¿Cómo afecta el nuevo RGPD si tenemos un sistema de captación de suscriptores para hacer email marketing?
21/05/2018MARKETING – Artículo publicado a 21 de Mayo de 2018.
El 25 de mayo de este año entra en vigor el Reglamento europeo de Protección de Datos que se aprobó en 2016, y que se centra en dar más poder al usuario sobre sus datos personales, en el medio o canal que sea. En este sentido, afecta por igual si hablamos de redes sociales o de banca online, pero, en el caso que nos ocupa, vamos a centrar sus efectos en el terreno del email marketing.
Supongamos que tenemos un blog divulgativo, en el que tenemos un formulario de suscripción en el que solicitamos que se los usuarios dejen su correo electrónico para enviarles una newsletter con los últimos posts publicados. O tenemos un formulario de contacto donde pueden contactarte, dejando nombre, teléfono e email. Incluso, si para comentar alguno de nuestros posts hay que dejar una dirección de correo.
En todos estos casos nos afecta el nuevo reglamento. ¿Implica esto que ya no podremos pedir más suscriptores, o comentarios, y que debemos eliminar nuestro formulario de contacto? No, pero sí habremos de adaptarlo a la nueva legislación siempre que haya una captura de datos personales. De hecho, si eres Blogger es posible que tengas más datos (entendidos como direcciones de correo electrónico) que alguien que posee un ecommerce, ya que es mucho más sencillo suscribirse a una newsletter que hacerse cliente.
¿Cuáles son los principales cambios del RGPD?
Como bien comenta en el blog Lex Blogger en este post que recomiendo leer, los cambios más notables que se aplican con el nuevo Reglamento tienen que ver con:
- Consentimiento expreso: quizás el cambio más palpable: ahora, nuestros usuarios suscriptores deberán dar su consentimiento expreso, inequívoco, libre y revocable, sin que tenga validez el consentimiento tácito. Es decir, nuestra verificación del correo de inscripción debería incluir un texto que indique, de manera sencilla, a qué nos inscribimos, durante cuánto tiempo, la periodicidad de los mailings y qué se hará con nuestros datos.
- Mayores requisitos informativos: en relación con lo anterior, las indicaciones deberán enfocarse con lenguaje claro y comprensible, dejando clara su finalidad.
- Tratamiento: anteriormente se hablaba de ficheros, ahora, de tratamientos: dependiendo del uso de los datos, deberás establecer un nivel de riesgo, y, adecuado a éste, medidas de seguridad.
- Registro de tratamiento de datos: ya no será necesario, como ocurría hasta ahora, notificar los ficheros (ya que ya no se habla de ficheros), pero la empresa deberá llevar un control interno como registro de operaciones de tratamiento de datos.
- Ampliación de datos especialmente protegidos: incluyen datos genéticos y biométricos, y su infracción será sancionable.
- Incremento de sanciones: aumentan las sanciones por incumplimiento, llegando a los 20 millones de euros, o al 4% de la facturación anual.
¿Podemos seguir usando Mailchimp con la nueva RGPD?
El nuevo Reglamento afecta a todas las empresas que se encuentren en la Unión Europea y que traten bases de datos de carácter personal.
Aquí nos puede surgir la primera duda: si soy una empresa con sede en España, que usa Mailchimp, plataforma de email marketing con sede en Estados Unidos, ¿debo cumplir con la legalidad o se aplica la legislación estadounidense? Como bien comentan Alba Carrillo y Nando Olcina en este post, Mailchimp tiene la posibilidad de configurar el doble opt-in, una doble verificación de consentimiento vía email.
No obstante, el doble opt-in “no es sinónimo de cumplir con el Reglamento General de Protección de Datos”, sino que, para poder tener suscriptores a nuestra base de datos, deberemos tener un consentimiento expreso del usuario, especificando la finalidad de solicitar esos datos personales, y el uso que haremos de ellos. Para seguir usando Mailchimp si lo adaptamos a la nueva normativa. Os recomiendo leer este post de Antonio Cambronero en el que explica cómo hacerlo. Recientemente, Mailchimp, al igual que otras plataformas como E-goi, han implementado formularios tipo donde solicitar a los usuarios de los que ya han captados sus datos la reconfirmación de la pertenencia a su base de datos.
No obstante, y aunque aún hoy hay opiniones dispares, son varias fuentes las que coinciden en que, si hemos hecho “las cosas bien”, es decir, si hemos captado los datos de manera correcta acorde a la anterior LOPD, no deberíamos solicitar esta reconfirmación.
