Cuando el GDPR entró en vigor en mayo de 2018, sacudió el mundo del email marketing. De repente, el enfoque informal hacia las listas de email que había funcionado durante décadas era potencialmente ilegal. Las empresas se apresuraron a obtener consentimiento, purgar direcciones no conformes y reconstruir sus programas de email desde cero.
Cinco años después, el GDPR sigue siendo la regulación de privacidad más significativa que afecta a los marketers de email. Si envías email a cualquier persona en la Unión Europea—sin importar dónde esté ubicada tu empresa—necesitas entender y cumplir con los requisitos del GDPR.
El requisito de consentimiento
El requisito de mayor impacto del GDPR para los marketers de email es el consentimiento. A diferencia de CAN-SPAM, que permite email comercial no solicitado siempre que sigas ciertas reglas, el GDPR exige una base legal para el tratamiento de datos personales—y para el email de marketing, esa base casi siempre es el consentimiento.
El consentimiento bajo GDPR debe ser libre, específico, informado y inequívoco. La persona debe realizar una acción afirmativa clara para darse de alta. Las casillas preseleccionadas no cuentan. El consentimiento empaquetado (aceptar marketing como condición del servicio) no cuenta. El silencio o la inactividad no cuentan.
Debes explicar claramente a qué están consintiendo: quién les enviará email, qué tipo de contenido, con qué frecuencia. Lenguaje vago como 'podemos contactarte con ofertas' no es lo bastante específico. 'Te enviaremos actualizaciones semanales de producto y ofertas promocionales ocasionales' es mejor.
El consentimiento debe documentarse. Debes poder demostrar que cada persona de tu lista realmente consintió, cuándo lo hizo y a qué consintió. Si no puedes probar el consentimiento, no lo tienes.
El consentimiento puede retirarse en cualquier momento, y la retirada debe ser tan fácil como otorgarlo. Si alguien puede suscribirse con un clic, debería poder darse de baja con un clic.
Interés legítimo: La base alternativa
Hay una alternativa al consentimiento llamada 'interés legítimo', pero es más limitada de lo que muchos marketers esperan.
El interés legítimo puede aplicar cuando tienes una relación existente con el cliente y el marketing está relacionado con productos o servicios que ya han comprado. Si alguien te compró zapatillas de correr, podrías tener interés legítimo para enviarle email sobre equipamiento para correr.
Pero el interés legítimo exige una prueba de ponderación. Tu interés en hacer marketing no debe prevalecer sobre los derechos y expectativas del individuo. Si no sería razonable que esperaran recibir tu email, probablemente no aplica el interés legítimo.
Incluso con interés legítimo, debes proporcionar una opción de baja sencilla en el punto de recogida de datos y en cada email. Y debes documentar tu evaluación de interés legítimo—por qué crees que aplica y cómo equilibraste los intereses.
En la práctica, la mayoría de los marketers de email dependen del consentimiento en lugar del interés legítimo. El consentimiento es más claro, más fácil de documentar y menos probable que sea impugnado. El interés legítimo es un respaldo para situaciones específicas, no un permiso general para enviar email.
Derechos de los interesados
El GDPR otorga a las personas derechos amplios sobre sus datos personales, y estos derechos afectan cómo gestionas las listas de email.
El derecho de acceso significa que las personas pueden solicitar una copia de todos los datos que tienes sobre ellas, incluido su historial de email, preferencias y cualquier dato de perfilado. Debes responder en el plazo de un mes.
El derecho de rectificación significa que las personas pueden corregir datos inexactos. Si la dirección de email o las preferencias de alguien son incorrectas, pueden exigir que lo corrijas.
El derecho de supresión ('derecho al olvido') significa que las personas pueden solicitar la eliminación de sus datos. Si alguien pide ser eliminado, debes borrar su dirección de email y los datos asociados, no solo darle de baja.
El derecho a la portabilidad de los datos significa que las personas pueden solicitar sus datos en un formato legible por máquina para transferirlos a otro servicio. Esto es menos común en email, pero sigue aplicando.
El derecho de oposición significa que las personas pueden oponerse al tratamiento basado en interés legítimo. Si se oponen, debes detenerte a menos que puedas demostrar motivos legítimos apremiantes.
Necesitas procesos para gestionar estas solicitudes. Alguien de tu equipo debe ser responsable de responder dentro de los plazos requeridos. Ignorar las solicitudes de los interesados es una infracción de cumplimiento.
Medidas técnicas y organizativas
El GDPR exige 'medidas técnicas y organizativas adecuadas' para proteger los datos personales. Para email, esto significa:
Almacenamiento seguro de las listas de email y los datos de suscriptores. Cifrado, controles de acceso y evaluaciones de seguridad periódicas. Tu lista de email constituye datos personales; trátala en consecuencia.
