Cuenta atrás para la aplicación de la nueva ley de Protección de Datos (RGPD) de la Unión Europea.
Es posible que todavía no tengas claro cómo cambiará tu trabajo esta regulación pero te aseguro que si trabajas en marketing y realizas campañas de captación, debes conocer y asumir los nuevos procedimientos y medidas que tendrás que aplicar a todas tus estrategias si pretendes salir airoso y no acabar con un daño reputacional y económico irreparable derivado del incumplimiento del RGPD.
El RGPD impone un cambio de paradigma sustancial en la manera en que nos relacionamos con la información de otros que transformará el marketing y las estrategias de captación de forma definitiva.
¿Qué es y qué pretende el RGPD?
Se trata de un marco común que pretende fortalecer y unificar la protección de datos para todas las personas dentro de la Unión Europea (UE).
El RGPD marca las nuevas reglas de juego para todos los que gestionamos información de otros dentro de la UE y, por esa razón, afecta no solo a los profesionales y empresas de la UE sino a cualquiera que procese datos de ciudadanos europeos.
¿Qué cambios supone el RGPD?
Hay un cambio fundamental que es el cambio de enfoque de la protección de datos.
Esta regulación otorga mayor autogobierno a los ciudadanos respecto a su información personal para que puedan asumir un control mayor de sus datos y poder tomar decisiones antes de facilitar los datos a una empresa o profesional.
La privacidad, mejor dicho, el respeto por la privacidad, adquiere con el RGPD un protagonismo máximo y debe estar presente en cada proceso, cada estrategia, cada herramienta.
Muchas decisiones que tomamos actualmente en nuestros negocios deben pasar por la criba de la privacidad, por tanto, ante cada elección de herramientas o estrategia, deberíamos preguntarnos si:
- ¿Respeta el RGPD?
- ¿Se ajusta a sus exigencias?
- ¿Me permite cumplir o me supone un obstáculo para el cumplimiento?
Este refuerzo en la defensa de la privacidad exige a los responsables mayores esfuerzos de transparencia en la gestión de esos datos, reforzar los mecanismos para recabar los consentimientos y aplicar medidas de seguridad acordes al riesgo que supone cada uno de los tratamientos que realiza.
A diferencia de la LOPD que ha regido en España desde 1999, el RGPD suprime requisitos de tipo formal que no repercutían directamente en la protección de datos (como la declaración de ficheros en la agencia) y propone en su lugar, un cumplimiento mucho más activo y basado en la gestión de riesgos y la implantación de medidas proactivas.
Entre los cambios más significativos que deberías conocer y asumir están:
-
Mayor compromiso
No puedes recabar, procesar o almacenar información de otros si no asumes un compromiso claro con los derechos de quienes te confían su información.
Los que trabajamos con información de otros, debemos empezar a asumir la responsabilidad que conlleva el tratamiento de esa información y esmerarnos en proteger esos datos y respetar los derechos que cada ciudadano tiene sobre los mismos.
Debemos asumir una cultura de trabajo asociada a la protección de datos y eso pasa por un cambio de conciencia y por reconocer el valor de esa información y el impacto de este tratamiento sobre las personas.
También debemos empezar a comprender que la información de nuestras bases de datos no nos pertenece y que solo podemos utilizarla según los permisos que nos hayan otorgado sus dueños, es decir, los ciudadanos.
-
Mayor conocimiento
Cumplir con el RGPD implica conocer profundamente todo el ciclo de vida del dato y protegerlo en cada momento, desde la captación a la destrucción.
Así, deberás analizar y documentar todas las categorías de datos que gestionas, cómo adquieres la información, con quién la compartes, con qué fin la procesas, qué medidas de seguridad aplicas a esta gestión e informar de todo esto a los legítimos titulares de estos datos.
También deberás documentar la base legal para procesar datos personales y exponerla tanto en los avisos legales como en el registro de tratamientos.
Con el RGPD, un profesional del marketing debe ser un profesional de la protección de datos y saber qué, cómo y cuándo puede gestionar la información conforme exige el reglamento.
Ya no basta con saber lo mínimo, registrar un fichero y tener un documento de seguridad que nadie lee.
Ahora los profesionales y empresas deben asumir la protección de datos como un estándar de trabajo a aplicar en todos los procesamientos de datos y hacerlo desde el momento en que consigue un lead hasta que se destruye o borra ese dato.
-
Mayor transparencia
El RGPD exige mucha mas transparencia en la gestión de la información y por esa razón, deben revisarse y actualizarse todos los avisos legales, claúsulas informativas y mecanismos de captación con los que trabajemos en nuestras campañas.
