GDPR – Reglamento General de Protección de Datos Guía práctica para remitentes de correo electrónico

El GDPR – Reglamento General de Protección de Datos entrará en vigor el 25 de mayo de 2018. Todavía faltan unos meses, pero es bueno que te enteres ahora mismo de cómo te afectará el reglamento a ti y a tu negocio. Sobre todo si envías algún tipo de correo electrónico comercial. Es posible que ya hayas leído algunos artículos que resumen el GDPR, pero si todavía no sabes cómo te afectará realmente en la práctica y qué hacer para cumplir con el GDPR, echa un vistazo a este post.

Descargo de responsabilidad: Debe tratar este post como una guía que le ayudará a entender los principios del GDPR. Por favor, no lo trate como un consejo legal. Si está buscando asesoramiento legal, póngase en contacto con un abogado después de leer este post y pídale consejo y respuestas a preguntas específicas sobre su caso.

Algunos aspectos básicos del GDPR que debe aprender para empezar

Descargue la lista de comprobación del cumplimiento del GDPR >>

¿Qué es el GDPR?

Es una normativa legal emitida por la UE. Más concretamente por el Consejo de la Unión Europea y el Parlamento Europeo. Su objetivo principal es una mejor protección de los datos personales.

Así que no se trata de correos electrónicos, ni de SPAM. Se trata de la protección de los datos personales. Pero como el envío de correos electrónicos no sería posible sin el tratamiento de datos personales (direcciones de correo electrónico), naturalmente afectará a los remitentes de correos electrónicos comerciales.

¿A quién se aplica?

El Consejo de la Unión Europea diseñó el GDPR para proteger los datos personales de las personas físicas que son ciudadanos de la Unión Europea.

Esto significa que será vinculante para usted

como persona (para protegerle):

si es usted ciudadano de la Unión Europea,

como empresa:

si sus clientes son ciudadanos de la Unión Europea, o

si sus suscriptores de correo electrónico son ciudadanos de la Unión Europea, o

si sus potenciales receptores de correo electrónico en frío son ciudadanos de la UE, o

si, en cualquier parte de su negocio, maneja cualquier tipo de datos personales de ciudadanos de la UE.

¿Qué entiende el GDPR por datos personales?

Un dato personal que permite identificar a una persona concreta. Esa es la definición más breve y práctica. ¿Es entonces la dirección de correo electrónico un dato personal?

Según esta definición:

[email protected] – no es un dato personal, ya que no está asignado a una persona concreta de una empresa. No implica quién es el propietario de la dirección. Apunta a una empresa, no a una persona.

[email protected] – es un dato personal, ya que se asigna a una persona concreta de una empresa. Sí implica quién es el propietario de la dirección, o al menos da suficiente información para identificar a una persona concreta de una empresa.

[email protected] – es un dato personal, ya que se asigna a una persona concreta.

Tanto si trabajas en un ámbito B2B como B2C, probablemente administres o proceses algún tipo de datos personales. Lo más probable es que sean los datos de tus clientes, tus prospectos, tus usuarios, los suscriptores de tu lista de correo electrónico o tus empleados.

Recuerde que el GDPR no trata de regular el envío de correos electrónicos. Se trata de regular las formas de administrar y procesar los datos personales de los ciudadanos de la UE en general. La dirección de correo electrónico es sólo un ejemplo. En varios contextos, datos como los números de teléfono, las direcciones, los números de identificación, etc., pueden tratarse también como datos personales.

¿Es el GDPR un reglamento completamente nuevo?

No, no lo es. Es una reforma que se supone que aclara, especifica y mejora la legislación de la UE en materia de protección de datos personales. La mayoría de los principios del RGPD ya estaban expresados en algunas normas legales anteriores. Sólo algunos de los principios son nuevos. Todos los principios mencionados en el GDPR se describen, con algunos ejemplos prácticos, en las siguientes secciones de este artículo.

¿Por qué es importante?

Según el Eurobarómetro, el 75% de los ciudadanos de la UE encuestados declararon que quieren ejercer su llamado “derecho al olvido” (más detalles a continuación). El 90% de los encuestados cree que es necesario normalizar los derechos relativos a la protección de datos personales (fuente).

En resumen, la protección de datos realmente importa a los ciudadanos de la UE. Especialmente a la luz de la revolución tecnológica que ha llevado al intercambio de enormes cantidades de datos en línea.

Dado que existe una necesidad tan acuciante de poner en orden la legislación y establecer claramente lo que está bien y lo que no cuando se trata de procesar datos personales, el Consejo de la Unión Europea se tomó el asunto muy en serio. En el GDPR han reformado los órganos de control, y ahora los órganos tendrán un poder real (y la motivación de las comisiones $$$) para poner serias multas a las empresas que ignoren obstinadamente los principios del GDPR.

