Email Marketing y Protección de Datos: Cumpliendo con el RGPD y la LOPD
En el mundo del marketing digital, el email marketing sigue siendo una herramienta poderosa para conectar con audiencias y promover productos o servicios. Sin embargo, su eficacia no solo radica en la calidad del contenido o en la estrategia de distribución, sino también en el cumplimiento de las leyes y directrices establecidas.
En España, así como en el resto de Europa, es fundamental conocer y respetar estas normativas para desarrollar campañas exitosas, éticas y legales. Las leyes de marketing digital tienen como objetivo proteger la privacidad de los usuarios y asegurar prácticas justas en el comercio electrónico.
Cómo preparar tu blog y adaptar tus estrategias online al RGPD (GDPR)
El Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (LOPD) (Reglamento (UE) 2016/679) -o GDPR- entra en vigor el 25 de mayo de 2018. Esta nueva regulación va a cambiar la forma en que podremos recopilar, compartir, usar y destruir los datos de los residentes europeos. El GDPR, implementado en mayo de 2018, impuso cambios significativos en la forma en que las empresas deben manejar la información personal de los ciudadanos de la UE.
A partir de la implantación de la nueva LOPD europea tendrá que tener más cuidado con los datos personales que procesa. GDPR regula cómo podemos procesar los datos personales.
Ambas legislaciones demandan el consentimiento explícito de los usuarios para recibir comunicaciones comerciales por correo electrónico, asegurando la privacidad y protección de datos. Los remitentes deben incluir información legal en los correos, como la identidad y la posibilidad de darse de baja.
Además, estas leyes regulan la gestión y tratamiento de datos personales, imponiendo procedimientos claros para ejercer derechos. Esto suele lograrse a través de un proceso de suscripción voluntaria (opt-in).
Las autoridades pueden imponer sanciones económicas significativas por violaciones a la privacidad y protección de datos, generando pérdida de recursos. En España, la Agencia Española de Protección de Datos (AEPD) es responsable de hacer cumplir estas regulaciones y puede imponer multas significativas a las empresas que no las acaten.
Al adherirse a estas normativas, las empresas no solo protegen a sus clientes y a sí mismas, sino que también construyen campañas más efectivas a largo plazo.
El RGPD es un reglamento de la legislación europea destinado a proteger los datos personales de todos los ciudadanos de la UE. A grandes rasgos, este reglamento obliga a todas las empresas y profesionales independientes que recopilen los datos de los usuarios a conseguir su consentimiento antes de utilizar su información personal.
El RGPD entrará en vigor el 25 de mayo de 2018 y ¡muchas empresas aún no están preparadas! Como actor garante de la calidad de sus bases de datos, CaptainVerify le ayuda en la implementación de la conformidad RGPD de su estructura.
Principios Clave para el Cumplimiento del RGPD en Email Marketing
1. Consentimiento Explicito
El consentimiento del sujeto de los datos debe obtenerse antes de enviarles material comercial y el consentimiento debe estar activo. El cliente potencial también tendrá que ser informado, lo que significa que tendrá que conocer información específica sobre la empresa y remitente que se lo envía.
En la práctica, esto significa que al residente de la UE que se almacena sus datos debe conocer a fondo los propósitos detrás de la recopilación de sus datos. ¿Es para ofrecerles sus servicios? ¿Es para discutir posibles asociaciones? ¿Es para explorar potenciales oportunidades de empleo?
El residente de la UE que quiera que sus datos sean procesados debería tener una predisposición positiva de compartir sus datos personales con usted. Esta indicación no puede basarse en el silencio, sino en unas casillas de consentimiento previamente marcadas, ¿cómo se traduce esto en la práctica?
La solicitud de consentimiento debe darse en un formato comprensible y de fácil acceso, con el propósito detrás del procesamiento de datos adjunto a ese consentimiento. Las personas podrán obtener información sobre si sus datos personales se están procesando, saber dónde se almacenan y para qué fines se utiliza su información. También podrán solicitar una copia de sus datos personales, sin cargo.
