Últimamente, estamos recibiendo muchas preguntas de los usuarios de Woodpecker sobre el GDPR (Reglamento General de Protección de Datos). Parece que es un tema que todavía necesita algunas aclaraciones. Por eso hemos elaborado un FAQ sobre el GDPR: una lista de preguntas frecuentes sobre el reglamento junto con nuestras respuestas. Esperamos que encuentre aquí algunas pistas útiles y consejos prácticos sobre el tratamiento de datos y la gestión de sus campañas de correo electrónico de acuerdo con los principios del GDPR.
Si no está seguro de lo que es realmente el GDPR, vaya primero a este post:
Descargo de responsabilidad: Debe tratar este post como una guía que le ayudará a entender el GDPR. Por favor, no lo trate como un consejo legal. Si busca asesoramiento jurídico, póngase en contacto con un abogado después de leer este post y pídale consejo y respuestas a preguntas específicas sobre su caso.
PREGUNTAS FRECUENTES SOBRE EL GDPR
Download GDPR Compliance Checklist >>
P1: Tengo mi sede en Estados Unidos, ¿tengo que cumplir con el GDPR?
Depende. El GDPR está diseñado para proteger a los ciudadanos de la UE, por lo que no es realmente una cuestión de la ubicación de su empresa. Se trata de los datos personales de quién procesa. Si su empresa tiene su sede en los Estados Unidos, pero algunos de sus clientes, socios, suscriptores o clientes potenciales son ciudadanos de la UE, debe procesar sus datos de una manera que cumpla con el GDPR. Esa es su obligación como administrador de datos.
Si tiene una empresa que ofrece un software, y este software permite a otros administradores de datos procesar datos, creo que sería razonable asumir que al menos una parte de estos datos pertenecerá a ciudadanos de la UE. El RGPD define algunas obligaciones no sólo para los administradores de datos, sino también para los procesadores de datos.
Así que, en resumen, si existe la posibilidad de que su empresa con sede en EE.UU. sea administradora o procesadora de datos personales de ciudadanos de la UE, debería cumplir con el GDPR.
P2: Envío numerosas campañas de correo electrónico al año. ¿Debo dejar de hacerlo cuando el GDPR sea legalmente vinculante?
No. En primer lugar, el GDPR no ha sido diseñado para acabar con el marketing por correo electrónico o los correos electrónicos fríos. Ni siquiera es una normativa sobre correos electrónicos, ni sobre marketing, ni sobre negocios. Se trata de proteger los datos personales.
Sin embargo, hay que recordar que al enviar sus campañas de correo electrónico, al hacer marketing, al dirigir un negocio, probablemente procesa datos personales. Si en algún momento procesas datos personales de ciudadanos de la UE, este procesamiento debe cumplir con el GDPR, es decir, seguir ciertos principios. Lea más sobre los principios del GDPR aquí.
Así que no, no tiene que detener sus campañas de marketing por correo electrónico, o sus campañas de correo electrónico frío cuando el GDPR sea vinculante. Debes asegurarte de que los datos utilizados en esas campañas se están procesando de acuerdo con las normas del GDPR.
P3: ¿Puedo enviar correos electrónicos en frío a personas bajo el GDPR?
Sí, puede enviar correos electrónicos fríos a personas en empresas bajo el GDPR. Tienen que ser correos electrónicos B2B que cumplan ciertos requisitos.
En primer lugar, no puede enviarlos a cualquiera. Tienes que dirigirte a tus clientes potenciales con mucho cuidado. Necesitas tener una razón de peso para afirmar que la empresa para la que trabaja la persona puede beneficiarse de lo que tu empresa ofrece en el correo electrónico. Además, su actividad empresarial debe estar lógicamente relacionada con la actividad empresarial de su cliente potencial. Eso será una base legal para enviar a alguien un correo electrónico sin su consentimiento previo para procesar sus datos.
En segundo lugar, en cada uno de sus mensajes de correo electrónico, necesita informar a sus destinatarios de correos electrónicos fríos qué datos personales está procesando, con qué propósito, y cómo pueden eliminar sus datos de su lista de correo, o cambiarlos. Así es como usted cumple con el deber de información descrito en el GDPR.
En tercer lugar, no debe procesar los datos personales de sus destinatarios de correo electrónico en frío durante más tiempo del necesario. El GDPR no especifica ningún periodo de tiempo concreto. Le aconsejamos que elimine de sus listas los datos de los clientes potenciales que no hayan respondido en los 30 días siguientes al envío del primer mensaje. Así es como se cumple el principio de limitación del almacenamiento de datos al enviar correos electrónicos en frío.
