El marketing es básico para conseguir clientes pero, precisamente por ello, tiene un gran impacto sobre la protección de datos. En este artículo te hablamos sobre marketing y protección de datos personales y te ayudamos a cumplir con la normativa en tu negocio.
En este artículo hablamos de:
- Normativas a tener en cuenta si te dedicas al Marketing
- ¿Cómo afecta el RGPD a las acciones de marketing?
- Momentos de una campaña de marketing en los que el RGPD entra en juego
- ¿Cómo adecuar tus estrategias de marketing digital al RGPD?
- Recomendaciones sobre el contenido del email
- ¿En qué beneficia a los profesionales del marketing cumplir con el RGPD?
- Puntos más importantes para adecuar correctamente una campaña de marketing al RGPD
Normativas a tener en cuenta si te dedicas al Marketing
En primer lugar debemos hacer referencia a las diferentes normativas relacionadas con esta materia.
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales)
- RGPD (Reglamento General de Protección de Datos)
- LSSI: (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico)
¿Cómo afecta el RGPD a las acciones de marketing?
La entrada en vigor del RGPD y la LOPDGDD ha supuesto un nuevo escenario a la hora de realizar campañas de marketing. Estas leyes vienen a reforzar los derechos de los usuarios respecto a sus datos personales y a endurecer las obligaciones de las personas físicas o jurídicas que tratan dicha información.
Una de las novedades más importantes para el ámbito del marketing que introducen estas normativas es la obligación de obtener consentimiento expreso del usuario para tratar sus datos personales. Esto significa que para tratar los datos de los usuarios con fines comerciales o de promoción, hay que obtener consentimiento explícito, voluntario e inequívoco del interesado. Ya no sirve con el consentimiento tácito.
Otro de los requisitos en relación a la protección de datos y marketing es el deber de informar. Será necesario informar al usuario sobre el tipo de datos que se recaban, la identidad del responsable o encargado del tratamiento, la finalidad para la que se recogen los datos, el plazo de conservación, o las vías para ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Además, para cumplir con el deber de información las empresas que recaben datos personales de los usuarios en internet han de incluir los textos legales, esto es, el Aviso legal, la Política de privacidad y la Política de cookies.
Por otra parte, la LOPDGDD incluye entre las empresas obligadas a contar con un Delegado de Protección de Datos a “las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos“.
Protección de datos para agencias de marketing desde 180 euros al año.
Momentos de una campaña de marketing en los que el RGPD entra en juego
La obligación de cumplir el RGPD en marketing abarca todas las etapas de una campaña de marketing, desde la recopilación de datos hasta su destrucción, pasando por la gestión y almacenamiento de los mismos.
Recopilación de datos
El requisito básico para poder tratar los datos de los usuarios con fines de marketing es haber obtenido su consentimiento previo.
Este consentimiento RGPD ha de ser expreso, es decir, se debe otorgar de forma explícita, voluntaria e inequívoca, a través de una acción concreta, por ejemplo, marcar una casilla de aceptación o check box.
Se debe informar al usuario sobre la finalidad para la que se van a recabar sus datos, además de la información que se tratará y si va a ser cedida a terceros u objeto de decisiones automatizadas. En caso de que existan varias finalidades, se ha de obtener consentimiento expreso por separado para cada una de ellas.
Lo dicho en el punto anterior se puede aplicar tanto para los formularios, como para el email marketing o el envío de cualquier comunicación de índole comercial. Lo mismo para colocar cookies en el navegador del usuario. La web deberá mostrar un aviso de cookies para que el usuario las acepte o rechace, además de un enlace más completo a la política de cookies para cumplir con la doble capa informativa.
Las empresas cuyas bases de datos cuenten con información de usuarios que no haya sido obtenida de acuerdo a las exigencias de consentimiento expreso, no serán válidas y deberán volver a recabar el consentimiento de los usuarios según lo dispuesto en la normativa actual.
Almacenamiento y procesamiento de datos
Las empresas que recaben datos de los usuarios solo podrán usar dicha información para la finalidad para la que fueron recabados. Asimismo, no se podrán ceder a terceros si no se ha informado previamente y obtenido consentimiento del usuario.
Por otra parte, las empresas de marketing han de poner en marcha las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad y protección de datos de clientes.
