La ignorancia no nos exime de responsabilidad
Este artículo está dirigido a todas aquellas personas o empresas que andan algo despistadas con respecto a las responsabilidades legales, que establece la LOPD y LSSI en Email Marketing, y que a día de hoy aún tienen muchas dudas a la hora de enfrentarse legalmente a comunicaciones electrónicas y a la utilización de herramientas para enviar Newsletters, promociones, información, boletines y en general cualquier tipo de comunicación que se realice vía email.
Son muchas las preguntas que nuestros clientes nos hacen constantemente sobre el tema:
- ¿Puedo usar emails públicos de Internet?
- ¿Puedo comprar una base de datos?
- ¿Debo pedir permiso para enviar un email?
- ¿Qué responsabilidad legal tengo ante una denuncia?, …
Trataré en este artículo de sintetizar de manera sencilla y sin tecnicismos cuáles son los elementos a considerar que nos afectan antes de acometer comunicaciones por email, principalmente en el mercado Español, ya que es una de las legislaciones más restrictivas y complicadas que existen en todo el mundo, pero no os preocupéis, al final es más sencillo de lo que parece.
Elección de plataforma de email marketing, compra de bases de datos, permiso expreso, tratamiento de datos, encargado de tratamiento, … En definitiva, son parte de los elementos básicos necesarios que hay que comprender antes de realizar una campaña de email marketing y sobre todo si eres una empresa o particular que ejerce su profesión desde España.
Leyes que nos afectan ante una campaña de email marketing
Uno de los aspectos que más despiste y dudas genera son las leyes que nos afectan a la hora de realizar campañas de email marketing, existe mucha confusión al respecto y es relativamente sencillo, en concreto en España hay dos, la LOPD y la LSSI.
Ley Orgánica de Protección de Datos de Carácter Personal
La LOPD en pocas palabras es la ley que trata de velar por la protección de los datos de carácter personal, es decir, si yo facilito mi nombre y número de teléfono a una empresa para contratar un servicio, esta ley obliga a esta empresa a proteger mis datos de un uso fraudulento o lo que es lo mismo, que esta empresa no comercie con mis datos y que los tenga debidamente protegidos.
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico
La LSSI, básicamente, aunque la ley es muy extensa y abarca muchos conceptos, la LSSI es la Ley que regula las comunicaciones electrónicas, es decir que si mandamos una carta postal, esta ley no se aplica, pero si enviamos un email ya se considera comunicación electrónica y debemos tenerla en cuenta. La ley trata de regular todas estas comunicaciones electrónicas para evitar abusos y proteger a los consumidores.
Una vez tenemos las dos leyes anteriores claramente identificadas y sabemos para qué sirven, existe en España una agencia que se encarga de velar por el cumplimiento de estas dos leyes y esta es la AEPD.
Agencia Española de Protección de Datos
La AEPD, básicamente es la encargada de proteger a los consumidores de abusos y mal uso tanto de las comunicaciones electrónicas como los datos de carácter personal, así que si tenemos algún problema ante el no complimiento de la LOPD y LSSI nos veremos las caras con la AEPD con lo que es recomendable cumplir con todas nuestras obligaciones para evitar fuertes sanciones.
Obligaciones LOPD en email marketing
La LOPD es una ley muy extensa y abarca muchísimas casuísticas y conceptos, aunque en este artículo no puedo argumentar todas las que me gustaría, si he tratado de sintetizar que aspectos son los esenciales a tener en cuenta cuando utilizamos aplicaciones de email marketing.
Adecuación
Si nuestro objetivo es comenzar a realizar campañas de email marketing, se supone que manejaremos datos personales, es decir, si disponemos de una lista de contactos con un email y con su nombre, por ejemplo, estaremos manejando datos de carácter personal y con esto ya hay que estar atentos.
Al manejar datos de carácter personal, la LOPD nos obliga a que nuestra empresa o nosotros mismos estemos adecuados a la ley ¿Y esto que quiere decir? Pues es muy sencillo, se trata de comunicar a la AEPD que poseemos datos de carácter personal, qué tipo de datos, informar de quienes los manejan y que medidas de seguridad vamos a implementar para proteger estos datos.
Esta gestión es relativamente sencilla y cualquier gestoría o profesional de protección de datos nos puede hacer los trámites sin un excesivo coste. Ojo, esto no es opcional, es obligatorio para cualquier persona física o jurídica que maneje datos de carácter personal.
