Desde que empezamos a hablar del nuevo reglamento de protección de datos, no son pocos los profesionales que se han echado las manos a la cabeza.
Algunos de los comentarios más sonados en las redes han sido estos:
[su_list icon=»icon: arrow-right» icon_color=»#008af7″]
- ¿Tendré que quitar algunas cajas de suscripción de mi blog?
- ¿Debo olvidarme de hacer campañas de email marketing?
- ¿Qué pasará con los registros antiguos?
- ¿Tendrá impacto negativo en las conversiones?
[/su_list]
Si te has hecho alguna de estas preguntas, estás en el lugar indicado y en el momento justo: estoy aquí para responderlas todas.
Hace tiempo estuve explicando en Mailrelay
las principales novedades que introduce el nuevo reglamento. Ha llovido bastante desde ese post, que no se diga que desde Mailrelay no avisamos con tiempo y detalle acerca de todas las medidas que debían desarrollarse para adecuar nuestra operativa a las nuevas exigencias. No obstante, a medida que se agota el plazo para adaptarse a estas nuevas exigencias, se crea toda una especie de alarmismo injustificado en el mundo del marketing.
Para quienes no leyeron aquel mega post o les da pereza leerlo, lo que deben saber obligatoriamente para entender este post es lo siguiente:
[su_list icon=»icon: arrow-right» icon_color=»#008af7″]
- Es un reglamento europeo que armoniza todas las regulaciones de protección de datos de los estados miembros en una sola.
- Pone el foco en el tratamiento. Ya no importan los ficheros sino el tipo de tratamientos que realizamos.
- Exige una actitud mucho más consciente, diligente y proactiva en relación con los tratamientos de datos que realizamos y tomar medidas de seguridad adecuadas al riesgo.
- Ofrece un nuevo enfoque en el cumplimiento: no basta con cumplir, debemos dejar evidencias de cumplimiento y requerirlas a quienes colaboran con nosotros en el manejo de nuestros datos.
- Establece la necesidad de llevar a cabo evaluaciones de impacto sobre la privacidad: hay algunos tratamientos que requieren un análisis de impacto sobre la privacidad previo al tratamiento, por ejemplo, la elaboración de perfiles.
- El nuevo reglamento introduce mayores requisitos informativos: se establece la necesidad de informar con mayor claridad y transparencia a la hora de recabar y tratar información personal. No valen los textos de copia y pega ya que será necesario proporcionar información completa y de forma sencilla al usuario que le permita tomar decisiones en función de la información recibida. Una medida para cumplir este principio es la de informar por capas, tal y como explico a continuación.
- Consentimiento inequívoco: Este es el más determinante para la operativa de una web, dado que es el principal objetivo de cualquier campaña de captación de leads. Ahora, esa captación solo será legal si se puede acreditar el consentimiento inequívoco. Ya no se puede seguir obteniendo el consentimiento por omisión, tan presente en todos los formularios y cajas de suscripción actualmente. A partir de este nuevo marco legal, los consentimientos deben ser inequívocos y explícitos, es decir, deben obtenerse de manera que pueda acreditarse una clara manifestación del usuario o acción afirmativa. Dejan de ser legales los consentimientos por defecto u omisión.
- Incremento de sanciones: no solo se incrementa el régimen sancionador, que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual, también se incorpora la posibilidad de requerir indemnización por parte de los afectados, algo que puede prestarse a no pocas picarescas y puede incrementar bastante el costo del incumplimiento.
- Nuevos derechos a respetar: Ya conoces los derechos ARCO que aparecen en todas las coletillas legales y avisos. Ahora se suman otros, como el derecho al olvido que permite a los usuarios revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento. También aparece el derecho a la portabilidad y el de limitación de tratamiento como novedades legislativas.
[/su_list]
Cuando tu negocio y su viabilidad depende de datos personales de otros, las regulaciones en materia de protección de datos no son algo que puedas omitir o descuidar, porque la continuidad de tu negocio depende básicamente de tu capacidad para proteger ese activo.
Tu principal herramienta para captar datos personales son tus formularios, sabes que esos formularios serán los que te delaten como infractor si no los adaptas conforme a las nuevas exigencias ¿Crees que te puedes permitir quedarte al margen?
Por otra parte, dejar evidencias de incumplimiento no parece ser una buena estrategia comercial, así que es mejor que te pongas ya a ajustar tus formularios y cajas de suscripción, tus usuarios notarán la diferencia y serán ellos mismos los que pongan la línea roja, cuanto antes te muestres como un profesional comprometido, mayor será la confianza que proyectes.