En caso de llevar a cabo decisiones automatizadas, como la elaboración de perfiles, será necesario que la agencia cuente con un DPO.
Asimismo, deberá dar respuesta en un plazo máximo de un mes a las solicitudes del usuario de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Eliminación de los datos
El almacenamiento de los datos personales solo se podrá extender durante el tiempo necesario para dar cumplida la finalidad para la que fueron recabados, Podrán mantenerlos más tiempo del previsto, debidamente bloqueados, para cumplir con las órdenes de las autoridades pertinentes y para su defensa ante posibles reclamaciones.
¿Cómo adecuar tus estrategias de marketing digital al RGPD?
En este punto vamos a ver un ejemplo más práctico de cómo adaptar una campaña de marketing a las exigencias del RGPD, la LOPDGDD y la LSSI-CE. Ten en cuenta que la obligación de informar y de obtener consentimiento expreso serán siempre dos pilares fundamentales a la hora de cumplir con la protección de datos en marketing.
Ejemplo: una campaña de email marketing
En el email marketing se lleva a cabo un tratamiento de datos personales de usuarios para contactarlos y enviarles promociones, boletines, etc. Normalmente estos datos son gestionados por herramientas o plataformas de terceros, como herramientas de e-mail marketing, de conversión, de captación, de análisis, etc.
Pero, como cumplir con el RGPD en el email marketing?
Paso 1: Revisar la obtención del consentimiento y el registro del mismo
Para crear una base de datos de emails es necesario que todos los registros se hayan incluido tras obtener consentimiento expreso de los usuarios para el tratamiento de sus datos personales. Por tanto, el consentimiento ha de ser:
- Preciso, es decir, que la declaración u acción se refieran explícitamente al consentimiento y a una finalidad concreta
- Verificable, es decir, deberás ser capaz siempre de acreditar el consentimiento
Por lo que sería de suma importancia que se pudieran verificar los sistemas de registro del consentimiento, ya que se solicitaría en una futura auditoría o inspección.
Paso 2: Dar la información necesaria de forma transparente
Otro requisito del email marketing en protección de datos es informar al usuario o destinatario de todo aquello que puede afectar al tratamiento de sus datos.
Es por ello, que en virtud del deber de información, el usuario debe de tener claro los siguientes puntos a la hora de dar sus datos personales
- Qué datos personales se están recogiendo, utilizando o consultando
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
- Identidad de los destinatarios o las categorías de destinatarios de los datos personales
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos
- El plazo durante el cual se conservarán los datos personales
- Las vías para ejercer los derechos ARCO
- Posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control
- La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado
- Intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión
Por tanto, cualquier texto de protección de datos para email ha de incluir todos estos puntos.
Pueden estar desarrollados en cláusulas informativas que incluyas en todos los sistemas de captura o incluirlas en tu política de privacidad.
Paso 3: Respetar el consentimiento
Ya has visto la relevancia que tendrá el consentimiento en la nueva ley de protección de datos europea que se reforzará notablemente.
El nuevo RGPD exige que el consentimiento, para que sea válido, cumpla algunos requisitos:
- libre
- informado
- específico
- inequívoco
Para que se cumplan estas condiciones es necesario que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
Por lo tanto el consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Paso 4: Informar y requerir consentimiento para elaborar perfiles y segmentar
Como ya dijimos, informar es otra de las grandes novedades que introduce el reglamento europeo de protección de datos.
La clave del mail marketing es poder cualificar los registros a los que va destinada la publicidad.
Cuanto más enriquecida esté tu lista, mejor segmentación y mayor personalización de los mensajes.
De lo que se trata con el e-mail marketing es adaptar las campañas a los intereses reales de los usuarios.
¿Y cómo se pueden adaptar las campañas? Pues tomando en cuenta aspectos como la edad del usuario, el sexo, la localización, etc.
Se trata de segmentar para poder ofrecer publicidad en función de sus intereses, por lo que debemos llevar a cabo elaboración de perfiles.
Para segmentar, lógicamente debemos llevar a cabo elaboración de perfiles.
¿Cómo elaboramos perfiles?
Hay que tener en cuenta que con la nueva regulación se deben cumplir unos nuevos requisitos legales para poder hacer la campaña con tranquilidad.
