Si hay un sector del marketing donde cumplir la ley de protección de datos es crucial, ese es el Email marketing; estrategia basada, precisamente, en la administración de la información que el usuario cede a un empresa vía digital.

Debido a su importancia y a los cambios que se están produciendo y se producirán en este terreno, vamos a hacer un repaso a la actual normativa con la ayuda de uno de los mayores expertos en ley de protección de datos y email marketing: Mailrelay. Para luego hablar de los cambios que se avecinan a raíz de la nueva normativa europea y como implementarlo todo en un sitio web.
Contenidos
La ley de protección de datos al día de hoy
Entre realizar Email marketing legal y spam existe una línea muy delgada que tiene que ver con cumplir o no una serie de requisitos legales. Aunque los textos de las leyes actuales son extensos, existen una serie de recomendaciones y obligaciones generales que podemos resumir en los siguientes puntos:
Texto adecuado para la página de Aviso Legal

Es importante diferenciar entre LOPD (Ley Orgánica de Protección de Datos), que protege solo los datos de carácter personal en personas físicas, y LSSI (Ley de la Sociedad de la información y el comercio electrónico), que regula cualquier información digital sea con una persona física o jurídica.
Esto implica que a la hora de redactar el texto de Aviso Legal de una web que tenga la obligación de incluirlo, es importante elegir el texto correcto para cumplir con la normativa.
Declaración de la base de datos de suscriptores
Es una de las prácticas que menos se realiza, pero al igual que una empresa o profesional deben registrar el dominio de una web, si se cuenta con una base de datos de suscriptores, esta debe declararse a la Agencia Española de Protección de Datos.
Información de todos los datos del emisor en los boletines de correo
Desgraciadamente, todavía ocurre que se reciben muchos correos electrónicos sin la información detallada de quién emite el email. Esto se produce porque el correo en cuestión es spam, o porque nos dirigimos a suscriptores propios y pensamos que al tener ya una comunicación prolongada no debemos incluir esta información. Todo lo contrario, debemos hacerlo, además de incluir en el mensaje una forma clara y sencilla de modificar los datos como suscriptor o darse de baja de la lista de correo.
Formularios con enlace a información
Todos los formularios de suscripción o registro en una página web deben incluir un enlace a la página de Aviso Legal donde se explica cómo se van a tratar sus datos, la finalidad de los mismos y el tipo de información que recibirán. Este enlace también se recomienda incluirlo en todas las páginas del sitio web.
Consentimiento del suscriptor
Todo suscriptor a una lista debe consentir que se le envíe información. Por ello, esta serie de prácticas pueden ser ilegales:
- Comprar listados de datos de empresas o usuarios para enviarles boletines, ya que no podemos saber con certeza que esos usuarios hayan aceptado recibir información de terceros.
- Recoger de forma manual o automática correos electrónicos de otras web. Al igual que en el caso anterior, los usuarios pueden no haber solicitado recibir nuestra información.
- Incluir en una base de datos digital los datos de personas que podamos tener en una agenda física, tarjetas de presentación, etc. sin previo consentimiento de los mismos.
- Todos los formularios de suscripción o de registro deben ser de la modalidad opt-in, es decir, que el usuario tenga que confirmar la suscripción desde su bandeja de correo.
Al día de hoy, no contemplar esta serie de normas puede constituir spam y, por lo tanto, vulnerar la Ley protección de datos actual.
Cambios en la Ley de Protección de datos europea

