Totes aquelles persones o empreses que van una mica despistades envers a les responsabilitats legals que comporta l’ús d’aplicacions d’email marketing i que avui en dia encara tenen molts dubtes alhora d’enfrontar-se legalment a comunicacions electròniques i a la utilització d’eines per enviar Newsletters, promocions, informació, butlletins i en general qualsevol tipus de comunicació que es realitzar mitjançant email.
Les preguntes que els nostres clients ens fan constantment sobre el tema: Puc utilitzar emails públics d’Internet?, Puc comprar una base de dades?, He de demanar permís per enviar un email?, Quina responsabilitat legal tinc davant una denuncia?,…
Elecció de plataforma d’email marketing, compra de base de dades, permís exprés, tractament de dades, encarregat de tractament,… en definitiva són part dels elements bàsics necessaris que s’han d’entendre abans de realitzar una campanya d’email marketing, sobretot si ets una empresa o particular que exerceix la seva professió des d’Espanya.
Lleis que ens afecten al realitzar una campanya d’email marketing
Un dels aspectes que més descol·loca i genera dubtes són les lleis que ens afecten alhora de realitzar campanyes d’email marketing, existeix molta confusió al respecte i es relativament senzill, en concret a Espanya n’hi ha dos, la LOPD i la LSSIce.
LOPD (Llei Orgànica de Protecció de Dades de Caràcter Personal)
En resum és la llei que vetllar per la protecció de les dades de caràcter personal, o sigui, si jo facilito el meu nom i número de telèfon a una empresa per contractar un servei, aquesta llei obliga a aquesta empresa a protegir les meves dades d’un ús fraudulent o el que és el mateix, que aquesta empresa no comercio amb les meves dades i que les tingui degudament protegides.
LSSIce (Llei de Serveis de la Societat de la Informació i de Comerç electrònic)
Bàsicament, encara que la llei és molt extensa i engloba molts conceptes, la LSSI és la Llei que regula les comunicacions electròniques, és a dir que si enviem una carta postal, aquella llei no s’aplica, però si enviem un email ja es considera comunicació electrònica i l’hem de tenir en compte. La llei tracta de regular totes aquestes comunicacions electròniques per evitar abusos i protegir als consumidors.
Obligacions LOPD a email marketing
La LOPD és una llei molt extensa i engloba moltíssimes casuístiques i conceptes, encara que en aquest article no podem augmentar totes les que ens agradaria, si tractem de sintetitzar quins aspectes són els essencials a tindre en compte quan utilitzem aplicacions d’email marketing.
Adequació
Si el nostre objectiu es començar a realitzar campanyes d’email marketing se suposo que gestionarem dades personals, és a dir si disposem d’una llista de contactes amb un email i amb els seu nom, per exemple, anirem gestionant dades de caràcter personal i amb això ja s’ha d’estar atents.
Al gestionar dades de caràcter personal la LOPD ens obliga a que la nostra empresa o nosaltres mateixos estiguem adequats a la llei, i això per a que serveix? Doncs molts senzill, es tracta de comunicar a la AEPD que tenim dades de caràcter personal, quin tipus de dades, informar de qui les gestionem i quines mesures de seguretat implantarem per protegir aquestes dades.
Aquesta gestió és relativament senzilla i qualsevol professional de protecció de dades pot realitzar-nos els tràmits sense que suposi un cost excessiu. Alerta, això no és opcional, és obligatori per qualsevol persona física o jurídica que gestioni dades de caràcter personal.
D’aquesta forma, si per algun motiu, algú ens denuncia a la AEPD per utilitzar les seves dades de caràcter personal i a sobre no estem ben adequats a la LOPD el problema es pot incrementar.
Ubicació
Quan escollim una plataforma o aplicació d’email marketing hem de tenir en compte diferents aspectes molt importants que ens obliga la LOPD, com hem comentat anteriorment el principal objectiu de la LOPD es vetllar per la protecció de les dades de caràcter personal que gestionem i on o a qui les deixem.
Si utilitzem una plataforma d’email marketing en el fons estem depositant totes les dades de caràcter personal que utilitzarem per les nostres comunicacions en una màquina propietat de la mateixa empresa i això pot ser perillós si desconeixem la seva ubicació real.
La LOPD contempla això com una espècie de cessió de dades a tercers amb la finalitat d’obtenir un servei i per aquesta circumstància regula clarament una sèrie d’obligacions. Una d’aquestes obligacions és la ubicació de les dades, és a dir, no és el mateix que el servidor on es dipositen les dades estigui a Espanya que a Estats Units. Si necessiteu o decidiu allotjar qualsevol tipus de dades de caràcter personal fora del territori espanyol, això esta considerat com “Transferència internacional de dades” i us aconsello que comproveu que el servei compleix amb un nivell adequat de protecció de dades.
Bàsicament la LOPD exigeix que quan es depositin les dades en un servidor d’un tercer aquest compleixi amb les mesures de seguretat exigides per la llei, aquestes mesures de seguretat no les compleixen tots els països i si la nostra aplicació d’email marketing es troba fora d’Espanya o utilitza servidors fora del territori nacional, hem d’estar segurs de que compleix amb la normativa, per tan vigileu alhora de contractar, ens hem d’assegurar on estaran ubicats les dades físicament.
