Zoho CRM en cumplimiento de GDPR

La mera protección de los datos personales de un cliente no es suficiente. GDPR requiere transparencia y seguridad en la gestión de los datos personales. Cumpla con GDPR en su recopilación y procesamiento de datos a través de Zoho CRM.

  • Funciones
  • Preguntas frecuentes

Recopilación de datos

Realice el seguimiento de las fuentes de los datos de sus clientes y valide el interés del cliente en su servicio antes de iniciar el procesamiento de su información.

Seguimiento de la fuente de datos

Con múltiples fuentes para datos del cliente (formularios web, importaciones, creaciones manuales, API o integraciones de terceros), puede realizar un seguimiento exhaustivo bajo los detalles de registro del cliente. En el caso de formularios web, se capturarán detalles adicionales, como el nombre de formulario y la dirección IP.

Doble aceptación

Si activa el mecanismo de doble aceptación para formularios web, los clientes que envíen su información tendrán que confirmar el envío antes de que sus datos se inserten en Zoho CRM. La doble aceptación lo ayuda a obtener clientes potenciales de calidad y le permite dedicar tiempo y recursos a la gente que quiere estar en contacto con usted.

Procesamiento de datos

Asegúrese de realizar un procesamiento legal y seguro de los datos personales de sus clientes. Tenga siempre respuestas al documentar las actividades de procesamiento que realiza sobre los datos del cliente.

Base de procesamiento de datos

Puede identificar, clasificar y marcar a los clientes basándose en una de las seis bases legítimas para el procesamiento de datos: interés legítimo, consentimiento, ejecución de un contrato, obligaciones legales, interés vital o interés público.

Formulario de consentimiento

En función del tipo de cliente y la información personal que se procesa, deberá solicitar su consentimiento. Puede obtener fácilmente el consentimiento a través de un formulario personalizable que puede enviar por correo electrónico a sus clientes. 

Marcar campos personales

Puede marcar los campos que contienen información personal y decidir si la información es confidencial o no. Según las preferencias en la configuración de Cumplimiento, puede restringir la información en estos campos para su procesamiento durante exportaciones, API y servicios conectados.  

Encriptado en reposo (EAR)

Zoho CRM utiliza uno de los cifrados más fuertes y más sólidos, AES (estándar de encriptado avanzado), para encriptar los datos confidenciales. Además de proteger los datos en tránsito, Zoho CRM asegura los datos almacenados en servidores utilizando el estándar de encriptado AES-256 para asegurar el anonimato de la información del cliente, en caso de fuga o violación.

Registro de auditoría

Monitoree las actividades de su equipo con registros de auditoría, y realice un seguimiento de qué hizo cada integrante y en qué momento. Por ejemplo, se auditarán todas las acciones que realicen sus usuarios con respecto a la eliminación y modificación de registros.

Derechos de sujetos de los datos

Los clientes pueden ejercer diversos derechos que les corresponden en virtud de GDPR en cualquier momento. Mantenga un seguimiento de estas solicitudes y cumpla con ellas de manera oportuna.

  • Acceso (Derecho de acceso) 

    Permita a sus clientes acceder a sus datos a través del Portal de clientes. O infórmeles que pueden acceder a ellos a través de un mensaje de correo electrónico que puede crear insertando campos de combinación obligatorios en una plantilla. 

  • Rectificar (Derecho de rectificación)

    Exporte la información de los clientes con facilidad, envíesela para que la rectifique y actualícela en CRM. Si los clientes tienen acceso al Portal de clientes, pueden ver y actualizar su información, cuando sea necesario.

  • Exportar (Derecho a la portabilidad de datos)  

    Exporte la información del cliente como un archivo CSV, adjunto directamente a un correo electrónico, y luego envíesela al cliente. Esta exportación asegura que no haya información almacenada en dispositivos externos.

  • Detener el proceso (Derecho a restringir el procesamiento)

    Cuando se ejerza este derecho, el registro del cliente se bloquea automáticamente para evitar cualquier otro procesamiento de la información.

  • Borrar (Derecho al olvido) 

    Puede eliminar fácilmente la información de un cliente desde Zoho CRM cuando se solicite el "Derecho al olvido". Una vez eliminado, el registro se colocará en una lista de bloqueo para advertir a los usuarios cuando el mismo registro se introduzca nuevamente en el sistema.