En definitiva, los datos personales tienen un gran valor. Si pones en riesgo la seguridad de los datos personales que procesas, o si ignoras los derechos de los propietarios de los datos, puedes pagar por tu irresponsabilidad. Literalmente.

Pero no te preocupes. Si respetas los datos personales de tus clientes/prospectos/suscriptores y sus deseos respecto al tratamiento de los datos, todo irá bien. Juega limpio, apégate a las normas y estarás a salvo de problemas innecesarios.

¿Cómo sabemos todo lo que está escrito en este post?

Ah, una cosa importante que debes saber: No escribiría este post si solo fuera mi “pienso tal o cual cosa sobre el GDPR”.

Toda la información que leerás aquí ha sido preparada para mí por nuestra Jefa de Atención al Cliente – Margaret Sikora, que también es abogada (LL.M en Derecho Internacional y Europeo). Ha leído la versión original del Reglamento General de Protección de Datos de principio a fin, y lo que es más importante, lo ha entendido de verdad… ya que habla como una abogada.

También leyó un par de libros más para abogados dedicados al tema, y asistió a algunas sesiones de formación jurídica centradas exclusivamente en el RGPD. Todo eso la ayudó a preparar una presentación con algunos ejemplos de la vida real para ayudarnos a todos en Woodpecker a entender virtualmente de qué se trata el GDPR. Sólo podemos esperar que seamos capaces de ayudarle a entenderlo también, y lo más importante, a cumplirlo.

Descargue la lista de comprobación del cumplimiento del GDPR >>

Pasos formales a seguir antes del 25 de mayo

1. Nombrar a un especialista en protección de datos en su empresa.

Hemos nombrado por unanimidad a Margaret como especialista en protección de datos.

Debe ser una persona que se encargue oficialmente de la protección de datos en su empresa. Tenga en cuenta que el responsable de la protección de datos y el especialista en protección de datos son dos funciones distintas con diferentes conjuntos de competencias y responsabilidades.

Si procesa datos sensibles o existe un alto riesgo al procesar datos personales en su empresa, estará obligado a nombrar o contratar a un delegado de protección de datos. En el resto de los casos, el nombramiento de un Especialista en Protección de Datos será suficiente para ayudarle simplemente a mantener la política de tratamiento de datos de su empresa coherente y aplicable.

2. Revise sus condiciones de servicio, su política de privacidad, etc.

Es una buena idea revisar todos los documentos que especifican las formas en que procesas los datos personales en tu empresa. Según el GDPR, todos ellos deben estar escritos en un lenguaje claro y comprensible para cualquiera.

Si tus condiciones o tu política de privacidad suenan como algo que sólo un grupo de abogados podría entender, asegúrate de cambiar eso.

Toda persona cuyos datos estés procesando, o vayas a procesar en el futuro, debería poder encontrar fácilmente en esos documentos

la forma en que procesas sus datos personales (qué haces con los datos y qué tipo de datos se procesan);

la lista de servicios de terceros que utiliza para procesar sus datos;

instrucciones claras sobre cómo pueden modificar sus datos, o solicitar la eliminación completa de sus datos de su base de datos/lista de correo electrónico/base de contactos (de acuerdo con el derecho a ser olvidado).

instrucciones claras sobre cómo informarte de una violación de los principios del GDPR que les haya afectado, sin importar si eres su administrador o procesador de datos.

3. Prepare una evaluación de riesgos para su empresa

… o pida a su delegado de protección de datos que lo haga.

Es una especie de mapa que le ayudará a mejorar la seguridad de los datos. En la evaluación de riesgos, debe señalar

qué datos procesas,

de qué manera los procesas y por qué,

quién puede acceder a ellos,

y cuál puede ser el resultado si algo va mal.

Mientras trabajas en la evaluación de riesgos, no olvides hacerte estas preguntas cruciales:

¿Cuál es mi papel en el tratamiento de datos: procesador de datos? administrador de datos?

¿De qué debo informar a mis clientes o posibles clientes?

Funciones y deberes del administrador de datos y del procesador de datos

Administrador de datos

Probablemente obtenga datos personales de varias fuentes. Recoge las direcciones de correo electrónico de las personas que leen su blog o que visitan sus páginas de destino (fuentes entrantes), busca posibles clientes B2B en LinkedIn y otras plataformas y elabora listas de contactos para enviarles correos electrónicos en frío (fuentes salientes).

Independientemente de cómo obtenga los datos, usted los recoge, tiene acceso a ellos y los procesa de forma específica. Por lo tanto, usted administra los datos. Esto le convierte en administrador de datos a la luz del GDPR. Esta función le hace responsable de la finalidad y el alcance del tratamiento de los datos. No puede tratar los datos como si fueran listas aleatorias de direcciones de correo electrónico que ha recogido para sus propios fines no especificados.