De esta forma, si por algún casual, alguien nos denuncia ante la AEPD por utilizar sus datos de carácter personal y encima no estamos bien adecuados a la LOPD el problema se puede incrementar exponencialmente.
Ubicación
A la hora de elegir una plataforma o aplicación de email marketing debemos tener en cuenta varios aspectos muy importantes que nos obliga la LOPD, como hemos comentado anteriormente, el principal objetivo de la LOPD es velar por la protección de los datos de carácter personal que manejamos y donde o a quien se los dejamos.
Si utilizamos una plataforma de email marketing en el fondo estamos depositando todos los datos de carácter personal que utilizaremos para nuestras comunicaciones en una máquina propiedad de dicha empresa y esto puede ser peligroso si desconocemos su ubicación real.
La LOPD contempla esto como una especie de cesión de datos a terceros con la finalidad de obtener un servicio y para esta circunstancia regula claramente una serie de obligaciones. Una de ellas es la ubicación de los datos, es decir, no es lo mismo que el servidor donde se depositen los datos esté en España que en Estados Unidos. Si necesitáis o decidís alojar cualquier tipo de dato de carácter personal fuera del territorio Español, esto está considerado cómo “Transferencia internacional de datos” y os aconsejo que comprobéis que el servicio cumple con un nivel adecuado de protección de datos.
La LOPD exige que cuando se depositen los datos en un servidor de un tercero este cumpla con las medidas de seguridad exigidas por la ley, estas medidas de seguridad no las cumplen todos los países y si nuestra aplicación de email marketing se encuentra fuera de España o usa servidores fuera del territorio nacional, debemos estar seguros de que cumple con la normativa, así que ojo a la hora de contratar, hay que asegurarnos bien donde estarán ubicados los datos físicamente.
Encargado del tratamiento de datos
No solo es importante tener en cuenta donde se alojarán los datos, sino quién está detrás de ellos, en pocas palabras, qué persona o personas son las que asegurarán un correcto manejo de los mismos, los protege y se responsabiliza de un correcto tratamiento.
La empresa donde depositaremos los datos para realizar campañas de email marketing, de forma obligatoria y tipificado por la LOPD, pasará a ser Encargado de Tratamiento de Datos, con lo que es estrictamente necesario que en las condiciones de contratación o por escrito, esto quede claramente resuelto para evitar posibles problemas.
¿Quién es el Encargado de Tratamiento de Datos? Pues sencillamente aquel tercero que no accediendo ni usando los datos de carácter personal, los almacena, los gestiona, o los consulta con la finalidad de prestar un servicio a los responsables de los datos y su tratamiento.
Por ejemplo, si mandamos nuestras facturas a una gestoría para que nos ayude en nuestras obligaciones fiscales, esta pasará obligatoriamente a ser un Encargado de Tratamiento de Datos, en el caso de una aplicación de email marketing, si depositamos los datos en sus sistemas con la finalidad de usarlos para campañas de comunicación, esta será igualmente Encargado de Tratamiento de Datos.
Obligaciones de la LSSI en email marketing
Para que todo el mundo pueda entenderlo de forma sencilla, una cosa es proteger los datos de carácter personal (LOPD) y otra muy distinta es comunicarse de forma electrónica con nuestros “datos” (LSSI). Por esto es muy importante tener en cuenta que no solo vale con proteger nuestros datos, sino que tenemos que tener cuidado con la forma en la que nos comunicamos con ellos. Ojo, en España no es lo mismo enviar una carta postal que un email y no entender esto puede tener consecuencias desastrosas.
Permiso
La LSSI es bastante clara al respecto y muchas veces nos empecinamos en buscar el hueco al que agarrarnos para poder enviar emails de forma indiscriminada. Que si fuente accesible al público, que si una empresa me ha vendido una base de datos, que si he visto un email en un foro, que si mi competencia lo hace, que si es ilegal porque se venden bases de datos, … Ya es hora de olvidarse de todo esto, aquí la LOPD no pinta nada.
No se pueden enviar emails sin tener un permiso expreso del destinatario, para ello, más claro, no puedo ser y ante esto no hay excusas, ya que el email es una comunicación electrónica y está regulado por la LSSI.
Lógicamente, y para no ser tan estricto, existe una excepción a esto, que el destinatario haya mantenido una relación comercial previa con el cliente y que el email que vamos a enviar sea sobre productos o servicios similares a los que contratamos o preguntamos en su momento.
Es muy importante tener en consideración la legalidad y sobre todo que todas tus campañas de email marketing esten adecuadas a la RGPD.