¿Cómo cumplir el RGPD en marketing?

El marketing es básico para conseguir clientes, pero, precisamente por ello, tiene un gran impacto sobre la protección de datos personales, puesto que la mayoría de estrategias de marketing, especialmente las de marketing digital, requieren del tratamiento de datos personales para llevarlas a cabo. En este artículo hablamos de protección de datos y marketing, de cómo cumplir el RGPD en marketing y de cómo adaptar tus estrategias de marketing a la protección de datos.

¿Cómo adaptar tus campañas de marketing al RGPD?

La entrada en vigor del RGPD y la LOPDGDD supuso un nuevo escenario a la hora de realizar campañas de marketing. Estas leyes refuerzan los derechos de los interesados (titulares de los datos) respecto a sus datos personales y endurecen las obligaciones de las personas jurídicas o físicas que tratan dicha información.

Por lo tanto, en lo que respecta al marketing y el RGPD, cualquier tipo de empresa que emplee estrategias de marketing, especialmente de marketing digital, así como aquellas empresas dedicadas específicamente a la actividad del marketing y la publicidad, están obligadas a cumplir con las obligaciones que establece la normativa.

Además, la protección de datos en marketing es crucial, porque, cómo decíamos en la introducción, esta actividad requiere sí o sí del tratamiento de datos personales, en algunos casos usando técnicas muy invasivas de las que los interesados deben tener conocimiento, para saber qué están aceptando cuando aceptan términos y condiciones, políticas de privacidad y/o cookies.

A continuación detallamos cómo cumplir con las principales obligaciones del RGPD en marketing y las medidas a tomar para ello, tanto si tienes una empresa que se dedica a esta actividad en concreto como si has contratado los servicios de una para poner en práctica algunas de tus estrategias de marketing.

Protección de datos para agencias de marketing desde 180 euros al año.

Asimismo, no está de más recordar que la protección de datos en marketing abarca todas las etapas de la campaña, desde la recopilación de datos hasta su destrucción, pasando por la gestión y almacenamiento de los mismos.

Respeta los principios de protección de datos

A la hora de llevar a cabo tus campañas de marketing, debes asegurarte de que estas respetan los principios de protección de datos establecidos en el RGPD y la LOPDGDD, puesto que de ellos se derivan las principales obligaciones en esta materia, que a su vez conforman el abanico de medidas que tendrá que poner en práctica tu empresa para cumplirlas.

Por lo tanto, los tratamientos de datos derivados de tus campañas de marketing deben cumplir con los principios de:

• Licitud, lealtad y transparencia, que podemos resumir en la obligación de tratar datos personales dentro de la legalidad e informar a los interesados de todo lo relativo al tratamiento de sus datos (identidad del responsable y el encargado del tratamiento, finalidades, plazos de conservación, derechos, etc.). En marketing significa, en la mayoría de los casos, que necesitaremos del consentimiento explícito de los interesados para llevar a cabo el tratamiento de datos personales necesarios para el desarrollo de las campañas de marketing (rara vez se podrá basar la licitud del tratamiento de datos en marketing en una base jurídica diferente al consentimiento de los interesados).
• Limitación de la finalidad, que aplicado al marketing y la protección de datos, implica que los datos personales recabados solo podrá tratarse para la finalidad para la que fueron recogidos, es decir, que si en el momento de recabar los datos, se informó de que serían usados con fines de mercadotecnia directa, podrán usar para ello, pero no para otro fin ulterior, en cuyo caso sería necesario recabar un nuevo consentimiento.
• Minimización de datos, que significa que se recabarán solo los datos necesarios para cumplir con la finalidad pretendida. Por ejemplo, para captar clientes potenciales a través de formularios de contacto en la página web, bastará con solicitar una dirección de email y un nombre.
• Los datos personales deben ser exactos, esto implica que aquellos datos inexactos deben ser corregidos por el responsable del tratamiento cuando tenga noticia de ello.
• Limitación del plazo de conservación, lo que significa que no podemos conservar indefinidamente en nuestra base de datos los datos de nuestros usuarios, clientes o clientes potenciales, especialmente los de aquellos con los que ya no se mantiene una relación comercial o contractual. Así, el almacenamiento de los datos personales solo se podrá extender durante el tiempo mínimo necesario para cumplir con la finalidad para la que fueron recabados.
• Integridad y confidencialidad, en la práctica cumplir con este principio de protección de datos en marketing implica garantizar la seguridad de los datos personales que se tratan y adoptar las medidas técnicas y organizativas necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos o, en otras palabras, asegurar que terceros no autorizados acceder a los datos personales que tratamos, los manipulan o destruyen o los roban para usarlos con otros fines.

