Nuevo reglamento europeo de protección de datos y mail marketing

Hoy voy a hablarte de las exigencias legales que plantea toda ley de protección de datos dentro de una estrategia de email marketing, las actuales, y las que se avecinan con la aprobación del nuevo Reglamento europeo de Protección de datos.

Si lees mis post sabrás que existen normas muy claras respecto a mail marketing que muchísimos profesionales siguen ignorando, no obstante, esas normas son las que marcan las líneas rojas que separan el mail marketing legal del Spam.

De hecho, los fundamentos para la existencia para esta nueva ley de protección de datos a nivel europeo se basa principalmente en rápida evolución tecnológica y una gestión de información personal masiva por parte de empresas y profesionales.

A estas alturas, serás plenamente consciente de la magnitud de la recogida y del intercambio de datos personales que propician las nuevas tecnologías.

También serás consciente del volumen de datos personales a los que tenemos acceso gracias al acceso masivo de ciudadanos a entornos digitales.

Cuando se desconocen las reglas que regulan la recolección y gestión de estos datos, se cae en la trampa de creer que tener fácil acceso a esa información significa el poder disponer de esos datos libremente.

Es aquí cuando se produce un uso abusivo de esta información y es lo que ocurre con muchos profesionales en sus campañas de email marketing y social media.

¿Has pensado que puedes convertir fácilmente una estrategia de mail marketing en Spam?

Es mucho más sencillo de lo que crees. Miles de profesionales se convierten en spammers involuntarios cada día aplicando la estrategia del avestruz.

Por pura estadística, tu podrías convertirte en uno de ellos, así que me propongo ahorrarte el mal trago con este post acerca de lo que debes saber sobre esta nueva ley de protección de datos europea.

Las regulaciones sobre mail marketing que debes conocer

Varios estudios coinciden en que el spam representa el 80% del email que recibimos, el porcentaje de mail legal y consentido es insignificante comparado con el bombardeo publicitario intrusivo con el que tenemos que pelearnos cada día.

Con el objetivo de frenar esta práctica desleal y despiadada llamada spam, se desarrollaron leyes destinadas a regular el envío de comunicaciones comerciales por medios electrónico:

Como la Ley de la sociedad de la información y el comercio electrónico (LSSI-ce )

Y para defender al usuario del uso indiscriminado de su información personal:

Con la Ley Orgánica de Protección de datos (LOPD)

Ahora surge una nueva regulación que añade nuevas exigencias a las que ya conocíamos.

El Nuevo Reglamento Europeo de protección de Datos

Aprobado el 14 de abril del 2016, esta nueva ley de protección de datos será de aplicación a todos los estados miembros de la UE y surge con el objetivo de armonizar todas las regulaciones en materia de protección de datos de los estados miembros.

Ha entrado en vigor el 25 de mayo de 2016 y será de obligado cumplimiento en un par de años, así que es mejor que te vayas familiarizando y aplicando las nuevas exigencias en tu estrategia.

Por tanto, existen dos Leyes directas en pleno funcionamiento desde hace tiempo y otra de reciente aprobación.

No obstante, es raro el día que no reciba un correo comercial por parte de alguna empresa o profesional que siguen omitiendo estas dos leyes y que convierte su estrategia de email marketing en una estrategia spam.

Cómo cumplir con el nuevo reglamento europeo de protección de datos en una campaña de email marketing

Aunque hay muchas cosas por aclarar todavía respecto a la aplicabilidad del nuevo reglamento europeo, voy a darte unas pautas básicas que te ayudaran a estar en la buena dirección a la hora de diseñar tus campañas de marketing y captación.

► 1º paso: revisar cómo obtienes y registras el consentimiento de tus usuarios/ clientes para remitirles tus campañas

Actualmente son legales los consentimientos tácitos para datos básicos; como poner un pequeño texto debajo de los formularios de contacto que pongan “acepto la política de privacidad” o darlo por supuesto por el solo hecho de suscribirse voluntariamente.

Se trata de un requisito más estricto, que en la LOPD ya que el consentimiento no podrá entenderse como concedido implícitamente.

El consentimiento no puede por tanto deducirse del silencio o de la inacción de las personas

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles.

Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y a una finalidad concreta.

El consentimiento además, deberá ser verificable, es decir, deberás ser capaz siempre de acreditar el consentimiento

Y por esta razón es imprescindible verificar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección.

