Lista de suscriptores: cómo evitar sanciones RGPD

Marina Brocca

oct 08, 201916 min de lectura
Lista de suscriptores: cómo evitar sanciones RGPD

Seamos honestos, ¿cuánto tiempo has dedicado a crear tu lista de suscriptores?

Y lo siguiente, ¿cuánto tiempo has dedicado a asegurarte de que esa lista cumple con todos los requisitos legales para que puedas utilizarla sin riesgos?

Lo cierto es que ahora mismo, puedes estar operando con una lista Chernóbil, es decir, una lista tóxica que puede contaminar toda tu estrategia y puede que ni siquiera lo sepas.

En este post voy a enseñarte a:

  • Descubrir si tienes una lista Chernóbil.
  • Enseñarte a depurarla.
  • Darte pautas seguras de captación y tratamiento que te permitan trabajar sin riesgos.

¿Qué es una lista de suscriptores?

Una lista de suscriptores es el resultado de una estrategia de captación de leads o contactos que se obtienen a través de un blog o de una página web con el objetivo de enviar correos de forma periódica a las personas que se hayan suscrito de forma voluntaria a esa lista.

Insisto en la relevancia de la "voluntariedad "para que esa lista sea efectivamente legal y puedas utilizarla sin miedo.

Para realizar una suscripción, es necesario recabar una serie de datos personales, como mínimo, un nombre y un correo electrónico.

También pueden recabarse fechas de nacimiento o preferencias de suscripción.

Esta información es tratada por el responsable de la web pero también, por el proveedor de servicios de email marketing que hayamos elegido para gestionar nuestra lista y el por el servicio de hosting que hayamos elegido, que en materia RGPD, actúan en calidad de encargados del tratamiento.

Cuida la materia prima de toda campaña de suscripción: los datos personales

Es la obviedad más ignorada de entre todas las obviedades posibles: no puedes desarrollar estrategias de marketing eficaces y exitosas si desconoces el marco legal que regula las comunicaciones comerciales. [community-related src="https://es.semrush.com/blog/grandes-mitos-email-marketing/"] 

Muchos de los correos e impactos comerciales que recibo a diario, desconocen las líneas rojas que no deben traspasarse a la hora de realizar campañas de captación o desarrollar estrategias de email marketing. 

Y este es un error colosal que compromete cualquier campaña: estás en modo infractor y puedes acabar transformando tu estrategia en un Chernóbil del marketing.

Desde el momento en que decides gestionar información de personas, debes:

  • Conocer sus derechos.
  • Saber cómo gestionar su información de manera segura y responsable.
  • Conocer y aplicar las leyes que afectan a toda campaña de marketing.

Empezar por comprender cómo desarrollar una estrategia comercial legalmente válida, es asegurar un marketing limpio, no contaminado, que garantice un cumplimiento sin fisuras de todas las normas que regulan el marketing legal y comprometido con los derechos de los destinatarios de tus campañas y con la legalidad vigente.

Las leyes sobre marketing que debes aplicar a tu lista de suscriptores

Hay 3 regulaciones claves que establecen las reglas legales en toda estrategia de marketing y cuyos principios marcan las líneas rojas entre una estrategia legal y una estrategia Chernóbil:

  • La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI).

Esta ley regula las transacciones económicas mediante medios electrónicos.

Casi todas las campaña de captación se realizan por medios electrónicos, por tanto, también debes atender a la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico, la LSSI-CE.

Pues bien, la AEPD, pone en relación este régimen del RGPD con el artículo 21 de la LSSI, el cual exige que estas comunicaciones hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, o bien, que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

  • El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas.

Este Reglamento se basa en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 

  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Esta Ley adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD) e introduce novedades mediante el desarrollo de materias contenidas en el mismo.

Agentes contaminantes en una lista de suscriptores

Hay 2 principales agentes de contaminación de una lista:

  • La desinformación o desconocimiento de las leyes que regulan las estrategias de marketing y de tratamiento de datos personales. Dicho de otro modo, desconocer cómo se gestiona legalmente la materia prima de tu negocio es una torpeza inclasificable.
  • La temeridad de aquellos que creen que el fin justifica los medios.

Muchas veces, la obsesión por acumular suscriptores nos lleva a elegir estrategias de marketing agresivas que vulneran derechos y dinamitan la confianza de los usuarios.

Si no quieres tener una lista Chernóbil, contrasta.

Que una estrategia te resulte ingeniosa o creativa no significa que sea legalmente válida.

El marketing debe comulgar con los derechos de los receptores de la campaña, esto es: las personas que te confían sus datos.