A día de hoy, las empresas están migrando a plataformas alternativas similares que se encuentren dentro de la Unión Europea. Existen varias opciones en cuanto a plataformas de email marketing ubicadas en el espacio europeo, como la portuguesa E-goi, Mailrely o Acumbamail. Sin embargo, antes de migrar, recomiendo consultar en esta lista si la plataforma elegida cumple los requisitos (como podéis ver, Mailchimp sí se encuentra entre ellas).
Tengo una lista de datos, pero no hago email marketing. ¿Tengo que cumplir con la RGPD?
Sí. En este caso, deberás solicitar, de nuevo, la autorización a esa lista, aunque no estés haciendo campañas de email marketing. Por tanto, es conveniente que, antes de 25 de mayo, realices un envío a tu base de datos para solicitar que se vuelvan a inscribir en ella, dejando claros los términos de esta petición.
Te dejo un ejemplo de mailing enviado por Rubén Alonso, de la web Mi Posicionamiento Web (https://miposicionamientoweb.es/) que envió hace unas semanas a su lista de distribución, en el que pide el consentimiento expreso para seguir enviando las newsletters de su blog. Es particularmente interesante que os fijéis en el lenguaje que usa, así como la aclaración de la finalidad de la obtención de los datos, el plazo de conservación o dónde se almacenan tus datos.
¿Voy a tener menos registros (leads) en mi base de datos con la RGPD?
El endurecimiento que trae este reglamento europeo no ha de tomarse como negativo, antes bien, supone una mejora tanto para las empresas como para el usuario. Si anteriormente la realización de email marketing implicaba un menor control, que se traducía en una insatisfacción del usuario (que podía percibir el exceso de correo electrónico como intrusivo), y, a su vez, con una efectividad más reducida (lo que se traduce, en un primer momento, en tasas de apertura y clic más bajas, con un mayor número de desinscripciones, y, también, con una mayor posibilidad de llegar a la carpeta de spam), la nueva legislación otorga mayor poder al usuario para decidir en qué está realmente interesado.
Evidentemente, en esta etapa de transición legislativa, en la que las empresas están “bombardeando” al usuario a correos en los que solicitan que reconfirme su pertenencia a las bases de datos a las que se ha suscrito en el pasado, quienes gestionamos el email marketing para las empresas preveemos una adelantada “operación bikini” de datos, y es que nuestras listas de contactos acabarán prematuramente mercadas.
No obstante, y si miramos el cambio en positivo, la nueva legislación supondrá una actualización y rejuvenecimiento de esas bases de datos, así como una mayor transparencia a la hora de realizar sus campañas de captación de leads, ya que el usuario será plenamente consciente para qué está dejando sus datos.
Molt interesant l’article especialment en aquests dies. Ara que és obligat consentir les cookies, suposo que l’avís de cookies del peu d’aquesta web ja no serveix, ja que ara mateix sense consentir les cookies i amb l’avís al peu de plana, veig que ja se m’han instal·lat 9 cookies.
Igualment ja s’han enviat les meves dades personals, la meva IP, al google analytics sense que hagi donat jo el consentiment. Es probable que AddThis també hagi recollit les meves dades personals per haber entrat a la web. I AdRoll potser també. I es probable que algun altre servei instal·lat a la web també hagi recopilat dades meves sense el meu consentiment.
Teniu pensada alguna solució? Estem tots ara ilegals segons el RGPD i estem ja exposats a ser denunciats i multats?
Potser estic confós, avui és el primer dia del RGPD.
Qualsevol comentari que vulgueu fer serà molt benvingut i escoltat amb atenció.
Salutacions!
Bon dia Xavier,
Agraïm el teu interès en l’article. Pel que fa a les cookies, en cas que les rebutgis, no pots accedir als continguts que compartim amb els nostres visitants.
Pel que fa a la recollida de dades, la política de privadesa de la UOC i del propi blog, a la que tens accés, informa en tot moment de quines són les dades que es poden o no recopilar, el motiu pel qual les recopilem i on estan allotjades.
T’adjuntem a continuació els enllaços on podràs consultar tot plegat: Avís legal, Política de privacitat.
Salutacions cordials
¿Y qué ocurre con las direcciones que recogiste previamente mediante consentimiento tácito? ¿Debes
solicitarle permiso? Un saludo.
Hola, Marta,Si las condiciones con las que se solicitó este consentimiento cumple la RGPD, no es necesario
volver a solicitarlo. El Reglamento apunta que el consentimiento tiene que haberse dado libremente,
espontáneamente, de manera informada y de manera activaSi el consentimiento es tácito (basado en la
inacción) es preciso volver a solicitarlo.Te dejo dos referencias de interés:Comisión Europea:
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/does-consent-given-25-may-2018-continue-be-valid-once-gdpr-starts-apply-25-may-2018_es#referencias