¿Cómo hacer email marketing legal?

Todos los que tenemos un negocio online sabemos lo importante que es el email marketing, pero ¿haces un email marketing legal?

Sí, también hay unos aspectos legales que cumplir cuando envías newsletters a tus suscriptores, y es raro el emprendedor online que lo cumple. Así que hoy te voy a contar cuáles son los puntos que debes tener en cuenta para que no seas uno de ellos, y no puedan sancionarte.


No te asustes, estás a tiempo para solucionarlo pero debes hacerlo cuanto antes.

 

Checklist para una estrategia de email marketing legal

Dar de alta los ficheros en la Agencia Española de Protección de Datos

Bueno, en general es cumplir con la protección de datos en tu negocio online, que ya os digo muchas veces que no es sólo este paso, pero voy a especificar concretamente en este post qué aspectos legales afectan a tu estrategia de email marketing sin diferenciar a qué materia pertenece.

Por tanto, como estás gestionando datos de tus usuarios, no dejes de dar de alta los ficheros en la Agencia Española de Protección de Datos. Aunque este punto desaparecerá a partir del 25 de mayo de 2018. Ya te informaré de ello.

Mientras tanto, te explico cómo dar de alta los ficheros en la AEPD.

 

Firmar acuerdo de encargado de tratamiento de datos con el proveedor de email marketing

Como ya te comenté, es uno de los errores que se cometen en relación a la protección de datos de un negocio online.

No debes olvidar, que tus proveedores suelen tener acceso a los datos que tú manejas, y uno de ellos es la plataforma de email marketing, por lo que no dejes de firmar el acuerdo que te garantices que el uso que van a hacer de esos datos es el que tú les diga, no pudiendo almacenarlos para ellos en ningún momento.

A partir de mayo de 2018, con la entrada en vigor de la normativa europea, también tendrás que asegurarte que cumplen con la protección de datos, no bastará con firmar el acuerdo.

Elegir plataforma de email marketing que cumpla con la protección de datos

Por eso, elige siempre proveedores españoles o europeos, o por lo menos asegúrate que cumplen la normativa realmente.

Yo actualmente utilizo MailRelay para enviarte las newsletter. Cuido que tus datos estén a salvo.

 

Tener autorización

Es un punto esencial, el principio de todo, ya que si no te han autorizado a que les envíes comunicaciones, no podrás hacerlo o pueden sancionarte económicamente.

En el caso de que ya sean tus clientes, sí puedes enviar información de productos y/o servicios que sean similares a el/los adquirió.

La AEPD considera que es “envio masivo” remitir sin su consentimiento un mismo mensaje a más de 3 destinatarios, y enviar a un mismo destinatario 3 emails en el período de 1 año.

Se considera una infracción grave.

 

Formulario de suscripción donde quede constancia que han autorizado

Por eso, pon un formulario de contacto en el que quede constancia que te han dado la autorización y para qué te la han dado.

Pon un checkbox enlazado a la política de privacidad, donde expresamente se establezca que está aceptando el envío de promociones sobre tus servicios y productos. Vamos, que no simplemente se suscribe a que le informes cuando publicas un artículo en tu blog.

Identifícate en cada envío

En cada email que envíes debe quedar constancia de quién eres, los datos de la empresa, o sea, tus datos si eres autónomo. Sí, incluida la dirección.

 

Poner opción de desuscripción

No olvides facilitar que puedan desuscribirse cuando quieras, porque además de ser obligatorio, tendrás una lista de suscriptores que realmente le interesa lo que haces y ofreces.

Ah, y no olvides comprobar que funcione.

 

Utiliza el campo CCO (copia oculta)

Y por último, si vas a enviar un email a varios remites, aunque sea para realizar una consulta común a varios proveedores, nunca nunca nunca, pongas las direcciones sin copia oculta.

Utiliza el CCO. Evitarás sanciones cómo esta.

Si cumples todos estos puntos, es que realmente estás haciendo un email marketing legal. Si no es así, ponte en marcha para cumplir cada uno de ellos. Es muy importante respetar los derechos de los usuarios.

 

¿Habías tenido en cuenta estos aspectos en tu estrategia de email marketing?

Si tienes alguna duda te espero en los comentarios para resolverla 

 

 

Recuerda compartir este post en tus redes sociales, estarás ayudando a tus compis emprendedores online 

El registro de actividades de tratamiento (en sustitución al alta de ficheros en la AEPD)

Ya no es necesario dar de alta los ficheros en la AEPD, de hecho esta opción desapareció de la web el 14 de mayo (de 2018).

Y el motivo es que en realidad era un mecanismo que no servía para proteger realmente los datos de nuestros usuarios y clientes, y además creaba la confusión de que al realizar el alta de los ficheros ya estábamos cumpliendo la LOPD.