Preguntas frecuentes

1. ¿Qué es GDPR y cómo afectará a las organizaciones?
El Reglamento General de Protección de Datos (o GDPR) es un nuevo reglamento desarrollado por la Unión Europea (UE) que involucra la protección y la libre circulación de datos personales, y los derechos de personas, incluidos los niños. Es un conjunto de reglas que sustituirá a la actual Directiva de protección de datos (Directiva 95/46/CE), y se aplicará en toda la UE. GDPR le dará mayor control a los residentes de la UE, ya que les permitirá elegir cómo quieren que se procesen sus datos y, a su vez, protegerá la privacidad de sus datos. 
2. ¿Sobre quién aplica GDPR?
GDPR se aplicará a empresas establecidas en la UE, así como a empresas que hacen negocios con residentes de la UE, independientemente de la ubicación de la empresa.
3. ¿Sobre qué tipo de datos se aplica GDPR?
GDPR se aplica exclusivamente a los datos personales. Datos personales definidos como "cualquier información relativa a una persona identificada o identificable, o al sujeto de los datos". Esto incluye el nombre, la dirección de correo electrónico, la ubicación y otros identificadores en línea, tales como la dirección IP, el perfil de redes sociales, y los tipos de cookies de sitios web, del sujeto de los datos (cliente). 
4. ¿El cumplimiento de GDPR se aplicará a todos los módulos en Zoho CRM?
El cumplimiento con GDPR solo es aplicable para los módulos relacionados con personas en la organización. En Zoho CRM, GDPR se aplica a los clientes potenciales, los contactos, los proveedores y los módulos personalizados. 
5. ¿Quiénes son los principales interesados en GDPR?
  • Sujeto de los datos Toda persona cuyos datos personales se recopilan y procesan.
  • Controlador de datos La persona que determina el propósito y los métodos para el procesamiento de los datos.
  • Controladores conjuntos Dos o más controladores que determinan conjuntamente los objetivos y los métodos del procesamiento de datos.
  • Procesador de datos La persona o la empresa que procesa los datos en nombre del controlador.
  • Procesador secundario de datos Un tercero, persona o empresa, que realiza el procesamiento de datos para otras empresas y es responsable del procesamiento de los datos.
  • Autoridades supervisoras Las autoridades públicas que supervisan la aplicación de GDPR.
6. ¿Cuáles son las bases legales que el controlador de datos puede utilizar para procesar datos de los clientes?
El controlador de datos puede elegir entre seis bases de procesamiento de datos. A saber:
  • 1. Contrato. Se aplica cuando necesita procesar los datos personales del cliente para cumplir sus obligaciones contractuales o tomar algunas medidas basadas en la solicitud del cliente (por ejemplo, enviar un presupuesto o factura).
  • 2. Obligación jurídica. Esto se aplica cuando se tiene que cumplir con una obligación en virtud de cualquier ley aplicable (por ejemplo, proporcionar información en respuesta a solicitudes válidas, como una investigación por parte de una autoridad). 
  • 3. Intereses vitales. Esto se aplica a cuestiones urgentes de vida o muerte, especialmente en lo que respecta a datos relativos a la salud.
  • 4. Función pública. Esto se aplica a actividades de las autoridades públicas. 
  • 5. Intereses legítimos. Los intereses legítimos pueden incluir intereses comerciales, como marketing directo, intereses individuales o beneficios sociales más amplios. El controlador debe documentar y mantener un registro de las decisiones sobre intereses legítimos en la forma de Evaluación de intereses legítimos.
  • 6. Consentimiento. El consentimiento es también una base legal para procesar datos. El consentimiento del sujeto de los datos significa "cualquier indicación libre, específica, informada y clara de los deseos del sujeto de los datos mediante la cual él o ella, a través de una declaración o una acción afirmativa evidente implica aceptación del procesamiento de los datos de carácter personal que le conciernan".
7. ¿Qué es LIA?
LIA significa Legitimate Interests Assessment (evaluación de intereses legítimos). Especifica la razón por la que una empresa desea procesar los datos personales del cliente. La empresa también debe realizar una evaluación LIA para demostrar que el procesamiento es necesario.
  • Evaluar si existe un interés legítimo.
  • La determinación de la necesidad de procesamiento.
  • Los resultados de la prueba de equilibrio.
 
8. ¿Quién o qué es un DPO?
Un oficial de protección de datos (DPO) lo ayuda a monitorear el cumplimiento interno, informa y asesora sobre sus obligaciones en materia de protección de datos, ofrece asesoramiento sobre las evaluaciones de impacto de protección de datos (DPIA) y actúa como punto de contacto entre los sujetos de los datos y la autoridad supervisora.
Un DPO sirve también como punto de contacto entre la empresa y las autoridades de supervisión (SA), que supervisan las actividades relacionadas con el procesamiento de datos. Se recomienda que cada organización tenga una DPO. 
9. ¿Cómo puede habilitarse GDPR para clientes existentes?
Para habilitar GDPR para clientes existentes, haga clic en Configuración > Usuarios y control > Configuración de conformidad, active la configuración de conformidad y seleccione los módulos para los cuales se aplicará el cumplimiento.   
10. ¿Qué ocurrirá con mis datos existentes en Zoho CRM tras la implementación de GDPR?
Luego de la entrada en vigencia de GDPR el 25 de mayo, todos los registros existentes en su cuenta de Zoho CRM se deberán encuadrar en la base de procesamiento legal apropiado. Usted puede hacer esto a través de:
  • La página de introducción
  • Vista de lista del módulo correspondiente
  • Registros individuales
11. ¿Cómo lo ayuda Zoho CRM en el trayecto de cumplimiento GDPR?
Estas son las formas mediante las cuales Zoho CRM le permite realizar el

