RGPD de la UE y el Reino Unido: 5 cosas que debe saber sobre el consentimiento por correo electrónico
Publicado: 2021-03-09La ley de privacidad de la Unión Europea, el Reglamento General de Protección de Datos (GDPR), entró en vigencia el 25 de mayo de 2018. En ese momento, muchos se preguntaban qué significa GDPR para los comercializadores de correo electrónico. Y, afortunadamente, GDPR no eliminó el correo electrónico como predijeron los agoreros. Pero, ¿hay algo que todavía pueda causarle dolores de cabeza? Cómo recopilar y almacenar el consentimiento por correo electrónico.
GDPR eleva el listón a un estándar más alto de consentimiento para los suscriptores con sede en la Unión Europea (UE), lo que significa que es posible que la forma en que haya obtenido el consentimiento de los suscriptores de la UE en el pasado ya no sea compatible.
E incluso ahora que el Reino Unido (Reino Unido) ha abandonado formalmente la UE, el RGPD después del Brexit no ha cambiado demasiado . El Reino Unido ha creado su propio RGPD del Reino Unido, que es esencialmente el mismo que el RGPD de la UE, excepto que se aplica solo a los residentes del Reino Unido. Los detalles se tratan en la Guía del RGPD del Reino Unido de la Oficina del Comisionado de Información (ICO) del Reino Unido. En aras de la simplicidad, me referiré a ambos como solo GDPR a menos que haga referencia a uno específicamente.
Entonces, la pregunta real es: ¿Qué significa todo esto para el consentimiento por correo electrónico de sus suscriptores de la UE y el Reino Unido?
Cómo hacer que el consentimiento por correo electrónico cumpla con el RGPD
GDPR requiere que las marcas recopilen un consentimiento afirmativo que sea "otorgado libremente, específico, informado e inequívoco" para cumplir con la normativa. La ICO también ha proporcionado una guía completa sobre el consentimiento bajo GDPR. Si aún no está listo para sumergirse en la guía completa de 39 páginas, aquí hay un desglose de las cinco cosas más importantes que debe saber sobre el consentimiento por correo electrónico según el GDPR, con muchos ejemplos de cómo las ponemos en práctica aquí en Litmus. .
1. Obtenga el consentimiento de un opt-in positivo, no de casillas previamente marcadas
Para que el consentimiento sea válido según el RGPD, el cliente debe confirmar activamente su consentimiento, como marcar una casilla de suscripción sin marcar. Las casillas previamente marcadas que asumen el consentimiento si las personas no las desmarcan no son válidas según el RGPD.
Considerando 32:
"El silencio, las casillas previamente marcadas o la inactividad no deben constituir consentimiento".
Ejemplo
En la captura de pantalla anterior, mostramos un ejemplo de cómo usamos casillas de habilitación sin marcar en Litmus para obtener el consentimiento. Si la casilla estuviera previamente marcada, eso no cumpliría con el RGPD.
2. Mantenga las solicitudes de consentimiento separadas de otros términos y condiciones
El consentimiento por correo electrónico se debe otorgar libremente, y ese es solo el caso si una persona realmente tiene la opción de suscribirse o no a los mensajes de marketing. Si se requiere suscribirse a un boletín informativo para descargar un documento técnico, por ejemplo, ese consentimiento no se otorga libremente.
Según el RGPD, el consentimiento por correo electrónico debe ser independiente . Nunca incluya el consentimiento con sus términos y condiciones, avisos de privacidad o cualquiera de sus servicios (a menos que el consentimiento por correo electrónico sea necesario para completar ese servicio).
Artículo 7 (4):
“Al evaluar si el consentimiento se otorga libremente, se tendrá muy en cuenta si […] la ejecución de un contrato, incluida la prestación de un servicio, está condicionada al consentimiento para el procesamiento de datos personales que no es necesario para la ejecución de ese contrato ".
