El nuevo Reglamento General de Protección de Datos supone una pequeña revolución en lo que al tratamiento de datos de carácter personal se refiere, esto afecta particularmente al email marketing, caso que ya analizamos en un post anterior.
Este artículo nos centramos en los aspectos en los que tiene ha de centrarse un anunciante que hace o encarga campañas de email marketing para llevarlas a cabo de acuerdo al nuevo reglamento, evitando así sanciones por parte de la Agencia Española de Protección de Datos.
El elemento clave para hacer una campaña a través de email es disponer de una base de datos actualizada para poder hacer llegar a dichos contactos nuestras comunicaciones comerciales por vía electrónica.
Es fundamental que esta base de datos haya sido elaborada de forma lícita, es decir, siguiendo la normativa que marca que es condición sine qua non haber contado con el consentimiento expreso por parte del usuario para tratar sus datos con fines comerciales. En nuestro blog ya tratamos el tema de nuestra NO recomendación de compra de bases de datos para hacer campañas de email marketing.
Siguiendo la guía sobre el consentimiento publicada por la Agencia Española de Protección de Datos, extraemos que ese consentimiento debe haber sido recogido por el responsable del tratamiento de los datos mediante un modelo de capas:
1.- Primera capa de información: El usuario deberá poder acceder de forma sencilla a la información básica sobre cómo se van a ser tratados sus datos por parte del responsable. Por ejemplo, en un formulario de contacto y al pie del mismo debe detallarse el objeto del tratamiento de sus datos, su finalidad.
2.- Segunda capa de información: A través de la Política de Privacidad, donde el usuario pueda acceder de forma sencilla a una información más detallada en relación al tratamiento de sus datos personales. En el mismo ejemplo del formulario de contacto, éste debería indicar en el pie y en un lugar visible un enlace a la Política de Privacidad.
Cesión de bases de datos
¿Qué ocurre en el caso de una campaña que vaya a una base de datos cedida al anunciante o comprada por este? Ya hemos hablado con anterioridad nuestra posición al respecto de la compra de bases de datos, que desaconsejamos por varios motivos, entre otros para evitar posibles sanciones por parte de la AEPD.
Aún así, si decides hacer una campaña o una base de datos cedida o comprada deberías exigir contractualmente a la persona o empresa que te ha proporcionado esa base de datos el cumplimiento de todas las obligaciones que exige la normativa.
Cabe destacar en este aspecto que los usuarios de esa base de datos hayan tenido que aceptar de forma individualizada y expresa la cesión de sus datos personales a un tercero detallando la finalidad concreta, en este caso la de recibir comunicaciones comerciales a través de medios electrónicos. Es importante destacar que ese consentimiento ha de ser expreso y que debe recogerse de forma clara la finalidad y objeto de esa cesión de datos.
Para evitar sanciones, en los casos en los que puedan derivarse responsabilidades al emisor de la campaña, recomendamos incluir en el contrato con el responsable del fichero una cláusula de limitación de responsabilidad.
Otra opción es la que el anunciante pudiera contratar un seguro en materia de protección de datos, en el caso de que pudiera verse envuelto en una sanción por la AEPD u otro organismo competente.
Las sanciones del RGPD
La cuantía de las sanciones por incumplimiento de la normativa se han visto incrementadas, pudiendo llegar hasta los 20 millones de € o el 4% de la facturación anual del negocio, la mayor de ambas.
Sin duda un elemento motivador, aunque no el único, para captar leads y hacer campañas de email marketing según indica en nuevo Reglamento General de Protección de Datos.
Y tú, ¿Ya estás preparado?