En la época de la información (instantánea) en la que vivimos, se ha convertido en algo esencial para las empresas, la promoción de sus servicios y/o productos a través del marketing digital.
En los últimos tiempos, se ha hecho muy popular la opción de utilizar gestores de correo como herramientas de marketing. Estos gestores, facilitan la tarea de comunicar a una gran lista de contactos, un e-mail tipo con la información que queremos hacerles llegar. Gestores, hay muchos: MailRelay, SendinBlue, Mailchimp, MailPoet….
Pero estas herramientas no sólo nos permiten el envío masivo del correo, si no que lo interesante para el departamento de marketing, es lo que sucede después. Estas herramientas, permiten recoger estadísticas como cuántas personas han abierto el correo, cuántas han clickado sobre los enlaces, cuantos “rebotes” de email se han producido… Multitud de datos muy útiles a la hora de analizar si nuestro producto o forma del email está generando el interés que deseábamos. Sin embargo, la información no se consigue a consta de nada, y como bien regula el RGPD y la LOPD, siempre tendremos el deber de informar al interesado de que, al fin y al cabo, vamos a recopilar datos de su comportamiento respecto a los e-mail que reciba, y de cómo estamos recopilando dicha información.
En este orden de cosas, hace unas semanas, se publicó la sentencia de fecha 30 de noviembre de 2018, de la sala de lo Contencioso de la Audiencia Nacional, por la cual se resuelve sancionar con 5.000€ a una empresa por el uso incorrecto de Mailchimp, entendiendo que no ha informado a los destinatarios de su lista de distribución de que, el acceso a los correos remitidos por dicha plataforma, conllevaba la instalación de dispositivos, ficheros o archivos que posibilitaban la recogida de datos asociados al comportamiento.
Todo ello fundamentado en el artículo 22.2 de la LSSI, que dice lo siguiente:
Artículo 22, LSSI.
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Esto significa que cuando se haga uso de herramientas de email marketing, tipo Mailchimp, tendremos que informar previamente de la finalidad de efectuar perfiles automatizados a través de estos gestores, para evaluar su comportamiento ante nuestros correos electrónicos. O lo que es lo mismo, antes de meter a un contacto en una lista de distribución a la cual se le van a enviar e-mails sobre los que se realizan informes de comportamiento, tendremos que informar de esta medida. Como posibles soluciones a esta controversia, desde Legitec recomendamos realizar alguna de las siguientes acciones:
- Cuando se recopile la información de contacto (por ejemplo, en un formulario en el que el interesado escriba su correo), se deberá de incluir en la cláusula de protección de datos, la información sobre el estudio del comportamiento a través del correo.
- Si ya tienes una lista de distribución activa, bloquear el análisis del comportamiento mediante la configuración del gestor de correo, informar a los miembros de la lista con la nueva cláusula informativa, y a continuación y si se desea, volver a activar el análisis de comportamiento.
- Si no se va a dar uso a los informes de comportamiento, recomendamos su desactivación.
Por supuesto, el interesado podrá siempre oponerse a la elaboración de perfiles, o lo que es lo mismo, al estudio de su comportamiento. En este caso, se tendrá que sacar al usuario de la lista de distribución en la que se vaya a realizar esta clase de informes.
Cuestiones a tener en cuenta a la hora de elegir tu gestor de correo
1. Dónde está alojada la empresa a la que pertenece el gestor
Si la empresa, y los servidores que utilizan, están alojados en un país considerado como no seguro por la Comisión Europea, se estará a lo dispuesto en el RGPD respecto a transferencias internacionales. El riesgo en el tratamiento de estos datos aumentará debido a esta circunstancia, y se tendrán que tomar consideraciones especiales que con un gestor de correo de la lista de países seguros, no se tendrían por qué tomar: revisión de certificaciones, contratos-tipo específicamente aprobados por la Comisión, autorización expresa del interesado… Puedes consultar la lista de países seguros en este enlace: https://www.aepd.es/reglamento/cumplimiento/transferencias-internacionales.htm
2. Si el gestor de correo ofrece la posibilidad de bloquear el análisis de comportamiento.
Para ejecutar una de las medidas que hemos recomendado para crear una base de legitimación suficiente a la hora de realizar informes de comportamiento, el gestor de correo nos tendrá que ofrecer la posibilidad de “apagar” este seguimiento a los correos. Si no nos ofrece esta medida, tendremos que buscar otra forma de informar a los destinatarios del correo.
La actividad de marketing entraña muchos riesgos en cuanto a protección de datos: no estar legitimado para mandar publicidad, conseguir contactos donde no se pueden conseguir, ejercicio de derechos de los destinatarios y cómo responder a ellos… En Legitec, tenemos una amplia experiencia y conocimiento respecto a este campo y todo el que abarca el mundo empresarial. Ofrecemos soluciones adaptadas a la legislación y que a la vez, sean prácticas para vuestra empresa. Entendemos que una solución que no ofrece resultados, aunque cumpla con la normativa, no es una solución.
Para más información puede ponerse en contacto con nosotros a través de cualquier medio indicado en nuestra página web.