Si bien se supone que las formalidades legales en campañas de email marketing ya es un tema conocido por las empresas, el hecho de recibir constantes consultas y de ver graves errores legales en correos comerciales que recibimos nos ha motivado a aclarar algunos conceptos relacionados con las políticas de protección de datos en comunicaciones comerciales por vía electrónica. Si tu empresa quiere hacer marketing legal, respetuoso con su público objetivo y no sufrir sanciones económicas por infracciones a las leyes de protección de datos debería comprometerse a tener en cuenta los siguientes puntos:
1. Obligación de inscribir los ficheros en el Registro General de Protección de Datos (RGPD) la Agencia Española de Protección de Datos (AEPD): La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales (LOPD) dice con claridad que “cualquier información concerniente a personas físicas identificadas o identificables”, que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma, artículo 3.b), como “conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos (RGPD). No es un trámite complicado, lo puede hacer el personal de la empresa contando con el apoyo técnico de la propia agencia de protección de datos.
Información, Presupuesto de servicios de consultoría sobre como adaptar su sitio web, ecommerce o contenidos digitales a la legislación y derecho español:
> Solicite ahora información o presupuesto sobre nuestros servicios de consultoría técnica, legal y de marketig digital relacionada con protección de datos y comercio electrónico.
2. Prohibición del envío de SPAM: El Artículo 21 de Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), dice que queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. El envío de SPAM es una infracción grave. Sobre los montantes de las sanciones nos hemos referido en el artículo Servicios LOPD para protección de datos personales en sitios web, tiendas online y comercio electrónico.
3. Principio de “opt in” o correos comerciales sólo si hay aceptación previa: El Artículo 21 de la LSSI también dice que no será considerado SPAM cuando exista una relación contractual previa, si el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. Básicamente exige que los destinatarios hayan, por ejemplo, dado su consentimiento previo por escrito, o hayan entregado su tarjeta de visita en una feria. El artículo 3.h) de la LOPD es amplio, define el consentimiento del interesado como: “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.
Cuando se trata de newsletters o información periódica de un sitio web, lo correcto es darle al usuario la posibilidad de suscribirse y de confirmar su suscripción, esto se denomina proceso de “doble opt-in”. Evita que alguien realice fraude de identidad utilizando el correo electrónico de otro, técnica muy común en robots maliciosos y piratas informáticos.
4. Deber de Secreto: El Artículo 10 de la LOPD dice que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El envío de correos con copia a múltiples destinatarios cuyos e-mails están a la vista de todos no respeta el Deber de Secreto y es una infracción grave muy común. Cuando se quiera enviar un correo a múltiples destinatarios hay que utilizar el campo CCO (copia oculta).
5. Derechos ARCO: La LOPD enuncia los derechos ARCO que son cuatro derechos clave, que junto al derecho a la información sobre los datos están siendo tratados, siempre deberán tener los destinatarios de las campañas:
- Derecho de Acceso: permitir al ciudadano conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento.
- Derecho de Rectificación: permitir corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
- Derecho de Cancelación: permitir que se supriman los datos que resulten ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
- Derecho de Oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo. Normalmente lo llamamos “Baja” o “Desuscripción”.
6. La Desuscripción, “opt out” o Baja debe ser sencilla y es obligatorio poner un correo electrónico para la Baja: La LSSI, en el mismo Artículo 21 que venimos comentando, también enuncia dos reglas que deben tenerse en cuenta cuando se diseña el correo electrónico que llevará la comunicación y el mensaje publicitario:
“El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.”
“Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
Como podéis ver la ley no exige que exista un sistema automático para la Baja o desuscripción. Lo deja a elección de quien hace el envío, pero dice con claridad que si la comunicación es vía correo electrónico el mismo deberá contener una dirección de e-mail útil para que el receptor pueda ejercitar sus derechos ARCO, particularmente el de Oposición, Baja o desuscripción.
7. Consultar las Listas Robinson: El Artículo 49.4 del Real Decreto 1720/2007 de desarrollo de la LOPD establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento”. A tal fin, la Asociación Española de la Economía Digital (adigital) creó las Listas Robinson como servicio gratuito de exclusión publicitaria, a disposición de los consumidores. Desde el punto de vista práctico sirve, por un lado, para que los ciudadanos puedan manifestar que no quieren recibir comunicaciones comerciales de ningún tipo (correo electrónico, SMS, llamadas telefónicas, etc..) y, por otro lado, para que las empresas vayan limpiando sus bases de datos y CRM al retirar de los mismos a los que se van auto-excluyendo.
Artículo de Eduardo Paz LloverasDirector de Comercio Electrónico GlobalAbogado UNR y Master of Science in Marketing (MSc) IAMZ-CIHEAMBlog personal: Eduardo Paz, Blog de Disrupciones