Las personas que se inscriben en tu lista te han dado permiso para procesar sus datos de forma específica. No puedes utilizar sus datos de ninguna otra manera que la que les prometiste una vez que se inscribieron en tu lista.

¿Pero qué pasa si no se han inscrito? Las personas cuyos datos has recopilado tú mismo deben ser prospectos cuidadosamente seleccionados cuyos sitios web, perfiles sociales, comentarios en diversas plataformas, etc. incluyen señales claras de que realmente podrían beneficiarse de lo que sea que vayas a ofrecerles en tus correos electrónicos fríos. Más información al respecto en la sección sobre relevancia, más adelante.

Procesador de datos

Si su empresa es un SaaS o una plataforma a la que sus usuarios suben cualquier tipo de datos personales, usted se convierte en procesador de datos, ya que no administra los datos usted mismo, sino que permite a los administradores de datos procesar los datos personales que han obtenido para un fin específico.

Como procesador de datos, usted no es responsable del alcance y la finalidad del tratamiento de los datos personales utilizados por los administradores de datos. Sin embargo, si alguien le avisa de que sus usuarios (administradores de datos) han violado algunos de los principios del RGPD, usted está obligado a reaccionar ante dicha violación.

Es una buena idea preparar a su empresa para tal escenario y describir claramente, en sus Términos de Servicio o Política de Privacidad, qué acciones va a tomar una vez que se le notifique una violación del GDPR.

Puedes ser procesador de datos y administrador de datos al mismo tiempo. Por ejemplo, en Woodpecker administramos los datos de los usuarios de Woodpecker y de los suscriptores de las listas de correo electrónico. En este sentido, somos un administrador de datos. Por otro lado, no administramos las listas de clientes potenciales cargadas en Woodpecker por nuestros usuarios, sólo permitimos el procesamiento de los datos. En este sentido, somos un procesador de datos.

Puede haber algunas obligaciones más asignadas al papel de administrador de datos y procesador de datos específicas para su país dentro de la UE. Es una buena idea investigar e informarse sobre esas responsabilidades específicas de cada país, o buscar el asesoramiento legal de un abogado nativo especializado en protección de datos personales.

Los principios del Reglamento General de Protección de Datos y cómo deberían afectar a su difusión por correo electrónico

Tras esta larga introducción y la aclaración de algunos términos y nociones básicas, pasemos a la práctica. Esta sección le ayudará a entender qué medidas debe tomar para respetar el GDPR al enviar correos electrónicos.

El GDPR enumera una serie de principios que debe respetar al procesar datos personales. Si te ciñes a esos principios, estarás cumpliendo con el GDPR.

A continuación he enumerado los principios y he intentado explicar en qué consisten en la práctica. Me he centrado mucho en el contexto de la divulgación por correo electrónico, ya que es vital para los usuarios de Woodpecker. Pero incluso si no usas Woodpecker, sino algunas otras herramientas que automatizan el envío de correos electrónicos, o sigues enviando algunos correos electrónicos fríos manualmente, esta sección te ayudará a entender lo que significa el GDPR.

1. Legalidad, equidad y transparencia

Estos tres primeros principios se refieren en gran medida a la obtención de los datos personales que se pretende procesar. Todas las acciones que lleve a cabo para crear sus listas de correo electrónico (ya sea mediante el opt-in o recogiendo los datos usted mismo) deben ser legales, justas y transparentes.

¿Qué significa esto en la práctica?

Debe poder responder claramente a la pregunta:

“¿cómo has conseguido mi dirección de correo electrónico?”

… y “he comprado una lista de correo electrónico” no es una respuesta completa y satisfactoria a esa pregunta.

Llevo más de 3 años realzando la importancia de construir tus propias listas en este blog. El GDPR sólo mejora mis mejoras. Si tienes una dirección de correo electrónico en tu lista de envío, deberías saber exactamente por qué está ahí. Incluso si contrató a alguien más para obtener su lista para usted, debe ser plenamente consciente del proceso de recopilación de datos para asegurarse de que ha sido justo hacia los propietarios de los datos, y sobre todo – legal.

Listas de correo electrónico en frío

Mientras construyes una lista tú mismo, en el caso del envío de correos electrónicos en frío, tienes que estar seguro de que todas y cada una de las personas de la lista son susceptibles de beneficiarse de tu oferta relacionada con el negocio. Además, el propósito de su correo electrónico o la oferta que hace en el mensaje debe estar claramente relacionada con el negocio de su cliente potencial. Pero más adelante, en la sección Adecuación, relevancia y limitación, se habla de ello.