Seguridad de los datos en marketing

Cómo decíamos, la seguridad de la información es clave para cumplir con el RGPD en marketing, esencial, además, cuando hablamos de marketing digital, donde la mayoría de tratamientos se hacen en entornos online. Los responsables y encargados del tratamiento deben aplicar medidas técnicas y organizativas basadas en el análisis de riesgos previo, para garantizar un nivel de protección adecuado.

Entre dichas medidas:

• Seudonimizar los datos y aplicar medidas de cifrado, para evitar que, en caso de una brecha de seguridad, los datos personales puedan ser filtrados a terceros.
• Implementar un control de acceso que garantice que solo el personal autorizado podrá acceder los datos personales.
• Garantizar la disponibilidad de los datos implantando medidas como la prevención de pérdida de datos, la política de copias de seguridad y un sistema de recuperación ante desastres.
• Concienciar y formar en ciberseguridad a los empleados con acceso a datos personales y recordarles que ellos también deben mantener la confidencialidad de los mismos.
• Implementar un proceso de verificación, evaluación y valoración de la eficacia de las medidas implementadas (que podemos traducir en realizar auditorías periódicas de protección de datos).

Consentimiento

Para la aplicación de la protección de datos en marketing, el consentimiento explícito es clave, puesto que, cómo decíamos más arriba, es la base jurídica en la que basaremos la mayoría (sino todos) los tratamientos de datos necesarios para llevar a cabo nuestras campañas de marketing.

Cuando hablamos de consentimiento explícito, nos referimos a un consentimiento que requiere de la acción positiva de los interesados (sea esta una firma o marcar una checkbox en un formulario), debe ser dado libremente, informado, específico e inequívoco, es decir, el interesado debe saber para qué está dando el consentimiento para el tratamiento de sus datos y a quién se lo está dando, y el fin o fines para los que serán usados sus datos. Toda esa información debe darse de manera clara y comprensible, sin que genere dudas en los interesados.

Cabe señalar que cuando se quieran usar los datos recabados para un fin determinado, para otro ulterior sin relación con el primero, deberá volver a informarse a los interesados y recabar su consentimiento para esta nueva finalidad.

Así mismo, para el tratamiento de datos personales, el consentimiento tácito o por inacción del individuo ya no es válido (importante en lo que respecto al uso de cookies, puesto que, salvo para las cookies técnicas, es necesario que los interesados las acepten explícitamente).

Otras medidas para cumplir la protección de datos en marketing

Aparte de las medidas que hemos visto hasta ahora, cualquier empresa de marketing o empresa que realice acciones de marketing, deberá cumplir con otra serie de obligaciones:

• Cumplir con el deber de informar sobre todo lo relativo al tratamiento de datos personales, también en la página web que pueda tener la empresa, para lo que se incluirán:
  • Textos legales para web (aviso legal, política de privacidad y política de cookies)
  • Textos legales para eCommerce (en su caso)
• Llevar un registro de las actividades de tratamiento (en su caso).
• Realizar los análisis de riesgos y evaluaciones de impacto en protección de datos cuando proceda.
• Elaborar y formalizar el contrato de encargo de tratamiento, esto es especialmente importante para empresas que contraten los servicios de empresas de marketing que puedan tener acceso a datos personales, como, por ejemplo, una plataforma de email marketing.
• Informar a los interesados de sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento y portabilidad), en su caso, sobre las decisiones automatizadas y la elaboración de perfiles, y sobre su derecho para reclamar ante la AEPD.
• La LOPDGDD incluye entre las empresas obligadas a contar con un Delegado de Protección de Datos a «las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos».
• En el caso de que se produzcan brechas de seguridad que pudieran afectar a los datos personales que maneja la empresa y poner en riesgo las libertades y derechos fundamentales de los interesados, notificarlo en un plazo máximo de 72 horas a la AEPD y los interesados afectados.

