Protección de datos

GDPR y el email marketing

por Carlos García Monío, en Madrid a 28 de abril de 2018

Como ya se ha comentado anteriormente en este mismo blog, la aprobación del nuevo Reglamento General de Protección de Datos (GDPR) cuya próxima entrada en vigor se encuentra prevista para el día 25 de mayo de este mismo año ha supuesto un cambio relevante para todos los operadores económicos dentro del ámbito del mercado interior de la Unión Europea. En particular, esta renovación normativa que implica el reforzamiento de los principios ya existentes en la salvaguarda de la privacidad de los ciudadanos europeos cobra una importancia característica en las relaciones comerciales que se traban a distancia con los consumidores y usuarios a través de medios electrónicos.

En el contexto del marketing digital y de la elaboración de campañas publicitarias de difusión de productos y servicios tienen un especial protagonismo las plataformas de mailing o mail marketing. Puesto que el principal activo que aportan estas herramientas a todo negocio, ya sea exclusivamente de distribución online o multicanal, es precisamente la gestión de los boletines de suscripción y la creación de listas de correos, resulta imprescindible ser consciente de las consecuencias que acarrea la introducción de la nueva regulación de la privacidad para el mantenimiento de las comunicaciones comerciales con los clientes y visitantes del sitio web del comerciante (o proveedor de servicios de la sociedad de la información, en la terminología dada por la Ley 34/2002, de 11 de julio, de Comercio Electrónico).

Llegados a este punto, merece la pena destacar el esfuerzo común que se está realizando por parte de todos los proveedores de servicios electrónicos de mail marketing y responsables de sitios web para llevar a cabo la adaptación para el cumplimiento del nuevo GDPR antes de la fecha límite fijada por las Instituciones Europeas a través de la revisión integral de todos los procedimientos que implican tratamiento de datos de carácter personal provenientes de su red de proveedores, clientes y usuarios. Este esfuerzo se verifica, en particular, en el refuerzo de las garantías requeridas para asegurar al ciudadano la debida información previa y el efectivo ejercicio de sus derechos individuales reconocidos por la normativa con base en una idea central sobre la que se asienta el desarrollo de las relaciones comerciales: el consentimiento.

Imagen: www.bisodigital.com

De esta manera, los ejes sobre los que ha girado la revisión generalizada de los Términos y Condiciones de Uso y la Política de Privacidad son: la inclusión de nuevos procedimientos para recabar el consentimiento de cara al envío de comunicaciones de naturaleza comercial, métodos de validación y prueba de este consentimiento y la puesta a disposición del usuario de procedimientos accesibles para efectuar la solicitud de eliminación de su respetiva información personal.

La actualización de la Política de Privacidad con objeto de proceder a la implementación de las «best practices» comentadas comienza con la revisión inicial del consentimiento de los usuarios que constan en las bases de datos de los contactos que constan en las cuentas que se mantienen en estas plataformas. En este apartado, se debe recordar que en definitiva la responsabilidad en la obtención del consentimiento de los clientes recae sobre el titular de la cuenta abierta en la plataforma. Por esta razón, es importante examinar el contenido de los formularios que se ponen a disposición del usuario de servicios de email marketing para saber si los mismos se ajustan a la normativa europea. Como información importante a contrastar en ese punto es saber qué clase de datos son recopilados por la plataforma como pueden ser la propia dirección de correo electrónico de los suscriptores, la dirección IP o la marca de tiempo que se asocie a todas aquellas personas que envíen el formulario. En punto a la verificabilidad de la prestación del consentimiento, también resulta relevante ser conocedor de los dispositivos de registro con los que cuente la plataforma para almacenar los datos de permisos concedidos. Otras características de estos formularios deberían ser examinadas para contrastar su ajuste a la normativa:

  • El consentimiento ha de ser expreso: es muy importante analizar y determinar el método de prestación del consentimiento positivo. En particular, si la casilla o «checkbox» a marcar por el cliente cumple con el estándar estipulado en la norma.
  • El consentimiento ha de ser específico: también por parte del titular del sitio web hay que decidir para que finalidades es captado el consentimiento de sus clientes dentro del amplio abanico de posibilidades que este tipo de herramientas ofrece y que pueden ir desde el permiso para la transferencia y almacenamiento de los datos de contacto a la plataforma hasta el envío de correos electrónicos comerciales, e incluso la realización de un seguimiento para el emplazamiento de anuncios o campañas de marketing dirigidas o seleccionadas. Este requerimiento puede implicar, entre otras consideraciones, analizar los campos a rellenar del formulario, o bien, la debida separación de la confirmación del cliente.

 

 

 

 

Imagen: https://dpd.aec.es

A su vez, el proceso de obtención de datos puede presentar otras particularidades como, por ejemplo, en el supuesto de que se utilicen aplicaciones o servicios de un proveedor situado fuera del ámbito de aplicación del GDPR. En estos casos, la comprobación del cumplimiento de la normativa europea también recae sobre el responsable de los datos obtenidos, como es el titular del sitio web. Por lo que se hace necesario verificar los términos del contrato, y en particular el examen de las cláusulas de seguridad, privacidad y confidencialidad que se encuentren contemplados en los mismos. Estos últimos puntos son aplicables, por ejemplo, en los casos en los que se tenga noticia de que el proveedor de servicios utilice a su vez soluciones cloud  de terceros para el almacenamiento «en la nube» y gestión de los datos.

