El pasado mayo hizo un año de la salida a la luz del famoso RGPD.
La locura se extendió por las redes, sobre todo por los negocios pequeños y medianos ante la amenaza de grandes multas, y todos los públicos tuvieron que zamparse la friolera de aceptar las nuevas políticas de privacidad de todas y cada una de las listas a las que estaban suscritos.
Si tú ya tenías tu web con una lista de suscriptores, qué te voy a contar.
Y si no la tenías, viviste la experiencia como público.
Hoy quizá seas tú quien necesita aplicar la nueva ley a tu negocio web.
O quizá sigues teniendo dudas, porque no sabes si un día te llegará una penalización de cientos de miles de euros que no podrás pagar.
Pues bien, hoy tenemos en el blog a una persona que sabe de esto.
Porque quizá ahora seas tú quien no tenga muy claro qué hacer con tus campañas, tus newsletters y tus permisos.
Ella es Marina Brocca. Y en este post te lo cuenta todo. Te dejo con ella. 😉
Índice de Contenidos
Así empezó todo
Quiero contarte una historia que probablemente te resulte familiar.
La historia trata de cómo un día todo lo que hacías en tu blog, y todas las estrategias que utilizabas habitualmente para captar clientes, empezaron a darte miedo.
Las siglas RGPD empezaron a inundar todos los blogs y todas las páginas que visitabas.
De pronto, se imponía una legislación que no comprendías y no tenías claro cómo te afectaría, pero sabías que te podía dar más de un disgusto si te mantenías al margen.
Y fue aquí donde comenzaron tus desvelos:
- ¿Tengo que legalizar mi web?
- ¿Los leads que he obtenido con tanto esfuerzo ya no me sirven?
- ¿Puedo seguir mandando mis boletines a la misma lista sin peligro?
- ¿Qué tipo de campaña de captación puedo realizar sin riesgo?
Desde la llegada del RGPD (el Reglamento Europeo de Protección de Datos), muchos profesionales entendieron que había leyes que les afectaban y de las que nunca se habían preocupado.
Nadie hablaba de legalidad online y por tanto, bastaba con un hacer un copy paste de alguna política que pilláramos por allí.
Es posible que esta sea también tu historia, porque es una historia común.
Es posible también que sientas preocupación cuando recibes correos pidiendo tu consentimiento para seguir en una lista y no sabes si deberías hacer lo mismo con la tuya.
O cuando ves en otros blogs una serie de páginas como política de cookies, privacidad y algunos mensajes en formularios sobre la protección de datos, pero no sabes si tienes que hacer lo mismo en tu web .
Lo que ya sabes es que, si tienes una web y realizas campañas de captación, tienes obligaciones legales que debes conocer y aplicar a cada una de tus estrategias.
Hoy voy a explicártelas de manera sencilla y amena para que puedas seguir realizando campañas de captación sin miedo.
Hay muchos errores que como emprendedor no puedes cometer. Y olvidarte de la legalidad en tu web es uno de ellos.
Mi misión en este post es conseguir que:
- No sientas miedo o inseguridad cada vez que te enfrentas a un nuevo lanzamiento.
- Aprendas a desarrollar estrategias 100% legales, seguras y libres de sanciones.
- Tengas la certeza de que todo está correcto.
Cómo el RGPD ha transformado las estrategias de captación
El RGPD (Reglamento Europeo de Protección de Datos) ha transformado muchas de nuestras estrategias de captación, porque la forma de relacionarnos con la información de los demás debe ser mucho más transparente y ligada al permiso.
Puedes conocer todas las medidas y cambios que supone el RGPD en este post.
La regla de oro de una campaña de captación es que esa captación sea 100% legal y puedas utilizar ese lead con toda la tranquilidad del mundo y de manera segura.
Si consigues que ese lead responda a las exigencias en materia de legalidad, tienes garantizada la trazabilidad y el éxito de tu campaña.
O, al menos, sabrás que no te costará un disgusto.