Para facilitar la información al ciudadano, se exige informar de forma clara, inequívoca y directa. La forma correcta para satisfacer este requisito es informar por capas.
-
Mayores derechos de los ciudadanos
El RGPD confiere a los ciudadanos derechos ampliados respecto a la LOPD, como el derecho al olvido, el de la portabilidad de datos y el de limitación.
Deberás generar procedimientos para informar y atender a estos nuevos derechos de forma ágil ya que los plazos para responder son más cortos.
Para las campañas de marketing, hay dos derechos básicos que deberás interiorizar e incorporar a tus procedimientos:
1.- El derecho de acceso de los usuarios
Sobre su información personal, en donde les deberás informar qué datos almacenas, cómo los has obtenido, con qué fines los procesas y con quiénes los compartes.
Aquí tendrás que asegurarte de contar con un sistema que te permita buscar y recuperar de forma efectiva los datos procesados de los usuarios y responder a las consultas de manera ágil y oportuna.
2.- El derecho de supresión o cancelación de esa información
En este caso, debes tener sistemas que te permitan bloquear o eliminar directamente esa información para evitar volver a utilizar esos datos una vez que han sido cancelados.
Hoy la mayoría de las herramientas de email marketing cuentan con un enlace que automatizan las bajas de suscriptores, así que esto no debería preocuparte.
-
Mayores requisitos de permiso
Hay un cambio sustancial en la manera de recabar el consentimiento, ya no valen formulas por omisión o tácitas, se requieren manifestaciones inequívocas, libres, específicas y verificables, es decir, deberás acreditar que cuentas con el consentimiento expreso de todos los registros que almacenas en tus bases de datos y cuando digo todos, me refiero a que el RGPD aplica a todos los datos, no solo a los que vayamos a recoger a partir de mayo del 2018.
Cuando sean tratamientos de mercadotecnia, es decir, cuando se vaya a utilizar la información con fines promocionales, debemos informar de forma específica y separada sobre esta finalidad y requerir el consentimiento específico.
¿Esto que implica?
Desde el punto de vista del marketing, es el cambio más trascendental.
Vamos a tener que transformar las estrategias de captación para recabar los datos obteniendo el consentimiento expreso con lo informado y registrar ese consentimiento de modo que podamos acreditarlo en cualquier momento.
-
Mayores exigencias en tratamientos de datos de menores
Se exige implementar sistemas para verificar la edad de los usuarios y recabar el consentimiento de los padres o tutores para la actividad de procesamiento de datos.
-
Mayores exigencias en la declaración de brechas
El RGPD introduce nuevas exigencias la hora de notificar violaciones de seguridad.
Si la información de usuarios se ha visto vulnerada, estamos obligados a notificar esa brecha a las autoridades de control y a los afectados, eso implica tener mecanismos que permitan detectarlas y notificarlas.
-
Mayores requisitos en la gestión de la privacidad
Surge un nuevo enfoque: el de privacidad desde el diseño y por defecto, esto exige concebir un producto o campaña atendiendo a la privacidad desde la concepción y minimizar la información que se recaba.
También exige mayor claridad a la hora de crear políticas de forma que sean fácilmente comprensibles por el común del público.
-
Mayores evidencias de cumplimiento
El RGPD es mucho más de evidencias que de postureo, exige que seas capaz de demostrar de forma eficaz, que cumples con el mandado legal y por eso, suprime todo requisito de tipo ornamental que, a efectos prácticos, no demostraba nada, como la declaración de ficheros.
Deberás generar procesos que permitan dejar constancia y registro de todas las acciones que realizas destinadas al cumplimiento.
-
Delegado de protección de datos
En determinados casos se exige la presencia de un delegado de protección de datos:por ejemplo, si se trata de un organismo público, si las actividades principales del responsable consisten en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o si las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
¿Cómo afecta el RGPD a mis estrategias de captación?
El marketing es, posiblemente, la actividad comercial que más procesamiento de información personal realiza.
La materia prima de cualquier campaña de captación la constituyen los datos personales.
Todas las estrategias de captación tienen como objetivo conseguir la mayor cantidad de leads posibles para convertir luego en clientes, para conseguirlo, se utilizan diferentes estrategias y herramientas que hay que adaptar a las nuevas reglas de juego.
Quienes se dedican al marketing, deberán ser capaces de acreditar máxima diligencia en la protección de sus bases de datos, máximo celo en la contratación de terceros y máxima transparencia a la hora de informar al usuario todo lo relativo al tratamiento de la información.
Algunos retos urgentes que tienes que acometer "rigth now"
-
Regulariza tus relaciones con colaboradores
Todos los socios tecnológicos y herramientas que se vayan a utilizar en una campaña de captación deberán ser analizados y requerir evidencias de cumplimiento.
