El email marketing es una herramienta poderosa para las empresas, pero su eficacia no solo radica en el contenido o la estrategia de distribución, sino también en el cumplimiento de las leyes y directrices establecidas. En España, así como en el resto de Europa, es fundamental conocer y respetar estas normativas para desarrollar campañas exitosas, éticas y legales.
En este contexto, el Reglamento General de Protección de Datos (RGPD) juega un papel crucial. El RGPD es una norma de la Unión Europea, de aplicación directa en los estados miembros, que entró en vigor en mayo de 2018. Su objetivo principal es proteger los datos personales de los ciudadanos de la UE. Por lo tanto, es vital que te asegures de obtener el consentimiento apropiado de los destinatarios de tus newsletters.
Principios Clave del RGPD para el Email Marketing
El RGPD establece que debes cumplir ciertos principios para recopilar los datos personales de tus suscriptores. Es necesario prestar especial atención a la recopilación de datos personales y garantizar que se cumple con el RGPD. Existe una serie de principios básicos sobre el tratamiento de datos personales según el RGPD.
1. Consentimiento Explícito
De acuerdo con el RGPD, es necesario que el consentimiento para el envío de newsletter sea explícito, es decir, que los usuarios deban realizar una acción activa para indicar que aceptan recibir el correo electrónico. El consentimiento del sujeto de los datos debe obtenerse antes de enviarles material comercial y el consentimiento debe estar activo.
En la práctica, esto significa que al residente de la UE que se almacena sus datos debe conocer a fondo los propósitos detrás de la recopilación de sus datos. ¿Es para ofrecerles sus servicios? ¿Es para discutir posibles asociaciones? ¿Es para explorar potenciales oportunidades de empleo?
El residente de la UE que quiera que sus datos sean procesados debería tener una predisposición positiva de compartir sus datos personales con usted. Esta indicación no puede basarse en el silencio, sino en unas casillas de consentimiento previamente marcadas, ¿cómo se traduce esto en la práctica?
La solicitud de consentimiento debe darse en un formato comprensible y de fácil acceso, con el propósito detrás del procesamiento de datos adjunto a ese consentimiento. Las personas podrán obtener información sobre si sus datos personales se están procesando, saber dónde se almacenan y para qué fines se utiliza su información. También podrán solicitar una copia de sus datos personales, sin cargo.
Cuando los usuarios se suscriban a tu newsletter o completen un formulario en el que dejen sus datos, no olvides añadir una casilla que indique “He leído y acepto la política de privacidad”, o algo similar.
Así mismo, es recomendable utilizar el doble opt-in para confirmar que el interesado realmente es quien se ha suscrito a la web o lista de correo y quiere recibir estas comunicaciones. Enviando un correo de validación del consentimiento, podrá en caso de control probar que ha obtenido el consentimiento del destinatario.
2. Fines Específicos
El consentimiento debe ser proporcionado para fines específicos, es decir, que la información sobre el uso que se dará a los datos debe ser clara y concisa. Los correos electrónicos de los prospectos deberán recopilarse y usarse para un propósito específico. El consentimiento debe darse para cada fin y no agruparse.
3. Derecho de Revocación (Derecho al Olvido)
El RGPD establece que los usuarios tienen derecho a revocar su consentimiento en cualquier momento sin que esto tenga consecuencias jurídicas o perjudique su relación con el remitente del correo electrónico. Los destinatarios tendrán el «derecho al olvido». El mejor consejo que le puede ofrecer un abogado es que mantenga los datos que realmente usa y elimine todo lo que no aporta valor agregado a su negocio.
Así mismo, se debe habilitar un método sencillo para que los interesados puedan revocar el consentimiento para recibir comunicaciones comerciales o darse de baja en la lista de correo.
4. Verificación del Consentimiento
Las empresas deben ser capaces de demostrar que han obtenido el consentimiento explícito y específico de los usuarios a través de la suscripción al newsletter. Al recabar el consentimiento, debes asegurarte de que este queda registrado. Recuerda que si tu producto o servicio está destinado a menores de 14 años, deberás verificar que el consentimiento para el tratamiento de datos lo han dado sus padres o tutores legales.