Recuerda que la materia prima de toda campaña de captación son los datos personales y por tanto, el RGPD impacta de lleno en cualquier estrategia de captación.
Recuerda que desde el momento que obtienes un lead, obtienes también la confianza de un suscriptor.
Esa confianza sirve para que utilices su información de una forma leal, honesta, transparente y segura.
Pero eso, ¿qué significa en realidad?
Veamos.
- Solo podrás utilizar sus datos conforme a los permisos que te haya otorgado. Es decir, si alguien se suscribe a tu lista para recibir tu boletín o newsletter, no podrás utilizar esos datos con ninguna otra finalidad.
- Deberás garantizar la integridad de su información, aplicando las medidas de seguridad suficientes para que esa información no se vea comprometida por alguien o algo.
- Deberás asegurar la confidencialidad, impidiendo que otras personas o empresas accedan a esa información. Recuerda que solo te ha sido confiada a ti.
- Deberás conocer y respetar los derechos que tiene esa persona sobre su información personal. Esto es: tu suscriptor puede acceder, rectificar, limitar, oponerse, suprimir y portar su información personal, así como presentar una reclamación a la autoridad de control.
La 1ª regla en una estrategia de captación: la titularidad del dato
La primera lección que debes grabarte a fuego es que los datos de tus suscriptores no te pertenecen.
Los bloggers tenemos la falsa creencia de posesión sobre nuestras listas, pero en realidad, toda esa información personal, no nos pertenece en absoluto.
Solo adquirimos responsabilidad sobre su gestión, pero no propiedad sobre esa información.
No puedes disponer de esa información libremente, utilizarla para distintas finalidades, compartirla, ni canjearla como si fueran cromos.
Entender este principio es básico para diseñar campañas de captación sin atropellar derechos.
[Tweet «Los datos de tus suscriptores no te pertenecen. Entender este principio es básico para diseñar campañas de captación sin atropellar derechos. @masymejorcom #emprender #rgpd #campañasdecaptacion #politicadeprivacidad»]
Cada suscriptor es el único que puede decidir sobre su propia información personal o la información que le concierne.
A este derecho se lo conoce como autodeterminación informativa, y le permite tomar las siguientes decisiones respecto a sus datos.
- A quién le confía sus datos.
- Con qué finalidad.
- Con qué base legal autoriza el tratamiento.
- Con quién autoriza o no que se compartan sus datos.
- Y hasta cuándo.
Entendido el principio de titularidad del dato, todo es más sencillo, porque vas a aprender a utilizar esa información de forma segura y responsable.
Concretamente, sabrás que no puedes utilizar esos datos a menos que:
- Le hayas informado claramente a esa persona acerca de los aspectos necesarios relativos al tratamiento de su información.
- Cuentes con su consentimiento claro e inequívoco para tratar sus datos conforme a lo informado.
- Conozcas los derechos que les afectan y sabes atenderlos perfectamente.
El RGPD exige que adquieras hábitos de trabajo garantistas a la hora de gestionar tus campañas de captación y los datos de las personas que te confían su información.
¿Qué quiere esto decir?
Pues que tienes que contar con una garantía o justificación de que cumples con la ley, y poder demostrarlo.
El RGPD ha puesto las cosas mucho más claras para los usuarios y hay muchos elementos que permiten identificar una estrategia de captación ilegal que pueda ponerte al descubierto y en zona de riesgo.
Por tanto, es indistinto el medio o la estrategia de captación que utilices, siempre que cumplas con todos estos principios.
De todas formas, por aquí te dejo un par de reglas adicionales para que el RGPD no te quite el sueño y respetes la legislación sin quebrarte la cabeza:
- Nunca envíes e-mails comerciales a aquellas personas que no lo han solicitado, ni autorizado ni consentido legalmente.
- Nunca envíes publicidad sin haber advertido al usuario/suscriptor previamente de que, al suscribirse, acepta de forma inequívoca, informada y específica el envío de promociones sobre tus servicios y productos. Ten en cuenta que una cosa es recibir una newsletter sobre contenido relevante, y otra bien distinta es recibir publicidad. Este consejo vale para cualquier medio y sistema de mensajería.