Empecemos por lo básico, ¿Qué pasará con tus actuales cajas de suscripción?
Te lo pondré fácil: algunas tendrás que quitarlas y otras modificarlas.
Cualquier caja de suscripción o formulario que no recabe el consentimiento del usuario de forma inequívoca, debe ser eliminado o transformado.
Por ejemplo:
Los popups de suscripción
ya sabes, la típica caja más o menos invasiva que pide simplemente un correo, este tipo de cajas ya no serían legales porque no se requiere el consentimiento inequívoco del usuario con un tipo de tratamiento previamente informado.
Las cajas de suscripciones en el sidebar
este tipo de cajas tampoco serán legales por la misma razón que indico en el anterior ejemplo.
Cualquier caja de suscripción tipo banner
o caja flotante que no incluya un check box para expresar el consentimiento y una cláusula informativa visible y expuesta.
Cómo tener formularios 100% legales
Si quieres que tus formularios estén 100% adecuados a la legalidad, debes asegurarte de que cumplan dos requisitos:
[su_list icon=»icon: arrow-right» icon_color=»#008af7″]
- Deben incluir un check box que recoja el consentimiento inequívoco del usuario
- Debes introducir una primera capa informativa justo debajo que explique los aspectos más significativos respecto al tratamiento de la información y una segunda capa que complete esa información.
[/su_list]
Esta información por capas es lo que se conoce como información multinivel. Se trata de un nuevo enfoque que plantea el nuevo reglamento en la manera de facilitar la información.
¿En qué consiste este enfoque?
Pasa por informar en dos niveles o capas diferentes:
[su_list icon=»icon: arrow-right» icon_color=»#008af7″]
- Presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos
- Remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.
[/su_list]
Un ejemplo de check box legal lo muestra el formulario que tenemos en LexBlogger:
Y también la inserción de la primera capa informativa justo debajo del formulario.
En la Guía sobre el derecho a la información creada por la AEPD, la autoridad catalana y la Agencia Vasca de protección de datos, se muestra la información a incorporar en cada capa:
Este sería un ejemplo de información multinivel que ya hemos incorporado en LexBlogger en todos nuestros formularios, como ves, se informa en una primera capa de los aspectos básicos y más relevantes y se proporciona enlaces para ampliar esa información en una segunda capa.
¿Debo olvidarme de hacer campañas de email marketing?
En absoluto, podrás seguir haciendo tus campañas de email marketing mientras incorpores a tus campañas las nuevas exigencias que plantea el nuevo reglamento.
Deberás desarrollar e incorporar a tus campañas de email marketing cláusulas informativas claras y accesibles para tus usuarios, como se explica en el apartado anterior respetando el enfoque multinivel en la presentación de la información.
El nuevo reglamento se opone a las formulas farragosas e incomprensibles que oscurecen más que aclarar.
Recuerda que estas cláusulas deben incorporarse previamente a la recogida de datos (directa o indirecta), si cambia la finalidad o si hay transferencia de datos a terceros.
Esas cláusulas deben informar acerca de:
[su_list icon=»icon: arrow-right» icon_color=»#008af7″]
- Base jurídica del tratamiento.
- Intención de realizar transferencias internacionales.
- Datos del delegado de protección de datos (responsable y asesor en materia de protección de datos de la compañía, sin responsabilidad jurídica), si lo hubiere.
- Elaboración de perfiles.
[/su_list]
¿Qué ocurre con los suscriptores anteriores al reglamento?
Esta es otra de las cuestiones que se plantean ¿Qué pasa con los registros que obtuve antes de esta nueva regulación? ¿Tengo que regularizarlos también?
La normativa en este punto es clara:
“los tratamientos iniciados con anterioridad al inicio de la aplicación de RGPD serán legítimos siempre que ese consentimiento se hubiera prestado de modo en que prevé el propio RGPDF, es decir, mediante una manifestación o acción afirmativa”
Esto significa básicamente que no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción y por tanto, si has obtenido consentimientos en bajo esas condiciones, ya no serían legítimos y no podrías seguir utilizando esos registros a menos que los adaptes a la nueva normativa.
Por tanto, tendrás que valorar como has recabando estos consentimientos, si los has estado recogiendo por omisión del tipo:
“Si no dices nada, damos por supuesto tu consentimiento para todo lo que nos plazca”.
Atendiendo a este principio, no basta solo con modificar todos los formularios de contacto y añadirles un check box.
Es importante que revises las formas en que has estado obteniendo el consentimiento hasta ahora para que puedas adecuarlos a las nuevas exigencias que plantea el nuevo reglamento.