Cuando los usuarios se suscriban a tu newsletter o completen un formulario en el que dejen sus datos, no olvides añadir una casilla que indique “He leído y acepto la política de privacidad”, o algo similar.
2. Propósito Especifico
Los correos electrónicos de los prospectos deberán recopilarse y usarse para un propósito específico. El consentimiento debe darse para cada fin y no agruparse.
3. Derecho al Olvido
Los destinatarios tendrán el «derecho al olvido». El mejor consejo que le puede ofrecer un abogado es que mantenga los datos que realmente usa y elimine todo lo que no aporta valor agregado a su negocio.
4. Opt-in y Doble Opt-in
La obtención del consentimiento está en el corazón de esta nueva normativa y recolectar direcciones correctamente a través de un proceso de opt-in ya no es suficiente hoy en día.
El opt-in pasivo consiste en marcar por defecto la casilla que indica que el usuario acepta recibir sus comunicaciones, incluso las de sus socios. La noción de prueba también es indispensable, de ahí la importancia de implementar el doble opt-in en su sitio. Enviando un correo de validación del consentimiento, podrá en caso de control probar que ha obtenido el consentimiento del destinatario.
5. Calidad de los Datos
Los datos que pidas a tus clientes deben ser siempre los adecuados. Concretamente, especifica que podemos comunicar datos de carácter personal a un tercero solo para unos «fines directamente relacionados con las funciones legítimas» de la actividad en cuestión.
Procura que los datos sean de calidad.
6. No Comprar Bases de Datos
De todas formas, no sólo no te aconsejamos comprar bases de datos, sino que está prohibido por la LOPD. La legislación española exige que el usuario dé su consentimiento expreso. Así pues, asegúrate de facilitar a tus clientes la aceptación del aviso legal cuando les propongas suscribirse a tu Newsletter.
Cómo Adaptar tu Estrategia de Email Marketing al RGPD
1. Inventario de Datos
No considere que su base de opt-in adquirida en los últimos años cumple con el RGPD, eso es falso. Hacer un inventario de los datos que tiene (¿posee información geográfica? En el marco del RGPD, es conveniente verificar si ha guardado rastros del origen de sus contactos. ¿Provienen de una base opt-in recolectada a través de un formulario en su sitio web? ¿Provienen de una alianza de co-registro?
2. Revisar y Ampliar las Páginas de Privacidad
Revise sus páginas de privacidad para ampliarlas, simplificarlas y, sobre todo, hacerlas compatibles con el RGPD.
3. Mantener la Conformidad a lo Largo del Tiempo
Una vez que haya podido poner en conformidad sus bases y sus procesos de comunicación, no deberá relajarse y será importante verificar siempre que sus bases sean compatibles con el RGPD a lo largo del tiempo.
4. Proceso de Cancelación Claro y Sencillo
El proceso de cancelación debe ser claro y sencillo. El enlace de cancelación debe ser visible.
5. Requisitos Legales
Sin embargo, para llevarla a cabo, primero necesitas cumplir los siguientes requisitos legales, marketing legal:
- Seguir las instrucciones de la Ley Española de Protección de Datos.
- Haber comunicado de la existencia de un fichero de datos personales a la Agencia Española de Protección de Datos.
- Cumplir lo que estipula la Ley de Servicios de la Sociedad de la Información.
6. Informar sobre la Recogida de Datos
Informa de la recogida de datos personales en todo momento. Aunque actualmente estamos acostumbrados a dar nuestro correo electrónico constantemente, es probable que haya alguien que aún se sienta receloso si le piden datos de carácter personal. Por esa razón debemos informar del uso que le daremos a la información que le solicitamos.
Para comunicar al usuario de la recogida de datos existe el aviso legal. Crea uno que sea completo y útil, donde des información como la siguiente:
- Quién eres y tu domicilio social.
