L’aplicació del RGPD en l’enviament d’emails continua generant dubtes, després de diversos anys de la seva posada en vigor, al maig de l’any 2018.
Un dubte habitual és la legalitat d’utilitzar adreces de correu electrònic “trobades” a Internet, fruit d’una tasca de prospecció comercial. Per tant, correus de persones que no han donat la seva autorització expressa per rebre comunicacions comercials.
En aquest article, parlem de la idoneïtat de dur a terme una estratègia de màrqueting per correu electrònic destinada a empreses que poden ser potencialment clients.
IDEES BÀSIQUES PER DESENVOLUPAR UNA ESTRATÈGIA DE MAIL MÀRQUETING
- La plataforma més utilitzada és MAILCHIMP, que és gratuïta per emmagatzemar fins a 2.000 adreces de correu electrònic i permet una excel·lent traçabilitat (saber quines persones han obert o han fet clic en els enllaços del butlletí).
- Els correus amb MAILCHIMP permeten diferents creativitats, en base a plantilles predissenyades. En elles, es poden parametritzar els colors, el logotip, les tipografies, la disposició dels diferents elements…
- Es poden enviar correus comercials a qualsevol persona? Taxativament, no. Cal consultar sempre qualsevol acció amb el responsable de protecció de dades de l’empresa que vulgui dur a terme una estratègia de mail màrqueting.
- Bàsicament, el procés queda regulat per l’article 21 de la LSSI, i per la redacció actual de la LOPD. Aquestes dues lleis són la transposició a l’ordenament jurídic espanyol del RGPD europeu (Reglament General de Protecció de Dades).
- Què diu l’article 21 de la LSSI? Que només es poden enviar comunicacions comercials a clients, empleats o altres persones amb les quals hi hagi una relació contractual prèvia, o bé a aquelles persones que hagin autoritzat expressament la seva recepció. A la mateixa LSSI, l’Annex 1 lletra “f” defineix què es consideren “comunicacions comercials”.
- Què diu la LOPD? La redacció vigent fins a l’any 2018 deixava clar en el seu article 30 que si les dades provenien de fonts accessibles al públic o havien estat facilitades pels propis interessats (i es pot demostrar), es podien utilitzar amb fins de publicitat, però complint unes condicions específiques. En la nova redacció, vigent a partir del 2018, no hi ha mencions específiques a aquest aspecte, ni prohibint-lo ni autoritzant-lo expressament. Per tant, queda permès, si es compleixen la resta d’aspectes legals regulats.
- Segons la legislació espanyola, no es consideren dades personals les adreces de correu electrònic genèriques, com poguessin ser info @ domini.com, o bé hola @ domini.com, a efectes de la LSSI ni de la LOPD. La LSSI defineix les dades personals com qualsevol informació relacionada amb una persona física identificada o identificable. En el cas de les adreces d’email genèriques, no es pot identificar una persona física concreta.
- Com hi ha diverses interpretacions sobre com s’integren aquestes dues lleis en una mateixa estratègia, el més adequat per evitar denúncies és que les adreces de correu utilitzades per a l’enviament procedeixin només de fonts públiques, o de clients, o de persones que hagin donat expressament el seu consentiment, i que alhora el primer correu enviat no tingui un caràcter comercial i contingui les dades legals per informar d’on s’han obtingut les dades i com es pot donar de baixa el destinatari. Aquest article ho explica: https://blog.findthatlead.com/es/legal-enviar-emails-en-frio
COM REGULEN LA LSSI I LA LOPD L’ENVIAMENT DE CORREUS COMERCIALS?
La LSSI (Llei de Serveis de la Societat de la Informació i de Comerç Electrònic) i la LOPD (Llei Orgànica de Protecció de Dades) són dues lleis espanyoles complementàries que regulen aspectes relacionats amb les comunicacions comercials en format electrònic.
Tot i que ambdues lleis estan relacionades amb la protecció de dades i la privadesa en línia, tenen enfocaments i objectius lleugerament diferents.
La LSSI estableix els requisits i obligacions que han de complir els proveïdors de serveis digitals, incloent-hi aquells que utilitzen estratègies de màrqueting per correu electrònic per enviar missatges comercials. Aquesta llei estableix que els destinataris han de donar el seu consentiment prèviament per rebre’ls, llevat que existeixi una relació contractual prèvia.
D’altra banda, la LOPD es centra en la privadesa de les persones, definint els requisits per al tractament de dades personals, incloses les utilitzades en les estratègies de correu electrònic.
