¿Qué aspectos legales debo tener en cuenta para cumplir con la protección de datos en las Newsletters?
Como seguramente sabrás, las Newsletters o boletines informativos son una publicación que una empresa envía mediante correo electrónico a sus clientes o potenciales clientes con el fin de informarles sobre sus nuevos productos, sus últimos contenidos o sus futuras promociones o actividades.
La Newsletter es pues un interesante método de email marketing que permite obtener datos de contacto (nombre, email, teléfono, etc.) de nuestros potenciales clientes a la vez que damos contenido y fidelizamos a nuestros actuales usuarios. Además, y gracias a algunos gestores de Newsletters como podrían ser MailChimp o ActiveCampaign – por citar solo algunos – el uso de la Newsletter también nos permite obtener metadatos (horas de abertura, tiempo destinado a su lectura, datos de interacción, etc.) que nos permiten descubrir cómo interactúan nuestros usuarios con el boletín enviado y, por lo tanto, cómo es recibida nuestra actividad promocional por parte de nuestro target.
No obstante, el hecho de que accedamos a esta información mediante el uso de las Newsletters, comporta cumplir con una serie de aspectos legales relacionados tanto con la protección de datos como con la Ley de la Sociedad de la Información y Comercio Electrónico.
En este post, te contaremos cuáles son estas obligaciones y te daremos algunos consejos legales para las newsletters, de cara a cumplir con el nuevo Reglamento Europeo de Protección de Datos que tendrás que aplicar a partir del próximo 25 de mayo de 2018.
Legalidad en la gestión de una Newsletter
En nuestro post “¿Haces email marketing: newsletters/publicidad? ¿Cumples los aspectos jurídicos?”, ya te contábamos cuáles eran los aspectos legales a tener en cuenta a la hora de crear una Newsletter. En esta ocasión, queremos ir un poco más allá y fijarnos en los aspectos legales derivados de mantener una Newsletter.
Así pues, las obligaciones legales a la hora de mantener una Newsletter se podrían dividir en dos bloques:
El primer bloque de obligaciones legales afectaría al uso de los datos de carácter personal. En este caso, las operaciones y tratamientos que puedas realizar con los datos personales de aquellas personas que se hayan suscrito a tu Newsletter, vendrán determinados por lo que se haya previsto en tu Política de Privacidad. Este es uno de los motivos por los cuales es tan importante que la página web de tu proyecto emprendedor o la landing page de tu empresa (aquella página web diseñada específicamente para promocionar nuestro producto) disponga de unos buenos Avisos Legales (recuerda que ya te hablamos de este tema en el post Avisos legales: los riesgos del copiar y pegar).
Dicho lo anterior, será en tu Política de Privacidad donde informarás a los suscriptores sobre todo lo relacionado con el uso de sus datos de carácter personal. Por lo tanto, si en dicha Política de Privacidad aparece que vas a realizar envío de información comercial de tus bienes o servicios, estarás legitimado para usar los datos en ese sentido. Todo ello siempre y cuando el interesado haya aceptado previamente la Política de Privacidad. Una aceptación que, si quieres ir adaptándote al nuevo Reglamento General de Protección de Datos, deberá ser realizada de forma expresa (por ejemplo, mediante una casilla tipo check-box con validación expresa del usuario) y por lo tanto, no de forma tácita (por ejemplo, mediante la expresión tipo “si nos haces llegar tu correo electrónico se entenderá que nos autorizas para tratar tus datos”) como es bastante habitual. Este último tipo de fórmulas, no se considerará consentimiento válido según el citado reglamento.
(Si quieres conocer más sobre las obligaciones que derivan del futuro RGPD te recomendamos leer el post de la directora del despacho Vanesa Alarcón en el Blog de Signaturit: Las claves sobre el nuevo Reglamento Europeo de Protección de Datos).
El segundo bloque de obligaciones legales afectaría al mantenimiento del tratamiento de los datos de carácter personal recabados. Tal y como expone la Ley Orgánica de Protección de Datos (LOPD) – estos datos se podrían utilizar tanto tiempo como fuera pertinente para prestar el servicio aceptado por el interesado. Ahora bien, el usuario está facultado para revocar el consentimiento que legitima el tratamiento en cuanto lo considere oportuno. Y ¿qué se entiende por revocación? A continuación te lo explicamos.
La revocación del consentimiento para comunicaciones comerciales
Según el artículo 22.1 de la Ley de Servicios de la Sociedad de la Información (por lo tanto, no la LOPD), el destinatario de los servicios electrónicos (en este caso, la Newsletter) debe poder revocar su consentimiento para recibir comunicaciones comerciales en cualquier momento y de una forma simple. En concreto, en el artículo se fija lo siguiente:
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Es decir, el usuario debe poder revocar su consentimiento para recibir comunicaciones comerciales mediante la misma comunicación (por ejemplo, con un enlace al pie de la misma con una fórmula similar a la que indica en muchos emails como te habrás fijado, en el pie o parte inferior de los mismos, tipo “date de baja” o “unsubscribe”).
