La aplicación del RGPD en emailing sigue generando dudas, después de varios años de su puesta en vigor, en mayo del año 2018.
Una duda habitual es la legalidad de usar direcciones de correo electrónico “encontradas” en Internet, fruto de un trabajo de prospección comercial. Por tanto, correos de personas que no han dado su autorización expresa a recibir comunicaciones comerciales.
Hablamos en este artículo de la idoneidad de llevar a cabo una estrategia de mail marketing destinada a empresas que puedan ser potencialmente clientes.
IDEAS BÁSICAS PARA DESARROLLAR UNA ESTRATEGIA DE MAIL MARKETING
- La plataforma usada más habitualmente es MAILCHIMP, que es gratuita para un almacenaje de hasta 2.000 direcciones de correo electrónico y permite una excelente trazabilidad (saber qué personas han abierto o han hecho clic en los enlaces de la newsletter).
- Los correos con MAILCHIMP permiten distintas creatividades, en base a plantillas prediseñadas. En ellas, se pueden parametrizar los colores, el logo, las tipografías, la disposición de los diferentes elementos…
- ¿Se pueden enviar correos comerciales a cualquier persona? Taxativamente, no. Conviene consultar siempre cualquier acción al responsable de RGPD de la empresa que quiera llevar a cabo una estrategia de mail marketing.
- Básicamente, el proceso queda regulado por el artículo 21 de la LSSI, y por la actual redacción de la LOPD. Estas dos leyes son la transposición al ordenamiento jurídico español del RGPD europeo (Reglamento General de Protección de Datos).
- ¿Qué dice el artículo 21 de la LSSI? Que solo se pueden enviar comunicaciones comerciales a clientes, empleados u otras personas con las que existe una relación contractual previa, o bien a aquellas personas que hayan autorizado expresamente su recepción. En la misma LSSI, el Anexo 1 letra «f» define qué se consideran «comunicaciones comerciales».
- ¿Qué dice la LOPD? La redacción vigente hasta el año 2018 dejaba claro en su artículo 30 que si los datos proceden de fuentes accesibles al público o han sido facilitados por los propios interesados (y se puede demostrar) se pueden usar con fines de publicidad, pero cumpliendo unas condiciones específicas. En la nueva redacción, vigente a partir del 2018, no hay menciones específicas a este aspecto, ni prohibiéndolo ni autorizándolo expresamente. Por tanto, queda permitido, si se cumplen el resto de aspectos legales regulados.
- Según la legislación española, no se consideran como datos personales las direcciones de correo electrónico genéricas, como pudieran ser info @ dominio.com, o bien hola @ dominio.com, a efectos de la LSSI ni de la LOPD. La LSSI define los datos personales como cualquier información concerniente a una persona física identificada o identificable. En el caso de las direcciones de email genéricas, no se puede identificar a una persona física concreta.
- Como hay distintas interpretaciones a cómo se integran estos dos leyes en una misma estrategia, lo más adecuado para que no hayan denuncias es que las direcciones de correo usadas para el emailing procedan solo de fuentes públicas, o de clientes, o de personas que han dado expresamente su consentimiento, y que al mismo tiempo el primer correo enviado no tenga un carácter comercial, y que contenga los datos legales para informar de dónde se han obtenido los datos y cómo se puede dar de baja el destinatario. Este artículo lo explica: https://blog.findthatlead.com/es/legal-enviar-emails-en-frio
¿CÓMO REGULAN LA LSSI Y LA LOPD EL ENVÍO DE CORREOS COMERCIALES?
La LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) y la LOPD (Ley Orgánica de Protección de Datos) son dos leyes españolas complementarias, que regulan aspectos relacionados con las comunicaciones comerciales en formato electrónico.
Aunque ambas leyes están relacionadas con la protección de datos y la privacidad en línea, tienen enfoques y objetivos ligeramente diferentes.