Ya no basta con un contrato, se requieren pruebas incontestables de cumplimiento.
-
Limpia y depura tus bases de datos
No conserves registros de los que no puedas justificar su conservación o demostrar su consentimiento para ser tratados.
-
Acondiciona todos tus sistemas de captura
Esta acción tiene como fin adecuarlos al RGPD.
-
Reconfirma el consentimiento de aquellos registros que no hayas recabado de forma inequívoca
-
Minimiza
No almacenes más información de la que estrictamente sea necesaria para la campaña.
-
Cifra toda la información
Toda la información que cifres estará protegida frente a brechas o violaciones de seguridad que tendrás que declarar, a menos que tus bases de datos estén cifradas.
-
Demuestra
Recaba evidencias de todo lo anterior, guarda registros, contratos o capturas que te sirvan para acreditar el cumplimiento efectivo.
Tipos de campañas de captación y acciones a realizar
Hay diferentes tipos de campañas pero todas tienen un denominador común: la recogida de información personal a través de un formulario.
Debes analizar y adecuar ese proceso de inicio a fin en cada una de las estrategias que utilices y para eso, será importante contar con procesos que te permitan rastrear y mapear los datos personales que almacenas y gestionas en tus herramientas y sistemas.
En cada caso, deberás asegurarte de informar de forma diferenciada y de incluir mecanismos para obtener y registrar el consentimiento.
Un buen ejercicio para conseguirlo es inventariar todos los sistemas de capturas que utilizas, identificar las herramientas que utilizas en cada caso y las finalidades que persigue cada formulario, ya que no es lo mismo un formulario de suscripción, que uno de venta o uno de contacto.
Deben ser identificadas todas las plataformas, aplicaciones, así como otros soportes, en la nube o físicos, en los que sean tratados datos personales.
-
Campañas de Email marketing
Es la estrategia clásica de captación de leads.
No podemos realizar campañas de email marketing si no contamos con los consentimientos verificables de cada uno de los leads que tengamos en nuestra lista.
Deberemos también informar en cada campaña los aspectos esenciales del tratamiento y habilitar un mecanismo automático para revocar ese consentimiento.
Si además realizamos segmentación, tenemos un esquema de afiliados o compartirnos los datos con determinadas herramientas, debemos asegurarnos de que esas herramientas cumplen también con el RGPD y que estamos informando de su presencia en nuestros avisos.
Lo que no se puede hacer en ningún caso es enviar contenido publicitario por correo electrónico sin contar con consentimiento del usuario, a menos que se trate de un cliente y la información que se le remita esté directamente relacionada con la contratación.
Imagina que tienes un gimnasio, si realizas alguna promoción, por ejemplo: sauna al 50%, no necesitarías el consentimiento para el envío de esta promoción a tus clientes del gimnasio dado que cuentas con una base legal que justifica ese tratamiento, el interés legítimo del destinatario.
Pero lo que no puedes hacer es lo que hicieron los del ejemplo que sigue a continuación:
Una empresa me manda un email publicitario sobre una aplicación de mensajería para cumplir con la RGPD (menuda paradoja), en el correo no aparece ninguna información sobre el responsable de esta campaña ni sobre mis derechos, solo la información comercial.
Al preguntarles cómo habían obtenido mis datos, esta fue su respuesta:
Es decir, justifican el envío porque mi correo aparece en el aviso legal de mi web, vamos que si un correo aparece en internet, puedo utilizarlo como me plazca.
Parece obvio que eso no se debería hacer pero, a juzgar por la evidencia, parece que para muchos sigue sin ser tan obvio.
Este tipo de prácticas es las que pretende erradicar el RGPD, el uso indiscriminado de información personal de cualquier manera, sin orden ni concierto.
Si analizas la situación y la respuesta, estamos ante una metedura de pata descomunal, venden una herramienta para tener comunicaciones adecuadas al RGPD pero se saltan a la torera todas las reglas básicas de la comunicación comercial.
Recordemos que hoy en día están igualmente prohibidas por la LSSI todas las comunicaciones comerciales que no hayan sido expresamente solicitadas o consentidas por el remitente.
Por tanto, internet no es una fuente de acceso público y nunca deberías extraer direcciones ni datos personales para incluirlos en tu lista.
-
Publicidad display y marketing en buscadores
Se trata de anuncios en donde captamos leads mediante la inserción de anuncios en los buscadores.
En estos casos, los anuncios se dirigen a perfiles determinados en función de hábitos de navegación.