Recuerda que debes legitimizar tus bases de datos y listas de suscripción para poder acreditar que todos los registros que almacenas y gestionas cumplen con estas exigencias.
¿Tendrá impacto negativo en las conversiones?
Mi opinión es que no debería afectar a las conversiones, más bien, mejorar notablemente la calidad de las mismas.
No se trata de ponerle obstáculos a los usuarios sino de reforzar sus derechos y mostrar respecto por los mismos.
Debemos asumir que los datos son el petróleo en una sociedad digital y debemos profesionalizar su gestión en todo su ciclo de vida.
Un profesional del marketing debe ser necesariamente un profesional en la gestión de la información. Deben ser ambas competencias indisociables.
Desde LexBlogger insistimos en la necesidad de asumir una nueva cultura bloggera del respeto al dato.
Deben desecharse estrategias y campañas que no comulguen con los derechos de usuarios y suscriptores porque serán estos los que pongan la línea roja y empiecen a identificar a los profesionales que hacen un uso responsable y respetuoso de los datos y los que no. Tú decides de qué lado de la línea quieres estar, pero recuerda, tus formularios serán los primeros que marquen la diferencia y dejen el evidencia tu nivel de legitimidad en el tratamiento de los datos de otros.
Muy buen post, como siempre, pero lo que más me ha gustado es que ya no va a valer el simple corta y pega, o como me he encontrado que me piden «textos para salir del paso». Te felicito por concienciar en el cumplimiento de la ley. Pero lo mejor para cumplirla 100×100: acudir a profesionales que asesoren correctamente,como Tu! Enhorabuena!
Gracias Sonia por comentar y por tu valoración del post. Lamentamente, el corta y pega es bastante frecuente porque se piensa que la legalidad de una web no es más que un tema formal y marginal, espero el nuevo RGPD cambie las tornas. Un fuerte abrazo
Buenas, interesante el artículo y muy útil.
Aún así veo que la opción de opt-in sigue las mismas directrices, es decir, la recopilación de datos por una parte y el envío de la necesidad de confirmar la suscripción, creo que sería viable marcar todo lo dicho anteriormente en ese segundo mensaje, es ahí donde se confirma el acceso y el usuario demuestra su incorporación tácitamente.
Por tanto, creo que la captación de suscriptores puede seguir manteniéndose con la misma estrategia y añadiendo un simple checkbox, dado que se puede demostrar que el usuario debe de aceptar la aceptación de su incorporación en el mensaje de confirmación, de lo contrario, la información proporcionada no tendrá ningún uso para herramientas de email marketing al no volcarse dicha información.
Espero que sea correcta mi apreciación.
Saludos
Siguiendo lo que comentas en el post…¿la caja de suscripción azul que hay antes de la sección de comentarios cumpliría los requisitos?
¡Un saludo y buen artículo!
Buenas tardes, antes que nada muchas gracias por el artículo, nos dejó pensando bastante sobre qué podemos hacer con nuestros formularios para seguir estando dentro del reglamento de protección de datos.
En cuanto a nuestra web tenemos varios formularios de suscripción en donde el cliente acepta recibir información mediante un correo que recibe y confirma, tengo entendido que esto dentro poco tiempo ya no será valido.
Por lo tanto mi duda es, si nosotros actualizamos utilizamos mailrelay y thrive leads para los formularios de suscrpción, ¿cómo podemos añadir el checkbox y el enunciado para que acepten los términos? Estuvimos intentándolo y al conseguirlo el formato de nuestro formulario se descuadra, es decir, nos aparece esta característica pero hasta arriba del campo de «nombre y apellido» en lugar de ubicarse debajo de los campos como suele aparecer y encima del botón. ¿Hay alguna solución para conseguir esto?, ¿Nos puedes indicar como lograr aconseguir este formato por favor?
Muchas gracias de nuevo.
Saludos,
Mariana
Hola Marina,
Muchas gracias por tu respuesta. Fijate que lo curioso es que en el código HTML, el checkbox está abajo del todo, y aun así se muestra al principio, por lo tanto no entendemos por que se nos muestra así. ¿Hay alguna forma de que nos puedan asesorar con esto? Es extraño que sea tan difícil poner correctamente el checkbox =S…
Espero tu respuesta, muchas gracias!
Saludos,
Mariana
Hola Mariana.
Recientemente he hecho una web para mi pareja que empieza su actividad laboral. El caso es que la web, es sencilla, se hace por plantillas, pero queda resultona y en poco tiempo a la par que económica.