Regla Nº 2: informar a tus usuarios ANTES de pedirle sus datos
Lo primero que debes hacer es revisar y adaptar todos los apartados legales de tu web y tus sistemas de captación.
Tendrás que:
- Redactar los elementos informativos necesarios para actualizar las políticas al RGPD: Aviso Legal, Política de Privacidad y política de Cookies.
- Adecuar todos los sistemas de captura de datos (formularios web y de actividad). En todos los sistemas de captura de información, deberás crear un sistema de información por capas y redactar las cláusulas informativas para la primera capa y segunda capa.
- Crear un modelo para revisar periódicamente las cláusulas recogidas en formularios; textos legales, páginas web; pliegos y contratos a medida que vayas creando nuevas funcionalidades y estrategias de captación.
El RGPD exige que la información sea clara, transparente, de fácil acceso y se suministre de forma previa al tratamiento.
Para facilitar esos principios, la Agencia Española de Protección de Datos propone un sistema de información de capas que consiste en suministrar información básica en una primera capa y ampliar esa información en una segunda capa, de modo que la información a incluir en una primera y segunda capa sería la siguiente:
Primera Capa: Información básica (resumida)
- La identidad del responsable del tratamiento (si eres autónomo, tu nombre y apellidos).
- Una descripción simple de la finalidad con la que vas a tratar esos datos (enviar boletines, mandar publicidad sobre servicios, inscribirlo en un webinar, etc).
- Previsión o no de cesiones de datos. Es decir, si vas a compartir esos datos con otros responsables o no.
- Referencia al ejercicio de derechos.
Segunda Capa: Información adicional y completa (detallada en la política de privacidad)
- Datos de contacto del responsable. Identidad y datos del representante (si existiese).
- Descripción ampliada de los fines del tratamiento. Para qué tienes esos datos.
- Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
- Detalle de la base jurídica del tratamiento (relación contractual, consentimiento, interés legítimo, etc).
- Destinatarios o categorías de destinatarios (empresas con quienes vayas a compartir esos datos).
- Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Incluye también el derecho a retirar el consentimiento prestado y el derecho a reclamar ante la Autoridad de Control.
Regla Nº 3: pide el consentimiento como, donde y cuando toca
El RGPD exige que todo tratamiento de datos personales se apoye en una base legal que legitime ese tratamiento.
Es decir: necesitas acreditar que tienes una base legal apropiada que justifique ese tratamiento.
En el caso de una campaña de suscripción, como no existe otra base legal que justifique el tratamiento, debemos considerar el consentimiento como la única posibilidad para poder seguir tratando estos datos.
El RGPD también establece que los medios y los anunciantes deben obtener el consentimiento inequívoco de cada usuario para utilizar sus datos personales para poder enviar publicidad y ofrecer los anuncios.
Este consentimiento, además, debe ser :
- Informado
- Inequívoco
- Verificable
- Específico
Por tanto, es hora de revisar si todos tus formularios de captación permiten cumplir con esos requisitos de consentimiento.
Tus formularios deberán incluir:
- Una primera capa informativa en el mismo formulario con información básica.
- Un check box o casilla de verificación no premarcada para recabar el consentimiento.
- Una segunda capa informativa adecuada al RGPD (política de privacidad).
- Un sistema que permita registrar y verificar ese consentimiento.
- Un sistema que permita revocarlo en cualquier momento
Ejemplos:
Por otra parte, la LSSI-CE regula las comunicaciones comerciales y expresa claramente:
“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, salvo que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”
Cuándo un correo puede ser ilegal y sancionable
La AEPD ha señalado en muchas ocasiones que se considera “envío masivo” de correos electrónicos la acción de remitir, sin su consentimiento, un mismo mensaje a más de tres destinatarios.
Esto también se aplica a enviar a un mismo destinatario tres e-emails en el período de un año.