En otras palabras, tu respuesta a la pregunta “¿cómo has conseguido mi dirección de correo electrónico?” debería ser más bien

“He encontrado tu comentario sobre herramientas para comercializadores de contenidos en LinkedIn en el Grupo de Marketing de Contenidos y me ha hecho pensar que podrías estar interesado en conocer nuestro software para redactores de contenidos. He comprobado el sitio web de tu agencia de marketing y he confirmado que eres un redactor de contenidos. Luego, te invité en LinkedIn, aceptaste mi invitación y descargué tu dirección de correo electrónico de mi lista de conexiones”.

Y no, probablemente no tengas que escribir ese tipo de mensaje a todos y cada uno de tus prospectos. Sólo se trata de tener un proceso transparente de obtención de datos personales (direcciones de correo electrónico, en este caso concreto) y poder describirlo con detalle si alguien te lo pide.

En resumen, si eres capaz de justificar por qué has elegido a una persona concreta para que forme parte de tu lista de correo electrónico en frío para una campaña específica de este tipo, podrás responder claramente a la pregunta “¿cómo has conseguido mi dirección de correo electrónico?” Y esa respuesta debe presentar su proceso de obtención de listas como legal, justo y transparente.

Listas de suscriptores opt-in

También puede tener una lista de correos electrónicos que incluya las direcciones de las personas que han optado por ella. La regla más importante que hay que seguir cuando se recogen las inscripciones en la lista de correo electrónico es ser transparente, es decir, decirle a la gente exactamente para qué se está inscribiendo.

Si pide una dirección de correo electrónico para enviar a alguien un libro electrónico, los suscriptores que decidan proporcionarle su correo electrónico esperarán que les envíe el libro electrónico… Sólo el ebook. No un ebook primero, y luego 3 emails a la semana durante medio año. Seguro que sabes a qué me refiero.

Si piensas enviarles algo más que el ebook, debes informarles de tus intenciones antes de que decidan inscribirse. Dígales qué van a recibir, con qué frecuencia y/o durante cuánto tiempo. Ponga esta información junto al formulario de suscripción con palabras fácilmente comprensibles.

El RGPD insiste en la necesidad de simplificar el lenguaje de los consentimientos, para que toda persona que vaya a dar su consentimiento para el tratamiento de sus datos personales sea plenamente consciente de lo que realmente acepta.

Además, si su formulario de suscripción incluye algunas casillas de verificación, déjelas sin marcar por defecto. De acuerdo con el GDPR, su suscriptor debe expresar su consentimiento intencional para procesar sus datos de manera específica. Ellos mismos aceptarán intencionadamente marcando dicha casilla de verificación.

Esto es algo que tuve que cambiar en nuestro formulario de registro de prueba de Woodpecker.

2. Adecuación, relevancia y limitación

Los datos personales que recojas deben ser adecuados y pertinentes para la finalidad de su tratamiento. No debe recoger ningún dato que sea innecesario para usted como administrador o procesador de datos. Además, si es posible, los datos personales que recoja deben ser seudónimos para garantizar el mayor nivel posible de seguridad.

¿Qué significa esto en la práctica?

LISTAS DE CORREO ELECTRÓNICO FRÍO Y MENSAJES DE CORREO ELECTRÓNICO FRÍO

No recoja datos personales que no necesite

En primer lugar, debes recopilar sólo los datos personales que vayas a utilizar en tu campaña de correo electrónico en frío. Si no vas a llamar a tus clientes potenciales, no pongas sus números de teléfono en tu lista de clientes potenciales. Si no vas a enviarles nada por correo tradicional, no pongas las direcciones de sus empresas en tu lista de prospectos. Mantenga las cosas simples. No recojas ningún dato para el que no tengas un plan claro.

Si te ciñes a eso, no solo cumplirás con el GDPR, sino que tu base de prospectos se volverá más ligera y accesible para ti. Será más fácil trabajar con ella.

En este post, describí una forma que he utilizado yo mismo mientras construía una base de datos para el envío de correos electrónicos fríos y escribía su copia de correo electrónico al mismo tiempo. El proceso te ayudará a evitar perder tiempo en la recopilación de datos que realmente no necesitas.

En el correo electrónico en frío, informe a su cliente potencial sobre el tratamiento de sus datos

Según el GDPR, debe informar a la persona de que sus datos personales están siendo procesados. Una solución sencilla es añadir una cláusula de exención de responsabilidad al final del mensaje. La cláusula de exención de responsabilidad debe contener tres elementos de información

una declaración en la que se informe de que se procesan los datos de su cliente potencial;

una breve explicación de por qué los procesas;

una instrucción sobre cómo pueden cambiar los datos que tratas o solicitar la eliminación de sus datos de tu lista.