► 2º paso: informar con total claridad y transparencia

En la actual LOPD, el requisito de informar al destinatario sobre todos los aspectos que afectaban al tratamiento de sus datos era un requisito básico.

Para las personas físicas deben quedar totalmente claros los siguientes puntos a la hora de requerir o gestionar sus datos personales:

• Que sus datos personales se están recogiendo, utilizando o consultando
• La medida en que dichos datos son o serán tratados
• De las posibles consecuencias de no facilitar tales datos
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
• La identidad de los destinatarios o las categorías de destinatarios de los datos personales
• La identidad del responsable de la gestión y si procede, del delegado de protección de datos
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto si es una novedad)
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos
• La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control
• La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado
•  La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión

Por tanto, es fundamental que trabajes en la redacción de mecanismos informativos claros que incluyan todos estos puntos.

Pueden estar desarrollados en cláusulas informativas que incluyas en todos los sistemas de captura o incluirlas en tu política de privacidad.

► 3º paso: honrar el consentimiento

Ya has visto la relevancia que tendrá el consentimiento en la nueva ley de protección de datos europea que se reforzará notablemente.

El consentimiento deberá obtenerse mediante una manifestación o una clara acción afirmativa.

El nuevo Reglamento europeo exige que el consentimiento, para que sea válido, cumpla algunos requisitos:

• Debe ser libre
• Debe ser informado
• Debe ser específico
• Debe ser inequívoco

Para que se cumplan estas condiciones, no puede aceptarse un consentimiento tácito o por defecto y exige, por tanto, que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.

El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos

Por tanto, el modo de obtener el consentimiento claramente es el siguiente:

Tras informar claramente sobre todos los puntos anteriores, es imprescindible que instrumentes mecanismos efectivos para recabar el consentimiento de todas las personas a quienes requieras información personal y que te sirvan para acreditar ese consentimiento.

El doble opt-in es la manera más sencilla y eficaz de acreditar el consentimiento de tus usuarios en los casos de suscripciones, omitir este recurso es perder la mayor prueba de consentimiento que tienes a tu favor.

Esta nueva ley de protección de datos europea te exigirá acreditar este consentimiento y el doble Opt-in será tu mejor aliado.

También deberás incluir check box en todos tus formularios de captación de datos personales, el exigir el marcado de una casilla en lugar de marcarla por defecto será imprescindible. Recuerda que el consentimiento es intransferible.

Y recuerda: Las direcciones de correo electrónico son datos personales y como tal, son intransferibles.

No está permitido venderlos, compartirlos, alquilarlos ni transferirlos por ningún medio y bajo ninguna circunstancia.

► 4º paso: Informar y requerir consentimiento para elaborar perfiles y segmentar

Esta es otra de las grandes novedades que introduce el reglamento europeo de protección de datos.

El mail marketing basa su éxito en la capacidad de cualificar los registros a los que va destinada la publicidad: cuanto más enriquecida esté tu lista, mejor segmentación y mayor personalización de los mensajes.

El objetivo es conseguir que tus campañas de email marketing se adapten a los intereses reales de los usuarios, tomando en cuenta aspectos tales como el rango de edad del usuario, la localización, el sexo, intereses previos mostrados en su navegación, etc.

Hemos visto aquí cómo se pueden segmentar suscriptores en base a intereses

Pues bien, ahora tenemos que tener en cuenta nuevos requisitos legales a la hora se llevar a cabo esa segmentación si queremos realizar una campaña cumpliendo la legalidad.

Para segmentar, lógicamente debemos llevar a cabo elaboración de perfiles.

¿Cómo elaboramos perfiles?

Utilizando estrategias, aplicaciones, herramientas, protocolos de internet, identificadores de sesión en forma de “cookies” u otros como las etiquetas de identificación de radiofrecuencia destinadas al análisis y segmentación de la base de datos.

En el nuevo reglamento se aclara que la elaboración de perfiles consiste en un análisis de datos seguido de una acción automática que no requiere de intervención humana y más específicamente:

 toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física

Pero para aclararnos un poco más, no serían considerados procesos de elaboración de perfiles los casos en que:

los datos presentes en la base de datos se analicen con instrumentos informáticos y su procesamiento sea objeto de la evaluación previa de una persona, con el objetivo de adaptar y verificar los datos antes de usarlos

Sería el caso de una depuración o actualización de base de datos. En esos casos, por consiguiente, no se requiere de un consentimiento específico para realizar la actividad.