Se pueden elaborar perfiles de diferentes maneras:
- Aplicaciones
- Protocolos informáticos
- Identificadores de sesión como las famosas “cookies”
En el RGPD se deja claro que la elaboración de perfiles consiste en un análisis de datos seguido de una acción automática que no requiere de intervención humana y más específicamente:
” toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”
Pero para aclararnos un poco más, no serían considerados procesos de elaboración de perfiles los casos en que:
“los datos presentes en la base de datos se analicen con instrumentos informáticos y su procesamiento sea objeto de la evaluación previa de una persona, con el objetivo de adaptar y verificar los datos antes de usarlos”
En el caso que, por tanto, determinemos que realicemos elaboración de perfiles, deberemos:
- Realizar una Evaluación de Impacto en la Protección de Datos
- Recabar el consentimiento específico
Recomendaciones sobre el contenido del email
Acuérdate que no se puede copiar contenido de otros sitios web, o artículos que visualices ya que ellos están protegidos por los derechos de autor. Te recomendamos para así evitar problemas tanto legales como la propia autoría del contenido, comprar contenido web en plataformas especializadas si no se dispone del tiempo suficiente o conocimiento de la materia. De esta manera, tendrás un profesional que adaptará un texto para tu empresa
¿En qué beneficia a los profesionales del marketing cumplir con el RGPD?
El beneficio más obvio es respetar la ley. No cumplir con las exigencias del RGPD en marketing digital puede acarrear sanciones que pueden llegar a los 20 millones de euros o el 4% de la facturación del último ejercicio, en los casos más graves.
Sin embargo, también hay otras ventajas. Por ejemplo, al obtener los datos de forma legítima y voluntaria por parte del usuario nos aseguramos de que realmente están interesados en los productos o servicios, con lo que serán leads más cualificados y aumentará la tasa de conversión.
Por otra parte, también contribuye a mejorar la imagen de la marca y a aumentar la confianza de los usuarios. Hoy en día la protección de datos es uno de los aspectos más importantes del marketing, y un gran pilar para mejorar la reputación de una empresa.
Si eres profesional autónomo en el área de marketing digital, ponte en contacto con nosotros para cumplir con la ley de protección de datos.
Puntos más importantes para adecuar correctamente una campaña de marketing al RGPD
A continuación te resumimos los 12 pasos más importantes para cumplir con la protección de datos en marketing digital.
- Nunca realices campañas de marketing vía e-mail a aquellos usuarios que no lo han solicitado, consentido o autorizado
- Antes de solicitar el consentimiento acuérdate de informar de forma clara, concisa, transparente y de fácil acceso sobre los aspectos establecidos por el RGPD
- Asegúrate de colocar los mecanismos de ejercicios de derechos en un lugar visible y accesible. También ten en cuenta que debe ser sencillo
- Por supuesto, el mecanismo debe de ser electrónico para el acceso al mismo de todos los usuarios
- Debes contar con procedimientos para responder a los ejercicios de derechos en los plazos previstos por el RGPD
- Si contratas a terceros para la realización de estas campañas, firma con ellos los contratos de encargado de tratamiento siguiendo las exigencias del RGPD
- Establece un sistema de aceptación, como puede ser un formulario de suscripción con un check box
- Asegúrate de contar con un sistema de validación de usuarios tipo doble opt-in para verificar la identidad y voluntad del usuario
- Nunca ocultes tu identidad o la de tu empresa como responsable de la campaña de e-mail marketing
- Informa en cada nueva comunicación de:
- identidad del responsable
- finalidad de la información
- como puede ejercitar los derechos
- Facilita siempre un enlace para revocar el consentimiento otorgado con anterioridad. De esta forma el afectado podrá darse de baja con un solo click
- Nunca compartas la información contenida en tu base de datos con terceros a no ser que los afectados hayan dado su consentimiento para ello
En definitiva, los datos de los usuarios constituyen uno de los principales activos, por lo que realizar un tratamiento responsable y seguro de dichos datos debe ser un pilar de nuestra estrategia de negocio.
Te recomendamos que aproveches la entrada en vigor de la nueva normativa y renueves los permisos que ya te habían otorgado, actualices tus bases de datos y refuerza la relación de confianza que mantienes con tus clientes y usuarios.
Esperamos que este post sobre marketing y protección de datos haya resuelto todas tus dudas sobre el tema. Pero si necesitas que uno de nuestros abogados te ayude a hacer una campaña, ¡llámanos al 91 489 64 19!