Este es un ejemplo de descargo de responsabilidad (no es la única forma oficial correcta, se pueden utilizar otras palabras para expresar lo mismo):

He decidido ponerme en contacto con usted porque tengo razones de peso para suponer que puede beneficiarse de lo que le presento en este correo electrónico. Estoy procesando tu nombre y dirección de correo electrónico sólo porque quería enviarte este mensaje. Si quieres que cambie los datos que he utilizado para ponerme en contacto contigo, o que elimine tus datos de mi lista, pulsa responder y házmelo saber.

También puedes utilizar un enlace para cancelar la suscripción, si quieres. Pero no tienes que utilizar necesariamente la palabra “darse de baja”. Lo importante es dar al cliente potencial una forma fácil de salir de la correspondencia y de tu lista de contactos.

Basta de “rociar y rezar”: diríjase con cuidado al objetivo

Los días de “tirar espaguetis a la pared” han terminado oficialmente. Llevo convenciendo a los lectores de este blog, desde sus inicios, de que la calidad de su base de clientes potenciales es importante y de que su cantidad nunca debería ser su preocupación, sino la precisión de la orientación. El GDPR también apoya este enfoque.

Enviar cientos y miles de correos electrónicos fríos a una lista aleatoria de direcciones de correo electrónico es algo que viola el GDPR.

Por lo tanto, debe prestar más atención a la elección cuidadosa de sus prospectos, la segmentación y la personalización de sus campañas de correo electrónico. Tus clientes potenciales no deberían preguntarse por qué les envías correos electrónicos. Deberían entender inmediatamente por qué los has elegido como destinatarios. Eso es posible si se cuida adecuadamente la segmentación y la elaboración de un buen texto de correo electrónico.

Si usted hace una oferta en su correo electrónico frío, la oferta debe estar claramente conectada a los detalles del negocio de sus clientes potenciales. Permítame explicar lo que significa con ejemplos:

Ejemplo 1 – Oferta que cumple con el GDPR y que coincide con el negocio

La empresa X produce una solución de seguridad para servidores de correo electrónico. La empresa encuentra a Woodpecker en línea y confirma que Woodpecker es un software de automatización de correo electrónico. Encuentran en LinkedIn los datos personales de nuestro Jefe de Integración y Entregabilidad. Se ponen en contacto con él a través de un correo electrónico frío ofreciéndole su software.

Una empresa que produce software de automatización de correo electrónico podría estar interesada en una solución de seguridad para servidores de correo electrónico. En este caso, la oferta estaría claramente relacionada con una actividad comercial específica declarada en el estatuto de la empresa.

Ejemplo 2 – Oferta no conforme con el GDPR – coincidencia comercial

La empresa Y ofrece servicios de desarrollo web. La empresa encuentra Woodpecker en Internet y confirma que Woodpecker es un software de automatización de correo electrónico. Encuentran en LinkedIn los datos personales de nuestro Jefe de Marketing (su servidor). Se ponen en contacto con ella a través de un correo electrónico frío ofreciéndole sus servicios.

Como ves, sólo porque alguien tenga un negocio online y tenga una página web, no puedes asumir que pueda necesitar servicios de desarrollo web. Por supuesto, en el ámbito del marketing, producimos sitios web. Pero no es una actividad que forme parte del estatuto de nuestra empresa.

Entonces, ¿cuándo estaría justificado que una empresa de desarrollo web enviara un correo electrónico frío ofreciendo sus servicios? Por ejemplo, si se pusieran en contacto con otras empresas de desarrollo web para ofrecer su apoyo. O, si se pusieran en contacto con agencias de marketing digital declarando que también se encargan del desarrollo web. En resumen, la actividad comercial de la empresa de tu cliente potencial tiene que estar claramente relacionada con la oferta que incluyes en tu correo electrónico. Eso es lo que hace que la oferta sea relevante.

LISTAS DE SUSCRIPCIÓN Y MENSAJES DE CARÁCTER NOTICIARIO

¿Recuerda la última vez que se interesó por un libro electrónico y realmente quiso descargarlo?

Luego, lo siguiente que te encuentras es un formulario de suscripción de 12 campos, en el que salvo tu dirección de correo electrónico y tu nombre, tienes que introducir obligatoriamente tus apellidos, el país del que procedes, tu título, tu número de teléfono, tu sexo, el nombre y la página web de tu empresa, el número de empleados de tu empresa, el nombre de tu perro…, etc.

Pues bien, eso no es lo que necesitará la empresa para enviarle un ebook. En primer lugar, no hagas eso a tus suscriptores.