La nueva exigencia de la nueva ley de protección de datos europea

El nuevo reglamento europeo de protección de datos limita esta práctica al consentimiento, por tanto, a menos que los usuarios conozcan y autoricen ese tipo de tratamiento, no podrás elaborar perfiles ni segmentar.

De hecho, cuando los datos personales son tratados con fines de mercadotecnia (marketing) directo, el usuario debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con marketing directo, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno.

Este consentimiento debe requerirse de manera clara y explícita al usuario y presentarse al margen de cualquier otra información.

En resumen, para poder elaborar perfiles y segmentar deberás:

• Informar al usuario que llegue a tu web específicamente sobre la posibilidad de elaborar perfiles de usuarios para segmentar, definiendo las herramientas a utilizar y la finalidad
• Establecer un apartado separado del resto de textos legales y de cualquier otra información
• Requerir el consentimiento de manera clara y explícita al usuario con la utilización de sus datos en la elaboración de perfiles
• Ofrecer al usuario siempre el derecho a oponerse a la elaboración de perfiles en la medida en que esté relacionada con una campaña de marketing directo, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno

Concretamente, así queda expresado este nuevo requisito en el artículo 22 del nuevo reglamento:

1. “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado

c) se basa en el consentimiento explícito del interesado

Por tanto, a menos que se cumplan los puntos a y b, deberás ser capaz de obtener el consentimiento expreso del usuario y ser capaz de acreditarlo.

⇒ ¿Cómo puedes acreditar ese consentimiento?

No es tan sencillo, porque el nuevo reglamento impone condiciones para que este consentimiento sea válido.

Algunas condiciones que exige la Unión Europea para que el consentimiento sea válido:

1. El responsable deberá ser capaz de demostrar que el usuario/cliente consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos (ejem. política de privacidad) la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento.

4. Antes de dar su consentimiento, el interesado será informado de ello.

5. Será tan fácil retirar el consentimiento como darlo.

Vistas todas estas condiciones y sin que contemos de momento con ningún ejemplo concreto, a mí solo se me ocurre que todas exigencias se pueden subsanar de la siguiente manera.

Se trata de obtener un consentimiento específico que puedas acreditar, por tanto, una manera clara de hacerlo podría ser esta:

• En el formulario de captura de información susceptible de ser utilizado en elaboración de perfiles, deberías añadir un nuevo check box que aluda a la segmentación
• Requiera su consentimiento y que permita además al usuario obtener en una segunda capa, información completa sobre el tratamiento específico derivado de la elaboración de perfiles
• De manera separada del resto de la información legal, tal como ahora hacemos con la política de cookies
• En esa segunda capa, deberás además ofrecer un mecanismo para que tus usuarios, puedan desistir u oponerse a la elaboración de perfiles en cualquier momento, eso técnicamente abra que investigar cómo se resuelve

Nuevo reglamento europeo de protección de datos: algunas preguntas frecuentes

A continuación y tras todo lo expuesto te comparto algunas preguntas frecuentes:

1) ¿Qué es exactamente la elaboración de perfiles? Se trataría de por ejemplo, ¿pedir información relativa a la edad, sexo, ingresos, etc? Es decir, si pido estas cosas ¿debo añadir el consentimiento en el formulario? ¿Si solo pides email y nombre?

En este caso se refiere al tratamiento informatizado (automatizado) de datos de usuarios para establecer perfiles. Se requiere consentimiento cuando esta información permite identificar concretamente a un individuo y generar acciones que le afecten de algún modo.

¿Cómo se obtienen estos datos?

El registro de los datos personales aportados en el momento de suscripción, contacto, interacción con la web y cualquier otro dato facilitado durante la navegación, incluyendo la información suministrada por las cookies en relación a los hábitos de navegación, permiten la segmentación o categorización.

Desde el momento en que vamos a utilizar estos datos para elaborar perfiles de cara a acciones comerciales dirigidas a perfiles determinados, hay que informar y recoger el consentimiento del usuario.

Ten en cuenta que hay mucha información que obtienen las cookies sin que el usuario la proporcione directamente.

No obstante, el parlamento europeo ha establecido que la elaboración de perfiles basada únicamente en el tratamiento de datos pseudónimos no afecta de modo significativo a los intereses, derechos o libertades del interesado. Esto permitiría ciertas actividades de creación de perfiles, mientras los datos estén disociados y anonimizados.

Para aclarar: es obligatorio el consentimiento cuando permite identificar a un usuario concreto, no es obligatorio cuando no permiten identicarlo.