Seguimiento de la fuente de datos. Zoho CRM registra la fuente de los datos (fuentes directas como formularios web y fuentes indirectas como la interfaz de usuario, las importaciones, las API y otras integraciones de terceros), y detalles adicionales, si los hubiere (p. ej., una URL, una dirección IP), en la página de detalles del registro. Estos detalles se comparten con el cliente, bajo petición.

Marcar campos personales. Los usuarios tienen la opción de marcar los campos que contienen datos personales y marcar los campos confidenciales.

Derechos de los sujetos de los datos. Sus clientes también tienen derecho a solicitar el acceso a sus datos, su rectificación, eliminación, exportación y restricción de procesamiento. Como el controlador de datos, usted debe realizar esas acciones. 
12. ¿Qué derechos tienen los sujetos de los datos bajo GDPR en Zoho CRM?
En Zoho CRM, los sujetos de los datos tendrán cinco de los ocho derechos fundamentales conforme a GDPR:
  • Derecho de acceso: Los clientes tienen derecho a conocer exactamente qué información hay sobre ellos y cómo se procesa. GDPR (Artículo 15).
  • Derecho de rectificación. Las personas o clientes tienen derecho a rectificar sus datos personales, en caso de que sean inexactos o estén incompletos. (Artículo 16).
  • Derecho de portabilidad. La información específica del cliente se puede exportar, adjuntar a un correo electrónico y enviar a los clientes en un formato legible por máquina (CSV), sin tener que descargarlo en un dispositivo (Artículo 20).
  • Derecho a restringir el procesamiento. Las personas tienen derecho a limitar los propósitos de procesamiento de datos por parte del controlador. (Artículo 18)
  • El derecho de eliminación. También conocido como el "Derecho al olvido", las personas tienen derecho a que se borren o eliminen sus datos cuando quieran. (Artículo 17).
13. ¿Cuáles son las diferentes maneras en que se puede obtener el consentimiento del cliente?
Se puede obtener el consentimiento del cliente, ya sea por correo electrónico (incorporado en el correo electrónico o un formulario de consentimiento adjunto al correo electrónico), portales, oralmente o mediante llamadas telefónicas.
14. ¿Qué ocurrirá si las organizaciones no cumplen con GDPR?
Las organizaciones pueden recibir multas de hasta un 4 % de su facturación global anual, o 20 millones de euros (lo que sea mayor), por las faltas o infracciones más graves en torno a los datos, incluso por no tener el consentimiento suficiente del cliente para procesar datos o por infringir los conceptos de Privacy by Design (Privacidad por diseño). 
Pueden recibir multas de un 2 % de su facturación global anual, o 10 millones de euros (lo que sea mayor), por no tener sus registros en orden, obviar notificar a la autoridad supervisora y al cliente acerca de una infracción, o por no realizar una evaluación LIA correctamente. 
15. Mi negocio no tiene sede en la UE. Tampoco tengo clientes de la UE. ¿Aún así debo cumplir con la ley GDPR?
GDPR no es obligatoria si usted no tiene un negocio en la UE o su trabajo no involucra residentes de la UE. Sin embargo, si desea garantizar una óptima seguridad y privacidad de los datos de los clientes, es recomendable tener activa la opción de cumplimiento con GDPR. Para hacerlo, haga clic en Configuración > Usuarios y control > Configuración de Conformidad y active la opción.
16. ¿El encriptado de datos es obligatorio bajo GDPR? 
No, el encriptado de datos de clientes no es obligatorio bajo GDPR. Sin embargo, Zoho CRM le permite encriptar campos manualmente en la página de propiedades del campo.
17. ¿Puedo utilizar el campo encriptado en un formulario web?
Sí, puede utilizar un campo encriptado en el formulario web. 
18. He desactivado la opción de cumplimiento. ¿Cómo afectará esto a la actual base de procesamiento de datos de mis registros?
Si desactiva esta opción desde la página de configuración de cumplimiento, las actividades de procesamiento que había hecho previamente con la información del sujeto de los datos se vuelven ineficaces y los datos se procesarán sin ninguna base. 
19. ¿Los clientes pueden eliminar o quitar sus datos de Zoho CRM?
Los clientes pueden utilizar su Derecho de eliminación (también conocido como "Derecho al olvidado") (Artículo 17) para solicitar que sus datos personales se eliminen o quiten de CRM. Como controlador de datos, tendrá que borrar los datos en caso de que el cliente lo solicite, a menos que tenga obligaciones jurídicas primordiales para conservar los datos (véase el Artículo 17 de la ley GDPR de la UE). 
20. ¿Cómo puede el controlador de datos mantener un seguimiento de las diferentes actividades de procesamiento de datos que han tenido lugar en Zoho CRM?
El controlador de datos puede ir a la vista de línea de tiempo existente en Zoho CRM y realizar un seguimiento de las actualizaciones y los cambios realizados en las actividades de procesamiento de datos de registros individuales. 
21. ¿La doble aceptación es obligatoria para el procesamiento de datos?
No, la doble aceptación no es obligatoria para el procesamiento de datos. Sin embargo, sí se recomienda una doble aceptación para asegurarse de que los clientes estén realmente interesados en el producto. Bajo la doble aceptación, los clientes recibirán un correo electrónico adicional para confirmar su identidad, una vez que se hayan suscrito a través de formularios web.
22. ¿Qué ocurre con los datos si el cliente no responde a un correo electrónico de consentimiento dentro de cierto período? 
Si el cliente no responde a un correo electrónico de consentimiento, los controladores de datos pueden decidir cuánto tiempo quieren esperar una respuesta. Una vez que se supera ese período, el estado de los registros será "Sin respuesta" y los datos no se procesarán. 
23. ¿Cómo puede el controlador de datos clasificar los campos en Zoho CRM?  
El controlador de datos tiene la opción de marcar los campos del usuario como personal y confidencial en Zoho CRM. El controlador también puede decidir si desea restringir estos campos de actividades como exportaciones, API y otros servicios conectados de Zoho CRM. (Libros, Finanzas, Campañas, etc.) 
24. ¿Puedo filtrar clientes potenciales y contactos dependiendo de la base de procesamiento de datos? 
Sí, puede filtrar clientes potenciales y contactos en función de su base de procesamiento de datos.
25. ¿Los sujetos de los datos pueden editar o eliminar sus propios datos antes de dar su consentimiento a los controladores de datos?  
Sí, los sujetos de los datos pueden editar y actualizar sus datos personales, mediante el Derecho de rectificación (Artículo 16) y el Derecho de eliminación (Artículo 17). 
26. Quién puede acceder a la Configuración de Conformidad de Zoho CRM?
Quienes tengan el perfil de administrador pueden acceder a la Configuración de Conformidad de Zoho CRM. 
27. ¿Con qué frecuencia puedo revisar la base legal del procesamiento de datos? 
Como controlador de datos, debe revisar periódicamente la base legal bajo la cual se procesan los datos. Esto se debe a que la base legal bajo la cual se procesan inicialmente los datos personales y la finalidad de la recopilación de datos pueden cambiar con el tiempo.  
28. Mis datos están actualmente en el centro de datos de EE. UU. ¿Cómo puedo migrar estos datos al centro de datos de la UE para que cumplan con GDPR? 
GDPR no exige que los datos estén solo dentro de las fronteras de la UE. Esto realmente proporciona grandes mecanismos de transferencia para el libre flujo de datos hacia y desde países fuera de la UE.
 
