@awin.com
Laura Ramos