El caso es que me gustaría disponer de un formulario de contacto que tenga el checkbox que me lleve a mi página de aviso legal o donde incluya los datos a tratar y demás de forma amplia. Pero estoy teniendo muchísimos problemas para crear de forma medio decente un formulario y menos con la maldita casilla y que no permita enviar nada sin haberla activado, claro está. Aunque la web es por plantillas, permite añadir un widget y pegar código, pone que vale HTML y con scripts….pero hago un formulario con una web, lo pego y ahí no aparece nada…otros si van…pero se desproporcionan o no se ven bien…etc…El problema es que no entiendo nada de programación ni HTML, entonces le doy vueltas y pierdo mucho tiempo para no lograr nada.
A ver si puedes ayudarme a crear un sencillo formulario para poder tener este extra en mi web y cumplir con el RGDP.
Muy buenas.
Ante todo, muchas gracias por la información. Lo temas legales siempre son los que más de cabeza nos traen a la mayoría.
Me surge una duda con la parte técnica relacionada a su vez con la parte de «debemos dejar evidencias de cumplimiento». ¿Cómo podemos dejar evidencia de ese cumplimiento de manera inequívoca? Imagino que podemos guardar el checkbox como un campo personalizado con un valor tipo «acepto» o «sí», pero ¿es eso inequívoco? Al fin y al cabo, los campos personalizados son manipulables. Es decir, podría adaptar mis listas y formularios y a continuación editar todos los registros que ya tengo para que aparezca ese «acepto». Sin embargo no estaría cumpliendo la ley y dudo que ante un requerimiento fuera válido.
¿No debería existir alguna manera de que la propia plataforma recoja ese checkbox, lo almacene de una manera no editable e incluso que no envíe el mensaje de confirmación si por alguna razón no está marcado? Algo similar a lo que ocurre con la fecha de alta, por ejemplo, que aunque se quiera, no se puede manipular.
¿Está previsto algo así? Si no lo está, ¿cuál sería la manera de conseguir esa «evidencia de cumplimiento»?
Muchas gracias nuevamente.
Muy buen post, buenas explicaciones, pero esto de «la casilla» que estoy viendo mencionar tantísimo, le veo lagunas. Por una parte, porque quien dice si había casilla o no cuando la persona mando la información? Cómo se puede saber que tú no has editado luego los datos en la BD de la lista de correo (en la mía se puede y no veo que quede registrada la edición en ningún sitio). Por otro lado, le veo sentido a la «casilla» cuando le estás dando gato por liebre. No es lo mismo decirle «déjame tu email y te mando este PDF tan chulo» y Pam, le metes a la lista, que decir «apúntate a mi lista de correo y te mando el PDF». En este segundo caso, la persona le estás diciendo ya que se va a apuntar a la lista. Y si además no ofreces nada y es simplemente: apúntate al Newsletter… Pues es Qué si le da, debería saber un poco qué está haciendo. Tampoco veo igual el que te llegue un correo que no sabes ni de dónde viene, o que hayan vendido tu info, o que te digan que das el correo para A y te empiecen a freír a emails, que si tú lo pones para suscribirte a algo pues ¿Que esperas? Pues un Newsletter. Creo que es un consentimiento lo suficientemente claro como para no necesitar casillas de nada…
Hola,
Tengo un blog WordPress (personal, NO comercial) y actualmente:
– No monetizo
– No tengo lista de correo
– El campo de comentarios está desactivado
– No tengo formulario de contacto (solo email visible por si los usuarios quieren escribirme).
Al ser un blog personal y a las condiciones expuestas, ¿estoy sujeto al RPDG y a toda la normativa impuesta?
Hola me parece que si el formulario de suscripción tiene un doble opt-in no es necesario la casilla de verificación, ya que cuando el usuario recibe el email es ahi donde se le daria la oportunidad de aceptar o no las politicas de privacidad ¿no es asi?
Con la LSSI parecia claro que si en tu lista de marketing tenias clientes con los que tenias una relación contractual podías realizar mailings comerciales sin su consentimiento expreso. Con el nuevo reglamento , ¿ esto cambia o puedo seguir con los envios comerciales a mis clientes ?
Gracias
Hola.
Interesante artículo. Decir que… la primera capa, según «obliga» la ley, debe ser en formato tabla, ya que es más facil de asimilar para el usuario, del mismo modo que lo hacen con la tabla de productos alimenticios (así queda reflejado en la ley, por lo que no sería posible una explicación tal y como se muestra arriba)
Además, es estos comentarios, donde ahora escribo, debe de haber otra tabla, donde se explique el tratamiento específico de estos datos. No solo es un asunto de los formularios comerciales o prospectivos. Ya que el tratamiento de datos recogidos del usuario, y demás información es diferente para cada formulario.
