Marketing por Correo Electrónico: Normativa, Consentimiento y Protección contra Amenazas

El mundo del marketing digital está repleto de herramientas y estrategias, y el correo electrónico sigue siendo una de las más efectivas. Sin embargo, su uso conlleva responsabilidades legales y éticas que todo profesional del marketing debe conocer. Las comunicaciones comerciales por correo electrónico son una estrategia esencial para muchas empresas, pero también un terreno minado desde el punto de vista legal.

Regulaciones Legales y Éticas: Cumpliendo con la LSSI-CE y el RGPD

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) establece pautas claras para las comunicaciones comerciales por correo electrónico. Es crucial cumplir con los siguientes requisitos:

• Tener una relación contractual previa con el cliente. Antes de enviar cualquier tipo de comunicación comercial por correo electrónico, es imprescindible haber establecido una relación contractual previa con el cliente. Esto garantiza que las comunicaciones se realicen con individuos que han mostrado un interés previo en los productos o servicios ofrecidos.
• Obtener los datos de manera lícita. Todos los datos utilizados para enviar comunicaciones comerciales deben ser obtenidos de manera lícita y en conformidad con las leyes de protección de datos vigentes. Es fundamental respetar la privacidad y los derechos de los usuarios al recopilar y utilizar su información personal.
• Limitar las comunicaciones comerciales a productos o servicios similares a los contratados inicialmente. Las comunicaciones comerciales por correo electrónico deben limitarse a productos o servicios que sean similares o estén relacionados con los contratados inicialmente por el cliente. Esta restricción asegura que las comunicaciones sean relevantes y útiles para el destinatario, evitando así el envío de contenido no deseado o irrelevante.
• Asegurarse de que las comunicaciones comerciales se refieran a la propia empresa. Todas las comunicaciones comerciales deben hacer referencia clara y explícita a la propia empresa que las envía. Esto ayuda a mantener la transparencia y la confianza con los destinatarios, quienes deben poder identificar fácilmente el origen de los mensajes recibidos.

El envío de correos comerciales requiere consentimiento expreso y una base legal de tratamiento. Para ir sobre seguro, solicite el consentimiento expreso para todos sus correos electrónicos de marketing. Incluya en sus formularios casillas desmarcadas, enlaces de unsubscribe visibles y mencione siempre su identidad como remitente. Ofrezca a los consumidores la posibilidad de dejar de recibir correos electrónicos y respete sus peticiones. El destinatario del correo tiene derecho a darse de baja en cualquier momento, es decir, a oponerse a que le sigas enviando publicidad. Por ello, deberás facilitarle un medio para poder oponerse al tratamiento de sus datos con esta finalidad, que deberá ser sencillo y gratuito, incluyendo una dirección de correo electrónico u otra dirección electrónica válida para ello. Además, se deberá dar la posibilidad al destinatario a oponerse al tratamiento de sus datos con fines promocionales de forma gratuita y sencilla, y ello tanto al recabar los datos como en cada comunicación. En el caso en que se remita por correo electrónico, este derecho se deberá poder ejercer a través de este mismo medio en una dirección de correo electrónico válida.

Aquellas empresas que deseen enviar comunicaciones comerciales por correo electrónico deben ser conscientes de que están manejando una base de datos personales. Leyes de privacidad como el RGPD y la CCPA responsabilizan económicamente a las empresas si se produce una filtración de datos.

¿Qué es el SPAM?

“Correo electrónico no solicitado que se envía a un gran número de destinatarios con fines publicitarios o comerciales”. ¿Nos gusta recibir SPAM? NO, a nadie le gusta pasar un buen rato limpiando las bandejas de entrada de nuestros correos, eso sin contar con los peligros que pueden acarrear (estafas, virus, malware…). La Agencia Española de Protección de Datos (AEPD) ha impuesto multas a empresas por prácticas de spam que vulneran la normativa vigente. No puedes enviar correos electrónicos comerciales no solicitados o no deseados a personas que no hayan mostrado interés en recibir ese tipo de comunicaciones.