Una vez superado el momento inicial de la captación de datos, es preciso comprobar que la Política de Privacidad actualizada de las plataformas de email marketing aseguran el respeto y garantizan la eficacia de los derechos individuales de clientes y suscriptores. Es recomendable que, además de los procedimientos internos que los titulares de un determinado sitio web establezcan de cara al tratamiento de los datos de sus clientes, se compruebe qué procedimientos tiene implantados la plataforma empleada de mailing en sus relaciones directas con las personas titulares de los datos cedidos. A este respecto vamos a destacar, en primer lugar, los derechos de accesibilidad y rectificación.

En virtud del primero de los citados, los suscriptores deberán tener acceso a la Política de Privacidad de la plataforma en cuestión, siendo recomendable que por la misma sea facilitado un dispositivo de contacto para que los titulares de los datos puedan comunicarse directamente a la hora de requerir algún tipo de información relativa a su información personal. El derecho de rectificación implica el deber de implantar procedimientos fáciles y sencillos para que tanto por el titular de la cuenta como por los suscriptores se pueda proceder a la actualización, y en su caso, subsanación o corrección de los datos personales.

Imagen: https://www.grupoiwi.com

Otros derechos individuales involucrados en el empleo de este tipo de herramientas son los dos recientemente creados derechos: derecho a la portabilidad y derecho al olvido.

El derecho a la portabilidad en este entorno se entiende en una doble vertiente: para el titular de cuenta, en la posibilidad de trasladar su propia cuenta a otro proveedor de servicios de mailing; para el suscriptor, se traduce en la posibilidad de que el responsable al que se hayan cedido los datos pueda a su requerimiento proceder a la exportación de los datos que consten en la cuenta abierta en la plataforma.

Por su parte, el derecho al olvido se relaciona directamente con la correlativa obligación que pesa sobre el responsable de los datos de proporcionar una forma efectiva para que sus contactos puedan darse de baja y cancelar sus suscripciones. En este aspecto, la plataforma de marketing deberá contar con un procedimiento sencillo al efecto y sin obstáculos irrazonables, salvo los que pudieran derivar del cumplimiento de un mandato legal, en su caso. La solicitud de cancelación debería especificar el tipo de cancelación a la que se desea proceder (para un tipo de comunicación comercial o para todas, procedente de un determinado remitente, etc), y además, se debería tomar conocimiento si el suscriptor tiene la posibilidad de solicitar directamente la cancelación por sí mismo. En este último caso, hay que recordar que las cuentas abiertas en las plataformas de email marketing operan de manera diferenciada para cada titular, es decir, para cada remitente de comunicaciones comerciales; por lo que la solicitud de cancelación con respecto remitente podría no afectar al resto, cuando se trate de la petición directa cursada por el propio interesado. De este modo, es el artículo 21 del Reglamento General de Protección de Datos el que dispone en su apartado 2 que: «Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia».

Imagen: https://www.stalbans.anglican.org

Mención destacada merece el derecho de oposición del interesado a la elaboración de perfiles para este tipo de finalidades. Es el propio RGPD el que define este «perfilado» como la confección de decisiones individuales basadas en un tratamiento automatizado de datos destinado a evaluar aspectos personales o analizar o predecir determinados aspectos del interesado como son: Rendimiento profesional, Situación económica, Salud, Preferencias o intereses personales, Fiabilidad o comportamiento o bien, Ubicación o movimientos. En definitiva, cuando la toma de decisiones se base en el análisis o predicción de las preferencias personales, comportamientos y actitudes de los interesados en cuestión.

Como precedente a la oposición de los titulares de los datos personales, los mismos han de estar adecuadamente informados y, en particular, cuando existan decisiones automatizadas basadas en una elaboración de perfiles se deberá facilitar información significativa sobre la lógica aplicada para el tratamiento de los datos y la importancia y consecuencias previstas para el interesado.

A su vez, junto a esta información previa, la elaboración de perfiles exige unas garantías adicionales como es el hecho de que solo se podrá realizar una elaboración de perfiles si se aplican medidas adecuadas para la protección de los derechos, libertades e intereses legítimos de los interesados.

Además, se dispone que un interesado solo podrá ser objeto de una elaboración de perfiles basada únicamente en un tratamiento automatizado, cuando esté informado de que la decisión que pueda ser tomada a consecuencia de la misma pueda producirle efectos jurídicos que le afecten significativamente.

El interesado puede ejercer el derecho a obtener la intervención humana por parte del Responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante el consentimiento explícito del interesado, un contrato entre el interesado y el Responsable del tratamiento, o bien, el tratamiento esté autorizado por la legislación vigente.