El Reglamento Europeo de Protección de Datos: cómo hacer tu Email Marketing bien


Éste es un post de invitada de Marina Brocca, autora del blog marinabrocca.com. Marina es especialista en protección de datos y asesora a empresas en el marco legal del marketing y social media, y ponente y formadora.

Si eres un profesional digital y tienes una web o un blog, sabrás que no hay estrategia de marketing que no contemple la utilización de datos de personales en alguna fase del proceso; a fin de cuentas, se trata siempre de conseguir nuevos usuarios, suscriptores, o clientes y todos ellos implican la necesaria gestión de sus datos personales.

cabecera reglamento europeo proteccion datos

Imagen de Shutterstock - ©Pressmaster

Pues bien, ya ha llovido mucho desde que se aprobó la Ley Orgánica de Protección de Datos (1999), más conocida como LOPD, que impuso una serie de normas y restricciones al tratamiento de la información personal.

No obstante, no pasa día en que no me asalte publicitariamente alguna empresa o profesional que ese día faltó a clase.

Tampoco hay día que no me tope con algún blog o web que no cumple con las exigencias legales en materia de protección de datos personales que Berto López exponía muy bien en su post Por qué tu blog te puede traer problemas legales y cómo evitarlos.

Existen normas legales muy claras respecto a la utilización de datos personales en entornos digitales y en el marketing, concretamente, que muchísimos profesionales siguen ignorando; no obstante, esas normas son las que marcan las líneas rojas que separan el marketing legal del top manta digital.

Las regulaciones sobre email marketing que debes conocer

¿Has pensado que puedes convertir fácilmente una estrategia de email marketing en Spam?

Es mucho más sencillo de lo que crees. Miles de profesionales se convierten en spammers involuntarios cada día aplicando la estrategia del avestruz y haciendo como que las leyes en materia de protección de datos y sociedad de la información no van con ellos.

Por pura estadística, tu podrías convertirte en uno de ellos, así que me propongo ahorrarte el mal trago con este post.

Desde el momento en que los datos personales se convierten en la materia prima de tu negocio, debes conocer los límites, las obligaciones y las reglas que entran en juego, para que puedas utilizarlos sin vulnerar ni atropellar derechos.

A nuestra vieja amiga la LOPD hay que sumarle la LSSI, pero ahora surge, además, una nueva regulación con nuevas exigencias para todos los que gestionamos cualquier tipo de información personal: El nuevo Reglamento Europeo de Protección de Datos.

Resumiendo, cuando gestionas datos personales, debes tener muy presentes estas regulaciones:

  • La LOPD (Ley orgánica de Protección de datos): la LOPD protege el dato personal; es decir, afecta sólo al tratamiento de datos de personas físicas y regula los derechos y obligaciones en cuanto a esta información, incluida la contenida en una comunicación electrónica. La LOPD prohíbe la utilización de datos personales sin consentimiento del titular y por tanto, el envío de comunicaciones comerciales a personas que no nos hayan dado su consentimiento para utilizar sus datos.
  • La LSSI (Ley de la Sociedad de la información y el comercio electrónico): la LSSI no distingue entre persona física y persona jurídica; regula todas las comunicaciones que realices de forma electrónica, ya sea con personas o con empresas y prohíbe el envío de comunicaciones comerciales electrónicas a menos que exista consentimiento o autorización previa por parte del receptor (a menos que exista una relación comercial previa).
  • El Nuevo Reglamento Europeo de protección de Datos,  aprobado el 14 de abril del 2016. Esta nueva normativa será de aplicación a todos los estados miembros de la UE y surge con el objetivo de armonizar todas las regulaciones en materia de protección de datos de los estados miembros. Ha entrado en vigor el 25 de mayo de 2016 y será de obligado cumplimiento en un par de años, así que es mejor que te vayas familiarizando y aplicando las nuevas exigencias en tu estrategia.

Por tanto, existen dos Leyes directas en pleno funcionamiento desde hace tiempo y otra de reciente aprobación.

El peligro de convertirse en un spammer si saberlo

El desconocimiento de las reglas de juego que imponen las citadas regulaciones tiene un efecto inmediato: convertirte en un spammer.

Hay un porcentaje inadmisible de profesionales que no reconoce su condición de spammer, sencillamente, porque no identifican sus estrategias como spam, pero lo son.

¿Qué es concretamente el Spam?

Mucho se habla de spam, mucho se condena; pero ¿estás seguro que no realizas prácticas spam?

La definición oficial de spam es la siguiente: “correo electrónico no solicitado que se envía a un gran número de destinatarios con fines publicitarios o comerciales”.

Pero para mí, el spam es, además:

  • Marketing a la desesperada. 
  • Es impactar de manera violenta sobre el destinatario.
  • Es atropellar los derechos de los usuarios a la autodeterminación informativa y a la protección de datos.

El proceso de convertirse en un Spammer

Es un proceso muy sencillo y hay varias maneras de portar “tan valiosa” distinción.

Voy a desarrollar las tres formas más sencillas de entrar en una dinámica spammer; ahora toca sincerarte contigo mismo y analizar si has convivido o convives con alguna de ellas. Estas a tiempo de remediarlo.

1. Confundir accesible con disponible:

Cada vez que te conectas a una red social, o interactúas en un foro, o simplemente navegas por internet, miles de potenciales clientes se cruzan en tu camino. Internet está plagada de información personal susceptible de ser utilizada como materia prima de campañas de marketing o captación.