Algunos de estos mecanismos de transferencia son las normas corporativas vinculantes (Artículo 47), la Protección de Privacidad y las cláusulas contractuales modelo, entre otros. Por lo tanto, si usted tiene datos en los EE. UU. (zoho.com) y ha firmado el Anexo de Procesamiento de Datos (DPA), sus datos están seguros. 
 
El DPA, que hace referencia a las cláusulas contractuales modelo de la UE, seguirá siendo útil en la transferencia de datos desde países no pertenecientes a la UE. Si quiere que le enviemos el DPA actualizado, envíe un correo electrónico a gdpr-compliance@zohocorp.com y mencione claramente si se ha suscrito en zoho.com o zoho.eu
 
Sin embargo, si tiene verdadera urgencia para migrar sus datos a la DC de la UE, puede enviar un correo electrónico a security@zohocorp.com y mencionar todos los servicios que está utilizando. Este correo electrónico se enviará a los equipos de productos correspondientes.
29. ¿Dónde puedo encontrar recursos adicionales sobre GDPR? 
A continuación, encontrará algunos enlaces para obtener lecturas adicionales sobre GDPR:
  • bsi-assurance
  • Protección de Privacidad
  • TRUSTe
  • SOC

Descargo de responsabilidad: El contenido presentado en este documento no debe interpretarse como asesoramiento jurídico. Póngase en contacto con su asesor legal para saber cómo afecta GDPR a su organización y qué debe hacer para cumplir con esta norma.