En la práctica, esto significa el fin del enfoque de rociar y rezar.
P4: ¿Es el correo electrónico de seguimiento una violación del GDPR?
El envío de seguimientos no infringe el GDPR siempre que cumpla los tres requisitos descritos en la respuesta anterior.
El tratamiento de datos en caso de enviar un seguimiento no es muy diferente del tratamiento de los mismos datos para enviar el primer mensaje. Lo único que cambia es el tiempo que tiene para enviar seguimientos a los clientes potenciales que no responden en la UE. Una vez más, el GDPR no define un plazo para ello, pero aconsejamos eliminar de sus listas los datos de los prospectos que no hayan respondido en un plazo de 30 días desde el primer correo electrónico que les envió.
P5: ¿Tengo que tener siempre el consentimiento antes de enviar un correo electrónico a alguien?
Puede enviar correos electrónicos fríos B2B sin el consentimiento previo de sus destinatarios para procesar sus datos personales sólo si los correos electrónicos cumplen los tres requisitos descritos en detalle en la respuesta a la pregunta 3 anterior:
- una base jurídica para el tratamiento de datos
- cumplimiento del deber de información
- cumplimiento de la limitación de almacenamiento de datos
P6: ¿Qué pasa con mi lista actual de suscriptores de correo electrónico? ¿Debo recordarles por qué están en mi lista y pedirles de nuevo permiso para seguir enviándoles los correos electrónicos?
Si les pidió permiso al principio y le concedieron su consentimiento para procesar sus datos para fines específicos, no necesita pedirles permiso de nuevo.
Sin embargo, si la finalidad del tratamiento de los datos ha cambiado, o tiene previsto cambiarla en breve, debe informarles del cambio y darles una forma fácil de decidir si están de acuerdo con la nueva finalidad del tratamiento de sus datos.
O bien, en el momento de inscribirse en su boletín de noticias, se les informó de que sus datos se procesarían durante un periodo de tiempo determinado, y dicho periodo ya ha finalizado; en tal caso, también debería preguntarles si están de acuerdo con que se sigan procesando los datos para fines específicos.
P7: ¿Deben todos los mensajes de correo electrónico salientes (o los mensajes de correo electrónico en general) incluir un enlace de cancelación de la suscripción, como es obligatorio según el GDPR ahora?
La norma de cancelación de la suscripción del GDPR establece que todos los correos electrónicos: los mensajes salientes y los de marketing por correo electrónico deben especificar claramente la forma en que el destinatario puede eliminar sus datos de su lista, o cambiarlos. El GDPR no especifica la forma, por lo que no dice “debe utilizar el enlace de ‘cancelación de la suscripción'”. Sólo dice que debe ser una forma fácil y comprensible para cada persona.
El enlace de “cancelación de la suscripción” es una práctica común en los mensajes de marketing por correo electrónico; nosotros añadimos dicho enlace a cada uno de nuestros mensajes de marketing. No es obligatorio ni muy popular en los correos electrónicos fríos. Hay otras formas de conceder la baja a los destinatarios de sus correos electrónicos fríos. Puede leer más sobre ellas aquí:
P8: ¿Qué pasa si subcontrato la creación de listas? No tengo nada que ver con la recopilación de datos personales. ¿Significa esto que tengo que preocuparme por el GDPR?
Sí, si va a utilizar los datos personales que otra empresa recopiló para usted y si los propietarios de los datos son ciudadanos de la UE. Recuerde que el RGPD no se refiere a la recopilación de datos, o al almacenamiento de datos solamente. Se trata del tratamiento de datos en general. Según el reglamento:
Por “tratamiento” se entiende cualquier operación o conjunto de operaciones, efectuadas o no por medios automatizados, sobre datos personales o conjuntos de datos personales, tales como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción;
Por lo tanto, si en algún momento usted va a obtener los datos para utilizarlos, por ejemplo, para enviar correos electrónicos, también los procesará. Recuerde que si usted decide la finalidad de la recogida y el uso de los datos, usted es el administrador de los mismos. Y como administrador de los datos, definitivamente debe preocuparse por el GDPR. También debe asegurarse de que la empresa a la que subcontrata la creación de listas debe recopilar los datos de forma legal, justa y transparente. En otras palabras, debe saber exactamente cómo obtienen los datos y ser capaz de explicar a los propietarios de los datos, cómo y por qué obtuvo sus datos.