Y ese fácil acceso de datos personales nos genera una falsa convicción: “Si es accesible, es porque puedo utilizarla como me apetezca”.

 Confundes accesible con disponible y exento de obligaciones. Es en ese momento cuando te conviertes en un top manta digital o en un spammer; muchas veces, sin tener la menor idea de ello.

Multiplica el Nº de gente que lee tu blog

Con este eBook gratuito de plantillas de copywriting crearás titulos que dispararán los clics en tus contenidos:

  • 77 Plantillas de títulos probadas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus propios títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
¡Buenas! ¿Me dices tu nombre?

¡Un placer conocerte!

Apuntáte aquí y recibirás gratis una copia del eBook.

2. Buscar resultados a corto plazo y con el menor esfuerzo posible

No es nada sencillo conseguir nuevos clientes, tú y yo lo sabemos.

Si estableces una estrategia de tracción que consiga que los clientes vayan hacia ti en lugar de salir a la caza indiscriminada, sabes que no será un proceso rápido.

Conseguir una lista de suscriptores voluntarios para convertir posteriormente en clientes es una tarea ardua y bastante ingrata al principio, aunque te digan lo contrario. Requiere muchísimo tiempo consolidar una estrategia de email marketing, debes ser capaz de conseguir una considerable cifra de leads de calidad y luego ser lo suficientemente paciente, creativo y bueno para convertir esos leads en clientes a través de un embudo de ventas efectivo.

Desde luego no es un proceso ágil y, mucho menos, sencillo. Por eso muchos profesionales buscan acortar el recorrido y obtener resultados rápidos buscando atajos.

Uno de los atajos más utilizados es el de incluir registros o leads en la lista de suscripción con calzador. ¿Para qué esperar a que se suscriban con lo cansado y laborioso que es?

Las suscripciones voluntarias suman a cuentagotas;  mejor meter a 2.000 del tirón y cruzar los dedos para que la estadística funcione y consiga algún cliente (aunque sea atropellando sus derechos).

Para ello se compran bases de datos a granel, se exportan contactos de redes sociales a la lista de distribución, se mandan DM publicitarios en redes sociales, se comparten o subastan leads entre bloggers perentorios y toda clase de comportamientos invasivos destinados a generar ventas directas a base de impactos masivos.

No debes engañarte.

Convertir una estrategia de mail marketing en una estrategia Spam es posiblemente el error más costoso que puedas cometer por tres razones muy sencillas:

  1. Dinamitas de forma fulminante tu reputación.
  2. Te expones a sanciones inasumibles.
  3. Pierdes el tiempo absurdamente en una campaña destinada al fracaso.

La impaciencia puede llevarte a cometer errores que, en lugar de hacerte avanzar, te obliguen a retroceder y a perder mucho en el camino, pero esto no suele contemplarse cuando se utiliza el marketing al margen de la legalidad.

3. Pensar que las leyes no tienen ninguna importancia en internet

Me he topado con profesionales de renombre en internet que despreciaban abiertamente las leyes en materia de protección de datos, aduciendo que solo se trataba de “leyes sacacuartos”: “Las leyes coartan la libertad en internet”.

Me da bastante pereza refutar argumentos tan peregrinos como éste, así que voy a invocar a tu sentido común: tú también puedes hacerte el sueco con la legalidad y utilizar técnicas invasivas de captación de leads y de email marketing.

La pregunta es la siguiente: ¿compensa?

En ésto he de ser categórica y ponerme un poco farruca: no solo no compensa, el spam es por excelencia la anti estrategia.

Olvídate de las leyes, las denuncias y de las posibles sanciones que pueden quitarte el hipo del susto.

Hay consecuencias directas no se hacen esperar cuando atropellas derechos:

  • Tu imagen y reputación caerán en picado, serás tachado como SPAM antes de que puedas hablar de tu libro y tu dirección será bloqueada para impedir futuros contactos. Ya no tendrás una segunda oportunidad, créeme.
  • Recibirás penalizaciones de tipo técnico por parte de los servicios de correo electrónico, como el ser agregado en listas negras, el bloqueo o el conocido envío a la bandeja de correo no deseado por parte de los servicios de webmail. Es posible que te expulsen de la mayoría de plataformas de email marketing si recibes una alta tasa de rebotes.
  • Tienes una alta probabilidad de recibir una denuncia en la Agencia de Protección de Datos por enviar comunicaciones comerciales no requeridas y utilizar datos de personales sin obtener el consentimiento del remitente.

Por otra parte, el convertir una estrategia de email marketing en una estrategia spam traslada al usuario una imagen poco edificante de tu persona; básicamente, le indicas a tus potenciales clientes algunos mensajes nada marketeros:

  • Que el fin justifica los medios y que los escrúpulos pueden olvidarse si hay buenos resultados.
  • Que tu valor reputacional no es algo que te quite el sueño.
  • Que tu principal activo (tus clientes) son solo una fuente de ingresos a corto plazo.
  • Que la sostenibilidad de tu negocio no cuenta en tu estrategia.
  • Que lo de recibir sanciones no te produce insomnio; si te llega un requerimiento, ya se verá.

