¿Te preocupa perder la mayoría de tus suscriptores por el RGPD? ¿Sabías que el 25 de mayo de 2018 no fue el final del proceso, sino tan sólo el principio? ¿Quieres saber cómo evitar el desastre en tu lista?
Si hay algo que trae de cabeza a los emprendedores digitales o a aquellos emprendedores que tienen parte de su negocio en Internet, es el tema de la protección de datos. Y no es casual. Tener un negocio en Internet (rentable) pasa por gestionar una base de datos de clientes y potenciales clientes. Y, por supuesto, pasa por hacer Email Marketing.
El RGPD no trata única y exclusivamente sobre la captación de datos a través de formularios de diversa índole. Pero, si hay una ley que te afecta a la hora de hacer Email Marketing, esa es precisamente el RGPD. Ten en cuenta que el Email Marketing se basa completamente en el tratamiento de esos datos para poder ofrecer solo el contenido y los productos o servicios de interés a cada suscriptor de tu lista en el momento oportuno.
Ahora estas siglas están muy de moda porque a partir del 25 de mayo de 2018 la ley es de obligado cumplimiento. A pesar de todo lo que hayas oído por ahí (que si se va a acabar el mundo, que si vas a perder todos tus suscriptores…) la cosa no es tan grave. No en vano, en España ya estábamos «sufriendo» una ley (la LOPD, ¿te suena) que era de las más restrictivas del mundo (restrictiva para los que nos dedicamos al marketing, claro está).
Te voy a ser sincero, la mayoría de mis clientes me miran con cara de póker cuando les hago la pregunta acerca del origen de los datos de que disponen de sus clientes.
«Sí, tengo el correo de mis clientes de cuando me compran en la tienda online». Pero, ¿sabías que no es legal utilizar esos datos a tu antojo?
Y no solo eso, sino que el tema del consentimiento, que es sobre lo que pivota todo el espíritu del RGPD, es algo que choca con las creencias de casi cualquier emprendedor.
Tengo las respuestas a las preguntas más frecuentes sobre el RGPD
No me atrevo a decir que estamos ante un cambio de paradigma, ya que en España ya teníamos una de las leyes más (si no la que más) duras del mundo en esta materia. Pero sí hay un empeño por parte del legislador en que los emprendedores seamos conscientes de una realidad: Los datos de nuestros usuarios no son nuestros, sino que les pertenecen a ellos.
Hoy tengo el honor de traer a una invitada de lujo. Se trata de Marina Brocca, experta en protección de datos en el ámbito digital.
¿A qué me expongo si no trato correctamente los datos de mis clientes y potenciales clientes? ¿Qué cambios tengo que hacer en mis formularios de contacto? ¿Tengo que eliminar a mis contactos actuales? ¿Qué pasa con mi proveedor de Email Marketing? ¿Cumple con el RGPD?
A continuación, Marina responde a las dudas más frecuentes respecto al tratamiento de datos cuando se trata de hacer Email Marketing.
¡Allá vamos!
¿Qué es el RGPD? ¿Cuándo tengo que adaptarme?
El nuevo reglamento europeo de protección de datos (RGPD) es la regulación que unifica y armoniza todas las regulaciones europeas en materia de protección de datos de cada uno de los estados miembros. Debemos tener en cuenta que no tiene sentido que en un mercado globalizado como el que representa la Unión Europea y en plena eclosión digital en donde gran parte de los negocios se desarrolla de forma digital, cada país europeo tenga su propia regulación en materia de protección de datos personales.
Por otra parte, era necesario una regulación que recogiera la transformación digital y el impacto que esta tiene en la gestión de la información personal. Estamos hablando de un tratamiento intensivo de datos personales, tecnología big data, herramientas para segmentar datos, para monitorizar comportamientos, para establecer perfiles, toda una transformación en la manera en que las empresas pueden obtener información y gestionarla que no estaba contemplada en la LOPD. Piensa simplemente en la cantidad de herramientas que utiliza un simple blog para gestionar la información:
- Herramientas de análisis: Google Analytics, Semrush, Bing, etc.
- Herramientas de conversión, como plataformas de Email Marketing, herramientas de afiliación, etc.
- Herramientas de comunicaciones: redes sociales, sistemas de mensajería, webinars, chat online, etc.