Masha Komnenic, asesora jurídica y directora de Privacidad Global Termly, nos comentaba que un cliente quería lanzar un producto innovador para su sector y había tenido a una persona de su empresa varias semanas recopilando cuentas de correo de las páginas web de sus posibles clientes. En cuanto le comentamos que no podía hacerlo nos respondió: ¿Cómo que no? Pues te equivocas. Rotundamente no. No, de ninguna manera. La respuesta parece obvia. Si estas comunicaciones se envían a través de correo electrónico, habrá que cumplir, también, la LSSI-CE.

Regulaciones en diferentes países

Dos leyes principales afectan al marketing por correo electrónico en Australia: la Ley de Spam de 2003 y el Reglamento de Spam de 2021. Las sanciones por infringir la CASL (Canadá) son severas. Al igual que para obtener el consentimiento expreso, también debe añadir una opción de exclusión en la parte inferior de todos sus correos electrónicos de marketing para cumplir los requisitos establecidos por las leyes federales de EE.UU.

Es importante destacar que, independientemente de los casos mencionados, debes asegurarte de cumplir con las regulaciones de privacidad y protección de datos vigentes en tu país, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea.

Tratamiento de Datos de Clientes Antiguos y Potenciales

Es esencial comprender cómo manejar los datos de clientes antiguos y potenciales:

• Para los antiguos clientes, es necesario obtener su consentimiento válido para enviarles publicidad después de finalizar la relación comercial.
• Para clientes potenciales, el consentimiento también es fundamental antes de enviarles correos electrónicos promocionales.

Además, está permitido cuando el cliente contrató con anterioridad productos o servicios que sean similares a los enviados en el correo comercial.

¿Qué dice la LOPD de este tema?

La LOPD, en su art.3, Definiciones, letra j dice: “A los efectos de la presente Ley Orgánica se entenderá por: … j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación”.

El Reglamento de desarrollo de la LOPD, nos aclara un poco más al respecto en su art. 7, Fuentes accesibles al público: “1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

1. El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
2. Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
3. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
4. Los diarios y boletines oficiales.
5. Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación”.

También se menciona algo más en el art. 45, Datos susceptibles de tratamiento e información al interesado: “1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos:

1. Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado.
2. Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad.

2. Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, deberá informarse al interesado en cada comunicación que se le dirija del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten, con indicación de ante quién podrán ejercitarse. A tal efecto, el interesado deberá ser informado de que sus datos han sido obtenidos de fuentes accesibles al público y de la entidad de la que hubieran sido obtenidos”.

¿Qué entiende la AEPD que serían “medios de comunicación” válidos?: diarios, radios, televisión. En ninguna de sus resoluciones o informes jurídicos se ha incluido Internet como fuente accesible al público y no lo es. Cuando incluimos nuestros correos electrónicos en nuestras webs lo hacemos para que nos localicen nuestros posibles clientes: ES NUESTRA FORMA DE PUBLICITAR NUESTROS SERVICIOS, totalmente legal. Nunca los exponemos para que otros se enriquezcan vendiendo esta información.

La LOPD afecta sólo al tratamiento de datos de personas físicas y regula los derechos y obligaciones en cuanto a esta información, incluida la contenida en una comunicación electrónica. La LSSI no distingue entre persona física y persona jurídica. La Nueva LOPD y Garantía de Derechos Digitales, a punto de aprobarse en España, adapta el RGPD a nuestro derecho.

Cómo Obtener Datos de Clientes Legalmente y Segmentar la Audiencia

Para lograr una comunicación de calidad con los clientes, necesitamos saber lo que piensan de la empresa. Cuanta más información conozcamos sobre el cliente, mejor. Podemos obtener esta información para resolver algún tipo de problema de los consumidores y satisfacer los deseos de sus clientes. Por lo tanto, necesita saber qué desean los clientes, tal vez qué tipo de mejoras debería añadir a su producto.