Un caso real: marketing al margen de la legalidad

como hacer campana marketing legal

El permiso o consentimiento es lo que diferencia el marketing legal del spam.

Hace poco, el CEO de una empresa mandó un mensaje colectivo a cientos de sus contactos en LinkedIn anunciando un lanzamiento. Las reacciones de repulsa y rechazo de los receptores (entre los que me encontraba) no tardaron en aparecer.

Fue tan masiva, implacable y descomunal la respuesta recibida, que el profesional tuvo que emitir una disculpa individual diciendo que se había tratado de un error. Pero ya era tarde para remediarlo, fue bloqueado por gran parte de los receptores y seguidores de su red.

La gente no se interesó en absoluto en lo contaba, solo puso el foco en las formas y reaccionó ferozmente ante el atropello publicitario.

No son estrategias comerciales, sino más bien “artimañas de interrupción invasivas” y que socavan la confianza de los consumidores, de allí ahí que se legisle para combatirlas y que a la Agencia Española de Protección de datos no le tiemble el pulso a la hora de sancionarlas.

Por tanto, he der ser nuevamente categórica: sólo el marketing por e-mail basado en el permiso, permite sostener relaciones fructíferas y duraderas con sus clientes.

Y el marketing de permiso es justamente lo que proponen la LOPD, la LSSI y el nuevo reglamento europeo.

Cómo cumplir con el nuevo reglamento europeo de protección de datos en una campaña de email marketing

El nuevo reglamento europeo no se distancia mucho de la actual LOPD, así que, si ya conoces las exigencias legales de la LOPD, no te costará mucho realizar unos pequeños ajustes.

Las 5 reglas de oro de la LOPD que debes aplicar en toda campaña de marketing:

  1. Toda persona tiene el derecho de consentir o no la recogida, la obtención y el acceso a sus datos personales. Que los datos personales aparezcan en internet o en redes sociales no implica consentimiento, no te otorga el derecho a utilizarlos de ninguna manera.
  2. Toda persona tiene el derecho a decidir sobre el almacenamiento y el tipo tratamiento que se hará de su información personal. Que te faciliten una tarjeta comercial o que te contacten para pedirte información no significa que puedas añadirlo a tu boletín, a menos que te den permiso expreso para hacerlo.
  3. Toda persona tiene derecho a conocer de manera previa el uso o los posibles usos por parte de terceros que se le dará a su propia información. Por tanto, si no has informado previamente del uso concreto que harás de sus datos, no vale de nada que pongas un check box de consentimiento.
  4. Toda persona tiene derecho a saber en todo momento quién o quiénes disponen de esos datos personales y a qué uso los está sometiendo. Si no eres absolutamente transparente respecto a tu identidad y a las de todos tus colaboradores a quienes les cedas datos personales, nunca estarás realizando una campaña de marketing legal.
  5. Toda persona tiene el derecho a oponerse a ese tratamiento o exigir la cancelación de su información. Que te hayan dado su permiso para que les mandes publicidad no significa que ese permiso sea irrevocable, debes facilitar esa posibilidad siempre.
derecho digital

Email marketing legal.

Recuerda: Toda comunicación comercial debe haber sido previamente solicitada o expresamente consentida por el destinatario, a menos que exista una relación comercial previa o haya sido obtenida de fuentes accesibles al Público.

El nuevo reglamento no invalida ninguna de estas reglas de oro de la LOPD, más bien las refuerza.

Aunque hay muchas cosas por aclarar todavía respecto a la aplicabilidad del nuevo reglamento europeo, voy a darte unas pautas básicas que te ayudarán a estar en la buena dirección a la hora de diseñar tus campañas de marketing y captación.

Primer paso: revisar cómo obtienes los datos y los mecanismos de captura.

La manera en la que obtienes los datos marcará la distancia entre una campaña legal y otra que no lo es.

La única clave para cumplir este requisito es el permiso. Por esa razón, la mejor manera de obtener datos legalmente es mediante un formulario de captación en donde sea el propio usuario el que aporte la información requerida. Olvídate de cualquier otra estrategia en donde no puedas acreditar el permiso del usuario para comunicarte comercialmente con él.

Da igual dónde tengas previsto captar leads o clientes, si a través de tu blog o en una campaña de Facebook Ads; lo importante es la forma. Debes asegurarte de tener un formulario de contacto adecuado a la LOPD.

En el nuevo reglamento esto se refuerza y te exigen que también seas capaz de acreditar el consentimiento y por esta razón es imprescindible verificar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección. No basta con hacerlo bien, también debes ser capaz de demostrarlo.

Segundo paso: informar con total claridad y transparencia

En la actual LOPD, el requisito de informar al destinatario sobre todos los aspectos que afectaban al tratamiento de sus datos era un requisito básico; en el nuevo reglamento, este requisito también se refuerza y se especifica que para las personas físicas deben quedar totalmente claros los siguientes puntos a la hora de requerir o gestionar sus datos personales:

  • Que sus datos personales se están recogiendo, utilizando o consultando. 
  • La medida en que dichos datos son o serán tratados. 
  • De las posibles consecuencias de no facilitar tales datos.
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
  • La identidad del responsable de la gestión y si procede, del delegado de protección de datos. 
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto siíes una novedad).
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. 
  • La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  •  La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión. 