Els aspectes més rellevants de la LOPD es refereixen al fet que aquestes dades només poden ser utilitzades amb el consentiment del titular i que els destinataris han de tenir l’opció de donar-se de baixa de futures comunicacions comercials. Això és el que històricament s’ha conegut com a “clàusula ARCO” (Accés, Rectificació, Cancel·lació i Oposició al tractament de dades personals), que a causa de la introducció del RGPD s’ha ampliat a altres drets, com el de portabilitat de les dades i el de limitació del processament.
QUÈ DIUEN EXACTAMENT L’ARTICLE 21 DE LA LSSI I LA LOPD?
Aquesta és la redacció literal dels articles que defineixen aquesta temàtica del màrqueting electrònic.
“1. Queda prohibit l’enviament de comunicacions publicitàries o promocionals per correu electrònic o un altre mitjà de comunicació electrònica equivalent que prèviament no hagin estat sol·licitades o expressament autoritzades pels destinataris de les mateixes.
- El que disposa l’apartat anterior no serà d’aplicació quan existeixi una relació contractual prèvia, sempre que el prestador hagi obtingut de manera lícita les dades de contacte del destinatari i les emprengui per a l’enviament de comunicacions comercials relatives a productes o serveis de la seva pròpia empresa que siguin similars als que inicialment van ser objecte de contractació amb el client.
En tot cas, el prestador haurà d’oferir al destinatari la possibilitat d’oposar-se al tractament de les seves dades amb finalitats promocionals mitjançant un procediment senzill i gratuït, tant en el moment de recollida de les dades com en cadascuna de les comunicacions comercials que li adreci.
Quan les comunicacions hagin estat remeses per correu electrònic, aquest mitjà haurà de consistir necessàriament en la inclusió d’una adreça d’email o una altra adreça electrònica vàlida on pugui exercir-se aquest dret, quedant prohibit l’enviament de comunicacions que no incloguin aquesta adreça.”
Artículo 30 de la antigua LOPD:
Va ser derogat l’any 2018, com tota la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades Personals. Establia que es podien utilitzar adreces de correu procedents de fonts accessibles al públic, obligant en aquest cas a informar el destinatari sobre l’origen de les dades i la identitat del responsable del tractament, així com dels drets que li corresponen.
Nova LOPD:
La nova Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, fa poques referències a l’obtenció de dades personals, com l’adreça de correu electrònic, a partir de registres públics. Entre elles, l’article 4 de la LOPD, que parla que el responsable de dades personals (DPD) no serà responsable de la inexactitud de les dades que procedeixin de fonts d’accés públic.I l’article 11 punt 3, que indica que quan les dades personals no hagin estat obtingudes de l’afectat, el responsable del tractament podrà donar compliment al deure d’informació establert a l’article 14 del RGPD (UE), facilitant-li les fonts de les quals procedeixen les dades.
L’AEPD (Agència Espanyola de Protecció de Dades) ha emès diverses circulars respecte a la preocupació sobre les dades procedents de fonts d’accés públic. En concret, indica que no tot el que podem trobar a Internet són dades d’accés públic que es puguin utilitzar en accions d’enviament de correus electrònics, sinó que ho són només quan es tracti de llocs web als quals pugui accedir qualsevol persona, i no només un col·lectiu, com són les xarxes socials en les quals es necessita un accés per veure dades no obertes al públic. Més informació en aquest interessant article.
Evidentment, com hem comentat abans, si les adreces d’email fossin genèriques (del tipus info @ domini.com), no es consideren “dades personals” i no s’apliquen les disposicions en aquest sentit de la LOPD.
Article 14.2.f del RGPD (UE) 2016/679:
El Reglament General de Protecció de Dades, directriu europea que va donar naixement als canvis legislatius en l’ordenament jurídic espanyol el 2018, estableix que:
“El responsable del tractament de dades facilitarà a l’interessat la següent informació necessària: f) la font de la qual provenen les dades personals i, si escau, si provenen de fonts d’accés públic.”
EN RESUM
A Espanya, la legislació actual sobre protecció de dades estableix que l’enviament de comunicacions comercials a adreces d’email procedents de registres públics, que no siguin nominatives sinó genèriques d’empreses, està permès sense necessitat d’obtenir el consentiment previ del destinatari.
És fonamental que les comunicacions comercials compleixin amb els principis de la LOPD i la LSSI, que emanen del RGPD. Això implica que han d’incloure informació clara sobre la identitat del remitent, així com una forma senzilla perquè el destinatari pugui optar per no rebre més comunicacions en el futur.
Hem de permetre que els destinataris accedeixin als seus drets reconeguts a l’article 12 de la LOPD (accés, rectificació, supressió oposició, limitació del tractament i portabilitat de les dades) i que el responsable del tractament de dades pugui identificar la font de les dades en cas que el destinatari ho sol·liciti.