Ejemplo
En la misma captura de pantalla anterior: cuando alguien descarga un libro electrónico u otro contenido de Litmus, hay una casilla sin marcar para ingresar a nuestra lista de correo electrónico. Pero registrarse para recibir correos electrónicos es opcional: siempre puede descargar el libro electrónico sin suscribirse a nuestros correos electrónicos.
Sin embargo, en este ejemplo a continuación, tenemos un formulario de suscripción por correo electrónico en el pie de página del sitio web de Litmus. La casilla sigue sin marcar, pero el asterisco rojo indica que se requiere consentimiento.
¿Por qué? Porque el consentimiento por correo electrónico es necesario para completar el servicio. En otras palabras, este servicio específico es para enviarle nuestros correos electrónicos, y no podemos hacerlo a menos que se inscriba.
3. Facilite a las personas la posibilidad de retirar el consentimiento y dígales cómo hacerlo.
Artículo 7 (3):
“El interesado tendrá derecho a retirar su consentimiento en cualquier momento […] Será tan fácil retirarlo como dar su consentimiento”.
Todas las leyes de correo electrónico importantes, incluidas CASL en Canadá y CAN-SPAM en los EE. UU., Requieren que las marcas brinden a sus suscriptores la oportunidad de optar por no recibir correos electrónicos. Cada correo electrónico promocional que envíe debe incluir una opción para darse de baja.
Si ya cumple con las leyes de correo electrónico canadienses, estadounidenses o europeas vigentes, es posible que no tenga que cambiar mucho en lo que respecta a este requisito para el cumplimiento de GDPR. Aún así, este es un momento perfecto para revisar su proceso de exclusión actual y asegurarse de que está siguiendo las mejores prácticas para cancelar la suscripción:
- No cobre una tarifa.
- No requiera ninguna otra información más allá de una dirección de correo electrónico.
- No requiera que los suscriptores inicien sesión.
- No pida a los suscriptores que visiten más de una página para enviar su solicitud.
Ejemplo
En el pie de página de cada correo electrónico promocional de Litmus, incluimos una opción para optar por no recibir correos electrónicos. Esto facilita la cancelación de la suscripción en caso de que un suscriptor pierda interés.
También vale la pena señalar que una experiencia de cancelación de suscripción hostil también es un factor importante de las quejas de spam. La mitad de los consumidores de EE. UU. Dicen que han informado de los correos electrónicos de una marca como spam porque no podían optar por no participar fácilmente, según nuestro informe Adaptación a la nueva definición de spam de los consumidores. Por lo tanto, colocar barreras de exclusión voluntaria no solo pone en peligro su cumplimiento legal, sino que también puede dañar su capacidad de entrega.
4. Conserve pruebas de quién dio su consentimiento, cuándo y cómo
GDPR establece las reglas sobre cómo recopilar el consentimiento y también requiere que las empresas mantengan un registro de esos consentimientos.
Artículo 7 (1):
"Cuando el procesamiento se basa en el consentimiento del interesado, el responsable del tratamiento debe poder demostrar que el interesado ha dado su consentimiento para la operación de procesamiento".
En algunos países, la carga de demostrar el consentimiento siempre ha sido responsabilidad de la empresa que recopiló la suscripción. Para muchos otros especialistas en marketing, sin embargo, este requisito es un nuevo desafío que enfrentar.
Mantener evidencia de consentimiento significa que debe poder proporcionar prueba de:
- Quien consintió
- Cuando consintieron
- Lo que les dijeron en el momento del consentimiento
- Cómo dieron su consentimiento (por ejemplo, al finalizar la compra o mediante el formulario de Facebook)
- Si han retirado el consentimiento
Ejemplo
Si alguien se registra para recibir actualizaciones de Litmus, recibe un correo electrónico pidiéndole que confirme su suscripción (lea más sobre los pros y los contras de la doble suscripción aquí). Si luego hacen clic en el enlace en el correo electrónico de solicitud de confirmación de suscripción, nuestro proveedor de servicios de correo electrónico registra esa acción. Con eso, podemos ver a cada suscriptor individual, ver cuándo se inscribieron y qué forma solían hacerlo.