Por tanto, es fundamental que trabajes en la redacción de mecanismos informativos claros que incluyan todos estos puntos. Pueden estar desarrollados en cláusulas informativas que incluyas en todos los sistemas de captura o incluirlas en tu política de privacidad. 

Tercer paso: el consentimiento es el rey

El consentimiento en la nueva regulación europea, que se reforzará notablemente, quizás es el punto más decisivo en lo referente al marketing y en donde más vas a tener que esmerarte.

En la LOPD se aceptaba como bueno el consentimiento tácito, a menos que se tratara de datos sensibles; con el nuevo reglamento, el consentimiento tácito desaparece y no puede inferirse de la inacción u omisión de los usuarios (si no dice nada es que está de acuerdo).

El nuevo Reglamento europeo exige que el consentimiento, para que sea válido, cumpla algunos requisitos:

  1. Debe ser libre.
  2. Debe ser informado.
  3. Debe ser específico.
  4. Debe ser inequívoco.

Para que se cumplan estas condiciones, no puede aceptarse un consentimiento tácito o por defecto y exige, por tanto, que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Por tanto, el modo de obtener el consentimiento válido es el siguiente:

  1. Informar claramente sobre todos los puntos desarrollados en el apartado anterior.
  2. Instrumentar mecanismos efectivos para recabar el consentimiento de todas las personas a quienes requieras información personal.
  3. Poder acreditar en cualquier momento ese consentimiento.

Recuerda que el consentimiento es intransferible y específico; esto significa que vale solo para quien lo ha recabado y para la finalidad que haya informado. No podrás, por tanto, vender esos registros a otros profesionales o empresas, ni usar esos datos con una finalidad diferente a la informada previamente.

Las direcciones de correo electrónico son datos personales y, como tales, son intransferibles. No está permitido venderlos, compartirlos, alquilarlos ni transferirlos por ningún medio y bajo ninguna circunstancia, a menos que cuentes con el consentimiento específico del usuario.

Mecanismos para acreditar el consentimiento

Un mecanismo efectivo para acreditar el consentimiento debe incluir necesariamente un mecanismo informativo igualmente efectivo, ya que, como hemos visto, no hay consentimiento válido sin información específica.

Por tanto, en el momento de la recogida de los datos personales, se debe suministrar información relativa al tratamiento, para poder recabar luego el consentimiento en relación con los aspectos que se han hecho constar de manera específica e inequívoca en la mencionada información.

1. Formularios web:

El consentimiento puede recabarse mediante un check box de aceptación al “aviso legal” o “política de privacidad”.

También puedes incluir debajo del formulario una cláusula informativa concreta que atienda a los aspectos esenciales (titularidad del fichero, finalidad, cesiones, derechos de los interesados de rectificación, cancelación, acceso y oposición).

Es importante que el consentimiento se recabe de tal forma que resulte imposible el envío de dato alguno sin que previamente el usuario  haya conocido y consentido la información específica sobre el tratamiento de sus datos.Ésta sería la mejor prueba del consentimiento efectivo:  la acreditación de que el programa impide enviar  los datos sin antes haber aceptado el aviso legal o la cláusula informativa correspondiente.

Esto sin duda permite asegurar que el consentimiento de los usuarios sea efectivamente específico e inequívoco, tal y como exigen la Ley y el nuevo reglamento Europeo.

2. El doble opt-in:

El tener que verificar una dirección es una manera muy efectiva de acreditar el consentimiento, pero siempre que hayas introducido un mecanismo informativo adecuado.

Ese mecanismo informativo puedes incorporarlo en el propio formulario de suscripción (ejemplo anterior) o en el autorespoder de confirmación.

Basta con configurar el correo de confirmación incluyendo una cláusula informativa y especificando que la validación de esa dirección supone la aceptación de esa cláusula informativa o política de privacidad (aquí bastaría con un enlace a la misma).

Omitir este recurso es perder la mayor prueba de consentimiento que tienes a tu favor.

Cuarto paso: informar y requerir consentimiento para elaborar perfiles

Ésta es otra novedad que introduce el nuevo reglamento, que afecta directamente al marketing: la elaboración de perfiles para campañas de marketing o mercadotecnia estarán sujetas a nuevos requisitos.

El Reglamento introduce la necesidad de recabar el consentimiento para llevar a cabo actividades de creación de perfiles que produzcan efectos jurídicos o afecten significativamente al interesado.

Por tanto, en esta elaboración de perfiles podemos incluir todas las estrategias, aplicaciones, herramientas, protocolos de internet, como direcciones de los protocolos de internet, identificadores de sesión en forma de “cookies” u otros como las etiquetas de identificación de radiofrecuencia, destinadas al análisis y segmentación de la base de datos, dado que en el nuevo reglamento se aclara que la elaboración de perfiles consiste en un análisis de datos seguido de una acción automática que no requiere de intervención humana y más específicamente:

Se trata de toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.

Pero para aclararnos un poco más, no serían considerados procesos de elaboración de perfiles los casos en los que “los datos presentes en la base de datos se analicen con instrumentos informáticos y su procesamiento sea objeto de la evaluación previa de una persona, con el objetivo de adaptar y verificar los datos antes de usarlos.” Sería el caso de una depuración o actualización de base de datos. En esos casos, por consiguiente, no se requiere de un consentimiento específico para realizar la actividad.