2) ¿Porqué la distinción con automatizados y no automatizados? Es decir, si yo filtro a través de mi CRM la base de datos para sacar solo las personas que viven en Madrid y luego lo importo a Mailrelay ¿eso es automatizado? ¿Y si uso el filtro de engament de Mailrelay?

Cuando se oye hablar de datos automatizados se refiere a informatizados, es decir, que se realiza mediante sistemas informáticos.

No automatizados se refiere a ficheros en soporte papel.

Por tanto, las acciones que describes son tratamientos automatizados.

En la elaboración de perfiles con fines comerciales, siempre se utilizan estos sistemas y de allí la definición de elaboración de perfiles: “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física.

3) ¿Y si trabajamos con herramientas / campañas externas? Por ejemplo, yo creo una campaña en Facebook Ads con cierta segmentación, y esa campaña lleva tráfico a una landing page, donde solo pido nombre y email. Aquí yo no hago perfiles en mi web, porque ya me llega el tráfico filtrado, solo les presentamos un formulario de suscripción.

Aquí solo debes informar en la política de privacidad que utilizas Facebook Ads y remitir en enlace a la política de privacidad de Facebook.

4) ¿El tema de perfiles afecta a datos personales y a intereses? ¿O solo a datos personales?

Se refiere a todo dato destinado a evaluar determinados aspectos personales de una persona.

Ejemplos de datos susceptibles de ser categorizados:

• Sexo
• Edad
• Nivel socio-económico
• Perfil psicográfico
• Localización

5) ¿El tracking de analytics se ve afectado?

El quid de la cuestión es si vas a utilizar esos datos de perfiles en campañas comerciales o no y que esos datos permitan identificar a un usuario o no.

En el caso de analitycs, esos datos se presentan disociados y no permiten identificar a los usuarios, solo tienes información estadística.

Por supuesto que debes informar de las cookies analíticas en el la política de cookies, pero no obtener un consentimiento explícito en lo referente a segmentación teniendo en cuenta que el nuevo reglamento expresa lo siguiente:

Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar

Es decir, si esta elaboración de perfil le va a afectar en algún modo o va a determinar alguna decisión, habrá que informarle.

Un ejemplo claro es el Big data, hay empresas que de selección de personal que utilizan la información de navegación.

6) En caso de habilitar el tracking de intereses ¿habría que avisar a los visitantes? ¿y deberían aceptar las condiciones con un checkbox solo por navegar? ¿con una especie de popup que si no aceptas no deje navegar?

Creo que esta pregunta esta respondida en la anterior, solo hay que informar en la política de cookies, solo requieres consentimiento específico en los casos que te explicaba anteriormente.

Conclusiones

Cada vez que te conectas a una red social, o interactúas en un foro, o simplemente navegas por internet, miles de potenciales clientes se cruzan en tu camino.

Como explicaba al principio, Internet está plagada de información personal susceptible de ser utilizada como materia prima de campañas de mail marketing, para elaboración de perfiles y trabajos de segmentación de campañas.

La impaciencia puede llevarte a cometer errores que, en lugar de hacerte avanzar, te obliguen a retroceder y a perder mucho en el camino, pero esto no suele contemplarse cuando se utiliza el marketing al margen de la legalidad.

Puedes hacerte el sueco con la legalidad y decidir que nada de lo que te he planteado en este post merece tu tiempo.

Esa decisión te corresponde solo a ti.

Solo puedo ser honesta y hacerte reflexionar sobre la imagen que trasladas a tus usuarios cuando ignoras sus derechos.

Para mí, sólo el marketing por e-mail basado en la legalidad y el respeto por los derechos de tus usuarios permite sostener relaciones fructíferas y duraderas.

Es posible que todas las exigencias legales te resulten difíciles de digerir, lo cierto es que es que es imprescindible que existan reglas de juego claras para que nuestra información personal no escape a nuestro control y voluntad.

Por eso es imprescindible generar entre todos, un marco de confianza que permita consolidar una economía digital, reforzar la seguridad jurídica y garantizar la transparencia para la protección de datos personales de las personas físicas y prestadores de la sociedad de la información.

No le temas a la legalidad, ofrecer garantías es la forma más eficaz de consolidar tu estrategia y obtener la mejor ventaja competitiva.

¿Y tú eres legal? ¿Te quedan más dudas acerca de esta nueva ley de protección de datos europea?