- Herramientas de captación: AdWords, Adsense, Facebook Ads, Twitter Ads, etc.
Y eso por nombrar algunas. Necesitábamos una regulación que pusiera un poco de orden a toda esta eclosión de herramientas y estrategias de gestión de información personal. Por otra parte, El RGPD propone un marco legal único para todos los ciudadanos europeos en torno a la protección de datos, si no necesitamos pasaporte para circular entre los estados miembros, no es lógico que nuestros datos sí lo necesiten.
Hay que adaptarse en el momento en que se tratan datos personales de otros. Cualquier profesional o empresa que para el desarrollo de su actividad trate datos de personas, como clientes, usuarios de la web, suscriptores, colaboradores, empleados, etc. debe acatar esta regulación. También cualquier empresa fuera de la unión europea que trate datos de ciudadanos europeos.
Utilizo un proveedor de Email Marketing (GetResponse, Mailchimp, ActiveCampaign…), ¿quién se tiene que encargar de dar de alta los ficheros?
Lo de dar de alta los ficheros pasó a la historia. Era un requisito puramente formal que a efectos prácticos no resolvía nada. El RGPD es mucho más práctico y suprime toda burocracia injustificada. Se centra en lo que de verdad importa: la gestión segura y responsable de la información.
Respecto a tu pregunta, tendrás algunas tareas que hacer para asegurarte de que esa elección no va a suponer un problema para tu negocio. En primer lugar, verificar dónde están ubicados los servidores de tu proveedor de Email Marketing ¿en Europa o fuera? Si están en Europa, no supone una transferencia internacional de datos, así que solo deberás verificar que esa herramienta cumple con el RGPD y ya sé que me preguntarás cómo haces esto, muy sencillo, busca su política de privacidad, deberán indicar si cumplen o no y ver si su propia plataforma, cumple con los requisitos exigidos y que son muy visible y notorios para cualquier web.
En caso de que esté fuera, deberás comprobar si pertenece a algún país en dónde la unión europea se haya pronunciado favorablemente y se consideren países con un nivel adecuado de protección para comunicar datos ya que cuentan con regulaciones análogas a la europea, aquí los puedes comprobar
Luego están las empresas con sedes en EEUU. Este país no tiene un nivel adecuado de protección y por tanto, las empresas con sede en EEUU deben adherirse a acuerdos internaciones, en este caso, a Privacy Shield. Si están adheridas, no tienes de qué preocuparte. Puedes consultar si tus herramientas cumplen con el acuerdo Privacy Shield aquí.
En todos los casos, deberás informar en tus políticas y elementos informativos cuáles son tus proveedores con acceso a datos de los que eres responsable, dónde residen, que garantías aportan. Recuerda que el RGPD exige máxima diligencia en la contratación de presentadores a quienes se comuniquen datos, por tanto, eres responsable de la elección de esos prestadores y de cualquier socio tecnológico. Debes asegurarte de elegir solo los que aporten garantías suficientes.
Si no estoy dado de alta como autónomo, ¿estoy obligado a cumplir con el RGPD?
Absolutamente, no importa tu condición fiscal. Si tratas datos personales de otros, estás obligado a respetar sus derechos.
Esto no es un tema simplemente legal, es un tema de principios y de responsabilidad. La gente que te confía su información espera que trates sus datos de forma que no vulnere sus derechos y, por tanto, no puedes recabar ni tratar datos de otros si no conoces y respetas esos derechos.
¿Te imaginas alguien preparando tu comida y que no conozca las normas de higiene y sanitarias mínimas para tratar esos alimentos? Con los datos personales es igual, no puedes tratar datos de otros ni sabes cómo hacerlo con garantías.
Una de las razones por los que la ley exige identificar al prestador es para que los usuarios sepan quién es el responsable de gestionar sus datos y anteponer una denuncia si sienten que sus derechos han sido vulnerados o si necesitan ejercer cualquiera de los derechos que tienen en materia de protección de datos, como acceder, rectificar, limitar el tratamiento, etc.
Como usuario, ¿qué derechos tengo y cómo puedo ejercerlos?