- La existencia de un fichero de datos personales y la utilización que le das.
- El derecho que tiene todo usuario a ejercer los derechos ARCO (Acceso, rectificación, cancelación y oposición).
No te asustes, estos derechos simplemente recogen el permiso que tiene un usuario a conocer los datos personales que están en posesión de una empresa. Dicho usuario también puede modificar esos datos, cancelarlos u oponerse a su tratamiento. Estos derechos se suelen ejercer mediante la vía de contacto que tú mismo proporciones.
7. Secreto Profesional
Acógete al secreto profesional. Todo aquél que acceda a un fichero de datos personales, tiene el deber y la obligación de mantenerlos en secreto. Dicha obligación no caduca, así que jamás podrás hacer públicos unos datos o usarlos para otro fin.
8. Protección en la Cesión de Datos
La cesión de datos debe quedar igualmente protegida. Esta condición responde a la necesidad de blindar los datos personales para que no se cedan a países que no contemplen una protección similar a la española.
En principio, no deberías tener problemas. La LOPD es una transposición de la Directiva 95/46/CE de protección de datos de la Unión Europea, así que puedes estar tranquilo si la plataforma está ubicada en la UE.
También puedes respirar aliviado si la plataforma está en Estados Unidos. Actualmente existe el Privacy Shield, un tratado entre EEUU y la UE para regular y proteger las transferencias de datos internacionales.
9. Notificar a la AEPD
La AEPD se encarga de velar por la protección de datos personales y de que se usen idóneamente. Además, exige que todo aquél que disponga de un fichero de datos personales se lo notifique.
Es muy importante dar de alta el fichero en la AEPD. De lo contrario, estarías cometiendo una infracción leve y te podrían sancionar con una multa que iría de los 900€ hasta los 40.000€. La cantidad dependería de los beneficios obtenidos por el tratamiento de datos.
Comunicar a la Agencia Española de Protección de Datos que dispones de un fichero de datos de carácter personal es muy sencillo. La única pega es que necesitas un certificado de firma electrónica para terminar el proceso. Si no dispones de uno, deberás imprimir el resguardo y llevarlo a la sede de la AEPD, en Madrid.
10. Contar con el Consentimiento y Relación Contractual Previa
Lo único que deberemos tener en cuenta es lo siguiente:
- Contar con el consentimiento del cliente.
- Añadir a nuestra base de datos solo a aquellos clientes que se hayan dado de alta o hayan mantenido una «relación contractual previa».
11. Publicidad sobre Productos Similares
Pongamos un ejemplo. Imagínate que dispones de una ecommerce de una misma tipología de productos. La respuesta es sí. Sin embargo, hay un matiz. La LSSI especifica que «el proveedor podrá mandar publicidad sobre servicios o productos similares a los que ha contratado el cliente».
¿Qué significa eso? Pues bien, imagínate ahora que eres una plataforma tan grande como Amazon. En cambio, jamás podrás enviarle publicidad sobre, por ejemplo, bricolaje y herramientas.
MarketingPlatform y el Cumplimiento del RGPD
En primer lugar, tenemos todos los datos en servidores ubicados en Dinamarca dentro de la Unión Europea. MarketingPlatform cumple con creces la GDPR de la UE y la Ley de datos personales. Nadie más tiene acceso a los datos que usted importa, recopila y almacena en MarketingPlatform.
La legislación GDPR establece que es importante evitar el almacenamiento de datos fuera de la UE, a menos que sea necesario. En MarketingPlatform, ayudamos a su empresa a cumplir con las leyes. Todos los datos se almacenan y procesan en nuestros servidores dedicados seguros, ubicados físicamente en Ballerup en Interxion. El centro de datos en Ballerup es un centro de datos TIER III +.
Los servidores están ubicados detrás de firewalls de alto rendimiento, se actualizan regularmente con las últimas versiones de los sistemas operativos y se escanean diariamente en busca de vulnerabilidades.