Adsense y AdWords descargan cookies persistentes en los navegadores del usuario que rastrean su navegación y le muestran anuncios de forma selectiva.
Esos anuncios remiten siempre a una web que debe contar con todos los elementos legales necesarios.
Debemos informar de forma transparente sobre la utilización de estas cookies en nuestra web y requerir el consentimiento con su instalación.
Debemos ofrecer también un mecanismo para bloquearlas en caso de que el usuario se oponga a su descarga.
Es importante que elijas un plugin que te permita esta acción.
Nuestra política de privacidad también deberá informar sobre la utilización de estas herramientas.
En caso de obtener un lead, los mecanismos de captura deben estar perfectamente adecuados al RGPD para que esa captación sea legítima y podamos explotar comercialmente ese registro.
¿Cómo sería un formulario de captación con el RGPD?
Un ejemplo de formulario adecuado al RGPD es este que te muestro a continuación:
Otro ejemplo de formulario de captación adecuado sería este:
Como ves, existe un mecanismo para recabar el consentimiento, una primera capa informativa (coletilla pie de formulario) y una segunda capa informativa (enlace a la política de privacidad)
-
Social media y social selling
Recordemos que una red social no es un coto de caza de leads de forma directa.
Podemos insertar promociones, concursos o anuncios pero recordando que no es legal hacer mail marketing mediante los sistemas de mensajería privado de cada red social y tampoco podemos importar seguidores a una lista.
La captación se tiene que realizar mediante una campaña en donde cada usuario o seguidor nos facilite su información de forma voluntaria a través de un formulario.
Ese formulario debe estar adecuado perfectamente al RGPD como se explica en la imagen anterior.
Por otra parte, debes saber que si tienes una fan page en una red social, eres responsable del tratamiento de los datos de los seguidores y, por tanto, estás obligado a informarles tal como lo hace la fan page de la Agencia Española de protección de datos en su perfil de Twitter:
Como ves, lo correcto es informar en la propia fan page a través de un enlace que lleve al usuario a unas cláusulas informativas muy claras y sencillas:
-
Video advertising
Es una técnica muy utilizada en la captación de leads ya que, en el vídeo se solicita información del usuario (a través de banners embebidos) para recibir por email información adicional, un catálogo o una oferta especial.
En estos casos, los banners deben estar perfectamente adecuados para recabar esa información de forma legítima, tal como muestra el ejemplo del formulario de LEXblogger
-
Elaboración de perfiles
Una de las acciones más comunes y necesarias para conseguir una buena conversión es elaborar perfiles para segmentar la publicidad en función de intereses y características del usuario, también para definir el target de nuestros anuncios.
¿Qué dice el RGPD al respecto?
Si vas a realizar profiling, debes informar a los afectados de la elaboración de perfiles, su finalidad y sus consecuencias.
También debes informarle al usuario de su derechoa oponerse a que sus datos se utilicen para la elaboración de perfiles vinculados a mercadotecnia directa, sin necesidad de alegar motivo alguno.
Este derecho de oposición debe mencionarse de forma explícita y debe ser presentado claramente y al margen de cualquier otra información, es decir, de forma directa en una primera capa informativa en el momento de la primera comunicación con el interesado.
¿Qué pasa con las bases de datos anteriores al RGPD?
Un punto clave del RGPD es que toca regularizar todos los registros conforme exige el reglamento y cuando digo todos, me refiero a que todos los registros que se almacenen en una base de datos o en una lista, deben ser registros saneados, es decir, que hayan pasado por un proceso de requerimiento y registro de consentimiento.
En este post te explico como puedes realizar este proceso.
¿Por qué es importante adaptar las estrategias de captación al RGPD?
Empecemos por lo básico, esto es, respetar los estándares de cumplimiento legal es una parte fundamental de cualquier campaña de marketing.
Omitirlos es una declaración de intenciones que choca frontalmente contra los intereses de cualquier marca.
¿Qué tipo de imagen puedes proyectar si te posicionas como infractor frente al usuario?
Recuerda que estas normas tienen el objetivo de proteger a los consumidores contra prácticas comerciales abusivas, fraudulentas y contrarias a los derechos de privacidad.
El cumplimiento de estas normas implica compromiso y el compromiso se traduce en confianza, competitividad, diferenciación y mejoras notables en la imagen que proyectas.
También te ayudará a mejorar tu reputación de integridad y evitar sanciones económicas que la socavarían, al igual que a tu cuenta corriente.
Las sanciones son algo a temer dado que se incrementan exponencialmente respecto a la LOPD, combinadas con la alta probabilidad de daño reputacional, es algo que ningún profesional o empresa deberían subestimar.