 

Tras la entrada en vigor del RGPD este paso se ha sustituido por el registro de actividades de tratamiento de datos.

No te preocupes, que te voy a explicar qué es  y lo que debe contener, y si estás obligado a redactarlo 😉

 

¿Quién está obligado a realizar el registro de actividades de tratamiento?

El registro tienen que realizarlo tanto el responsable del fichero (o sea tú) como el encargado del tratamiento (tus proveedores), que deberá especificar los tratamientos que gestionen por cuenta de un tercero, además de los que gestionen de forma propia.

Pero ahora no todos los responsables y encargados tienen que realizar el registro de actividades de tratamiento, pero prácticamente todos. así que no dejes de leer, que seguro que te toca hacer el registro de actividades de tratamiento.

Tienes que hacerlo si tu negocio cumple uno de estos requisitos:

  • Tienes más de 250 empleados (seguro que no es es caso de ninguno de los que leen este post).
  • El tratamiento incluye categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual).
  • Cuando se realice tratamiento de datos que puedan entrañar un riesgo para los derechos y libertades de los interesados.
  • El tratamiento de datos que se realiza se refiere a condenas o infracciones penales.
  • Cuando el tratamiento de los datos no sea ocasional, y aquí es donde vamos a estar incluidos todos los que tenemos un negocio online, así que nos toca realizarlo.

 

El último punto es el que incluye a todo negocio online, así que tenemos que hacer el registro de actividades de tratamiento.

Vamos a ver qué debe contener este registro de actividades de tratamiento, que además te va a servir de ayuda para hacer el análisis de riesgo.

 

 

Contenido del registro de actividades de tratamiento

El contenido que debe tener el registro de actividades de tratamiento viene indicado en el artículo 30 del RGPD, y es el siguiente:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
  • fines del tratamiento
  • descripción de las categorías de los interesados y de las categorías de datos personales
  • categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

 

Además, siempre que sea posible, se indicará también los plazos previstos para la supresión de datos en las diferentes categorías. Si no se puede decir un plazo en concreto, establecer el criterio que se sigue para establecerlo. Por ejemplo, en el caso de los suscriptores, hasta que revoquen su consentimiento, ya que es imposible saber el tiempo que van a estar suscritos.

En el registro de actividades de tratamiento de datos también indicaremos las medidas de seguridad que vamos a establecer en nuestro negocio para proteger los datos de los usuarios y clientes, ya que hará también la función del Documento de Seguridad.

Para poder realizar el registro de tratamiento de datos y establecer las medidas de seguridad, previamente habremos hecho un análisis de riesgo, en el que vamos a establecer las posibilidades que hay de perder los datos, que lo roben, que se eliminen…. y el riesgo que eso supondría para los usuarios.

Hay que hacer un registro de actividades de datos por cada clase de datos que se trate. Así haremos uno de suscriptores y usuarios de la web, de clientes, de proveedores,… y cada uno tendrá las medidas de seguridad necesarias.

Y no tienes que notificarlo a la Agencia Española de Protección de Datos, como pasaba antes con el alta de los ficheros. Lo que tienes es que mantenerlo actualizado, porque como ya te comentaba, es lo que te van a pedir en caso de inspección.

 

 

Formato del registro de actividades de tratamiento

Puedes hacerlo en formato papel o en formato electrónico, pero debe estar siempre actualizado y a disposición de la Autoridad de control si ésta te lo solicita.

En el caso que por el tratamiento que haces de los datos estés obligado a tener un registro de actividades de tratamiento, el hecho de no tenerlo supone una infracción grave, y mejor ni te digo la sanción porque te puede dar algo, asi que no lo dejes pasar y ponte ya a redactarlo.

Vamos, que en tu caso sería una infracción grave.

 

Cómo adaptar tu negocio creativo al RGPD

Si tienes un negocio online muy probablemente no estés cumpliendo con la normativa legal, bien por desconocimiento o bien porque pienses que no te va a pasar nada, pero las cosas están cambiando, y en materia de protección de datos, la Unión Europea ha armonizado la normativa entre todos los países, y te recomiendo (quien advierte no es traidor), que desde el 25 de mayo de 2018 desde cumplir  el RGPD, pues cada vez hay más conciencia en la protección de los datos, tanto por parte del Gobierno como de los usuarios y las sanciones son más cuantiosas y probables que suceden, más aún porque ahora el usuario puede pedir una indemnización .

Así que para que puedas dormir tranquilo y no tener que pagar sanciones de hasta 4 millones de euros, no te vayas y sigue leyendo, porque voy a explicarte cómo adaptar tu negocio online al RGPD.

Tranquilidad, que es más fácil de lo que parece.

 

¿Debo cumplir con el RGPD si no gano nada con mi negocio?