5. Calidad de los Datos
Los datos que pidas a tus clientes deben ser siempre los adecuados. Concretamente, especifica que podemos comunicar datos de carácter personal a un tercero solo para unos «fines directamente relacionados con las funciones legítimas» de la actividad en cuestión. Procura que los datos sean de calidad.
6. No Comprar Bases de Datos
De todas formas, no sólo no te aconsejamos comprar bases de datos, sino que está prohibido por la LOPD. La legislación española exige que el usuario dé su consentimiento expreso.
Inventario de Datos
- No considere que su base de opt-in adquirida en los últimos años cumple con el RGPD, eso es falso. Hacer un inventario de los datos que tiene (¿posee información geográfica? En el marco del RGPD, es conveniente verificar si ha guardado rastros del origen de sus contactos. ¿Provienen de una base opt-in recolectada a través de un formulario en su sitio web? ¿Provienen de una alianza de co-registro?
- Revise sus páginas de privacidad para ampliarlas, simplificarlas y, sobre todo, hacerlas compatibles con el RGPD.
- Una vez que haya podido poner en conformidad sus bases y sus procesos de comunicación, no deberá relajarse y será importante verificar siempre que sus bases sean compatibles con el RGPD a lo largo del tiempo.
- El proceso de cancelación debe ser claro y sencillo. El enlace de cancelación debe ser visible.
- Seguir las instrucciones de la Ley Española de Protección de Datos. Haber comunicado de la existencia de un fichero de datos personales a la Agencia Española de Protección de Datos. Cumplir lo que estipula la Ley de Servicios de la Sociedad de la Información.
- Informa de la recogida de datos personales en todo momento. Aunque actualmente estamos acostumbrados a dar nuestro correo electrónico constantemente, es probable que haya alguien que aún se sienta receloso si le piden datos de carácter personal. Por esa razón debemos informar del uso que le daremos a la información que le solicitamos.
- Acógete al secreto profesional. Todo aquél que acceda a un fichero de datos personales, tiene el deber y la obligación de mantenerlos en secreto. Dicha obligación no caduca, así que jamás podrás hacer públicos unos datos o usarlos para otro fin.
- La cesión de datos debe quedar igualmente protegida. Esta condición responde a la necesidad de blindar los datos personales para que no se cedan a países que no contemplen una protección similar a la española.
- La AEPD se encarga de velar por la protección de datos personales y de que se usen idóneamente. Además, exige que todo aquél que disponga de un fichero de datos personales se lo notifique.
Para comunicar al usuario de la recogida de datos existe el aviso legal. Crea uno que sea completo y útil, donde des información como la siguiente:
- Quién eres y tu domicilio social.
- La existencia de un fichero de datos personales y la utilización que le das.
- El derecho que tiene todo usuario a ejercer los derechos ARCO (Acceso, rectificación, cancelación y oposición).
Estos derechos simplemente recogen el permiso que tiene un usuario a conocer los datos personales que están en posesión de una empresa. Dicho usuario también puede modificar esos datos, cancelarlos u oponerse a su tratamiento. Estos derechos se suelen ejercer mediante la vía de contacto que tú mismo proporciones.
Contar con el Consentimiento y Relación Contractual Previa
Lo único que deberemos tener en cuenta es lo siguiente: Contar con el consentimiento del cliente. Añadir a nuestra base de datos solo a aquellos clientes que se hayan dado de alta o hayan mantenido una «relación contractual previa».
Publicidad sobre Productos Similares
Pongamos un ejemplo. Imagínate que dispones de una ecommerce de una misma tipología de productos. La respuesta es sí. Sin embargo, hay un matiz. La LSSI especifica que «el proveedor podrá mandar publicidad sobre servicios o productos similares a los que ha contratado el cliente».
Pues bien, imagínate ahora que eres una plataforma tan grande como Amazon. En cambio, jamás podrás enviarle publicidad sobre, por ejemplo, bricolaje y herramientas.