La LSSI establece los requisitos y obligaciones que deben cumplir los prestadores de servicios digitales, incluyendo aquellos que usan estrategias de mail marketing para enviar mensajes comerciales. Esta ley establece que los destinatarios deben haber dado su consentimiento previo para recibirlas, a menos que exista una relación contractual previa.
Por otro lado, la LOPD se enfoca en la privacidad de los individuos, definiendo los requisitos para el tratamiento de datos personales. Entre ellos, los usados en las estrategias de emailing.
Los aspectos más relevantes de la LOPD se refieren a que estos datos solo pueden ser utilizados con el consentimiento del titular, y que los destinatarios deben tener la opción de darse de baja de futuras comunicaciones comerciales. Es la conocida históricamente como “cláusula ARCO” (Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales), que a raíz de la introducción del RGPD se ha visto ampliada a otros derechos, como son el de portabilidad de los datos y el de limitación del procesamiento.
¿QUÉ DICEN EXACTAMENTE EL ARTÍCULO 21 DE LA LSSI Y LA LOPD?
Esta es la redacción literal de los artículos que definen esta temática del marketing electrónico.
“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
- Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de email u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
Artículo 30 de la antigua LOPD:
Quedó derogado en el año 2018, como toda la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales. Establecía que se podían usar direcciones de correo procedentes de fuentes accesibles al público, obligando en ese caso a informar al destinatario sobre el origen de los datos y la identidad del responsable del tratamiento, así como de los derechos que le asisten.
Nueva LOPD:
La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, hace pocas referencias a la obtención de datos personales, como es la dirección de correo electrónico, a partir de registros públicos. Entre ellas, el artículo 4 de la LOPD, que habla de que el responsable de datos personales (DPD) no será responsable de la inexactitud de los datos que procedan de fuentes de acceso público. Y el artículo 11 punto 3, que indica que cuando los datos personales no hubieran sido obtenidos del afectado, el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 14 del RGPD (UE), facilitando a aquel las fuentes de las que procedieran los datos.
La AEPD (Agencia Española de Protección de Datos) ha emitido diversas circulares respecto a la preocupación sobre los datos procedentes de fuentes de acceso público. En concreto, indica que no todo lo que podemos encontrar en Internet son datos de acceso público que se pueda utilizar en acciones de emailing, sino que solo lo son cuando se trate de webs a las que pueda acceder cualquier persona, y no solo un colectivo, como son las redes sociales en las que se precisa de un acceso para ver datos no abiertos al público. Más información, en este interesante artículo.
Evidentemente, como hemos comentado antes, si las direcciones de correo electrónico fuesen genéricas (del tipo info @ dominio.com), no se consideran como “datos personales” y no se aplican las disposiciones en ese sentido de la LOPD.
Artículo 14.2.f del RGPD (UE) 2016/679:
El Reglamento General de Protección de Datos, directriz europea que dio nacimiento a los cambios legislativos en el ordenamiento jurídico español en 2018, establece que:
“El responsable del tratamiento de datos facilitará al interesado la siguiente información necesaria: f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.”
EN RESUMEN
En España, la legislación actual sobre protección de datos establece que el envío de comunicaciones comerciales a direcciones de correo electrónico procedentes de registros públicos, que no sean nominales sino genéricas de empresas, está permitido sin necesidad de obtener el consentimiento previo del destinatario.
Es fundamental que las comunicaciones comerciales cumplan con los principios de la LOPD y la LSSI, que emanan del RGPD. Esto implica que deben incluir información clara sobre la identidad del remitente, así como una forma sencilla para que el destinatario pueda optar por no recibir más comunicaciones en el futuro.
Debemos permitir que los destinatarios accedan a sus derechos reconocidos en el artículo 12 de la LOPD (acceso, rectificación, supresión oposición, limitación del tratamiento y portabilidad de los datos) y que el responsable del tratamiento de datos pueda identificar la fuente de los datos en el caso de que el destinatario lo solicite.