Como usuario, te asisten varios derechos sobre la información que te conciernen:
- Tienes derecho a que se te informe adecuadamente y prestar tu consentimiento o no con lo informado antes de requerirte cualquier tipo de dato personal. Esto exige a los prestadores la necesidad de obtener un consentimiento expreso de los usuarios o clientes para poder gestionar sus datos, con nuevos mecanismos para obtenerlo y acreditarlo.
- El derecho a la transparencia informativa, esto implica ofrecer a usuarios y clientes información completa y clara sobre el uso de su propia información personal, desechando fórmulas legales farragosas e incomprensibles para el ciudadano medio..
- El derecho al acceso fácil a la información que te concierne, de allí el nuevo derecho de portabilidad, que permite traspasar los datos de un usuario que lo requiera de un prestador a otro y la exigencia de informar por capas para que la información más importante sobre el tratamiento de esos datos esté expuesta a primera vista.
- El derecho al olvido y al de oponerte incluso al uso de datos personales a efectos de establecimiento de perfiles.
- El derecho a limitar el uso de tu información personal a determinadas finalidades.
Si ya tengo una lista de suscriptores, ¿qué trámites tengo que realizar? ¿Tengo que volver a suscribirles? Si no lo hacen, ¿tengo que eliminarlos?
El RGPD plantea otra dimensión del consentimiento que será la que “certifique” la voluntad del usuario. Se exige que el consentimiento sea expreso, específico, inequívoco y verificable, es decir, todos esos registros incluidos en tu lista, deben cumplir con esos requisitos. Estos nuevos requisitos harán que tu lista de suscriptores no tenga la legitimidad suficiente o no puedan acreditarse esa legitimidad de forma efectiva y por tanto, debas regularizar esa lista. En este post te explico cómo.
¿Puedo dar de alta como suscriptores a mis clientes (que no son suscriptores en el momento de la compra)?
Puedes hacerlo pero si obtienes el consentimiento con esa nueva finalidad para el tratamiento. Recuerda que todo tratamiento necesita de una base legal que legitime ese tratamiento, y la única manera de incluir a tus clientes en tu lista es que les hayas informado previamente y hayas obtenido su consentimiento para recibir tu boletín.
Recuerda además que uno de los requisitos del consentimiento para que sea válido es que sea especifico, es decir, que esté asociado a una finalidad concreta. Si yo te doy mis datos con la finalidad de que me prestes un servicio, tú no puedes utilizar esa información para meterme en tu lista porque esa es otra finalidad para la que no he sido informada ni se me ha pedido permiso.
Así que la respuesta es no, a menos que hayas informado y requerido el consentimiento con esa finalidad, y sin olvidar de generar un mecanismo que permita luego acreditarlo, recuerda que otro requisito es que sea verificable, así que deberías llevar también un registro de esos consentimientos.
Si ya hacía doble opt-in, ¿tengo que volver a pedir el consentimiento a partir de mayo?
El tema es saber si ese doble opt-in está precedido de la información apropiada o no y si guardas un registro de ese log que permita acreditarlo. Recuerda que el consentimiento solo será válido si está asociado a una información previa, en donde tienes que informar sobre una serie de supuestos a ese afectado como:
- Los datos de contacto del Delegado de Protección de Datos (en el caso de un blog, no sería necesario).
- La base jurídica o legitimación del tratamiento.
- El plazo o los criterios de conservación de la información.
- La existencia de decisiones automatizadas o elaboración de perfiles.
- La previsión de transferencias a terceros países.
- El derecho a presentar una reclamación ante las Autoridades de Control y además, en el caso de que los datos no se obtengan del propio interesado.
- El origen de los datos.
- Las categorías de los datos.
Por tanto, a menos que ese doble opt-in esté asociado a toda esta información que le tienes que haber suministrado al usuario antes de remitirlo al sistema de doble opt-in, no sería suficiente. Deberías generar un mecanismo informativo con todos estos aspectos y pedirles a tus suscriptores que te confirmen su suscripción mediante un check box (casilla de consentimiento).
¿Qué hay que hacer con los formularios? ¿Qué tienen que incluir?
El RGPD, en su afán por la transparencia y el consentimiento expreso y especifico con cada finalidad, exige informar por capas. Es lo que se conoce como información multinivel.
Como cada formulario persigue una finalidad diferente, es preciso informar de manera específica en cada uno de esos formularios sobre los puntos que señalaba en la pregunta anterior. En LEXblogger por ejemplo, nuestra aplicación te permite obtener los diferentes textos legales para los diferentes tipos de formularios que tienes en la web.