En segundo lugar, no deberías pedir todos esos datos sin justificar claramente para qué los necesitas justo al lado del formulario de suscripción. Y he visto que las empresas escriben que necesitan toda esa información para mejorar mi experiencia de navegación, personalizando la web para mí, y enviándome sólo contenido de valor…

Pero oye, no necesitan mi número de teléfono para hacer todo eso. Lo necesitan para que uno de sus vendedores pueda llamarme una vez que me clasifique como cliente potencial. Pero esto no es lo que me dicen justo al lado del formulario de suscripción. Y según el GDPR, me deben al menos esa información si requieren mi número de teléfono para descargar un ebook.

También me deben al menos una pista de que el ebook no será lo único que me van a enviar. Si planean enviarme 1, o 2, o 3 correos electrónicos a la semana después de que me inscriba en el ebook, están obligados a informarme de ello, para que como suscriptor sepa exactamente a qué me voy a suscribir (de nuevo, equidad y transparencia).

Bien, eso fue desde la perspectiva de los suscriptores. Ahora volvamos a ser vendedores: de acuerdo con el GDPR, sus formularios deben pedir sólo los datos necesarios para los fines del procesamiento – eso es lo que significa la limitación. Si pides más datos, tienes que explicar para qué necesitas la información: cómo se procesará y con qué propósito.

3. Exactitud

Debe asegurarse de que los datos personales que trata son exactos y están actualizados. Para que esto sea posible, los titulares de los datos deben tener una opción claramente descrita y fácilmente disponible para modificar sus datos personales. También deben poder ejercer el derecho al olvido y el derecho a colaborar en la eliminación de los datos.

¿Qué significa esto en la práctica?

para los remitentes de correo electrónico frío

Como ya hemos establecido, al ser un remitente de correo electrónico frío debe informar a sus destinatarios de la forma en que pueden ejercer su derecho a ser olvidados o su derecho a colaborar en la eliminación de datos. Se trata de darles una forma clara de darse de baja (nada nuevo, siempre ha sido una norma en el envío de correo electrónico frío).

Si quieres, puedes utilizar un mecanismo de enlace para darse de baja. Pero también puede simplemente escribir en su correo electrónico, lo que deben hacer para que sus datos sean eliminados de su base de prospectos. Podría ser, por ejemplo:

Si quieres que cambie los datos que utilicé para contactarte, o que elimine tus datos de mi lista, pulsa responder y avísame.

De nuevo, esa no es una fórmula oficial. No hay ninguna fórmula oficial. De hecho, si utilizas alguna fórmula, no debe ser oficial ni debe sonar a abogado. Debes utilizar palabras tan sencillas como sea posible.

Una vez que alguien expresa su voluntad de eliminar sus datos, debes respetarlo inmediatamente, eliminar sus datos de tu lista de prospectos y asegurarte de que no se volverá a contactar con ellos.

Para los remitentes de correo electrónico que utilizan listas opt-in

Si envías correos electrónicos a personas que se han inscrito en tu lista, también debes ofrecer a tus destinatarios una forma clara de darse de baja. En este caso, un enlace para darse de baja en cada mensaje se ha convertido en un estándar, así como un enlace en el que el suscriptor pueda editar sus datos por sí mismo. También es una buena idea incluir un breve recordatorio en el pie de página del correo electrónico sobre cómo el suscriptor entró en la lista en primer lugar.

Nosotros utilizamos MailChimp para enviar nuestros correos electrónicos de marketing y actualizaciones de productos, y la fórmula que utilizamos allí es la siguiente:

Me gusta porque es claro y sencillo. Sabes de quién has recibido el correo electrónico y por qué, y puedes cambiar tus datos o darte de baja allí mismo con un solo clic. Asegúrate de que la herramienta de marketing por correo electrónico que utilizas ofrece las mismas opciones a tus suscriptores. Si lo hace, ya está todo listo.

4. Limitación del almacenamiento

No debes procesar los datos personales durante más tiempo del necesario para su tratamiento. Por lo tanto, debes permitir a tus clientes potenciales/suscriptores de la lista de correo electrónico ejercer el ya mencionado derecho al olvido y el derecho de asistencia a la eliminación de datos.

La limitación del almacenamiento es un nuevo principio introducido por el GDPR. Al mismo tiempo, el GDPR no especifica el tiempo exacto que es “necesario para el propósito de procesar los datos personales”. En la práctica, el tiempo dependerá de: cómo haya obtenido los datos personales, de qué manera los procese y qué relación tenga con el propietario de los datos.

¿Qué significa esto en la práctica?

PARA LOS REMITENTES DE CORREOS ELECTRÓNICOS FRÍOS

Aconsejaremos a todos los usuarios de Woodpecker que envíen campañas de correo electrónico en frío que borren de sus bases de contactos a las personas que no hayan respondido de ninguna manera durante más de 30 días. El periodo de tiempo no se ha especificado en el GDPR, pero es un tiempo razonable para esperar una respuesta. La falta de respuesta durante este período sugerirá que el cliente potencial probablemente no esté interesado, por lo que, como administrador de datos, no tendrá ninguna razón para seguir procesando sus datos.