Minimización de datos—solo recopila y conserva los datos que realmente necesitas. Si no necesitas la fecha de nacimiento de alguien para tu programa de email, no la recojas. Si no necesitas cinco años de historial de email, no lo guardes.
Gestión de proveedores para cualquier tercero que procese datos en tu nombre. Tu proveedor de servicio de email, tu CRM, tus herramientas de analítica—todos deben cumplir con el GDPR, y necesitas acuerdos de procesamiento de datos con cada uno.
Procedimientos de notificación de brechas de seguridad. Si se comprometen datos de suscriptores, puede que tengas que notificar a las autoridades en un plazo de 72 horas y a los afectados sin demora indebida. Ten un plan antes de necesitarlo.
Privacidad desde el diseño—incorporar consideraciones de privacidad a tu programa de email desde el principio, no añadirlas después. Esto incluye configuraciones de privacidad por defecto, flujos de consentimiento claros y una gestión de preferencias sencilla.
Aplicación y sanciones
Las sanciones del GDPR son severas: hasta 20 millones de € o el 4% de los ingresos anuales globales, lo que sea mayor. No son teóricas—los reguladores han impuesto multas sustanciales por infracciones relacionadas con email.
Más allá de las multas, la aplicación puede incluir órdenes de detener el tratamiento, lo que podría cerrar por completo tu programa de email. El daño reputacional de una acción pública de aplicación puede ser peor que la multa en sí.
La aplicación varía según el país. Algunos Estados miembros de la UE son más agresivos que otros. Pero con el mecanismo de ventanilla única, una queja en cualquier país de la UE puede llevar a una aplicación en toda la Unión.
Las quejas individuales impulsan muchas investigaciones. Una sola persona que informe de tus prácticas de email no conformes puede desencadenar un escrutinio regulatorio. Con millones de residentes de la UE al tanto de sus derechos bajo el GDPR, el riesgo de quejas es real.
El Reino Unido tiene su propia versión de GDPR tras el Brexit, con requisitos y sanciones similares. Si envías a direcciones del Reino Unido, debes cumplir con el UK GDPR además del GDPR de la UE.
Pasos prácticos para el cumplimiento
Lograr el cumplimiento con el GDPR no es un proyecto de una sola vez—es una práctica continua. Aquí es donde empezar:
Audita tu lista actual. Para cada suscriptor, ¿puedes probar el consentimiento? Si no, necesitas volver a obtener su consentimiento o eliminarlo. Es doloroso, pero necesario.
Corrige tus formularios de suscripción. Lenguaje de consentimiento claro, casillas de opt-in sin marcar, enlaces a tu política de privacidad. Registra el consentimiento con fecha y hora y el lenguaje exacto que aceptaron.
Implementa centros de preferencias. Permite que los suscriptores controlen qué reciben y con qué frecuencia. Las preferencias granulares reducen las bajas y demuestran respeto por sus elecciones.
Revisa tus proveedores. Asegúrate de que tu proveedor de servicio de email, el CRM y otras herramientas cumplen con el GDPR. Firma acuerdos de procesamiento de datos con cada uno.
Capacita a tu equipo. Todos los que manejan datos de email deben entender los fundamentos del GDPR. El cumplimiento falla cuando alguien que no conoce las reglas comete un error.
Documenta todo. Tus registros de consentimiento, tus evaluaciones de interés legítimo, tus acuerdos de procesamiento de datos, tus medidas de seguridad. Si no puedes demostrar el cumplimiento, no cumples.
Frequently asked questions
¿Se aplica el GDPR si mi empresa no está en la UE?
Sí. El GDPR se aplica al tratamiento de datos de residentes de la UE sin importar dónde esté ubicado quien procesa los datos. Si envías email a personas en la UE, el GDPR se aplica a ti.
¿Puedo enviar email a clientes existentes sin un nuevo consentimiento?
Posiblemente, bajo interés legítimo, si el marketing se relaciona con productos similares que ya han comprado. Pero debes documentar tu evaluación de interés legítimo y ofrecer una baja sencilla. En caso de duda, obtén consentimiento.
¿Qué pasa con el email B2B?
El GDPR se aplica a los datos personales, lo que incluye direcciones de email profesionales que identifican a individuos ([email protected]). Las direcciones genéricas ([email protected]) pueden no ser datos personales, pero los contactos individuales de negocio sí están cubiertos.
¿Cuánto tiempo puedo conservar los datos de suscriptores de email?
Solo el tiempo necesario para la finalidad. Si alguien no ha interactuado en años, probablemente no tengas una razón legítima para conservar sus datos. Define periodos de retención y cúmplelos.