Por el contrario, si vas a utilizar datos personales con fines de marketing directo, el usuario/interesado tendrá derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles, en la medida en que esté relacionada con dicha campaña de marketing.

En resumen, para poder realizar perfiles y segmentar deberás:

  1. Informar al usuario específicamente sobre este aspecto y de manera separada de cualquier otra información; si lo desarrollas en la política de privacidad, deberás generar un apartado específico referido a la elaboración de perfiles.
  2. Requerir el consentimiento de manera clara y explícita al usuario, para la utilización de sus datos en la elaboración de perfiles.
  3. Ofrecer al usuario siempre el derecho a oponerse a la elaboración de perfiles en la medida en que esté relacionada con una campaña de marketing directo, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno.

Por tanto, la única manera que se me ocurre de dar cumplimiento  a todos estos requisitos sería tener un doble check box con un consentimiento específico para la política de privacidad y otro para la elaboración de perfiles, como en el ejemplo siguiente:

consentimiento segmentar

Así se da el consentimiento para segmentar, según el nuevo reglamento europeo.

Conclusión

Es posible que todas las exigencias legales te resulten difíciles de digerir; lo cierto es que es que es imprescindible que existan reglas de juego claras, para que nuestra información personal no escape a nuestro control y voluntad.

Por eso es imprescindible generar un marco de confianza que permita consolidar una economía digital, reforzando la seguridad jurídica y transparencia para la protección de datos personales de las personas físicas y prestadores de la sociedad de la información.

No le temas a la legalidad, ofrecer garantías es la forma más eficaz de consolidar tu estrategia y obtener la mejor ventaja competitiva.

 

1 Star2 Stars3 Stars4 Stars5 Stars (6 valoraciones, media: 5,00 sobre 5)
Cargando…

Acerca del autor: Marina Brocca

Marina Brocca es la autora del blog marinabrocca.com.

Consultora, especialista en protección de datos, cumplimiento normativo y seguridad en el nuevo entorno digital, se ha especializado en asesoramiento a empresas en el marco legal de acciones de marketing y social medida.

Es también ponente y formadora habitual en diversos seminarios y cursos de formación relacionados con proyectos de negocio, protección de datos y marketing legal.

Marina colabora también, en calidad de autora, con medios digitales como: Mail Relay, Puro Marketing, Semrush, Marketing and web, Blogger3.cero, Santander Advance, o Digital Marketing Trends.


Comentarios

  1. Buenas noches Marina,
    Aunque este articulo es del año pasado sigue estando vigente.
    He leído que la AEPD podría actuar sobre aquellos que utilicen mailchimp por no cumplir con las normas.
    Tu que estás mas actualizada en estos temas: ¿siguen ellos incumpliendo las normas y por ende no deberíamos utilizarlo en españa?
    Si es afirmativa la respuesta, ¿me podrías sugerir alguna otra herramienta con características similares pero que sí cumpla con la AEPD?
    Agradezco tu respuesta de antemano.
    Saludos

  2. Hola Marina, muchas gracias por compartir este excelente artículo.

    Me surge una duda al respecto, hablas de hacer perfiles con la finalidad de hacer marketing directo pero, ¿seria igual si lo que se hace es segmentación para vender el dato del segmento al que perteneces anonimizado a un DMP? En este sentido, creo que la empresa que tiene tus datos hace la segmentación pero en realidad no hace la publicidad, la publicidad la hace un tercero al que se le ha vendido la audiencia, ¿hace falta también aquí la autorización expresa para hacer perfiles y decir que la finalidad es el marketing?
    Gracias!
    Un saludo

  3. Hay que tener cuidado al realizar email marketing porque es cierto que puedes convertirte en spammer sin casi darte cuenta. Hay que prestar atención a la LOPD y tener el consentimiento de los usuarios a los que enviemos la publicidad/información.

    un saludo

  4. Buenos días Maria. Valiosa excelente información, tengo ciertas interrogantes. Según los nuevos planteamientos legales los tecnicos y prestadores de servicios, los profecionales de la wed deben cumplir con todo esto. Primera duda¿ nos estaran obligando a aceptar todas las aprobaciones para ser parte de sus sitios o se podra aceptar solo lo que uno decida es conveniente? Otro punto. Si todo funciona sin penalizar al usuario por aceptar solo lo que considere justo para el, sus intereses y derechos. Estas acciones lejos de ir en deteimento de las actividades comerciales en la red vienen a depurar, optimizar y fortalecer toda actividad de este tipo y por ende a dar derechos y mismos estatus tanto al usuario como los operadores algo muy positivo. Gracias por tu trabajo y compromiso.

    • Hola Fernando, Muchísimas gracias por participar de este debate. Has hecho dos preguntas muy interesantes y a la vez complejas de responder porque al ser un reglamento que todavía no está operativo desde el punto de vista práctico, hay muchas cosas que no se sabe cómo certeza cómo se van a aplicar y que tipo de interpretaciones pueden generar. Lo cierto es que nace con el objetivo de otorgar más soberanía y control a los usuarios sobre su propia información y a la vez intentar controlar el mercadeo indiscriminado de datos entre prestadores.