P9: ¿Qué significa “privacidad desde el diseño”?
La privacidad desde el diseño significa desarrollar cada parte de la solución de forma que garantice el máximo nivel de privacidad de los datos en cada fase. En otras palabras, tienes que pensar en proteger la privacidad de tus usuarios/suscriptores/clientes en todo momento mientras planificas el tratamiento de sus datos personales.
P10: No quiero contratar a un especialista en RGPD. ¿Significa eso que no podré cumplirlo?
El especialista en protección de datos no tiene por qué ser una persona nueva en su empresa. Puede designar a uno de sus empleados actuales para que asuma el papel de especialista en protección de datos, o puede convertirse en uno usted mismo.
Tenga en cuenta que el especialista en protección de datos y el responsable de la protección de datos son dos funciones distintas con diferentes conjuntos de competencias. Si dirige una pequeña o mediana empresa, y no procesa datos sensibles y no hay grandes riesgos en el tratamiento de datos en su empresa, no necesita un delegado de protección de datos cualificado. Puede nombrar a un especialista en protección de datos, que analizará el tratamiento de los datos y abogará por soluciones que proporcionen el mayor nivel posible de protección de los datos personales.
P11: ¿Dónde puedo conseguir un certificado del GDPR?
No existe un certificado oficial del GDPR, al menos de momento. Varias certificaciones de seguridad, como la ISO, también tienen como objetivo mejorar la organización, el procesamiento y la seguridad de los datos. Conseguirlas será sin duda un paso hacia el cumplimiento del RGPD. Pero no está obligado a obtener ningún tipo de certificación oficial para cumplir con el GDPR. Puedes simplemente seguir los principios descritos en el propio reglamento.
Si todavía está trabajando en el cumplimiento del GDPR, descargue la lista de comprobación del cumplimiento del GDPR >>
P12: Recibí un correo electrónico frío de alguien y creo que es ilegal según el GDPR, ¿cómo puedo informarle de que no quiero recibir correos electrónicos suyos?
En tal caso, puedes responder y solicitar verbalmente la eliminación de tus datos de sus listas de correo. Si siguen sin respetar tu petición, puedes intentar verificar qué servicio utilizan para enviar los correos electrónicos y ponerte en contacto con esta empresa como encargada del tratamiento de tus datos personales. Como procesador de datos, también estarán obligados a ayudarte a eliminar tus datos de una lista en la que no quieres estar.
P13: ¿Cómo se prepara Woodpecker para el GDPR?
Tenemos una sección separada en nuestro sitio web que describe lo que hace Woodpecker para cumplir con el GDPR. Puede encontrarla aquí:
Después de organizar nuestro segundo seminario web relacionado con el manejo de la divulgación y el marketing por correo electrónico bajo el GDPR, queríamos añadir un par de preguntas más.
P14: ¿Se puede enviar un correo electrónico frío B2B a una dirección de correo electrónico personal (como Gmail) si el correo electrónico sigue estando dirigido al puesto de trabajo de una persona?
Si está seguro de que se trata de su correo electrónico de trabajo o de que ha expresado su consentimiento para recibir el mensaje de usted en ese correo electrónico, entonces sí, puede hacerlo.
Al igual que con cualquier tipo de comunicación bajo el GDPR, el proceso de obtención de sus datos personales debe ser legal y transparente. Tiene que ser capaz de rastrear cómo obtuvo la dirección de correo electrónico y demostrar que su mensaje es relevante para esa persona.
Hay que informar a la persona de la razón por la que nos ponemos en contacto con ella y ofrecerle una forma clara de excluirla de nuestros correos electrónicos. No es necesario que lo haga a través de un enlace para darse de baja. Simplemente pueden escribir que no desean recibir más mensajes tuyos. Una vez que lo hagan, respétalo y elimina su dirección de correo electrónico.
Lo más importante cuando se trata de enviar correos electrónicos fríos B2B es asegurarse de que está contactando con la persona adecuada en la posición correcta que representa a las empresas y que se ajusta a su ICP. Los correos electrónicos no dirigidos pueden causarle problemas.
P15: ¿Mantener una lista de contactos en Woodpecker me convierte en el propietario/procesador de los datos personales?