Todo formulario por tanto debe:
- Incluir una casilla de aceptación.
- Incluir un enlace hacia la política de privacidad.
- Incluir una primera capa informativa con la coletilla legal del formulario según su tipología.
Es indispensable recoger la conformidad del usuario con la política de privacidad antes de validar sus datos en cualquier formulario mediante una casilla de “acepto”, tal como se expone en el formulario siguiente:
El “Texto legal pie de formulario web” es importante que esté visible debajo del formulario para garantizar la información correcta a cada usuario.
Según el tipo de formulario (Venta, contacto, suscripción) deberás incorporar la cláusula informativa correspondiente.
Si solo pido el email, ¿se considera también un dato de carácter personal?
Si, un dato personal es todo lo que nos identifica o nos puede hacer identificables. Si mi correo es marinabrocca@gmail.com, es algo que claramente permite identificarme y, por tanto, es un dato de carácter personal que debe estar protegido.
¿Qué sanciones me pueden aplicar si no cumplo con el RGPD?
Las sanciones se han puesto críticas, a mi no me gusta nombrarlas porque creo que la decisión de adecuación debe pasar por otros lugares. El ser más respetuosos, diligentes, confiables, conscientes, profesionales en la gestión de la información son todo ventajas para cualquier profesional. Si como blogger no soy capaz de proteger el principal activo de mi negocio, que son los datos de mi comunidad, estoy en una situación muy crítica de cara a la supervivencia de mi negocio.
Luego están el tema reputacional, la imagen que proyecto. Ubicarme como un infractor frente a mi comunidad es tan demencial como lo es renunciar a una ventaja competitiva como la de ser garantista y confiable.
El argumento del miedo es algo de lo que huimos en LEXblogger. La filosofía del palo no nos gusta nada, preferimos la zanahoria, pero como preguntas, tengo que responder: Las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual. Yo no tentaría a la suerte.
Por otra parte, a diferencia de la LOPD, los afectados pueden requerir indemnizaciones a los responsables si el prestador no satisface correctamente sus obligaciones legales, es decir, si no informa correctamente, si no requiere el consentimiento o no es capaz de acreditarlo, si no permite ejercer de forma satisfactoria alguno de sus derechos, por tanto, a la sanción de la agencia se le puede sumar la indemnización al afectado. Algo del todo inasumible para cualquier profesional.
¿Tengo que aplicar el RGPD si mi empresa no está ubicada en la Unión Europea?
El RGPD debe ser acatado por todo el que gestione información de ciudadanos europeos, con independencia de la ubicación de la empresa. Si tienes una empresa en otro continente, pero tratas datos de ciudadanos de la Unión Europea, debes cumplir con el RGPD.
¿Cómo me he adaptado yo mismo sin volverme loco?
¿Qué te han parecido las preguntas y respuestas de Marina? Espero que te hayan ayudado.
Entiendo que este tema te abrume. Sobre todo por lo inabarcable que parece todo lo que tiene que ver con los datos que manejamos. Hay cosas que ni siquiera sabemos que pasan por nosotros y, sin embargo, ahí están.
Por eso no dudé en utilizar la App Lexblogger, de la que Marina ha formado parte en su creación.
Se trata de la única aplicación diseñada por y para pequeños emprendedores que gestionan su propia web o blog.
A mí me ha salvado la vida, la verdad. Tan solo he tenido que introducir una serie de datos y la aplicación me ha generado automáticamente toda la documentación y textos legales para la web que necesitaba para estar al día con el cumplimiento del RGPD.
¿Quieres ver cómo es la aplicación por dentro y lo fácil que es estar al día en tu web o blog con la RGPD? Echa un vistazo al siguiente vídeo tutorial con un caso real de adaptación en directo.
¿Te interesa Lexblogger? ¿Tienes alguna duda? Marina y yo te esperamos en los comentarios.
Marina Brocca
Consultora especializada en marketing legal y protección de datos, acreditada en área jurídica, por Thomson Reuters Aranzadi. Especialista en RGPD acreditada por Grupo CFI y Delegada de Protección de Datos. Ponente y formadora.
Autora del blog marinabrocca.com – Cofundadora de LEXblogger