Aplicación del RGPD en las estrategias de marketing digital

Para ilustrar lo visto hasta ahora en el artículo, veamos cómo aplicar y cumplir el RGPD en el email marketing, puesto que es una de las estrategias de marketing digital más utilizadas por las empresas actualmente.

• Paso 1: Obtener el consentimiento y registrarlo: Para crear una base de datos de emails de clientes o potenciales clientes, deberemos haber obtenido el consentimiento explícito de los mismos para tratar sus datos con fines de mercadotecnia o comerciales. Este consentimiento, aparte de explícito, será:
  • Preciso, es decir, que la declaración u acción se refieran explícitamente al consentimiento y a una finalidad concreta.
  • Verificable, es decir, que debemos ser capaces de acreditar el consentimiento siempre.
• Paso 2: Informar a los interesados: Para cumplir en el email marketing con la protección de datos se informará a los interesados, a través de un texto de protección de datos para email o a través de cláusulas informativas incluidas en los sistemas de captura de datos o en la política de privacidad, de:
  • Qué datos personales se están recogiendo, utilizando o consultando
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
  • Identidad de los destinatarios o las categorías de destinatarios de los datos personales
  • La identidad del responsable de la gestión y si procede, del delegado de protección de datos
  • El plazo durante el cual se conservarán los datos personales
  • Las vías para ejercer los derechos ARSULIPO
  • Posibilidad de ejercer el derecho a presentar una reclamación ante una autoridad de control
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado
  • Intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión
• Paso 3: Respetar el consentimiento y su revocación: Se respetará el consentimiento dado por los interesados, limitando el tratamiento a la finalidad para la que se recabaron los datos. Así mismo, en caso de que el interesado quiera revocar su consentimiento, deberemos cumplir con ello y dejar de tratar los datos afectados.
• Paso 4: Medidas a aplicar en la elaboración de perfiles: Puesto que las estrategias email marketing como mejor funcionan y mayores resultados dan, es a través de la segmentación del público, hecha a través de la elaboración de perfiles, si recurrimos a ello, deberemos:
  • Realizar una evaluación de impacto en protección de datos
  • Recabar el consentimiento expreso
  • Habilitar una vía para que los interesados puedan oponerse a la elaboración de perfiles

Ventajas de la protección de datos para el marketing

El beneficio más obvio es respetar la ley. No cumplir con las exigencias del RGPD en marketing digital puede acarrear sanciones que pueden llegar a los 20 millones de euros o el 4% de la facturación del último ejercicio, en los casos más graves.

Sin embargo, también hay otras ventajas. Por ejemplo, al obtener los datos de forma legítima y voluntaria por parte del usuario nos aseguramos de que realmente están interesados en los productos o servicios, con lo que serán leads más cualificados y aumentará la tasa de conversión.

Por otra parte, también contribuye a mejorar la imagen de la marca y a aumentar la confianza de los usuarios. Hoy en día la protección de datos es uno de los aspectos más importantes del marketing, y un gran pilar para mejorar la reputación de una empresa.

Si eres profesional autónomo en el área de marketing digital, ponte en contacto con nosotros para cumplir con la ley de protección de datos.

Finalmente, cabe recordar que más allá de las obligaciones RGPD para marketing, las empresas dedicadas a ello o que se sirvan de estas estrategias no pueden olvidarse de cumplir con otras leyes, como Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI), la Ley General de Publicidad y las más recientes, Ley de Mercados Digitales y Ley de Servicios Digitales (si bien es cierto que estas leyes afectan más a grandes compañías tecnológicas y plataformas digitales).

En definitiva, los datos de los usuarios constituyen uno de los principales activos, por lo que realizar un tratamiento responsable y seguro de dichos datos debe ser un pilar de nuestra estrategia de negocio.

Esperamos que este artículo sobre marketing y protección de datos haya resuelto todas tus dudas sobre el tema. Pero si necesitas ayuda para asegurarte de que tus campañas de marketing cumplen con la Ley, no dudes en ponerte en contacto con Grupo Atico34, nuestros abogados especializados en protección de datos te ayudarán a resolver cualquier duda o problema.