Siempre nos quedará París. xD El nuevo reglamento estipula, que si por causas imputables al diseño, esta tabla (Tabla, no texto explicativo a modo narrativo) no pudiera situarse en el lugar más cercano al botón del formulario, podría colocarse en otro lugar de esa misma página, pero siempre añadiendo un CTA que indique la obligación de leer «No olvides leer la información básica sobre protección de datos que se encuentra en el pie de página, o a la derecha de la página, o…» (Siempre indicando donde se encuentra dicha tabla, y mostrándola sin salir de dicha página)
En cuanto al Opt-in. Es curiosos como cuando lees los foros en internet, hay mucha información al respecto («puramente seo») y cuando te lees la ley te das cuenta de que hay muuuuuchos aspectos de los que no se trata. El usuario, debe en todo momento recibir las bases del tratamiento específico como copia. Es decir, que no solo deberá comprobarse que el usuario es quién dice ser, sino que además, deberá recibir una copia idéntica de dicha suscripción, donde deberá estar adjunta la «información básica de protección de datos».
Suerte con el cambio. Estoy deseando que le caiga un paquete a las grandes, como Vodafone, Masmovil, Moviestar, Ibertrola, etc… que llaman sin descanso y sin que les haya dado la confirmación para ser llamado. Me va a gustar ver como cuando te pidan en Consum o mercadona, si quieres hacerte socio, la dichosa tablita de Información básica de protección de datos, pues no es algo solo para el ámbito digital.
Ciaooooo
Por cierto, y no es por tocar los cataplixxxs… Quiero modificar mi comentario, ¿puedo hacerlo ya o debo esperarme hasta el día 25 de Mayo.?
xD
Algo que no se ha comentado y que creo de vital importancia para los que tenemos un blog. Evidentemente todos estamos alojados en algún servidor, algunos específicos y otros, como es mi caso, en un servidor genérico (dedicado). En mi caso, cuando me di de alta hace un montón de años supongo que firmé algún tipo de contrato genérico con ellos, pero, sinceramente, ahora no se dónde está ese texto ni si sería válido con la nueva RGPD. La pregunta es, como propietario de un blog cuyo tratamiento de datos está delegado en un servidor (OVH en mi caso), ¿qué debo hacer? ¿les debo/puedo exigir que me envíen un contrato? ¿Es estrictamente necesario?
Gracias
¿Y qué pasa si un día decido cambiar de plataforma para el envío de emails?
¿Tengo que pedir consentimiento de nuevo uno a uno?
Hola Marina. Gracias por tu blog. Una pregunta. Si los datos que captas son para facilitarselos a un tercero (por ejemplo, tengo un blog de moda y ofrezco ofertas de marcas de ropa si me dejan sus datos), como lo explico en mi formulario. Quíen es el responsable de los datos? Mi blog o el de los terceros?
Tengo una duda.
En una empresa hay varios comerciales y estos aportan clientes a la misma.
En la empresa se hace mailings para informar a los clientes de las nuevas tarifas, promociones, etc.
A veces los comerciales traen «paquetes» de correos electrónicos de clientes potenciales del sector para que se introduzcan en el sistema de mailing. Es decir, sin haber comprado a la empresa, empiezan a recibir correos. Los consiguen de haber llamado a los clientes y de decir a qué se dedica la empresa, si quieren recibir una tarifa de la empresa, etc. Otras veces los consiguen de Internet, bases de datos de cuando estuvieron en otras empresas, etc. En los mailings se da la posibilidad de darse de baja de la lista de distribución.
Ahora con el tema este del Reglamento General de Protección de Datos (RGPD) del día 25 de mayo…
¿Esto se va a poder seguir haciendo de esta manera?
¿Qué pasa si se sigue haciendo?
¿Qué alternativas hay?
Es que no sé si me comprendéis, pero esto para las empresas es un putadon muy grande.
Muchas gracias.
Hola Mailrelay, tengo una duda.
Ya que empiezo a usar la plataforma y crear mi lista desde cero (recién empiezo) ¿Tendrán algún tutorial para crear los formularios de suscripción de acuerdo al RGPD? Ya que esta guía habla sobre la necesidad de tener formularios legales pero no dice el cómo hacerlos desde el admin de tu cuenta
Buenos días,
Y si el formulario es en papel? Qué información debería aparecer? proque todo lo que se pone online es muy complicado que se pueda reducir en papel. Hay algun texto legal para los formularios en papel?