5. Revise sus prácticas de consentimiento y suscripciones existentes.
Han pasado algunos años desde que GDPR entró en vigencia, pero si su lista de correo electrónico está saliendo de la hibernación, deberá verificar sus prácticas de consentimiento y los datos de consentimiento existentes.
Considerando 171:
"Cuando el procesamiento se basa en el consentimiento de conformidad con la Directiva 95/46 / CE, no es necesario que el interesado vuelva a dar su consentimiento si la forma en que se ha otorgado el consentimiento se ajusta a las condiciones de esta Regulación ".
Incluso si ha cumplido con las normas durante algún tiempo, siempre es bueno revisar periódicamente su proceso y el consentimiento de los suscriptores.
El RGPD se aplica a todos los suscriptores existentes de la UE y el Reino Unido en su lista de correo electrónico sin importar cuándo se agregaron, incluso si fue antes de que existiera el RGPD. Si sus suscriptores existentes le dieron su consentimiento de una manera que ya cumple con GDPR, y si mantuvo un registro de esas suscripciones, no es necesario que vuelva a recopilar el consentimiento de esos suscriptores.
Sin embargo, si sus registros existentes no cumplen con los requisitos de GDPR, debe tomar medidas:
- Audite su lista de correo electrónico existente. Averigüe quién en su lista de correo electrónico ya proporcionó el consentimiento conforme al RGPD y asegúrese de tener un registro claro de esos consentimientos.
- Implemente un programa de renovación de permisos. Para cualquiera de sus contactos para los que no tiene un consentimiento a prueba de GDPR, o si no está seguro de si su consentimiento es compatible o no, tendrá que ejecutar una campaña de nueva autorización para actualizar ese consentimiento. O elimine a esos suscriptores de su lista de correo.
Y aunque el consentimiento no caduca, es probable que se degrade con el tiempo. También depende del contexto: si alguien da su consentimiento para recibir un correo electrónico de nuevo en stock, por ejemplo, la expectativa es que el consentimiento caduque una vez que reciba esa notificación. No más correos electrónicos para esa persona.
Ejemplo
En Litmus, utilizamos un programa de renovación de permisos periódicamente para ayudar a mantener limpias nuestras listas de correo electrónico. Incluye un lenguaje muy explícito que le pide al suscriptor que confirme que aún desea recibir nuestros correos electrónicos haciendo clic en un enlace de confirmación en el correo electrónico.
Las campañas de renovación de permisos son una forma poderosa de actualizar los registros de contactos existentes para garantizar el consentimiento que cumpla con el RGPD, pero requieren una planificación y ejecución detalladas. Recuerde: si necesita un consentimiento actualizado para el cumplimiento del RGPD, pero su suscriptor no se compromete con su campaña de nueva autorización, debe eliminarlo de su lista de correo electrónico.
El consentimiento de sus suscriptores siempre debe valorarse
Sus suscriptores de correo electrónico son su audiencia más valiosa; trátelos de esa manera. Si bien estas medidas de consentimiento del RGPD deben aplicarse a sus suscriptores de la UE y el Reino Unido, todos los suscriptores merecen ser tratados con respeto. Establezca y continúe generando confianza con sus suscriptores. ¿Y si alguna vez quieren irse? Déjalos ir.
Descargo de responsabilidad
Esta publicación proporciona una descripción general de alto nivel sobre el consentimiento por correo electrónico en virtud del RGPD, pero no pretende, y no debe tomarse, como asesoramiento legal. Comuníquese con su abogado para obtener asesoramiento sobre las regulaciones de marketing por correo electrónico o cualquier problema legal específico.
Publicado originalmente el 22 de enero de 2018 por Bettina Specht. Última actualización el 8 de marzo de 2021, para mayor claridad y con nueva información.