Estos derechos pretenden proteger al usuario y evitar la sobreexposición de estos al SPAM y a la publicidad engañosa, así como evitar el atropello publicitario al que estamos sometidos constantemente.

Pero trabajar con estrategias limpias y seguras, además de evitar sanciones, también te aporta beneficios sustanciales:

  1. No interrumpirás ni molestarás a personas que no desean recibir tus ofertas.
  2. Evitarás tasas de rebotes que te mandarán directamente a las listas negras de los correos.
  3.  No comprometerás tu reputación con prácticas ilegales e intrusivas.
  4. Mejorarás tu engagement gracias a estrategias transparentes, responsables y respetuosas de los derechos.
  5. Tendrás una lista de suscriptores limpia y depurada de primera calidad, recuerda que es mucho más rentable tener 100 suscriptores comprometidos que 1.000 que no saben por qué reciben tus correos.

¿Cómo desarrollar estrategias de email marketing no contaminadas?

Lo más importante es saber que la principal diferencia entre un email marketing limpio y legal y un marketing contaminado está en la transparencia informativa y el consentimiento.

Cómo se han obtenido los datos marca la distancia entre una estrategia legal y una estrategia Chernóbil.

El ciclo de vida de una campaña de email marketing comienza con la captación, si desde el inicio esa captación no se realiza conforme exigen las normativas señaladas, toda la estrategia posterior estará comprometida y dañada.

Debes asegurarte de cumplir con dos requisitos esenciales:

  1. Informar correctamente de manera previa a la captación.
  2. Requerir el consentimiento válido y ser capaz de acreditarlo.

Son dos requisitos transcendentales que necesitas aplicar a todos tus sistemas de capturas y que desarrollo a continuación:

1.- Transparencia informativa: el derecho a la información

¿Esto que significa?

Que siempre que vayas a captar datos en cualquier campaña, debes asegurarte de informar de manera clara y precisa a tus usuarios, estos tienen derecho a estar informados acerca de una serie de aspectos relativos al tratamiento que vas a realizar de su información.

Siempre has de ser transparente respecto a tus intenciones para recabar datos de otros.

Si vas a recoger datos personales, informa siempre al usuario sobre los usos previstos que vas a realizar de esos datos: quién es el responsable de su tratamiento, cómo pueden desistir de recibir tus comunicaciones, con quién puedes compartir sus datos.

Recuerda que el remitente debe identificar de manera clara al emisor.

No olvides incluir todos tus datos en tus comunicaciones y en todos los sistemas de captura que utilices para generar contactos en tu lista de suscriptores.

Concretamente, la información que deberás facilitar a los destinatarios de tus campañas en el momento en que se obtengan los datos personales, será la siguiente según el artículo 13:

  • Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
    1. La identidad y los datos de contacto del responsable y, en su caso, de su representante.
    2. Los datos de contacto del delegado de protección de datos, en su caso.
    3. Los fines del tratamiento a que se destinan los datos personales y la base jurídica del mismo.
    4. Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero.
    5. Los destinatarios o las categorías de destinatarios de los datos personales.
    6. En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
  • Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
    1. El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
    2. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
    3.  La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
    4. El derecho a presentar una reclamación ante una autoridad de control.
    5. Si la comunicación de datos personales es un requisito legal o contractual o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
    6. La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • Por otra parte, cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquél para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

La manera más segura y transparente de informar es mediante el sistema de capas, es decir, se trata de proporcionar información básica en una primera instancia, justo en el momento de requerirla y ampliar esa información mediante un enlace a tu política de privacidad.

2.- El poder del consentimiento en tu lista de suscripciones

El segundo elemento fundamental en una lista de suscriptores legal es el consentimiento.

En toda estrategia de marketing que pretenda huir del efecto Chernóbil, el consentimiento será la pieza clave que impedirá la contaminación de tu lista.

No es algo a lo que temer.

Por el contrario, el consentimiento no es más que el marketing de permiso que tantos gurús han defendido y defienden como factor fundamental del éxito de toda campaña de fidelización y conversión..

Puedes preguntárselo al mismísimo Seth Godin, que sostiene que el marketing de permiso es esperado, personal y pertinente y que esto genera ventajas sustanciales en cualquier campaña:

  • Esperado: las personas desean escucharnos.
  • Personal: los mensajes están directamente relacionados con el cliente individual.
  • Pertinente: el marketing está relacionado con algo en lo que está interesado el posible cliente.