      No sabemos cómo van a reaccionar las operadores y cómo se las van a ingeniar para seguir haciendo lo mismo aparentando que hacen algo distinto (que es lo que suele ocurrir) en cualquier caso, deberán poder acreditar el consentimiento en casa uso que hagan de los datos de otros y demostrar que ese consentimiento no era tácito, sino explícito, equivoco e informado. A ver cómo se las apañan.
      Un fuerte abrazo

  5. Buenos días Marina,

    Tengo una duda acerca de este tema concreto. “Toda comunicación comercial debe haber sido previamente solicitada o expresamente consentida por el destinatario, a menos que exista una relación comercial previa.”

    ¿Que una empresa se haya puesto en contacto conmigo para pedir un presupuesto o para pedirme un listado de precios o simplemente solicitando información acerca de alguno de mis productos, me da derecho a mandarle correos con ofertas futuras?

    En resumen, ¿esto se considera relación comercial previa?

    Muchas gracias por tu tiempo, por el articulo y por el blog en general. ¡Suerte y buena vibra!

    • Hola Imanol, gracias por pasarte a comentar.

      Respecto a tu duda, decirte que el concepto “relación comercial previa” se refiere a la existencia de una transacción económica previa. Para poder enviar ofertas promocionales en estas circunstancias, es necesario que hayas recabado previamente el consentimiento del interesado para poder hacerlo y siempre que los correos que le dirijas estén relacionados con el objeto de la consulta o contrato.

      Mi recomendación es que si alguien te pide un presupuesto, le requieras el consentimiento para poder seguir enviando información y que puedas acreditar ese consentimiento; no olvides que la descarga de la prueba corresponde siempre al prestador.

      Un fuerte abrazo.

  6. Hola Marina!
    He aterrizado en tu blog y me parece un buen sitio para quedarme 🙂
    Mi pregunta es en cómo afectará esto a aplicaciones como Mailchimp, Sendinblue, etc…

    Gracias!

    • Hola Hector, gracias por tu valoración y me encanta que te quedes en mi blog!
      Respecto a tu pregunta, estos servicios están incluidos dentro de las llamadas “transferencias internacionales de datos” que a su vez están reguladas por acuerdos internacionales. Ahora mismo ha sido aprobado Privacy Shield, que es el sucesor del malogrado Safe Harbor. Esto permitiría utilizar estos servicios con total normalidad siempre y cuando estas empresas se adhieran a estos acuerdos.
      Un fuerte abrazo

  7. Ascensión Sánchez Calvo dice:

    Me ha gustado mucho este artículo.
    Muy claro y explicado de manera sencilla.
    El problema más importante es que cuando quieres darte de alta en una red social, o un recurso incluido en ella, te piden aceptar sus condiciones o sus políticas a modo de chantaje, es decir, si no aceptas no te das de alta.
    No se si va a seguir así con el nuevo Reglamento.
    Un saludo
    Ascensión

    • Hola Ascensión, es muy interesante lo que planteas porque ciertamente todos los servicios funcionan de esa manera, o estas de acuerdo con las condiciones o no puedes ser usuario del servicio o plataforma. Lo ideal es que el usuario tenga la posibilidad de tener diferencias opciones de privacidad, como ocurre en redes sociales actualmente, aunque están siguen siendo precarias. En el caso de la segmentación, el nuevo reglamento establece la obligación de obtener un consentimiento específico por ejemplo, de modo de limitar esa práctica si no estas de acuerdo. Creo que eso sería ideal para el resto de las opciones, aunque desde luego no sería muy práctico de implementar.
      Un abrazo y gracias por tu valoración del post.

  8. ¡Hola, Marina! Oye, una cosa: ¿podríais añadir al post algún consejo de plugin de WordPress que permita estas configuraciones? Creo que, muchas veces, esto facilita el cumplimiento por parte del usuario, ya que no se siente tan abrumado o perdido a la hora de hacerlo.

    • Hola Jose, el problema de los plugin es que envejecen muy rápido y quedan obsoletos en muchos casos por falta de actualización. También debes tener en cuenta que mi perfil no es técnico, esto lo debería explicar algún desarrollador porque sería meterme en un berenjenal, cada uno a lo suyo, yo explico el qué, el cómo en términos de programación escapa a mis competencias.

      Un fuerte abrazo

  9. Muchas gracias. Estos días atrás, aunque pueda parecer mentira, busqué información sobre esto. Me viene genial.

  10. Estas leyes afectan mayormente al mailing, no? Porque la verdad es que veo mucho más apetecible desactivar la opción de suscribirse por correo electrónico y acabar de una vez con tanto quebradero de cabeza.

    Es cierto que sin el mailing no hubiera llegado a este artículo pero para mi blog en concreto no me parece una herramienta interesante, nunca lo he usado ni tenía pensado hacerlo a corto plazo. Prefiero la suscripción a mis otras redes sociales y a partir de ahí que lleguen al blog si les interesa. Yo normalmente borro los emails sin ni siquiera mirarlos y me parecen una molestia más que otra cosa. Por cada uno que me lleva a contenido interesante borro como 20 que ni miro.

    Creo que voy a aplicar las leyes pero por la base. Borro la suscripción al correo y listo.

    • Hola Eva, esa es una decisión absolutamente personal. Realmente, parece mucho mas complejo de lo que es, las obligaciones son bien sencillas, Informar y pedir permiso, no se pide mucho más, pero hay que hacerlo bien, sin duda, o de poco sirve.