Encarregat
No només és important tindre en compte on s’allotjaran les dades sinó qui hi ha darrere d’aquestes, en poques paraules, quina persona o persones són les que asseguren una gestió correcta de les dades, les protegeixen i es responsabilitzen d’un correcte tractament.
L’empresa on dipositarem les dades pot realitzar campanyes d’email marketing, de forma obligatoria i tipificat per la LOPD, passarà a ser Encarregat de Tractament de Dades, provocant que sigui estrictament necessària que a les condicions de contractació o per escrit, això quedi clarament resolt per evitar possibles problemes.
Qui és l’Encarregat de Tractament de Dades? Doncs senzillament un tercer que no accedint ni utilitzant les dades de caràcter personal, les emmagatzema, les gestiona, o les consulta amb la finalitat d’oferir un servei als responsables de les dades i del seu tractament.
Per exemple, si enviem les nostres factures a una gestoria perquè ens ajudi amb les nostres obligacions fiscals, aquesta obligatòriament passarà a ser un Encarregat de Tractament de Dades, en el cas d’una aplicació d’email marketing si dipositem les dades als seus sistemes amb la finalitat d’utilitzar-les per campanyes de comunicació, aquesta igualment serà Encarregat de Tractament de Dades.
Obligacions LSSIce en email marketing
Una cosa es protegir les dades de caràcter personal (LOPD) i una altra molt diferent és comunicar-se de forma electrònica amb les nostres “dades” (LSSI). Però aquest motiu és molt diferent tenint en compte que no només fa falta protegir les nostres dades també hem de vigilar la manera amb la que ens comuniquem amb ells. A Espanya no és el mateix enviar una carta postal que un email i no entendre que això pot tenir conseqüències desastroses.
Permís
La LSSIce és bastant clara al respecte i molts cops ens empenyem a buscar qualsevol excusa per poder enviar emails de forma indiscriminada. Que si font accessible al públic, que si una empresa m’ha venut una base de dades, que si he vist un email en un fòrum, que si la meva competència ho fa, que si és il·legal perquè es venen bases de dades.
No es pot enviar emails sense tenir un permís exprés del destinatari per aquest motiu, més clar no puc ser i davant d’això no hi ha excuses ja que l’email és una comunicació electrònica i esta regulada per la LSSI.
Lògicament i per no ser tan estricte hi ha una excepció, que el destinatari hagi mantingut una relació comercial prèvia amb el client i que l’email que hem d’enviar sigui sobre productes o serveis similars als que vam contractar o preguntar en el seu moment.
És a dir, per exemple, si anem a una agència de viatges i demanem informació o contractem un creuer i proporcionem les nostres dades on hi incloíem email i on no donem el nostre consentiment exprés, després aquesta agència no pot enviar emails venent-nos rentadores però sí pot enviar-nos promocions de viatges o ofertes comercials similars a la relació comercial que vam mantindre am ells.
Consells per evitar possibles problemes legals
Les recomanacions que exposem a continuació s’han de prendre de manera merament informativa i com sempre, el millor és que consulteu amb un expert en LOPD i LSSI abans de escometre accions de comunicació i promocions massives mitjançant aplicacions d’email marketing.
Adequació
Procurar adequar-nos a la LOPD, inscrivint els seus fitxers a la AEPD i informant de qui és el responsable del fitxer i del seu tractament.
Protecció
Confirmar que la vostra empresa d’email marketing utilitza servidors ben ubicats, identificats físicament i protegeix adequadament les teves dades com exigeix la LOPD.
Encarregat
Comprovar que quedi clarament confirmat la figura d’Encarregat de Tractament de Dades, ja sigui en les condicions de contractació o ja sigui amb contracte per escrit.
Permís
No realitzin enviament promocionals per email a no ser que tinguin consentiment exprés o s’hagi mantingut algun tipus de relació comercial prèvia com indica la LSSI.
Tipologia
Informar clarament al destinatari si el nostre email és comercial (Publicitat) i sobretot no tractem d’enviar un contingut que no tingui res a veure amb el que el destinari es trobarà al entrar a la nostra web.
Procedència
Als nostres emails informar sempre als destinataris de la procedència de les seves dades de caràcter personal, és a dir, d’on procedeixen les seves dades.
Tractament
Informa als teus destinataris de quin tractament realitzarem a les seves dades, és a dir, en quin fitxers estan o seran inscrits i a nom de qui seran aquests fitxers.
Dret
Informar als destinataris del dret que tenen d’accedir, rectificar o cancel·lar les dades de caràcter personal de les que disposem (Drets ARCO).
Baixa
Procurar que l’eina d’email marketing disposi d’un sistema de baixa automatitzada per agilitzar el tràmit de no enviament de futures comunicacions en cas de que el destinatari vulgui cancel·lar-les.
Remitent
Utilitzar un remitent per les seves campanyes clarament identificables i que puguin respondre davant qualsevol consulta, qualsevol email que sigui robotitzat és il·legal.
Molt de compte
I per últim, no els hi passi pel cap comprar o obtenir bases de dades sense consentiment exprés per realitzar campanyes d’email marketing de forma indiscriminada, sincerament només els comportarà problemes i possiblement fortes sancions.