Como su procesador de datos, nuestra tarea más importante es garantizar que su negocio de una manera libre de preocupaciones pueda cumplir con su responsabilidad como controlador de datos. El dilema es el requisito documental frente al derecho a ser olvidado y eliminado, que no debe confundirse con la posibilidad de darse de baja de un newsletter o boletín informativo.
Como controlador de datos, asegúrese de que suceda y elimine cualquier comunicación con la persona. Al día siguiente, la persona elige acusar a su empresa de SPAM. Si una persona eliminada desea volver a registrarse, seleccione Volver a suscribir en la parte superior izquierda de la tarjeta de contacto.
Una ventana emergente dice que requiere una suscripción confirmada. Tras la reinscripción, la persona recibirá un correo electrónico de confirmación (SMS si el permiso está en SMS), donde el destinatario debe hacer clic activamente en un enlace de confirmación.
En MarketingPlatform, el permiso original, es decir, el contacto eliminado por GDPR, se conservará.
Si la persona decide darse de baja después de recibir un newsletter, el estado cambiará a Unsubscribed, es decir, no suscrito. La anulación pone en pausa la tarjeta de contacto mientras la eliminación borra toda la información innecesaria y bloquea directamente esa dirección de correo electrónico para que no se registre en otras listas.
Es importante distinguir entre una inscripción y una eliminación aprobada por GDPR.
Hemos elegido este procedimiento porque una persona que se ha dado de baja puede ponerse en contacto y solicitar datos registrados en una fecha posterior.
Todos los datos que importa al sistema de MarketingPlatform le pertenecen a usted y a su empresa. Somos solo su procesador de datos.
Además, hemos impedido que nuestros empleados identifiquen a las personas detrás de sus contactos en MarketingPlatform. De esta forma, aseguramos a las personas de la mejor manera posible los datos de su empresa. No es un requisito en la Ley de Datos Personales ni en el GDPR, sino una protección adicional que hemos proporcionado en MarketingPlatform.
Como siempre, nuestro equipo de atención al cliente estará disponible en caso que lo necesite.
Principales Diferencias entre Inscripción y Eliminación (GDPR) en MarketingPlatform
| Acción | Descripción | Estado del Contacto |
|---|---|---|
| Inscripción | Contacto se registra para recibir comunicaciones. | Activo (suscrito) |
| Darse de Baja (Unsubscribed) | Contacto elige no recibir más comunicaciones, pero su información se mantiene en pausa. | En Pausa (Unsubscribed) |
| Eliminación (GDPR) | Contacto es eliminado completamente del sistema, borrando información innecesaria y bloqueando el correo para futuras suscripciones sin consentimiento renovado. | Eliminado (Requiere Reinscripción Confirmada) |
Principalmente, no puedes olvidar que para tener los datos de una persona en tu base de datos y utilizarlos para fines comerciales debes contar previamente con su consentimiento. Los menores de 16 necesitan la autorización de sus padres para dar ese consentimiento. Para el usuario tiene que ser sencillo poder anular el consentimiento.
Si no es así, te recomendamos que confirmes su consentimiento enviándoles un correo electrónico en el que les preguntes si desean continuar en tu base de datos para recibir información comercial.
Aunque actualmente estamos acostumbrados a dar nuestro correo electrónico constantemente, es probable que haya alguien que aún se sienta receloso si le piden datos de carácter personal. Por esa razón debemos informar del uso que le daremos a la información que le solicitamos.
¿Respiras más aliviado? Si tu respuesta es sí, entenderás la sensación que tienen los usuarios cuando reciben publicidad no deseada en su bandeja de entrada.
Si necesitas ayuda para cumplir con la RGPD, LOPD y LSSI, no dudes en contactar con nosotros. En Microlab Hard somos una empresa que brindamos servicios integrales, desde consultoría hasta soporte, para instalaciones informáticas y sistemas de protección.