Por tanto, antes de ponerte a recolectar correos de páginas webs, de bases de datos compradas o de la empresa anterior, piensa que cada uno de esos registros puede convertirse en una bomba de relojería para ti que comprometa tu estrategia y tu reputación.
[Tweet «Antes de ponerte a recolectar correos de páginas webs, de bases de datos compradas o de la empresa anterior, piensa que cada uno de esos registros puede convertirse en una bomba de relojería para ti, tu estrategia y tu reputación. @masymejorcom #emprender #rgpd #campañasdecaptacion #politicadeprivacidad #marketingdepermiso»]
Es importante saber lo que nunca deberías hacer en una campaña de captación para evitar prácticas de alto riesgo por las que podrían sancionarte.
Regla Nº4: ocúpate también de la seguridad
Más allá de la parte visible y expuesta de tus estrategias, como es la transparencia informativa en tus sistemas de captura y requerir el consentimiento, el RGPD te exige una serie de medidas técnicas y organizativas que no deberías pasar por alto.
Te explico ejemplos:
- Tener un registro de tratamientos de datos relativos a tus campañas.
- Firmar contratos de encargo con colaboradores y prestadores de servicios con los que compartas información.
- Aplicar medidas de seguridad en función al riesgo detectado en tus campañas.
- Tener protocolos activos para el ejercicio de derechos.
- Tener un protocolo para detectar y declarar brechas de seguridad.
Tampoco quiero aburrirte y ponerme a desarrollar todas y cada una de ellas.
Por eso, te he preparado un checklist de verificación de medidas que deberías cumplir para asegurarte una adecuación completa de tus campañas de captación.
Así no te fallará nada. 😉
Checklist para una campaña de captación sin fisuras
A continuación , te presento una tabla superpráctica para comprobar tú mismo el nivel de cumplimiento de tus campañas de captación.
PRINCIPIOS A APLICAR A LOS TRATAMIENTOS DE DATOS DE TUS CAMPAÑAS
- En tus campañas de captación recoges datos con fines específicos, explícitos, legítimos. [SI / NO]
- Has implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos que recabas en tus campañas. [SI / NO]
- Has implantado medidas de seguridad para evitar el tratamiento no autorizado o ilícito de los datos recogidos en tus campañas. [SI / NO]
CONDICIONES PARA EL CONSENTIMIENTO
- Puedes demostrar que tus usuarios dieron su consentimiento para el tratamiento de sus datos en tus campañas. [SI / NO]
- Solicitas el consentimiento de forma clara e independiente de los demás asuntos. [SI / NO]
- Solicitas el consentimiento usando lenguaje claro y sencillo. [SI / NO]
- Informas de manera previa a solicitar el consentimiento. [SI / NO]
- Permites retirar el consentimiento con la misma facilidad que lo solicitas. [SI / NO]
- Pides el consentimiento de forma LIBRE (Para que el consentimiento sea libre debe existir una opción real y control por parte del usuario). [SI / NO]
TRANSPARENCIA DE LA INFORMACIÓN QUE APORTAS EN TUS CAMPAÑAS
- Facilitas al usuario que accede a tus campañas toda la información relativa al tratamiento. [SI / NO]
- Les explicas a tus usuarios como pueden realizar el ejercicio de sus derechos. [SI / NO]
- Cuentas con un procedimiento para poder responder a los que solicitan ejercer sus derechos en menos de un mes. [SI / NO]
- Facilitas la identidad y tus datos de contacto como responsable cuando solicitas datos en tus campañas. [SI / NO]
- Informas sobre los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento. [SI / NO]
- Informas sobre la base legal del tratamiento (legitimación, relación contractual, interés legítimo). [SI / NO]
- Informas sobre los destinatarios o las categorías de destinatarios.