No hay día que no reciba esta consulta en mi email, algo muy comprensible, pues es difícil imaginar que si tu negocio no está siendo aún monetizado, o lo que tienes es un blog personal que no monetizas, tengas que cumplir con la ley. Nuestra mentalidad suele asociar cumplir con la ley, a tener un negocio o a ganar dinero.

Pero para que puedas entenderlo mejor, la ley de protección de datos, lo que protege son los datos de los particulares, sin importar quién los recopile, es decir, no importa que quien los recopiles sea un particular. De ahí que las Comunidades de Propietarios también deben cumplir esta ley, y tampoco son un negocio (no estoy hablando del Administrador de fincas, me refiero a la Comunidad en sí).

¿Y que son los datos de los particulares? Pues el nombre y el email lo son, por tanto, si tienes un formulario de contacto o de suscripción, pueden dejar comentarios en tu blog donde tú tengas acceso a su email,…. ya tienes que cumplir con la ley de protección de datos. Así que mejor que sigas leyendo, que seguro que ya te ibas a ir porque pensabas que este «rollo» no iba contigo.

Además, debes tener en cuenta que aunque tu negocio no se encuentre en un país de la Unión Europea, si tienes usuarios de estos países, igualmente tendrás que cumplir el RGPD.

 

 

Qué es el Reglamento General de Protección de Datos

Ya que sabes que debes cumplirlo, lo primero es ponernos en situación y te voy a explicar qué es el Reglamento de Protección de Datos.

Se trata de la normativa europa que regula de manera igualitaria cómo se deben tratar los datos personales, ya que no era “justo” que un negocio, por ejemplo ubicado en Alemania, pudiera tratar esos datos con más libertad que uno que se ubicara en España.

Es por ello que decidieron unificar la normativa, protegiendo aún más al usuario, dándole el control de sus datos.

Ahora lo importante es la prevención, es decir, tomar las medidas necesarias para evitar que exista fuga de datos.

 

Qué consecuencias tiene no cumplir el RGPD en tu negocio online

Pues la consecuencia más obvia es la sanción económica a la que te estás exponiendo. Ya no vamos a hablar de los 4 millones de euros, que es para grandes empresas por el volumen de datos que manejan, ¿pero qué le pasaría a tu negocio si tiene que pagar una sanción de 10.000 €? (y estoy tirado por lo bajo…).

Imagino que como mí, pues me hundiría el negocio. Y además, ahora es más fácil que te denuncien, porque el control lo tienen los usuarios, y pueden pedirte una indemnización si no cuidas sus datos. Así que ya sabes, tienes que cumplir la normativa que hay mucho oportunista, incluso tu propia competencia.

Es mejor cubrirse las espaldas.

Porque además, otra de las consecuencias de no cumplir con el RGPD es que no das una imagen profesional, y los usuarios ya se fijan mucho en cómo una empresa va a tratar sus datos. Las cosas están cambiando, porque ya conocen sus derechos el valor que tiene sus datos. Cuidalos.

 

Cómo adaptar tu negocio al RGPD paso a paso

Hay mucha información en internet sobre cómo adaptar tu negocio al RGPD, pero es muy confuso y además incompleto, por lo que al final se termina más liado de lo que se estaba.

¿Me equivoco?

Por ello te voy a indicar aquí paso a paso (y por orden de actuación) qué es lo que hay que hacer. Al fin lo vas a tener todo claro 😉

 

Análisis de riesgo

Lo primero que tenemos que hacer, unido con el paso siguiente, es un análisis de riesgo, que será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se analizarán cuestiones como las siguientes y cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. Estas podrían ser algunas cuestiones:

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

En definitiva es valorar si hay posibilidades de que esos datos se pierdan, los roben, podamos borrarlos,….

 

Registro de actividades de tratamiento de datos

Como ya te comentaba está relacionado con el anterior y consiste en especificar con todo detalle el tratamiento de datos que se va a realizar.

Es un documento interno donde se va especificar los siguientes datos:

  • Quién es el responsable y el Delegado de Protección de Datos si se requiere.
  • Qué datos se recogen, con qué finalidad, quiénes son los interesados y las categorías de datos personales.
  • A quién se va a transferir y ceder los datos.
  • Qué medidas técnicas y organizativas se van a aplicar para asegurar los datos que se tratan.

 

Es el momento de apuntar todos los proveedores/herramientas con las que trabajan y comprobar que realmente cumplen con la protección de datos. Si no es así, tenemos que cambiarlas.

Yo, por ejemplo, utilizo MailChimp para mis campañas de email marketing, y el hosting Raiola Network, porque cumplen la normativa.

Tendrás que hacer lo mismo con la plataforma donde tienes tus infoproductos,  herramienta de facturación, plugin, chat, … y por supuesto, los colaboradores con los que trabajas: asistente virtual, gestor fiscal,…

 

Medidas de seguridad

Y una vez que tenga bien claro los riesgos que existen en el tratamiento de los datos, tendrás que establecer las medidas de seguridad que vas a adoptar para que las posibilidades de que el riesgo se produzca sean las mínimas.