Vamos a añadir algunas funciones en Woodpecker que le permitirán seleccionar fácilmente estos prospectos que no responden y marcarlos con un estado adecuado para dejar de procesar sus datos.

Si un prospecto le responde con una respuesta positiva, el tiempo de procesamiento de sus datos dependerá naturalmente de su relación posterior o de la falta de ella.

Para los remitentes de correo electrónico que se dirigen a las listas de suscriptores OPT-IN

Si una persona ha expresado su voluntad de suscribirse a su lista y su consentimiento para el tratamiento de sus datos personales, técnicamente usted tiene derecho, en virtud de este consentimiento, a tratar sus datos hasta que los retire.

Si una persona se convierte en su cliente, se involucra en un acuerdo comercial con usted. Esto le da derecho a tratar sus datos durante todo el tiempo que dure el acuerdo, y también después. El tiempo que puedes procesar los datos personales de tu cliente, en este caso, estará especificado por la ley del país de origen de tu empresa.

5. Integridad y confidencialidad

Como administrador de datos, estás obligado a cuidar adecuadamente la seguridad de los datos personales que tratas. Nunca debe compartir con terceros (otras personas o empresas) los datos personales que procesa, a menos que tenga un claro consentimiento de los propietarios de los datos para hacerlo.

¿Qué significa esto en la práctica?

PARA LOS REMITENTES DE CORREO ELECTRÓNICO EN FRÍO Y LOS REMITENTES DE CORREO ELECTRÓNICO QUE UTILIZAN LISTAS OPT-IN

Tanto si envía correos electrónicos fríos como mensajes de marketing por correo electrónico a listas de suscriptores opt-in, la regla es la misma: trate los datos personales que procesa como algo que le han prestado.

No es tuyo para manejarlo libremente. Si piensas compartirlos con otra persona, los propietarios de los datos deben ser claramente notificados de tus intenciones y debes tener su consentimiento.

Así, si organizas un seminario web en colaboración con otra empresa, no puedes intercambiar sin más las listas de suscriptores que cada uno de vosotros ha recopilado, a menos que los suscriptores sean informados previamente de quién va a procesar sus datos y acepten recibir correos electrónicos de ambas empresas.

De nuevo, no se trata de simples archivos con datos aleatorios que le pertenecen. Las listas de contactos, incluidas las direcciones de correo electrónico y otros tipos de datos personales, son activos valiosos y el RGPD subraya que deben protegerse como tales. Tanto como administrador de datos como como procesador de datos, usted está obligado a tomar las medidas adecuadas para proporcionar el mayor nivel posible de seguridad para los datos que procesa.

Además, debe poder demostrar que ha tomado esas medidas en caso de control. Una solución segura para ello sería preparar documentos que indiquen quién en su empresa puede tener acceso a determinados tipos de datos personales que usted trata.

Por ejemplo, es probable que el personal de recursos humanos necesite acceder a los datos personales de todos los empleados, pero puede ser totalmente innecesario para los representantes de ventas. El equipo de marketing tendrá acceso a la lista de suscriptores del blog, pero el personal de RRHH puede no necesitar ese acceso en absoluto.

Piensa en quién puede acceder a los distintos tipos de datos en tu empresa. Luego, regule y documente eso. Si un controlador te pregunta quién puede acceder a qué, deberías poder decírselo (o mejor, mostrarle un documento, ya que supuestamente les encanta hojear papeles).

También debe informar abiertamente a sus usuarios, clientes y suscriptores de dónde se almacenan físicamente sus datos personales. Así, si tiene servidores en Francia y Canadá, como nosotros, debería informar oficialmente de su ubicación en su Política de Privacidad o en otro documento. Nosotros lo hacemos en el documento de seguridad de nuestro sitio web.

Resumen

Lo sé, es un post largo. Pero probablemente no cubre el tema en su totalidad de todos modos. Espero que te ayude a entender los principios básicos mencionados en el documento y a tomar algunas medidas para cumplirlo.

Espero que le permita entender que el GDPR no es una regulación que se supone que va a matar a los correos electrónicos fríos o boletines de noticias. Es un documento que se supone que mejora el valor de los datos personales, y los derechos de los ciudadanos de la UE al control total sobre el procesamiento de sus datos personales.

Descargue la lista de comprobación del cumplimiento del GDPR >>

Lo que hay que extraer de este post

El GDPR no prohíbe el envío de correos electrónicos en frío.