- Informas del plazo de conservación de los datos personales o los criterios utilizados para determinarlo. [SI / NO]
- Informas sobre sobre los derechos de acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad. [SI / NO]
- Informas del derecho a presentar una reclamación ante una autoridad de control. [SI / NO]
- Informas de la existencia de decisiones automatizadas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento. [SI / NO]
- Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, informas a tus usuarios sobre esa otra finalidad y cualquier otra información pertinente. [SI / NO]
ENCARGADO DEL TRATAMIENTO DEL TRATAMIENTO
- Eliges solo los que ofrecen garantías suficientes conforme con los requisitos del RGPD y garantizando la protección de derechos del interesado. [SI / NO]
- Envías contratos de encargo adecuados al RGPD y los archivas firmados. [SI / NO]
REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
- Llevas un registro de las actividades de tratamiento y lo mantienes actualizado (RAT). [SI / NO]
NOTIFICACIÓN DE BRECHAS DE LA SEGURIDAD DE LOS DATOS PERSONALES A LA AUTORIDAD DE CONTROL
- Tienes un procedimiento para identificar y gestionar las brechas de seguridad. [SI / NO]
- Existe un procedimiento para notificar a la autoridad de control en el plazo de 72 horas. [SI / NO]
COMUNICACIÓN DE UNA BRECHA AL USUARIO
- Existe un procedimiento para comunicar la brecha sin dilación indebida cuando sea probable que entrañe un alto riesgo para los derechos y libertades. [SI / NO]
TRANSFERENCIAS A PAÍSES TERCEROS U ORGANIZACIONES INTERNACIONALES
- Se dispone de base legal para realizar la transferencia. [SI / NO]
- Se han ofrecido garantías apropiadas. [SI / NO]
- Se ha informado a la autoridad de control. [SI / NO]
Sí, ya sé que en esta tabla hay términos que te pueden sonar a chino. Pero para eso estoy yo aquí.
¿No entiendes algo? Escríbemelo en los comentarios y lo vemos. 😉
En resumen, como idea, y acercándonos a la conclusión final, una sola frase: aplica el marketing de permiso.
¿Cómo?
1 Pide consentimiento específico para cada finalidad a través de un checkbox o casilla de verificación que no esté pre-marcada. Recuerda que toda tu lista debe cumplir con ese requisito, no mandes campañas a menos que hayas regularizado toda tu lista y cumpla con los requisitos RGPD.
2 Busca plataformas adecuadas al RGPD para gestionar tus campañas de email marketing, y pide evidencias de cumplimiento para demostrar que los encargados ofrecen las garantías exigidas por el RGPD (contratos de tratamientos de datos y adhesión a códigos de conducta o certificaciones en los esquemas previstos por el RGPD) con todo aquel que tenga acceso a los datos de los destinatarios.
3 Establece un sistema de captación que permita informar por capas y obtener el consentimiento legal del suscriptor.
[Tweet «Para evitar disgustos en tus campañas de captación, establece un sistema de captación que permita informar por capas y obtener el consentimiento legal del suscriptor. @masymejorcom #emprender #rgpd #campañasdecaptacion #politicadeprivacidad»]
4 Crea un sistema de validación de usuarios tipo doble opt-in para verificar la identidad y voluntad del usuario. Recuerda que no es lo mismo un check box que un doble opt-in. Cada uno persigue finalidades diferentes.
5 No envíes nunca e-emails de contenido comercial en los que se oculte o no se especifique claramente la identidad de la persona u organización que lo envía. Tampoco utilices direcciones no-reply.
6 En cada nueva comunicación (boletines o newsletters), informa de tu identidad, de la finalidad de la información, de cómo has obtenido los datos y de cómo pueden ejercitar derechos establecidos por el RGPD.
7 Facilita siempre un enlace para revocar el consentimiento otorgado con anterioridad de forma automática, de forma que el usuario pueda darse de baja con un solo clic, y deje de recibir publicidad de unos productos y/o servicios que ya no son de su interés.
8 No compartas la información de tu base de datos con nadie, a menos que los destinatarios hayan prestado su consentimiento tras informarlos debidamente de la cesión.