Los continuos cambios a nivel digital y las innovaciones tecnológicas han provocado que la legislación europea haya tenido que actualizarse en ley de protección de datos. La LOPD y la LSSI, aunque vigentes, ya no son suficientes para proteger los derechos del usuario a nivel digital. Su nombre es PE, se aprobó el 14 de abril de 2016 y ha entrado en vigor como borrador el 25 de mayo.
Por el momento, el borrador consta de una serie de recomendaciones que los distintos países tendrán que implementar en sus respectivas leyes actuales o creando una nueva normativa. Para ello, normalmente, se suele dar un plazo de dos años. A partir de ese momento, la ley es de obligado cumplimiento. En relación a esta, sus objetivos principales son los siguientes:
- Esta ley crea un nuevo concepto: el “derecho al olvido” que obliga a los administradores de una plataforma web a eliminar totalmente los datos del usuario que lo solicite, incluso los comentarios que haya podido dejar en artículos, foros, etc.
- Que los usuarios de un sitio web reciban información por parte de los administradores si los datos de su base de datos han sido pirateados. Esta información también deberá ser enviada a las fuerzas de seguridad en un plazo máximo de 72 horas.
- Portabilidad o facilitar al usuario trasladar sus datos a otra plataforma. Esto es muy útil para empresas que son a la vez clientes de proveedores de servicios de Email marketing y quieren cambiar de proveedor y migrar su base de datos.
- Simplificar el lenguaje de los textos informativos a usuarios para que comprendan perfectamente sus derechos.
- Actualmente, si el usuario solicita el ejercicio de sus derechos en la modificación o cancelación de sus datos, los administradores cuentan con un plazo máximo de 10 días. La nueva ley establecerá ese plazo en un mes.
- De forma general, será lícito manejar información de personas físicas a partir de los 16 años. No obstante, la ley será flexible y permitirá a los países de la Unión poder rebajar esa edad hasta 13 años.
- Las sanciones se endurecerán llegando a 20 millones de euros o el 4% de la facturación de una empresa si se infringe la ley.
- La nueva ley también permitirá a los usuarios solicitar indemnizaciones por el uso ilegal de su información.
De forma general, la nueva ley busca equiparar la defensa de los derechos de las personas offsite al terreno online o digital y hacerlo homogéneo en todos los países de la UE.
Pasos a seguir para cumplir con la ley que se avecina
Entramos ya en la configuración de las distintas herramientas que podemos poseer en un blog, foro o sitio web donde los usuarios se pueden registrar o suscribirse. En espera a cómo España adapta las nuevas recomendaciones, es importante seguir una serie de pasos:
Recabar menos información personal
Si queremos saber lo máximo posible sobre nuestros usuarios, ya que el objeto del Email marketing es principalmente comercial, se recomienda recoger información a través de formularios de los intereses de los usuarios y no tanto información personal. Un ejemplo de formulario acorde a estos requisitos sería el siguiente:

Habilitar panel de control para modificación y cancelación
Otro aspecto muy importante es habilitar en la página web y en los boletines acceso total a los usuarios para que puedan modificar sus preferencias en la lista de correo o eliminar completamente su perfil como suscriptor. Estas zonas de administración de datos deberían estar alojadas bajo protocolo https para evitar posibles ataques y sustracción de información.
Responsabilidad activa
Algo a lo que la nueva ley obligará es, si las suscripciones o recopilación de datos de usuario incluyen información de carácter sensible, a demostrar al usuario la capacidad de la plataforma digital de proteger esos datos, como es el caso de albergar un sitio web bajo servidor seguro. Esa información deberá incluirse en la página informativa de Ley de privacidad de forma comprensible al usuario.
Minimización de datos
Los formularios de suscripción u otras herramientas para recabar información del usuario deben solicitar solo información de los intereses del propio usuario en relación a la web. Es lo que se llama “minimización de datos”, y hace improcedente que incluyamos en el formulario de una web de aprendizaje de idiomas un campo sobre el estado civil del suscriptor o suscriptora, mientras que sí es pertinente para una web de contactos. También, se deberá incluir en el formulario la opción de recibir o no comunicaciones comerciales.
Migración de bases de datos
Al manejar un sitio web, es muy posible que cambiemos de proveedor de servicios hosting, lo cual implica una migración de información a todos los niveles, especialmente de los datos de los suscriptores al completo. Esto es importante para aquellos que no tengan esa posibilidad al día de doy y sigan acumulando muchos suscriptores. Si a futuro tienen que exportar sus datos, la tarea puede ser difícil teniendo en cuenta que habrá de hacerlo de forma que los usuarios puedan volver a acceder a sus datos de forma correcta y estos no se hayan modificado.
Llegados a este punto, hay que decir que la aplicación de la ley se espera para 2018, y que las recomendaciones del borrador PE podrán diferir en cada país, aunque en líneas generales habrá elementos comunes.
Además del aspecto importante de cumplir con la ley, implementar la normativa vigente en ley de protección de datos y Email marketing es muy recomendable para lograr mayor autoridad y confianza en el propio usuario que, como sabemos, cada día es más consciente de sus derechos a nivel digital.
La verdad es que comprar emails suele ser bastante mala idea, ya que, dejando de lado el tema de la legalidad, es muy difícil que presenten una segmentación e intereses que nos puedan ser de utilidad para vender nuestro producto.
Totalmente de acuerdo. Gracias por el comentario.