Irán incluidas también en el registro de actividades de tratamiento de datos, que hace las funciones del anterior Documento de Seguridad.

No olvides que esta documentación tiene que estar siempre actualizada, ya que es lo que va a solicitarle la Agencia Española de Protección de Datos en caso de inspección.

 

 

Adaptación de la web

 

Formularios de contacto, suscripción y comentarios

Seguro que es la parte que más has escuchado (incluso la única), tienes que adaptar los formularios de tu web. Tanto el formulario de contacto,  como el de suscripción y los comentarios. En definitiva, donde recopiles datos de los usuarios.

Este punto es muy importante tras la nueva normativa, pues tú eres el que debes probar que realmente te ha dado su consentimiento.

Incluye una casilla para marcar, con un enlace a la política de privacidad de tu blog/web (luego te explico esta parte). El conocido checkbox.

No olvides desmarcar la casilla, porque sino no se sería un consentimiento expreso.

Además, ahora tienes que incluir una primera capa (como ya pasaba con la política de cookies) donde vas a mostrar la información básica del tratamiento de datos. Sería algo así, pero adaptado a tu caso, claro:

Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Mayte Velasco Cañavate, con la finalidad de atender su solicitud y de enviarte mis publicaciones, promociones de productos y/o servicios, si ha marcado esta última opción.  La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podré atender su solicitud. Puedes consultar mi política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en hola@legalidadonline.com.

Los datos que me facilites serán ubicados en los servidores de Mailrelay (mi proveedor de email marketing), ubicada dentro de la UE, y cuya política de privacidad puede consultar.

Y no olvides el doble opt in, que el usuario tenga que confirmar en su email que se ha suscrito a tu blog o web.

 

Textos legales

Debes revisar tus cláusulas legales (si las tienes, si no tienes que redactarlas) para que reflejen los datos que estás recogiendo, para qué los vas a utilizar y si vas a cederlos o no a un tercero.

Tienes que identificar al responsable de la gestión de los datos (lo normal es que seas tú), y si existe, los datos del delegado de protección de datos. Igualmente tienes que indicar quienes son destinatarios de los datos: hosting que utilizas, plataforma de email marketing, servicio de captación de leads,…

Además tendrás que indicar el plazo por el que se recopilan estos datos o los criterios utilizados para fijar ese plazo. Lo que te obligará a hacer limpiezas periódicas en tus suscriptores.

Así que, se acabó el “copia y pega” de los textos legales de otras páginas que poco tienen que ver con la tuya. Cada blog tiene sus particularidades.

 

 

Si cambias alguno de los proveedores, no olvides modificarlos.

Te hablo más detalladamente de este aspecto en el post de cómo hacer los textos legales de tu web.

 

 

Contratos encargados de tratamiento de datos

En el día a día de tu negocio trabajas con proveedores/colaboradores que tienen acceso a datos de tus usuario y clientes, como puede ser el webmaster, el asesor fiscal, el hosting, el proveedor de email marketing,… Y con ellos deberás firmar un acuerdo de tratamiento de datos y asegurarte que están cumpliendo con el RGPD.

Si no lo haces así, tú tampoco estarás cumpliendo con la normativa. Ahora somos responsables de elegir a los colaboradores con los que trabajamos.

La mejor manera de comprobar que cumplen la normativa, sobre todo si es una pequeña empresa, es solicitarles que incluyan el registro de tratamiento en el acuerdo que vais a firmar.

Si no tiene este registro de tratamiento, significa que no está cumpliendo la normativa.

 

 

 

Conclusión

No creo que tengas ya dudas en cumplir con el RGPD. En internet te cruzas a diario con potenciales clientes, y seguro que trabajas duro para poder vivir de tu negocio online, no permitas que una sanción por no tratar correctamente los datos termine con tu sueño.

 

Y aunque te parezca muy complicado todos los pasos que te he contado, te aseguro que no lo es, es entretenido, pero estoy segura podrás hacerlo. Para ayudarte, he creado el Curso de Protección de Datos para negocios online, donde te voy guiando por todos los pasos que debes hacer para cumplir con la nueva ley de protección de datos. Incluyendo todas las plantillas que vas a necesitar para facilitarte al máximo la tarea.

 

Pero si prefieres delegar esta parte de tu negocio, también puedes contratar el servicio de Adaptación a la LOPD y a la LSSI.

 

¿Tienes ya tu negocio adaptado al RGPD? ¿Conocías todos los aspectos que debes cumplir? ¿Tienes alguna duda?

Te espero en los comentarios.

¡NO TE VAYAS AÚN!

Recibe GRATIS la Guía Legal donde te explico todos los aspectos legales que debes cumplir en tu negocio online.