Conclusión
Apuesta siempre por trabajar con las máximas garantías con un marketing de permiso.
Respeta a tus usuarios y deja evidencias de ese respeto adoptando actitudes y hábitos ligados al compromiso con los derechos de tus usuarios y clientes.
Si lo haces, te garantizo que no solo conseguirás consolidar tu estrategia, sino que tendrás un poderoso elemento diferenciador que te distanciará años luz de tu competencia.
Y tú, ¿cómo llevas tus campañas de captación?
Si se te ha atravesado más de una vez la adaptación de tu estrategia a la nueva ley de Protección de Datos, aprovecha y pregúntame lo que quieras.
Te espero en los comentarios.
Un asunto que la mayoría queremos evitar, pero ignorar por no entender no nos exime de responsabilidades. Tengo algunas dudas:
1.- Si estoy fuera de Europa pero tengo leads europeos ¿me pueden aplicar sanciones?
2.- ¿Cómo puedo hacer un contrato a distancia de protección de datos con un colaborador para que sea legal? ¿es válido imprimirlo, firmarlo y escanearlo?
3.- Lo de las capas, ¿cómo se implementa? ¿dónde tengo que publicar cada una?
Gracias por este artículo, es muy interesante.
Hola Iraidi, como bien dices «el desconocimiento de la ley no exime de su cumplimiento” y por su supuesto, de las consecuencias del incumplimiento.
Respondiendo a tus preguntas en tu orden:
1) El RGPD aplica a todos los responsables que traten datos de ciudadanos europeos, independientemente de su localización, por tanto, puedes ser sancionado por la autoridad de control competente.
2) Es válido un contrato a distancia por supuesto, muchas plataformas tecnológicas y herramientas ofrecen sus propios acuerdos de procesamiento de datos en dónde exponen también sus garantías, es importante que firmen el contrato y que aporten garantías de cumplimiento en la medida de los posible.
3) Las capas informativas o sistema de información multinivel deben insertarse en cada sistema de captura/formulario, tal y como expongo en los ejemplos, en el momento en que requieras datos en un formulario (de contacto a suscripción) , debes incluir un pequeño texto informativo con lo básico (primera capa) y que remita a una información más completa (segunda capa) Tienes un buen ejemplo justo en este formulario de comentarios.
Gracias por comentar y por tu opinión sobre mi artículo,
un fuerte abrazo
Hola Marina, muchas gracias por esta información tan importante. Soy músico y he puesto en marcha un formulario para captar fans, el tema de la RGPD me supera un poco y he llegado a pensar en renunciar a difundir mi música y eliminar así el problema. Pero me lo estoy pensando mejor y voy a intentar cumplir con estos requisitos.
Mi pregunta es la siguiente: De los requisitos que incluyes en tu «Checklist para una campaña de captación sin fisuras» ¿cuáles de ellos están cubiertos si usas un proveedor de servicios de email? en mi caso uso Mailchimp, y ¿cuáles estarían bajo mi propia responsabilidad?
¡Muchas gracias de nuevo por tu ayuda!
Hola Francisco, no deberías renunciar a tu proyecto personal por temor al RGPD, de hecho, no debería ser un obstáculo, tienes muchas formas de solucionarlo fácilmente, pásate por mi web y mira los kit RGPD con plantillas, verás que es mucho más sencillo de lo que imaginas.
Respecto a tu pregunta, está bajo tu responsabilidad la elección de la herramienta ya que toda herramienta que esté comprometida en el tratamiento de información, como es el caso de Mail Chimp, debe estar adecuada al RGPD, es el único requisito y tu única responsabilidad , que garantice que el tratamiento de los datos que almacena, cumplen los requisitos exigidos por el RGPD y Mail Chimp desde luego lo cumple, recuerda además que debes insertar en tus boletines una cláusula informativa.
Gracias Francisco por pasarte a comentar y que el RGPD no te impida seguir desarrollando y compartiendo tu talento.
Un fuerte abrazo