      Lo de la conveniencia o no de una lista, eso lo debe valorar cada profesional en función de sus objetivos y su estrategia, en cualquier caso, si utilizas cookies de terceros, deberás informarlas y pedir permiso para su descarga, aunque no tengas suscriptores, y si utilizas enlaces de afiliados o generas cualquier tipo de ingresos mediante el blog, deberás especificarlo también en el aviso legal, por tanto, no todo paso por tener o no una lista de suscripción, hay otros elementos que debes valorar de cara a una adevuación legal.

      Un fuerte abrazo

  11. Hola Marina,
    Gracias por este esclarecedor artículo.
    La primera vez que se lee sobre estas cosas resulta abrumador, pero está claro que la ignorancia de la ley no exime de la ley y cada vez más bloggers somos conscientes de ello porque nos beneficia a todos. Hay que verlo más como una oportunidad que como un marrón.
    Y para nosotros tenerte de referencia para ayudarnos es una grandísima suerte. 🙂
    Un abrazo!

    • Hombre Ramón ¡Que pequeño es el mundo! Veo que tenemos los mismos referentes tu y yo. Es una gozada estar aquí también, es un espacio privilegiado para mi porque se cuida mucho el rigor y hay una enorme disciplina editorial que no abunda en muchos otros sitios.
      Creo que gracias a profesionales como Berto y Raquel, Dean. Rubén Alonso, tu mismo, el mundo blogger empieza a despertar a otra conciencia ligada a la responsabilidad y al respeto por el usuario.
      ¿ya tocaba no?

      Un fuerte abrazo Ramón, me encanta verte por aquí.

  12. Gracias Marina
    Gran post, solo queda prepararse para explicarle a los clientes los nuevos cambios a aplicar a sus políticas de protección de datos.
    El tema del consentimiento tácito me parece normal que se ataquen por la ley, era muy discutible como le estaban aplicando muchas empresas, sobre todo grandes compañías. Te mandaban un mail o incluso en forma de carta postal “si en quince días no dices nada entendemos que das tu consentimiento” como el 99% que lo recibían pensaba que tenían mejores cosas que hacer que responder a esto, recababan un número considerable de “consentimientos tácitos” para hacer lo que querían en cada momento.
    Ya que te hagan diferenciar el consentimiento para elaborar perfiles diferenciado del anterior, es un poco pesado incluso para el usuario, y al menos va a dificultar conseguir leads.
    Sí que es cierto que mejor saber como hacer las cosas que no que te generen dudas, la multas que te pueden caer acaban con cualquier negocio pequeño o incluso mediano.
    Y como comentas no cumplirlas puede poner de uñas a los clientes de tu empresa, cosa poco aconsejable si quieres que lo sigan siendo o lleguen a serlo algún día.
    Si alguien no quiere recibir un correo de tu empresa aunque no fuese ilegal no tendría ningún sentido comercial que se lo enviases.
    Saludos.

    • Gran aporte Federico, ciertamente, el tiempo del paripé y de hacer con la información de los demás lo que me convenga y no lo que el otro quiera, ha llegado a su fin.
      El uso salvaje, intrusivo e indiscriminado de información personal, tiene sus días contados.
      Respecto a la segmentación, aquí la cosa tiene sentido si lo analizas desde el punto de vista del big data y los potenciales usos y peligros que supone. Este consentimiento tiene cómo finalidad el limitar el análisis comportamental de usuarios que establezcan efectos jurídicos sobre este. Imagina una compañía de seguros que establece las primas en función de tus hábitos, una empresa que selecciona perfiles de trabajadores basados en sus perfiles sociales y hábitos de navegación, una centro que selecciona a sus alumnos a la carta basándose en perfiles y millones de ejemplos más.

      El Big data permite todo eso y mucho más. Lo que pretende esta regulación es que el usuario sepa que empresas usan sus datos para establecer patrones y con que finalidad. Otra cosa es que en la práctica esto se cumpla, pero al menos habrá un elemento legal al que acogerse.

      Muchas gracias por tu comentario y un fuerte abrazo

  13. Hola Marina,

    Ante todo, mucha gracias por este post. Toda la información relacionada con temas legales viene muy bien por lo confusa y farragosa que pueda llegar a ser. Leer las cosas de una manera tan clara siempre es un gusto.

    Leyendo tu post entro en duda porque no sé si he entendido bien. Primero dices que el simple hecho de que la información está accesible no significa que esté disponible. Pero más abajo dices, literalmente: “Toda comunicación comercial debe haber sido previamente solicitada o expresamente consentida por el destinatario, a menos que exista una relación comercial previa o haya sido obtenida de fuentes accesibles al Público.”

    Es decir, según la última parte de ese párrafo y si yo lo entiendo bien, legalmente, accesible sí es disponible. Otra cosa es entrar en la materia de la efectividad que ese contacto pueda tener, en la imagen que puedas aportar como empresa o incluso en la moralidad de si es correcto o no. Pero ciñéndonos a lo legal…

    En cualquier caso, no sé hasta que punto todo esto sirve de algo. A finales del año pasado puse una denuncia ante la AEPD por una lista de la que es imposible que me borren y a pesar de que me dieron la razón y se le comunicó a la empresa que debía eliminar mi correo en no más de 28 días, a día de hoy (5 meses más tarde) sigo recibiendo las mismas comunicaciones. Eso a pesar de que mi denuncia no ha sido la única, cosa que también consta en la comunicación que me enviaron al respecto. Y por lo que he visto por twitter, no soy la única que a pesar de todo sigue recibiendo esos correos.
    Así que… ¿de qué sirve tanta legislación si a la hora de la verdad en realidad el usuario sigue igual de desprotegido que siempre?