¿Está matando el RGPD al Email Marketing?
MarketingPlatform y el Cumplimiento del RGPD
En primer lugar, tenemos todos los datos en servidores ubicados en Dinamarca dentro de la Unión Europea. MarketingPlatform cumple con creces la GDPR de la UE y la Ley de datos personales. Nadie más tiene acceso a los datos que usted importa, recopila y almacena en MarketingPlatform.
La legislación GDPR establece que es importante evitar el almacenamiento de datos fuera de la UE, a menos que sea necesario. En MarketingPlatform, ayudamos a su empresa a cumplir con las leyes. Todos los datos se almacenan y procesan en nuestros servidores dedicados seguros, ubicados físicamente en Ballerup en Interxion. El centro de datos en Ballerup es un centro de datos TIER III +.
Los servidores están ubicados detrás de firewalls de alto rendimiento, se actualizan regularmente con las últimas versiones de los sistemas operativos y se escanean diariamente en busca de vulnerabilidades.
Como su procesador de datos, nuestra tarea más importante es garantizar que su negocio de una manera libre de preocupaciones pueda cumplir con su responsabilidad como controlador de datos. El dilema es el requisito documental frente al derecho a ser olvidado y eliminado, que no debe confundirse con la posibilidad de darse de baja de un newsletter o boletín informativo.
Como controlador de datos, asegúrese de que suceda y elimine cualquier comunicación con la persona. Al día siguiente, la persona elige acusar a su empresa de SPAM. Si una persona eliminada desea volver a registrarse, seleccione Volver a suscribir en la parte superior izquierda de la tarjeta de contacto.
Una ventana emergente dice que requiere una suscripción confirmada. Tras la reinscripción, la persona recibirá un correo electrónico de confirmación (SMS si el permiso está en SMS), donde el destinatario debe hacer clic activamente en un enlace de confirmación.
En MarketingPlatform, el permiso original, es decir, el contacto eliminado por GDPR, se conservará.
Si la persona decide darse de baja después de recibir un newsletter, el estado cambiará a Unsubscribed, es decir, no suscrito. La anulación pone en pausa la tarjeta de contacto mientras la eliminación borra toda la información innecesaria y bloquea directamente esa dirección de correo electrónico para que no se registre en otras listas.
Es importante distinguir entre una inscripción y una eliminación aprobada por GDPR.
Hemos elegido este procedimiento porque una persona que se ha dado de baja puede ponerse en contacto y solicitar datos registrados en una fecha posterior.
Todos los datos que importa al sistema de MarketingPlatform le pertenecen a usted y a su empresa. Somos solo su procesador de datos.
Además, hemos impedido que nuestros empleados identifiquen a las personas detrás de sus contactos en MarketingPlatform. De esta forma, aseguramos a las personas de la mejor manera posible los datos de su empresa. No es un requisito en la Ley de Datos Personales ni en el GDPR, sino una protección adicional que hemos proporcionado en MarketingPlatform.
Como siempre, nuestro equipo de atención al cliente estará disponible en caso que lo necesite.
Principales Diferencias entre Inscripción y Eliminación (GDPR) en MarketingPlatform
| Acción | Descripción | Estado del Contacto |
|---|---|---|
| Inscripción | Contacto se registra para recibir comunicaciones. | Activo (suscrito) |
| Darse de Baja (Unsubscribed) | Contacto elige no recibir más comunicaciones, pero su información se mantiene en pausa. | En Pausa (Unsubscribed) |
| Eliminación (GDPR) | Contacto es eliminado completamente del sistema, borrando información innecesaria y bloqueando el correo para futuras suscripciones sin consentimiento renovado. | Eliminado (Requiere Reinscripción Confirmada) |
Cumplimiento y Beneficios
Cumplir con las regulaciones de protección de datos en Europa te protegerá de posibles reclamaciones y sanciones que pueden afectar a la imagen de tu empresa. Al adherirse a estas normativas, las empresas no solo protegen a sus clientes y a sí mismas, sino que también construyen campañas más efectivas a largo plazo.