MITOS DEL RGPD Y EL EMAIL MARKETING

Posted by | · · · | Blog | No hay comentarios en MITOS DEL RGPD Y EL EMAIL MARKETING

Para mí es una alegría poder dirigirme a todos los participantes del EMBC 2021, tras la imposibilidad de vernos, por circunstancias más que conocidas, en 2020. En esta ocasión, me dirijo a todos para trasladaros algunas ideas esenciales de qué está pasando en el ámbito legal que sin duda más afecta vuestras campañas de email marketing: este no es otro que el RGPD.

 

En este largo año, ha habido movimientos “importantes” e interesantes en el mundo del RGPD y su aplicación práctica en nuestro país, veamos algunas de las más relevantes:

 

•España es con muchísima diferencia, el Estado de la UE que más sanciones ha impuesto por incumplimientos del RGPD. Mientras escribo estas líneas, la cifra asciende a 205 procedimientos sancionadores iniciados, muy por delante del segundo en la lista, Italia con 58.

 

•Después de unos meses de muchas sanciones pero por importes relativamente bajos (unos 30.000 € de sanción media), hace pocos meses la AEPD parece que ha cambiado su estrategia multando a tres gigantes como BBVA, La Caixa y Vodafone, con multas de 5, 6 y 8 millones de € respectivamente. Junto a estas cantidades, suele ser habitual ver sanciones a pequeñas webs por no tener la política de privacidad (entre 1.000 y 2.500 €) o incluso a particulares.

 

En resumen, pues, la actividad de la “temida” AEPD es intensa, la que más en toda la UE y por el tipo de sanciones, no parece que ningún sector pueda estar tranquilo porque han sancionado a empresas de todos los tamaños; a mi modo de ver, esto no debe atemorizar a las empresas, y tampoco al sector del email marketing. En este sentido resulta importante pues, conocer la doctrina de la AEPD (cómo interpreta el RGPD) y no menos importante evaluar bien los riesgos de ciertas prácticas. Con lo que quiero decir que hay prácticas que no siendo acordes con el RGPD, tienen un riesgo bajo o asumible. Un buen asesor os debe pues contar lo que dice el RGPD (esta es la parte fácil), pero además daros una idea del riesgo que la empresa asume con una práctica concreta.

 

Visto el marco regulador y la actividad de la AEPD en este período, quería centrar este post en alguno de los aspectos que reiteradamente me consultan las empresas, mayores y menores que realizan habitualmente, campañas de email marketing. Hay varios de los que yo llamo como “Mitos del RGPD y el Email marketing” pero sin duda el mantra estrella es: El doble opt-in es obligatorio.

 

¿Es necesario el doble opt-in?

La respuesta es simple y llanamente, no.

 

Con la aprobación del RGPD (en mayo de 2018), se convirtió en obligatorio que los consentimientos para tratar datos personales, fuera expreso. En otras palabras, que se necesitaba una acción positiva o una confirmación expresa del destinatario del email comercial para poder realizar las campañas. Cabe decir que la obligatoriedad del consentimiento expreso en las campañas de email marketing es obligatorio desde 2002. Dejado esto claro, en ningún lugar, sin embargo, se hace mención en el RGPD que este opt-in (o consentimiento expreso) deba ser doble. Habitualmente este sistema implica una doble aceptación:

 

•Primer opt-in: en el proceso de alta del email (con un check box).

 

•Segundo opt-in: mediante la aceptación de email de confirmación posterior.

 

A pesar que este sistema puede ser útil, ten esto claro: nunca recibirás una sanción en el caso que tu sistema de alta en tu Newsletter o campañas de email marketing, no prevean un sistema de doble verificación o doble opt-in.

 

¿Qué exige pues el RGPD?

Antes de responder a esta pregunta, es necesario indicar que el RGPD es “tecnológicamente neutro”, es decir, que nunca sugiere ni mucho menos impone, una tecnología concreta. El RGPD te dice “asegúrate que haces esto” pero no te dice “cómo hacerlo”, mientras consigas lo primero.

 

Aclarado esto, lo que sí que exige el RGPD en relación a los consentimientos es:

 

•Que sea expreso (esto ya lo hemos visto). Es decir, no valen frases como “Sino me dices lo contrario, autorizas a…”.

 

•Que quien recoge el dato (la empresa), tenga pruebas de este consentimiento. En palabras del RGPD “Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.”

 

Es en este segundo punto en el que la presunta “obligatoriedad del doble opt-in” ha encontrado campo adobado y es que ciertamente si se hace un primer click al facilitar el mail y luego se confirma el alta mediante otro click a un mensaje enviado a ese mismo mail, la necesidad de esa prueba, claramente se refuerza lo que ayuda a cumplir el RGPD. Por lo tanto, el doble opt-in, sin ser obligatorio, sí que puede ser una herramienta útil en ciertos casos para demostrar ese consentimiento. Pero repetimos, obligatorio no es.

 

¿Cómo dispongo de la prueba del consentimiento?

La obligatoriedad de disponer de una prueba suficiente para demostrar el consentimiento en tus campañas de email marketing, puede alcanzarse de distintas formas:

 

•En primer lugar, asegúrate de que en el proceso de recopilación de mails, el usuario debe aceptar expresamente la Política de Privacidad, antes del envío de sus datos. No sirven ni las casillas pre-marcadas ni lógicamente, los procesos de alta en que no se dé acceso a la Política de Privacidad.

 

•Pocas webs lo aplican aún pero el RGPD exige que en el mismo ámbito visual de la casilla de recopilación de datos, se incluyan los datos básicos de la Política de Privacidad, lo que se conoce como Primera capa informativa. La AEPD trató este asunto en su Guía del Deber de Informar. En esta guía puedes encontrar ejemplos concretos de cómo cumplir con esta obligación.

 

•Junto con lo anterior, si el caso lo precisa, puedes contar con “terceros” que archiven estos consentimientos, actuando a modo de “notarios digitales”. En caso de conflicto en relación a si se ha dado o no el consentimiento, estos terceros pueden acreditar si esto fue realmente así. Te recomiendo que lo valores en cada caso porque en ocasiones, puede ser una herramienta útil.

 

•Finalmente el doble opt-in que, aunque ya hemos dicho que no es obligatorio, puede ser una buena forma de acreditar este consentimiento.

 

¿Cuánto tiempo tengo que guardar la prueba del consentimiento?

El consentimiento es por definición revocable, es decir, se puede retirar. En otras palabras, quien te haya dado el consentimiento para tu campaña, puede retirarlo cuando quiera. En ese caso debes tener en cuenta que desde la petición de baja, esa persona aún dispone de un tiempo para denunciar posibles irregularidades en el uso de sus datos (hasta tres años en los casos más graves); por lo que es recomendable que la prueba del consentimiento, la archives por ese período de tiempo.

 

Este y otros “Mitos del RGPD y el Email marketing” en el EMBC 2021. Compra tu entrada para la edición del Email Marketing Bootcamp de 2021 aquí. ¡Hasta pronto!

 


No Comments

Leave a comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.