Métodos de Recopilación de Datos:

1. Formulario de Captación: La mejor manera de obtener datos legalmente es mediante un formulario de captación en donde sea el propio usuario el que aporte la información requerida (nombre y apellidos, números de teléfono y direcciones de correo electrónico). ¡Importante! De acuerdo con el GDPR, la CCPA, y simplemente las normas morales, debemos pedir el consentimiento de los usuarios para enviar correos electrónicos/notificaciones y utilizar la información recibida. Los usuarios deben marcar la casilla "Quiero recibir correos electrónicos". El RGPD exige que seas capaz de acreditar el consentimiento y por este motivo es imprescindible comprobar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección. En la LOPD se aceptaba como bueno el consentimiento tácito, a menos que se tratara de datos sensibles.
2. Formularios Web con Check Box: El consentimiento puede recabarse mediante un check box de aceptación al “aviso legal” o “política de privacidad”. Informar al usuario específicamente sobre este aspecto y de cualquier otra información.
3. Contenido Gratuito: Ofrezca al cliente que se inscriba en un curso gratuito, talleres, listas de control o similar para obtener la información que necesita.
4. Inicio de Sesión a Través de Redes Sociales: Ofrezca una alternativa al registro: el inicio de sesión a través de las redes sociales.
5. Correos Electrónicos de Bienvenida: Para generar confianza y conocer mejor a tus potenciales clientes, no utilices el "Hola, gracias por suscribirte. Adiós". En los correos electrónicos de bienvenida puedes pedir información de tipo demográfico o preferencias.
6. Encuestas de Opinión: Un correo electrónico de encuesta en el que se quiera averiguar la edad, la altura, el sexo y las preferencias de los clientes no debería enviarse más de 1 ó 2 veces al año. Y, por regla general, debe hacerse en un correo electrónico separado, en el que explique brevemente a los clientes para qué sirven estos datos. Si necesita conocer la opinión del cliente sobre usted, entonces la forma más tradicional, tal vez, será sólo un correo electrónico de activación después de una compra, una visita, el contacto con el apoyo, y así sucesivamente.
7. Entrevistas con Clientes: Conocer a los clientes online cara a cara es probablemente una de las mejores formas de averiguar qué piensan exactamente de tu herramienta, qué les gusta y qué echan en falta. Envíe correos electrónicos de invitación a entrevistas a sus clientes y programe llamadas de 30 minutos con ellos.
8. Información sobre Transacciones: Tu ESP (Proveedor de Servicios de Correo Electrónico) almacena los datos personales de los usuarios, como la edad y las preferencias. También puedes rastrear el número de compras, el importe, la fecha del pedido, etc.

Segmentación de la Audiencia:

La segmentación es la división de la audiencia en grupos. Realizamos este proceso basándonos en los datos de los usuarios. Sus géneros, estilos de vida, intereses, ubicación, etc.

1. Datos Demográficos y de Preferencias: Este subapartado incluye el estado civil del abonado, la presencia de hijos. Si uno de sus clientes es aficionado a la danza pero no tiene ansias de dibujar, es poco probable que se beneficie del mensaje sobre un nuevo suministro de pinturas y lienzos en su tienda. Las ofertas personalizadas en los correos electrónicos ya han sustituido a los correos promocionales genéricos. Para que la conexión con el cliente sea más fuerte, es importante crear una sensación de comunicación personal a través del correo electrónico. Para crear ofertas relevantes, hay que conocer las preferencias e intereses de los clientes.
2. Fechas de Nacimiento: ¿Conoces las fechas de nacimiento de tus clientes? ¡Genial! Felicítalos en su día tan especial.

Elegir la Plataforma Adecuada: Consideraciones Importantes

A la hora de seleccionar una plataforma de correo electrónico, es crucial tener en cuenta la ubicación de los servidores. Opta preferiblemente por proveedores con servidores en Europa para cumplir con las regulaciones de protección de datos. La ubicación de los servidores de la plataforma es un factor crucial a considerar. Optar por proveedores que alojen sus servidores en Europa puede garantizar un mayor cumplimiento con las estrictas regulaciones de protección de datos de la Unión Europea, como el Reglamento General de Protección de Datos (RGPD). Al mantener los datos dentro de la UE, se reducen los riesgos asociados con las transferencias internacionales de datos y se asegura un nivel adecuado de protección de la privacidad de los usuarios.