    A mi que me ha tocado estar en las dos caras de la moneda (especialmente si hablamos de las comunicaciones telefónicas) creo que a veces se pasan de requisitos para, al final, que no sirvan de nada.

    Un saludo y nuevamente gracias por tu artículo.

    • Hola Eva, gracias por comentar.
      Para responder a tu duda sobre “fuente accesible al publico” he de explicarte que se considera fuente accesible porque aquí es donde se produce la gran confusión:
      Podrán considerarse incluidos en fuentes accesibles al público los datos que hayan sido objeto de difusión a través de prensa, radio y televisión (convencional o digital)
      Las revistas puramente científicas no deberían considerarse fuente accesible al público a los efectos de la aplicación de laLOPD
      Internet no es, a los efectos de protección de datos un “medio de comunicación social”, sino un “canal de comunicación”, por lo que no es fuente accesible al público.

      Por tanto, las redes sociales y cualquier información personal obtenida de internet, no es fuente de acceso publicio y por tanto, no puede utilizarse con finalidades comerciales.
      Lo de tu caso es algo verdaderamente llamativo, porque las sanciones son copiosas y mucha más cuando hay reincidencia, deberías volver a presentar la denuncia, es posible que la sanción impuesta no les haya dolido demasiado aunque leyendo los expedientes sancionadores que publica la Agencia, no les tiembla el pulso a la ahora de sancionar por publicidad no solicitada, hay miles de expedientes sancionadores al respecto.

      No obstante, al margen del tema sancionador, está la reputación de la empresa, es evidente que en el caso que comentas les importa más bien poco. Si te sirve de consuelo, el nuevo reglamento incluye indemnizaciones a los afectados, podrás exigir compensación económica cuando entre en vigor, verás como a mas de uno se le quitan las ganas de pisotear derechos.

      Un fuerte abrazo

  14. Muy bueno, Marina, como no podía ser de otra forma. 🙂

    Es una pena que no se tengan en cuenta estas leyes; parece que por ser en Internet no tienen tanta importancia… Y no es así.

    Respecto al tema del envío masivo a contactos de LinkedIn para una oferta, lo he vivido en mis propias carnes y varias veces. De hecho, escribí en LinkedIn Pulse una publicación quejándome sobre esto mismo, y cada vez que recibo ofertas de este tipo en una conversación múltiple directamente les remito a la publicación, me salgo de la conversación y les bloqueo como contacto. Espero que así sepan que no es una buena estrategia.

    Un placer leerte, Marina y ¡gracias por este pedazo de artículo!
    Un abrazo.

    • Hola Rubén, que bueno verte por aquí (ya nos vemos hasta en la sopa tu y yo)
      Respecto a la anarquía blogguera, lo cierto es que desde años, los bloggeros (en general) tenemos la falsa convicción que no tenemos ningún tipo de obligación legal, ningún tipo de compromiso, ninguna regulación que cumplir, eso viene a significar que tampoco tenemos tenemos ninguna responsabilidad,a pesar de que algunos administran miles de datos personales de usuarios y suscriptores y que otros venden sus propios infoproductos en sus blog ¿Algo absurdo no crees? Afortunadamente hay profesionales como tu que empiezan a señalarle el rumbo a otros y en tu caso con más razón , tienes los textos legales mas divertidos y amenos del bloguelandia.

      Respecto a LinkedIn, esto de la oferta multi remitente que tanto nos enardece a ti y a mi, no se percibe como spam por esos profesionales, pero a todas las luces lo es, espero que este post les ayude a identificarlo cómo tal.
      Un fuerte abrazo Rubén, me encanta tenerte cerca.,

  15. Hola Marina, muchas gracias por esta puesta al día tan completa. En su día miré un poco la LOPD por curiosidad y me quedé a cuadros cuando vi que si metes la pata podías ser multado con hasta 600.000€

    ¡Más vale saberse estas cosas!
    Fran

    • Gracias Fran a ti por comentar. Yo trato de poner el foco en el usuario y no en la sanción y eso me lleva también al sentido común ¿Puede ser efectiva una estrategia es manifiestamente ilegal?
      Un fuerte abrazo

  16. Gustavo Woltmann dice:

    Bastante completa esta información, hay que recordar que el spam es algo ilegal en muchos paises.

Deja un comentario

Para ello, por favor, sigue estas pautas, por respeto a nuestra comunidad (y a nosotros):

  • Usa tu nombre personal, ni nombres inventados, ni el de tu web, ni el de tu empresa.
  • Cuida la redacción: separa párrafos y no escribas en mayúsculas (equivale a gritar).
  • No dejes enlaces a tu web en el comentario, dispones del campo "sitio web" para ello.
  • Eliminaremos comentarios con insultos, ofensivos o con lenguaje soez.

*

 

Rellena el formulario y accede a nuestro training rápido de pro-blogging

Aprenderás paso a paso y desde cero cómo usar las mejores técnicas, trucos y secretos de los top bloggers para dar el salto al siguiente nivel

Y todo 100% gratis :)