Pero, ¿qué sucedería con los datos de carácter personal? ¿Existe alguna forma de defenderse del mal uso de los datos personales en virtud de la LOPD antes citada? Sí, mediante el ejercicio de los denominados derechos ARCO (derecho de acceso, rectificación, cancelación y oposición) que te explicamos a continuación.
Los derechos ARCO previstos en la protección de datos
Según la legislación española de protección de datos, todo interesado puede ejercer cuatro derechos para proteger sus datos de carácter personal: el derecho de Acceso, el derecho de Rectificación, el derecho a la Cancelación y el derecho a la Oposición (todos ellos forman la abreviación como habitualmente se les identifica o el acrónimo “ARCO”). No obstante, ¿todos sirven para lo mismo? ¡No! Cada uno está pensado para obedecer a una función distinta:
- El Derecho de Acceso permite obtener información sobre los datos que están siendo objeto de tratamiento y la finalidad del mismo, así como conocer la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
- El Derecho de Rectificación permite modificar todos aquellos datos que se consideren inexactos o incompletos.
- El Derecho a la Cancelación permite exigir la supresión de datos cuando el tratamiento de estos resulte inadecuado o excesivo.
- El Derecho a la Oposición permite evitar que se lleve a cabo un tratamiento de datos o que se cese en el mismo cuando no sea necesario su consentimiento para el tratamiento por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario.
Así pues, los derechos ARCO son otros de los mecanismos que el interesado (suscrito a nuestra Newsletter) podría ejercer en caso que no se le haya facilitado la opción de revocación de la LSSI o considere que esta no es suficiente. Por ello, deviene necesario que en la Política de Privacidad se incluya, también, una dirección y el proceso que debe seguir el interesado para ejercer los derechos ARCO.
Ahora bien, ¿cuál es el derecho ARCO en concreto que podría utilizar un usuario si quiere que le borremos sus datos de nuestra Newsletter? Depende.
Lo más habitual es que, si el usuario quiere que mantengamos sus datos para otros fines o tratamientos pero que los dejemos de utilizar para el fin concreto del envío de la Newsletter, utilice el derecho de Oposición.
Si por el contrario, la persona se ha borrado de la Newsletter y no quiere que se traten datos para ningún fin más, debería utilizar el derecho a la Cancelación. Sin embargo, este último caso sería un último recurso que podemos utilizar para aquellos casos en los que el Usuario ha solicitado el no seguir recibiendo la Newsletter y aún así la sigue recibiendo, habiéndose ignorado su petición de revocación y, por ello, tratándose los datos de forma inadecuada por parte del prestador de servicios.
Te explicamos el sentido de estos derechos con relación al tema del que te estamos hablando, esto es, para las Newsletters. No obstante, el ejercicio de este tipo de derechos puede cobrar otros sentidos en otros ámbitos. Así, la cancelación es habitual cuando, simplemente, alguien quiere que se cancelen sus datos en determinada base de datos o cuando el tratamiento lo efectúa alguna empresa o lo efectuó en su día para prestar un servicio al usuario. No solo cuando has ejercido otro derecho y aquel no tiene lugar porque te manifiestan que no te corresponde ejercerlo o porque no te hacen caso.
Con la entrada en vigor del Reglamento General de Protección de Datos cabe tener en cuenta que otro derecho que podría resultar de aplicación es el derecho al olvido. Con este, el Usuario podría exigir que sus datos sean suprimidos por haber retirado el consentimiento y no existir otro fundamento jurídico para poder disponer de ellos por parte de la empresa o entidad que los estuviera tratando o utilizando.
Como podéis ver, gestionar una Newsletter trae consigo varias obligaciones legales. Si tienes dudas sobre ellas, sobre el derecho a la revocación, sobre el ejercicio de alguno de los derechos ARCO antes citados o la interpretación de la respuesta que hayas recibido a los mismos, así como si tienes dudas sobre la protección de datos en general, no dudes en ponerte en contacto con nuestro equipo. Estaremos encantados de asesorarte y darte más consejos legales para las newsletters.
Ampliando este artículo, en breve, publicaremos un post complementario, explicándote cuáles son las obligaciones legales ligadas con el procedimiento para dar cumplimiento a los derechos ARCO y cuáles son los requisitos que deben tener en cuenta tanto interesados como empresas con relación a los mismos.
Artículo redactado por Àlex Barbará supervisado por Vanesa Alarcón
Imagen 1 Freepik: <a href=’http://www.freepik.es/vector-gratis/mano-sujetando-un-movil-con-un-mensaje-en-la-pantalla_959097.htm’>Designed by Freepik</a>
Imagen 2 Freepik: <a href=»http://www.freepik.es/vector-gratis/fondo-de-seguridad-con-mano-y-telefono-movil-en-diseno-plano_1146834.htm»>Diseñado por Freepik</a>
Imagen 3 Pixabay: https://pixabay.com/es/monitor-pantalla-darse-de-baja-608241/
Imagen 4 Pixabay: https://pixabay.com/es/usuario-eliminar-icono-persona-2517431/