Pero no vale cualquier consentimiento, por ejemplo, no son válidos los consentimientos obtenidos de forma tácita o por omisión y esto supone revisar todos tus formularios y asegurarte de que los mismos, incluyan una forma de obtención válida del consentimiento.

El RGPD en su punto 32 señala concretamente que: “el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le concierne”.

Por tanto, para que este consentimiento sea válido, debe cumplir varios requisitos:

  1. Debe ser libre: no puede estar condicionado o coaccionado. Por ejemplo: "si no aceptas, no puedes navegar" o “sólo tendrás descuentos si aceptas”.
  2. Debe ser específico: no vale un consentimiento generalizado ni un sí para todo, el consentimiento debe asociarse a una finalidad concreta que deberá de especificarse.
  3. Debe ser informado: unido a lo anterior, para que el consentimiento sea válido, debe estar asociado a una información precisa, clara y veraz sobre la cual se presta el consentimiento. Ejemplo: “incluirte en mi lista para mandarte mis boletines con los últimos post publicados”, “mandarte ofertas de productos y servicios propios”, etc.
  4. Debe ser inequívoco: es aquel que obtiene mediante una clara acción afirmativa. El RGPD no admite formas de consentimiento tácito o por omisión y basados en la inacción. Descarta como formas de consentimiento el silencio, la inacción o las casillas premarcadas.
  5. Debe ser verificable: deberás asegurarte de que puedes demostrarlo, utiliza siempre herramientas o plugins que te permitan obtener el consentimiento válido y que te permitan acreditarlo de forma inequívoca.
  6. Debe ser revocable: debe ser tan fácil retirar el consentimiento como otorgarlo, esto significa incluir en toda nueva comunicación, mecanismos que permitan automatizar la desuscripción.

Por eso es esencial que te asegures de elegir una herramienta de email marketing que te permita gestionar el consentimiento conforme a todas estas exigencias.

Ya has visto que toda campaña de email marketing debe comenzar por una captación legal, pero también debes garantizar la trazabilidad de todo el ciclo de vida de ese dato o lead que acabas de captar.

Por tanto, un punto clave en toda estrategia de marketing es conocer los principios y normas legales que regulan el tratamiento de todo dato personal y cuyo cumplimiento deberás garantizar si quieres estar al margen de una lista Chernóbil.

Pretender gestionar una lista de suscriptores que omita o desconozca las reglas de juego que permiten operar legalmente es como abrir un restaurante sin tener nociones de seguridad alimentaria o manipulación de alimentos.

A continuación la lista de los principios de una campaña de email marketing legal:

  1. Principio de licitud, lealtad y transparencia del RGPD.
  2. Principio de limitación de la finalidad.
  3. Principio de minimización de los datos.
  4. Principio de exactitud.
  5. Principio de limitación del plazo de conservación.
  6. Principio de integridad y confidencialidad.
  7. Principio de responsabilidad proactiva.
  8. Principio de privacidad por defecto y desde el diseño.

Vamos con ellos a detalle.

1.- Principio de licitud, lealtad y transparencia del RGPD

Según este principio, el Responsable del Tratamiento, en este caso, quien gestiona la lista de suscriptores, debe informar a los interesados sobre el tratamiento que va a realizar de sus datos y esta información debe facilitarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, por escrito o por otros medios  (incluso por medios electrónicos).

Este principio se impone en todo el ciclo de vida del tratamiento y forma parte de los dos requisitos básicos de la captación legal.

Este principio está vinculado al derecho de información.

En tu web, debería aparecer en cada uno de tus formularios, en cada uno de tus boletines, en tus correos electrónicos y en todo documento que recoja o trate datos personales (pedidos, presupuestos, facturas, etc.)

Este sería un ejemplo de formulario de suscripción legal:

Lista de suscriptores - Modelo de formulario legal

2.- Principio de limitación de la finalidad

Los datos deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados, posteriormente, de manera incompatibles con dichos fines.

¿Esto qué significa?

Que si recabas datos personales para incorporarlos a una lista de suscripciones con el fin de mandar tus boletines, no deberías utilizar esos datos con ninguna otra finalidad, como incluirlos en otra lista, compartirlos con otros, comercializarlos, etcétera.

Deberás informar de forma previa de las finalidades con que tratarás esos datos y tendrás que limitarte a tratarlos conforme a esa finalidad, a menos que requieras un nuevo consentimiento para tratarlos con una finalidad diferente.

3.- Principio de minimización de los datos

Los datos que recabes en tu lista de suscriptores deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, es decir, no puedes recabar más datos de los estrictamente necesarios para gestionar tu lista de suscriptores, si la finalidad es mandar boletines, no deberías requerir más datos que un nombre y un correo electrónico.