Cuando cargas una lista de prospectos en Woodpecker, el prospecto cuyos datos personales procesas es el propietario. Usted es, en ese caso, un administrador de datos. Tú decides de quién y qué tipo de datos personales quieres procesar.
Además, eres responsable de respetar el principio de limitación del almacenamiento. La limitación del almacenamiento es un principio introducido por el GDPR. Significa que no se pueden procesar los datos durante más tiempo del necesario para su tratamiento.
Además, lo que se desprende de esto es que debes respetar el deseo de los propietarios de los datos personales de ser eliminados de tu lista de clientes potenciales y no ser contactados nunca más. Si abusa del principio de limitación del almacenamiento, así como de cualquier otro principio del GDPR, tendrá que rendir cuentas.
Por otro lado, Woodpecker se convierte en administrador de datos cuando procesa tus datos personales como usuario de la aplicación o suscriptor del boletín informativo. Debe tratar tus datos con el debido cuidado. Y cumplir con el GDPR.
P16: ¿Cómo puedo recopilar una base de contactos de forma legal?
Respuesta rápida: diríjase con cuidado. El GDPR no prohíbe el envío de correos electrónicos en frío. Si sigues los consejos que te doy en este blog, estarás bien. Sólo tienes que ser un poco más cuidadoso.
El GDPR hace hincapié en que debes tener una razón de peso para ponerte en contacto con tus clientes potenciales. Asegúrate de que ambas partes pueden beneficiarse de esa posible relación comercial y que la oferta que pongas en tu correo electrónico frío debe estar lógicamente conectada con su estatuto comercial.
Además, debe obtener los datos personales de las listas de sus clientes potenciales de forma legal y transparente, y estar preparado para explicar cómo y por qué ha decidido procesar los datos personales de determinados ciudadanos de la UE.
Lo importante es que el RGPD introduce un nuevo principio de limitación del almacenamiento de datos, que no le permite procesar datos personales más tiempo del necesario. La cantidad exacta de tiempo no se especifica en el documento. Aconsejamos eliminar los datos de los destinatarios de correos electrónicos fríos que no respondan después de 30 días desde su primer contacto.
En el caso de las listas opt-in, puede procesar los datos de forma claramente especificada que el propietario de los datos ha aceptado, mientras le hayan concedido su consentimiento, o hasta que expresen su deseo de retirarlo.
Cualquier tipo de datos que pidas debe estar justificado por la finalidad para la que quieres procesarlos. No pidas un número de teléfono si quieres enviar a alguien un libro electrónico. Y si quieres recabar su número de teléfono, diles directamente que es posible que quieras llamarlos.
Ofrezca a los destinatarios de sus correos electrónicos fríos, así como a los suscriptores de su lista opt-in, una forma clara de optar por no recibir más correspondencia, así como instrucciones sobre cómo cambiar sus datos personales o eliminarlos completamente de su lista. El mecanismo de enlace para darse de baja es muy popular, pero no es el único que puede utilizar para ello.
Si desea saber más sobre el GDPR, lea esta entrada del blog:
Guía práctica del GDPR para remitentes de correo electrónico >>
Y si se prepara para el GDPR, descargue nuestra Lista de comprobación del cumplimiento del GDPR >> que le ayudará a hacerlo.
READ ALSO
What Did We Talk About in our Webinar about GDPR Basics?
Not so long ago, I shared with you how our outbound sales team searches for prospects on Quora and what they write in an email. Today, I'd like to present you one of our webinars, and at the same time, teach you more about GDPR.
¿Debo dar a mi destinatario de correo electrónico frío una forma de excluirse?
Algunos dirían inmediatamente que sí a poner un enlace para darse de baja. Algunos dirían que No... La respuesta a esto es más compleja de lo que parece, así que sea cual sea su primera respuesta, puede que quiera consultar este artículo para conocer un enfoque no radical, sino de sentido común, sobre la exclusión voluntaria en el correo electrónico frío.
Guía legal rápida para la divulgación por correo electrónico: 6 reglas a seguir
Al igual que con cualquier forma de comunicación empresarial, hay un par de reglas que debes seguir para que tu difusión por correo electrónico sea profesional. Me tomé un tiempo para investigar los requisitos para un alcance de correo electrónico adecuado en países como Canadá, China, Australia, Nueva Zelanda, por no hablar de los Estados Unidos (con la ley de California recientemente actualizada), Noruega, Alemania, Suiza y, por supuesto, el resto de los países que forman parte de la Unión Europea (lea sobre el GDPR aquí).