Sólo regula que debe tener una razón de peso para ponerse en contacto con una persona que no ha expresado su consentimiento para el tratamiento de sus datos. La oferta que pongas en tu correo electrónico en frío debe estar lógicamente conectada con su estatuto comercial.

Así que, si envías correos electrónicos en frío, dedícale algo de tiempo a una orientación más precisa de tus campañas. Deja de rociar y rezar. Personaliza el texto de tu correo electrónico y envíalo sólo a personas de empresas cuidadosamente seleccionadas que coincidan con tu propio negocio. Asegúrese de que ambas partes puedan beneficiarse de esa posible relación comercial.

Debe obtener los datos personales de sus listas de clientes potenciales de forma legal y transparente, y estar preparado para explicar cómo y por qué ha decidido procesar los datos personales de determinados ciudadanos de la UE.

El RGPD introduce un nuevo principio de limitación del almacenamiento de datos, que no le permite procesar datos personales más tiempo del necesario. El documento no especifica el periodo de tiempo concreto. Aconsejamos eliminar los datos de los destinatarios de correos electrónicos fríos que no respondan después de 30 días desde su primer contacto.

En el caso de las listas opt-in, puede procesar los datos de forma claramente especificada que el propietario de los datos ha aceptado, mientras le hayan concedido su consentimiento, o hasta que expresen su deseo de retirarlo.

Cualquier tipo de datos que pidas debe estar justificado por la finalidad para la que quieres procesarlos. No pidas un número de teléfono si quieres enviar a alguien un libro electrónico. Y si quieres recabar su número de teléfono, diles directamente que es posible que quieras llamarlos.

Ofrezca a los destinatarios de sus correos electrónicos fríos, así como a los suscriptores de sus listas opt-in, una forma clara de optar por no recibir más correspondencia, y una instrucción sobre cómo cambiar sus datos personales, o eliminarlos completamente de su lista. El mecanismo del enlace “Darse de baja” es muy popular, pero no es el único que puedes utilizar para ello.

Actualiza tus documentos de Condiciones de Servicio y Política de Privacidad, si es necesario. Simplifica el lenguaje que utilizas en esos documentos. Asegúrate de que todo el mundo pueda entenderlo sin necesidad de ser licenciado en Derecho.

Recuerda que los datos personales que tratas no son tuyos. No los compartas con otras personas y empresas como si fueran de tu propiedad. Asegúrate de que los datos están seguros mientras los procesas.

Referencias y recursos adicionales

Esta es una lista de recursos que nos han ayudado a escribir este post. Si te apetece investigar más a fondo por tu cuenta, éste puede ser un buen punto de partida:

Reglamento General de Protección de Datos versión original completa del GDPR en inglés (otras versiones lingüísticas disponibles aquí)

Comisión Europea – Protección de datos personales

Comisión Europea – Reforma de las normas de protección de datos de la UE

Comisión Europea – Reforma de la protección de datos para las pequeñas empresas

Entrada del blog de Lexology sobre el consentimiento

Reglamento General de Protección de Datos de la UE (GDPR): Una guía de aplicación y cumplimiento (Libro)

El Reglamento General de Protección de Datos de la UE (RGPD): Una guía práctica (Libro)

¿Preguntas?

Si tiene preguntas sobre este post, o sobre el envío de correos electrónicos en cumplimiento con el GDPR en general, escriba las preguntas en la sección de comentarios a continuación. Si tiene otras interpretaciones del GDPR que quiera compartir o leyes específicas de sus países nativos de la UE, por favor siéntase más que bienvenido a dejarlas en los comentarios también.

En este post recopilamos las preguntas más frecuentes junto con sus respuestas:

Preguntas frecuentes sobre el GDPR >>

Ebook

Margaret ha escrito un ebook para que puedas comprender mejor el reglamento.

Puede descargarlo aquí >>

Seminarios web

Vamos a organizar una serie de seminarios web sobre el GDPR. Apúntese a ellos para aprender más sobre el GDPR y hacer sus preguntas relacionadas con él.

Si no puede asistir en ese momento, inscríbase de todos modos, porque recibirá la grabación.

1. Webinar #1 en inglés el 15 de marzo a las 11 AM CET

Tema: El GDPR en la práctica para las PYME

Este ya tuvo lugar el 15 de marzo. El vídeo de YouTube está aquí >>

2. Webinar #2 en inglés el 21 de marzo a las 11 AM CET

Tema: Cómo hacer que su alcance de correo electrónico cumpla con el GDPR

Este ya tuvo lugar el 21 de marzo. El vídeo de YouTube está aquí >>

3. Webinar #3 en polaco el 4 de abril a las 11 AM Varsovia

Tema: ¿Cómo se puede crear una campaña de correo electrónico con RODO?

Este ya ha tenido lugar. El vídeo de YouTube está aquí >>