4.- Principio de exactitud

Los datos deberán ser exactos y mantenerse actualizados por tu parte, adoptando todas las medidas razonables para que se supriman o rectifiquen sin dilación aquellos datos personales que sean inexactos con respecto a los fines para los que se tratan.

Se presumirán exactos y actualizados los datos obtenidos directamente del Interesado.

En el caso de una lista de suscriptores, esto no debería ser un problema desde el momento en que son los propios suscriptores los que proporcionan sus datos.

5.- Principio de limitación del plazo de conservación

Los datos deberán ser mantenidos por ti, de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del Tratamiento.

En el caso de una lista, este tiempo estará sujeto al tiempo en que el usuario se mantenga activo en la lista y no requiera la baja de su suscripción.

6.- Principio de integridad y confidencialidad

Los datos serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito, o contra su pérdida, destrucción o daño accidental.

Por tanto TÚ, como Responsable, establecerás las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado del riesgo.

En el caso de una lista de suscripciones, lo adecuado es contar con un sistema de respaldo de esa lista, utilizar plataformas de email marketing que garanticen la seguridad de los datos almacenados, utilizar contraseñas robustas y cambiarlas de forma periódica, restringir los acceso a personas no autorizadas, utilizar antivirus y tener políticas de uso responsable y seguro de medios electrónicos entre otras.

7.- Principio de responsabilidad proactiva

TÚ, como Responsable o Encargado del Tratamiento, deberás mantener una responsabilidad proactiva en relación con el cumplimiento de todos los principios relativos al tratamiento de datos personales incluidos en la normativa estatal y europea de protección de datos.

Estás obligado a dicho cumplimiento y debes ser capaz en todo momento de demostrarlo.

¿Esto qué significa?

Se trata de un enfoque basado en la prevención.

Implica que deberás asegurarte de garantizar el cumplimiento de las medidas técnicas, organizativas y normativas que garantizan el correcto tratamiento de los datos personales recabados en tu lista de suscripción.

También significa que en todo momento deberás ser capaz de demostrar que has sido diligente a la hora de aplicar medidas de seguridad necesarias en caso de sufrieras una brecha o un incidente de seguridad ¿podrías actualmente?

8.- Principio de privacidad por defecto y desde el diseño 

Debes aplicar los principios de tratamiento de datos por defecto y desde el diseño, con anterioridad al inicio del tratamiento y también mientras se esté desarrollando.

Desde el mismo momento en que se diseña una estrategia de captación que implique el tratamiento de datos personales, debes evaluar el impacto de dicho tratamiento en la protección de los datos de los destinatarios y tomar las medidas organizativas y técnicas necesarias para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios establecidos en el RGPD para una campaña de email marketing y las leyes que aplican a toda campaña de suscripción.

Conclusión: las ventajas de una lista de suscripción legalmente válida

Tener una lista de suscripción válida, legal, funcional y libre de sanciones debería ser algo básico en cualquier estrategia de marketing, dado que es la materia prima de toda estrategia y no puedes permitir que esa materia prima esté contaminada y comprometa toda tu estrategia y tu marca.

Cómo responsable de esa información, no puedes desconocer ni omitir las reglas que garantizan un tratamiento seguro y comprometido de esos registros que almacenas en tu lista de suscriptores. 

Porque no estás gestionando registros o leads, estás gestionando identidades de personas que te confían su información, que te confían su privacidad y tienen derechos que debes respetar.

¿Hay algo más valioso que eso?

Tu propia supervivencia digital depende de la gestión de estas confianzas.

Por tanto,nunca debes olvidar lo que sigue:

  • No puedes realizar campañas de email marketing si no cuentas con los consentimientos verificables de cada uno de los leads que tengas en tu lista.
  • Deberás también informar en cada campaña los aspectos esenciales del tratamiento y habilitar un mecanismo automático para revocar ese consentimiento.
  • Si además realizas segmentación, tienes un esquema de afiliados o compartes los datos con determinadas herramientas, debes asegurarte de que esas herramientas cumplen también con el RGPD y que estás informando de su presencia en tus políticas.

Crear listas de suscriptores saludables y legales parece una ardua tarea pero te aseguro que el esfuerzo merece la pena. Déjame tus opiniones en los comentarios.

Compartir
Author Photo
Marina: Consultora especializada en marketing legal y protección de datos, acreditada en área jurídica. Especialista en RGPD. Autora del blog marinabrocca.com -Ponente y formadora.