Protección contra Phishing y Malware: Identificando Amenazas

Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. El correo electrónico es un método habitual utilizado por los ciberdelincuentes para distribuir malware. Estos ataques se denominan phishing (suplantación de identidad).

Ejemplo de un intento de Phishing:

Nuestro equipo ha revisado un correo electrónico y ha descubierto que contiene una notificación falsa sobre una solicitud de cancelación de una cuenta de correo electrónico. El objetivo de este mensaje de phishing es robar información personal a través de un sitio web falso. Este intento de phishing se disfraza como una notificación de cuenta de correo web. Afirma que se está procesando una solicitud para cancelar la cuenta de correo web del destinatario y le insta a hacer clic en un enlace para reactivar la cuenta. Al hacer clic en el enlace proporcionado, se accede a un sitio web falso diseñado para parecer un sitio de inicio de sesión en una cuenta de correo electrónico. Una vez que los estafadores obtienen estos datos, pueden acceder al correo electrónico y posiblemente a otras cuentas (por ejemplo, redes sociales, juegos o banca). Además, los estafadores pueden vender la información robada a terceros (otros ciberdelincuentes). Este correo electrónico es un intento fraudulento de obtener credenciales de inicio de sesión dirigiendo a los destinatarios a una página de inicio de sesión falsa. Interactuar con ella puede dar lugar a cuentas comprometidas, uso indebido de información personal y posibles daños financieros o a la reputación.

Cómo identificar un correo de Phishing:

• Línea de Asunto Engañosa: Utilice siempre una línea de asunto clara y no engañosa cuando envíe correos electrónicos de marketing.
• Remitentes Desconocidos: Cuando reciba correos electrónicos o mensajes de remitentes desconocidos, especialmente aquellos que no haya solicitado o que sean irrelevantes, tenga cuidado, sobre todo si incluyen enlaces o archivos adjuntos.
• Solicitudes Urgentes de Información Personal: Los correos electrónicos de phishing suelen pedirte que hagas clic en un enlace o que proporciones información personal urgentemente.
• Errores Gramaticales y Ortográficos: Los correos de phishing a menudo contienen errores.
• Enlaces Sospechosos: No abra archivos ni enlaces en este tipo de mensajes.
• Datos de Inicio de Sesión Robados: Si se roban los datos de inicio de sesión, se deben cambiar las contraseñas de todas las cuentas que puedan verse afectadas.
• Archivos Adjuntos Maliciosos: En algunos casos, se utilizan correos electrónicos engañosos para distribuir malware. Además, los correos electrónicos fraudulentos pueden incluir enlaces a sitios web inseguros o pirateados que intentan descargar malware automáticamente o engañar a los usuarios para que lo descarguen ellos mismos. La probabilidad de tener malware en el sistema varía según el tipo de archivo. Los archivos ejecutables, como los .exe, pueden infectar un dispositivo tan pronto como se abren. El simple hecho de ver un correo electrónico es seguro.

Qué hacer si eres víctima de Phishing:

• Información de Tarjeta de Crédito Robada: Si ingresó la información de su tarjeta de crédito: comuníquese con su banco lo antes posible y explique la situación.
• Robo de Identidad: Si ve algún signo de robo de identidad: debe comunicarse de inmediato con la Federal Trade Commission.
• Archivo Adjunto Malicioso Abierto: Si abrió un archivo adjunto malicioso: su computadora probablemente esté infectada, debe escanearla con una aplicación antivirus confiable. Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo como Combo Cleaner.

Cómo protegerse:

• Software Antivirus: Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática.
• Precaución con Enlaces y Archivos Adjuntos: No abra archivos ni enlaces en correos o mensajes de remitentes desconocidos. Evite hacer clic en anuncios o ventanas emergentes de sitios web poco fiables y rechace cualquier solicitud para habilitar notificaciones de dichos sitios.
• Verificación de Encabezados de Correo: Toda esta información está en las cabeceras o encabezados de los correos. En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Los registros SPF, DKIM y DMARC han sido verificados correctamente.

Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes.