¿Estás dispuesto a perder tu lista de suscriptores? - El consentimiento RGPD
Contenidos
Imagina que llega el día en que descubres que tu lista de suscriptores, esa que has alimentado con tanto esfuerzo y que has visto crecer durante años, ya no es válida y no puedes seguir utilizándola.
Ese día ya llegó, y fue en mayo del 2018.
Desde entonces, hay listas que se pueden seguir usando y otras que no. Es muy posible que en este mismo momento, estés dudando de si tu lista está en el lado bueno o en el lado malo.
Si no has estado al tanto de los cambios en la ley sobre la RGPD, es posible que estés en el lado malo.
Y eso es peligroso.
Créeme que este post no pretende convertirse en el cuento del lobo, más bien todo lo contrario.
Ya te hemos contado en más de una ocasión, el protagonismo que tiene el consentimiento para el Reglamento Europeo de Protección de datos (RGPD) y no, no es que hayamos decidido ser unos cansinos, es que debes conocer la trascendencia que tiene el consentimiento en el futuro de tu negocio.
Entre tú y yo y sin miedo a equivocarme, puedo afirmar que el consentimiento RGPD es la pieza clave en cualquier estrategia comercial y de marketing.
Porqué deberías ocuparte del consentimiento RGPD “right now”
El RGPD plantea otra dimensión del consentimiento que en la que certifica la voluntad del usuario.
Esta nueva dimensión hace que la materia prima de toda campaña, los registros, leads, datos de usuarios, pueda quedarse obsoleta o caducar a menos que te ocupes de acondicionarla adecuadamente.
Si, como lo oyes, o te ocupas de “acondicionar” adecuadamente los registros que tengas y los que vayas a obtener, o tu lista no vale nada, sencillamente, porque no es una lista legítima que puedas seguir utilizando sin riesgos.
Después de tres años del cambio de la ley, no puedes seguir utilizando las fórmulas de consentimiento tácito rgpd o por omisión, porque el RGPD, exige que la voluntad del usuario no admita ningún resquicio de duda, concretamente, el RGPD indica que el tratamiento sólo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
Por qué debería importarme el consentimiento de mis suscriptores
Aunque los amantes del marketing y de Seth Godin no paramos de hablar de las bondades del permiso, lo cierto es que este refuerzo del consentimiento RGPD no sentó bien precisamente bien a muchos bloggers o empresarios con negocio digital, en especial, cuando les explicamos que tienen que informar por capas como requisito indispensable del consentimiento…
“¿En serio es obligatorio y pretenden que pongamos todo ese tocho de texto dentro de un formulario? ¡Si pongo eso me come media Home!, ¿nos hemos vuelto locos?”
“Eso de poner un “check box” creo que bajaría el porcentaje de leads captados, cuantas más «acciones» le pides al usuario, peor es el resultado”
“Tanto texto debajo del formulario de suscripción de una web da miedo, se van a desplomar las suscripciones a mi web”
Todos son argumentos válidos, razonables y entendibles que seguramente tú compartas.
Son temores comunes a todos los que dependemos de una lista como materia prima de nuestro negocio.
Para resumirlo en una frase, te diré que para el RGPD, el consentimiento es el rey.
Y es normal que los cambios produzcan resistencia, más cuando nos obligan a redefinir toda nuestra estrategia, a transformar todos esos formularios tan cucos y molones que nos curramos y a ejecutar nuevas acciones a las que no estamos acostumbrados.
Todo cambio al principio no es agradable y es molesto, pero hay cambios que son necesarios para seguir avanzando, ya sabes que no sobrevive el más fuerte sino el que mejor se adapta y este es un cambio sustancial en la manera de entender el permiso.
“no sobrevive el más fuerte sino el que mejor se adapta”
Cómo legitimar el consentimiento en el RGPD
Para explicarlo de forma terrenal, el RGPD nos pide que siempre que solicitemos información personal, nos aseguremos de que la persona a quien le pedimos sus datos, conozca y consienta el tratamiento de éstos, conforme le hemos informado, vamos, de que no haya la menor duda de que está de acuerdo en que por ejemplo, lo incorporemos a nuestra lista y le mandemos boletines periódicamente.
Las fórmulas en las que presuponemos este consentimiento, es decir, las basadas en la inacción del ciudadano, no son válidas ni legales. De esta forma, quedan descartados los tipos de consentimiento por defecto: el silencio y las casillas ya marcadas no pueden constituir formas de consentimiento del reglamento de protección de datos en ningún caso.
Un ejemplo de consentimiento rgpd no utilizado en formulario de suscripción tipo de algunos blogs:
Aquí no hay un ejemplo de consentimiento RGPD acreditable ni verificable de la voluntad del usuario respecto al tratamiento que se piensa realizar, porque entre otras cosas, el usuario desconoce la voluntad del prestador, su identidad y si piensa ceder o no su información a terceros por ejemplo.
El nuevo Reglamento en su punto 32 señala: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”.
Por tanto, para que el consentimiento sea legítimo, tiene que cumplir algunos requisitos:
- Consentimiento Expreso RGPD significa que la opción de suscripción no puede usar una casilla de opt-in ya marcada o fórmulas del tipo: “al completar el formulario me das permiso para quedarme en tu casa todos los fines de semana”.
- Consentimiento Específico requiere que cada contacto realice una acción para dar su consentimiento con una finalidad previamente informada. Además, el mensaje de opt-in que utilices debe indicar todas las formas en que podrías utilizar los datos personales que recopilas, porque se trata de un consentimiento específico y no genérico. Esto significa que según la finalidad que persigas en cada formulario, deberás explicarle al usuario para qué te propones utilizar esos datos, porque no es lo mismo la finalidad que le das a un formulario de contacto, que a uno de captación o uno de venta. Cada formulario, debe incluir una descripción específica de la finalidad que persigue.
- Verificable: debes ser capaz de acreditar que lo has obtenido conforme exige el RGPD.
No basta con hacerlo bien, deberás poder acreditar el consentimiento RGPD
Esta parte es de importancia capital. ¿Cómo nos ocupamos de que sea verificable?
Ya no basta con no hacerlo mal, ahora es necesario acreditar que lo estamos haciendo bien. El consentimiento verificable requiere necesariamente de un registro escrito de cuándo y cómo alguien decidió permitirte procesar sus datos personales.
En el caso de los formularios online, se debería aportar capturas de la primera capa informativa y de la segunda, con la información más detallada.
La forma correcta sería recabar el consentimiento conforme exige el RGPD y dejar constancia de que todas las personas de nuestra lista, han prestado este consentimiento mediante un registro.
¿Cómo llevar un registro de esos consentimientos?
Ten en cuenta que poder acreditar esos consentimientos es tan importante como recogerlos conforme exige el RGPD.
Ya que el consentimiento para que sea válido debe ser verificable, te recomendamos que obtengas el consentimiento por escrito o de manera archivable para cada suscriptor.
Este registro por tanto, deberá contener una serie de datos que confirmen la validez de los consentimientos RGPD recabados, por ejemplo, deberá contener:
- La fecha en la que se otorgó.
- La IP
- El email y la URL implicados
- Y el nombre del usuario.
Te lo mostramos a continuación:
Tus formularios y la plataforma de email marketing con la que trabajes, deben permitirte por tanto, recopilar la dirección de correo electrónico, la dirección IP y la marca de tiempo asociada a todos los que envían el formulario.
También deberías poder presentar capturas de datos vinculados a la política de privacidad, y demás avisos legales vigentes en aquel momento. Los pasos por tanto serían dos:
- Captar legalmente los nuevos suscriptores con un formulario que permita recabar datos conforme exige el RGPD siguiendo este modelo.
*Casilla de verificación
*Enlace a política de privacidad
*Coletilla legal del formulario
- Llevar un registro con marca de tiempo de todos nuevos suscriptores.
Cómo convertir al consentimiento RGPD en un permiso reforzado
Olvídate por un momento del requisito legal y de las sanciones “quita hipos” que te pueden caer por incumplimiento. Piensa solo en tu estrategia.
¿Te gustaría contar con una lista de usuarios verdaderamente comprometidos con tu negocio digital o blog?
¿Te gustaría una lista depurada, donde quienes reciban tus boletines sean quienes realmente desean recibirlos?
¿Te gustaría que tu tasa de abandonos y bajas de lista sean algo marginal?
No hace falta ser un lumbreras para saber que has respondido afirmativamente a todas estas preguntas y eso solo indica una cosa: el refuerzo del consentimiento es tu mejor herramienta para conseguirlo.
El consentimiento en el RGPD significa un permiso expreso y verificable para recibir tus comunicaciones ¿acaso hay mejor declaración de lealtad y amor?
Requerir un “check box” de consentimiento RGPD no puede perjudicarte, más bien todo lo contrario ¿Crees de verdad que un usuario a quien le interesen verdaderamente tus contenidos va a desistir de hacerlo por un casilla que tiene que clickear? Y si esa casilla lo hace desistir… ¿Crees que de verdad ese lead es un lead de calidad? Para mí, y para otros expertos del marketing, este requisito lo que hace en cualquier caso, es aumentar la calidad de los leads.
Es cierto que todos estamos acostumbrados a la mecanización, a darle a todo que sí sin leer y continuar y cuánto más ágil sea el proceso, mejor, pero el RGPD cambia las reglas de juego y eso nos obliga a un cambio de mentalidad, a tomarnos nuestra privacidad más en serio y en especial, a la de los demás si somos quienes gestionamos la privacidad de otros.
Piensa que proyectar una imagen de infractor nunca es una buena publicidad.
Es además, la mejor oportunidad para diferenciarte, pero esto no durará mucho, cada día hay nuevos profesionales que acuden a Legal Box Plus para adecuar sus webs y proyectos online al RGPD y cada vez serán más notorias y notables las diferencias.
¿Qué pasa con los consentimientos previos?
Es importante recordar que los consentimientos obtenidos con carácter previo a la entrada en vigor del nuevo reglamento, sólo serán válidos cuando hayan sido recabados respetando los principios exigidos por el mismo, es decir, que sean consentimientos expresos, pero también verificables.
En caso de que los consentimientos no cumplieran con estos requisitos y hayan sido obtenidos por ejemplo, por omisión, deberías suspender esa práctica y sustituirla por otros procedimientos que permitan obtener el consentimiento de forma expresa. Lo mismo ocurre si no podemos acreditar la forma en la que los hemos obtenido.
Un buen ejemplo de regularización de registros es el que llevó a cabo MailChimp, a quién desde luego le aplaudo la gestión tan cuidada que desarrolló para adecuarse al RGPD.
En su momento envió a sus clientes, el siguiente correo:
Básicamente, informaron a sus clientes que el 25 de mayo de 2018, la UE aplicó una nueva ley de protección de datos llamada Regulación General de Protección de Datos (GDPR). Y que son conscientes que la preparación para este cambio regulatorio es una prioridad para muchos de sus clientes, y también es una prioridad para ellos.
Para adecuarse a estos nuevos requisitos, decidieron implantar una actualización del “MailChimp DPA” existente que se ha actualizado específicamente para reflejar los requisitos del GDPR.
El DPA actualizado.
En la nota, se requiere a los clientes que completen el siguiente formulario en dónde se recaba el consentimiento expreso con sus nuevas políticas.
Tipos de consentimiento RGPD
Como ya hemos comentado podemos encontrar varios tipos de consentimientos RGPD. ¡Vamos a ello!
El consentimiento expreso RGPD
Según el artículo 4.11 del RGPD el consentimiento expreso es «Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
Es decir, el consentimiento expreso es aquel que se otorga de forma explícita, directa y libremente. Esta información muchas veces se ‘esconde’ en largas políticas de privacidad perdiendo así el control de los datos de sus suscriptores por parte del responsable de tratamientos de datos. De esta manera estamos infringiendo los derechos de protección de datos de nuestros suscriptores y caminando hacia una senda repleta de sanciones RGPD.
Sigue conmigo y aprende a como otorgar el consentimiento expreso.
¿Cómo solicitar el consentimiento expreso RGPD?
Para poder solicitar el consentimiento expreso de tus suscriptores has de presentar la opción de consentimiento de forma clara y concisa, utilizando un lenguaje fácil de entender. Esta solicitud de consentimiento debe dejar claro para que se va utilizar sus datos personales y si va haber transferencia de datos. También deberá aparecer los datos de contacto de la empresa que trata los datos.
El consentimiento informado
Para poder solicitar el consentimiento expreso de tus suscriptores has de presentar la opción de consentimiento de forma clara y concisa, utilizando un lenguaje fácil de entender. Esta solicitud de consentimiento debe dejar claro para que se va utilizar sus datos personales y si va haber transferencia de datos. También deberá aparecer los datos de contacto de la empresa que trata los datos.
El consentimiento tácito RGPD
El consentimiento tácito es una forma implícita de dar el consentimiento. No queda reflejado de forma expresa en ningún medio sino que se consiente a través de acciones u omisiones.
¿Se admite actualmente el consentimiento tácito?
Actualmente no se admite el consentimiento tácito ni por el RGPD ni por la LOPDGDD. El consentimiento debe ser siempre explícito o tácito ya que debe ser siempre expreso.
Otros tipos de consentimiento RGPD
Dentro de los consentimientos RGPD también podemos encontrar:
- Consentimiento presunto: En este tipo de consentimiento se presume que el usuario acepta totalmente el procedimiento ya que de haberse consultado al titular, éste hubiese otorgado el consentimiento.
- Consentimiento de revocación: El usuario tiene derecho a desistir y revocar el consentimiento RGPD de forma sencilla y gratuita.
Legal Box Plus para cumplir con el consentimiento RGPD de tu lista de suscriptores
Como ves, para toda dificultad hay una solución; para cada obstáculo, la posibilidad de superarlo, para cada reto, una oportunidad de superarnos.
En Legal Box Plus, llevamos mucho tiempo trabajando en estos retos, sabemos que tu tiempo es valioso. Somos conscientes que posiblemente no te sobran recursos para dedicarlos a esta adecuación y sabemos sobradamente que no es una tarea nada sencilla. Hemos dedicado horas y horas de análisis y desarrollo para que cada web tenga un traje legal a medida, utilizando la herramienta Legal Box.
Ya nos hemos quedado muchas noches sin dormir para que tu puedas dormir a pierna suelta y puedas tener una solución sencilla a un reto complejo.
Busca aquí el traje legal que necesita tu proyecto.
¿Quieres cumplir con todos estos requisitos de forma sencilla?
Consigue todo lo que necesita tu web para pasar al siguiente nivel, a un clic gracias a la herramienta legal box.
Foto by Vectorjuice de www.freepik.es y by Storyset de www.freepik.es
Mercados Digitales, Novedades del Reglamento en 2022
¿Cómo soluciona la herramienta Legal Box tus problemas legales?
Últimas Noticias de Protección de Datos en 2022, Parte 2
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Luz Soluciones TIC, S.L(Legal Box Plus) Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus. Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí en nuestra Política de Privacidad
Buenos días:
En el caso de formularios de suscripción para un boletín informativo, ¿es obligatorio el uso de un checkbox de confirmación?
Lo pregunto porque en mi caso utilizo un sistema de doble opt-in, de manera que al usuario le llega un email de confirmación en el que se le informa de la política de privacidad y del uso de sus datos. ¿Sería necesario, además, incluir un checkbox?
Gracias
Hola Emiliano, gracias por pasarte por aquí. El RGPD realmente dice que se tiene que obtener el consentimiento mediante un acto afirmativo, inequívoco, informado y verificable, la manera de más sencilla de obtenerlo cumplimiendo con esos 4 requisito es el checkbox, siempre que ese checkbox genere un log que te permita registrarlo adecuadamente, tan como se explica en el post.
Un abrazo
Hola Emiliano, si es obligatorio, no es lo mismo el doble opt-in, que solo certifica la identidad del usuario que una casilla de consentimiento asociada a una información concreta. El primero es un mecanismo de autenticación, el segundo de consentimiento con lo explicado.
Un abrazo
Hola de nuevo,
Gracias por la respuesta. Me queda la duda, entonces, de si el doble optin es obligatorio en los registros o, al marcar el usuario la casilla ya podríamos interpretar que con un solo paso (marcar el check-in) da su consentimiento y se identifica correctamente.
Gracias
El doble opt-in es obligatorio como sistema de autenticación y para validar que el usuario es quién dice ser, de no tenerlo, cualquier usuario podría realizar suscripciones fraudulentas o incluso, suscripciones usurpando la identidad de otros, el check box y el doble opt-in son herramientas complementarias, igual de necesarias.
Un abrazo
Hola,
Tengo un blog en el que hay comentarios antiguos (las cuentas de EMail de los usuarios están almacenadas en la base de datos que se encuentra en el alojamiento web, y que no han sido usadas para nada más).
La lógica dicta que resultaría imposible obtener el consentimiento de todos esos usuarios (lo que sí habría que hacer con los suscriptores), ¿qué se debería hacer con ellos entonces, eliminarlos?
Un saludo y muchas gracias.
me sumo a esa pregunta 🙂
Pues yo me he encontrado con un caso, donde además, los comentarios venían de la versión anterior del blog en wordpress.com… así que yo en ese caso sí, los he borrado, los e-mail y las ip, y todos los apellidos. Comentarios anonimizados en un momentito.
Entonces, los borro ya mismo todos los comentarios antiguos?? o se pueden anonimizar con algun pluggin?
Hola! gran artículo muchas gracias.
Tengo una duda. Mailchimp ha sacado en su Form builder para la captación de suscriptores un campo para cumplir con la nueva ley, el tema es que no permite el formato para embeberlo con HTML por ejemplo en Thrive Leads.
Lo que ha generado no es un simple checkbox de verificación como el que comentas, sino que es un campo especial para la nueva ley.
Mi consulta es: ¿con un simple checkbox y la confirmación de mailchimp por email del nuevo suscriptor alcanza? ¿O en mailchimp solo vale el campo especialmente agregado?
Muchas gracias de antemano!
Hola Pablo, con el check box y un sistema que te permita verificarlo vale, debes asegurarte que ese check box genere un log de registro.
Un abrazo
Buenos días,
Tengo una duda y no encuentro respuesta en ningún sitio…
En que caso debemos tener un registro de consentimientos?
Si en un formulario ya tenemos el checkbox y toda la informacion legal (las dos capas), es realmente obligatorio tener este registro?
Entiendo para una lista de suscriptores (blog, newsletter…). Es obligatorio, hasta para una asociacion con pocos socios?
Luego, si es por ejemplo un formulario de contacto, un formulario de reserva, un pedido… hay que hacerlo siempre?
Gracias de antemano
Hola Sandrine, siempre que se recaben datos por primera vez, es necesario informar según estable el RGPD y recabar un consentimiento verificable con lo informado, ten en cuenta que la carga de la prueba la tiene que aportar la parte denunciada y no vale un formulario adaptado, hay que contar con un log de registro que permita acreditar ese consentimiento en caso de tener que aportarlo.
Un fuerte abrazo
Buenas tardes, lo primero muchas gracias por el artículo, me ha sido de mucha utilidad.
Tengo una duda que agradecería mucho que me la resolvieran. ¿Es totalmente necesario guardar la IP del usuario? Realmente en la ley no especifica nada al respecto. Yo entiendo que está relacionado con la acreditación del consentimiento, pero claro, la IP es un dato que puedo tomar del usuario, al igual que el navegador que esté usando, por ejemplo.
Muchas gracias
Hola buenas noches,
Con respecto al consentimiento tengo claro que hay que poner una casilla (desmarcada) para obtenerlo de forma expresa, pero… ¿si ya en la resumen del formulario se indica que se enviarán actualizaciones del sitio web Y ADEMÁS eventuales ofertas comerciales?, ¿sería necesario poner una casilla para cada tipo de contenido o es suficiente con una al estar especificado?
Un saludo y muchas gracias !
Hola Javier, siendo escrupulosos, el Reglamento define el consentimiento en su artículo 4.11 :
“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Al definir como condición que sea especifico, las finalidades del tratamiento de datos deben aparecer de manera específica y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos.
Por tanto, la clave es que el cosnentimiento sea granular, es decir, que exista una opción de consentimiento para cada finalidad y que vaya acompañado de información específica y separada para cada uno de los consentimientos, es decir, uno para suscribirse y otro para recibir ofertas comerciales.
Un abrazo
Hola,
En caso de una app que usa Facebook Login y Google Login para iniciar la app, ¿se podría usar esos emails que te los da Facebook y Google? Es decir, cuando se registran con Facebook ya dan permiso a facebook para dar los correos ¿o necesitaría pedirles permiso para enviar correos promocionales? Lo más seguro seria el check pero podría perder usuarios, solo lo pondría en caso de ser imprescindible. ¿Lo es o ya han dado el consentimiento al registrarse con facebook? Gracias! Buen trabajo!
Hola Alberto,
Solo podremos hacer envíos de email marketing con las cuentas y perfiles de Facebook o Google en las que hayamos obtenido su consentimiento, para lo que se deberá enviar un primer correo no comercial, donde los remitentes puedan aprobar o rechazar la recepción de comunicaciones a través de dicha vía. No podrás contactadar por email para envío comerciales sin su consentimiento en ningún caso. Por lo que, una sugerencia de primer contacto, sería invitarles a formar parte de nuestra base de datos mediante el chat de de Facebook o Google, las publicaciones y/o los comentarios.
Un abrazo
Hola, el formulario propuesto no cumple la GDPR.
Por 2 motivos:
1.- “La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para enviarte nuestras publicaciones, promociones de productos y/o servicios y recursos exclusivos.”
Respuesta: La finalidad es para enviarme el Manual y pobre de ti que me envíes algo más.
2.- A no ser que me llegue el doble Optin… el Formulario no me deja elegir si quiero o no recibir información comercial independientemente de aceptar la política de privacidad.
Saludos
Hola Jimmy, realmente no es así, el lead magned es solo para agradecer la suscripción y el consentimiento se solicita con la finalidad de añadir al usuario a nuestras listas y poder ofrecer de forma ocasional, información comercial sobre productos o servicios que ofrecemos, en ningún caso requerimos consentimiento para descargar la guía.
Hola,
Somos una distribuidora y por lo tanto nuestros clientes son otras empresas (nunca cliente final) que previamente hemos tenido que dar de alta a través de un formulario completo.
Hemos enviado carta (a través de Mailchimp) de la nueva Ley RGPD a todos nuestros clientes para que acepten privacidad y actualicen preferencias. Mi pregunta es: ¿como controlo quién ha aceptado todo y quién no? No sé como “limpiar” la lista una vez llegado el día 25 de Mayo.
Muy agradecida por tu respuesta.
Hola Cristina, gracias por comentar, debes tener en cuenta que la necesidad de reconfirmar el consentimiento es solo para personas que no son clientes, es decir usuarios, suscriptores y clientes potenciales.
En estos casos, el proceso sería este:
1) Debes crear una campaña con nuestra plantilla “autorización para el tratamiento de datos”. Esta campaña estará destinada a volver a solicitar el consentimiento a sus contactos para que reciban tus envíos de e-mails. En ese correo se debe integhrar un mecanismo para recabar el consentimiento del usuario que sea inequívoco y verificable.
2) Identificar a los contactos que han vuelto a confirmar el consentimiento
Una vez que haya enviado su campaña, identificaremos a aquellos contactos que hayan vuelto a dar su consentimiento para recibir tus newsletters y serán los que podremos tratando en nuestras campañas, el resto los eliminaremos.,
3) Exportar prueba de consentimiento
Dependiendo de la herramienta que utilices, es importante poder realizar la exportación del informe de la campaña en formato .csv permite obtener la fecha y la hora en que se hizo clic,
Un abrazo y gracias por comentar
Hola!! como siempre un gran trabajo y mucha ayuda para todos nosotros.
Te hago dos consultas:
1) He realizado el reconsentimiento enviando un email a la lista, par que rellene nuevamente los datos haciendo click en el checkbox. Una vez que sucede esto, lo que te permite Mailchimp es hacer un auto-update del suscriptor registrando el click en el checkbox completando el campo que hayamos creado (grupo) en la lista para tal fin, tenemos la fecha de modificación y lo más importante la ruta desde donde se realizó dicho cambio, en este caso a través de la API, lo cuál deja en claro que no ha sido hecho a mano. ¿Te parece correcto? Porque me han llegado muchos emails de referentes del mundo online haciendo este método.
2) ¿Será posible enviarles después del 25 a los que no hayan hecho el reconsentimiento, un email para recordarles que deben hacerlo? Entiendo perfectamente que emails comerciales no, pero tengo la duda de si se les puede insistir con el reconsentimiento.
Desde ya que muchas gracias, y felicitaciones por todo el trabajo realizado.
Abrazo!
Hola Pablo,
Comentas que has enviado una campaña con Mailchimp que te da la posibilidad de obtener la aceptación del consentimiento con checkbox, ¿lo has hecho con la opción de Mailchimp Marketing Permissions (Permisos de marketing)?
Muchas gracias por tu ayuda.
Saludos.
Hola Pablo, desde el punto estrictamente legal, no deberías, dado que el 25 es el plazo final para tener regularizados y adecuados todos nuestros listados, ahora bien, esa decisión entra dentro de una gestión de riesgo. Tú debes analizar el riesgo que se genere una denuncia (entiendo que marginal) y lo que puede suponer una denuncia de una campaña de regularización, que justamente intenta ajustarse al RGPD, que entiendo mínimo también. En cualquier caso, es una decisión personal.
Un abrazo
Hola.
Tengo entendido que aunque mi web esté en latinoamerica, si recibo usuarios de Europa y tengo una lista de suscriptores con usuarios europeos, debo cumplir la ley, ¿estoy en lo correcto?
Por otra parte, la coletilla legal que se coloca en la sección de comentarios, he visto que algunos hacen referencia a su proveedor de email marketing, otros a su empresa de hosting (como en tu caso). Yo, siendo la sección de comentarios, he colocado como destinatario el sistema de comentarios de wordpress, pues allí es desde donde gestiono los comentarios que me llegan.
Tengo la duda, pues ahora que veo Raiola en tu caso, supongo que es que, directamente aunque se gestionen a través de tu gestor de comentarios, estos se almacenan en tu hosting. Agradezco me disipes la duda.
Gracias, y un saludo desde Colombia.
Hola. ¿Se deben entonces borrar todos los comentarios antiguos de las entradas de los blogs?
Buenos días.
Se puede requerir el consentimiento via email con fecha posterior a 25 de mayo? o debe ser como máximo el 25 de mayo?
Muchas gracias
EL RGPD tiene como plazo de adecuación final el día 25, todo tratamiento que se haga con posterioridad entra en un análisis de gestión de riesgo, tu debes evaluar si el riesgo es asumible o no.
Un abrazo
Buenas tardes,
¿Es el doble opt in obligatorio para poder renovar el consentimiento en una lista de mailing previa al 25?
Muchas gracias
El doble opt-in complementa el opt in de aceptación ya que es un sistema para autenticar al usuario.
Por otra parte, para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles.
Un abrazo
Hola,
Tengo una web con un formulario para pedir cita online en el que recojo nombre, apellidos, email y telefono de contacto. Una vez el usuario completa los datos recibo un email con dicha información.
En ningún caso hay registro de ususarios, únicamente recibo un email con esos datos.
Entiendo que aun así tengo que añadir un checkbox y un enlace a la politica de protección de datos. Podría confirmámelo?
Tampoco me queda claro el tema de la verificación. Puesto que no tengo ningún sistema de log, únicamente email, bastaría con añadir al email recibido la fecha, la IP, el email y la URL implicados o tengo que generar un log interno? Que se entiende por URL, es el la URL desde donde se aceptan las condiciones?
Un saludo
Gracias
Hola Alejandro, efectivamente, requieres un check box que permita recabar y acreditar ese consentimiento. Para poder decir que el consentimiento es acreditable, las empresas deben de poder documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles:
Es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.
En los Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes. en su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.
Hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento. Respecto a la URL, es justamente esa que comentas.
Un abrazo
hola.
muy buen articulo.
ahora… consulta… trabajo para una empresa de la UE pero en Argentina. Tenemos todos los mails de las personas que se registran en nuestro sitio y ahora queremos empezar a realiar envio de informacion. Como hago para obtener el consentimiento de toda estas personas. Obvio q desde el momento 1 toda esta gente aceptaron nuestros terminos y condiciones pero nunca hemos subido la lista a mail chimp para hacer envios. Podras ayudarme? gracias! slds
Hola Melisa, te explico lo que dice la ley:
Artículo 4.11 :
“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” Este adjetivo exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser realizada por medios electrónicos. Básicamente se habla de una manifestación de voluntad que se obtenga de manera independiente al hecho de acordar un contrato o de aceptar los términos y condiciones aplicables a un servicio.
De no cumplir con la obtención de un consentimiento libre, específico, informado e inequívoco, podría darse un perjuicio económico para la empresa en forma de multas y sanciones que el Reglamento regula, además de un Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR – el 25 de mayo de 2018 – solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, que puedas acreditar el consentimiento inequívoco, libre, informado e inequívoco. Deberías generar una campaña que te permita recabar esos consentimientos conforme exige el RGPD y poder acreditarlos.
Por otra parte, en su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro:
«podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».
Por otra parte, una cosa es el tratamiento a clientes, en dónde efectivamente, no se requiere validar el consentimiento porque existe una base legal para el tratamiento, el propio contrato, y puede ser el caso de raynair perfectamente.
El GT29 aconseja que todas las empresas revisen sus sistemas y procedimientos de recogida de datos personales para garantizar el cumplimiento de los requisitos previstos en el Reglamento.
Espero haberte ayudado.
Un saludo
Hola, tengo una duda respecto al registro de la IP. ¿Que ocurre si el usuario está detrás de un proxy o u tilizando un servicio vpn?, Gracias 🙂
Hola, mi pregunta es si para un tienda online en la que solo se van a recabar los datos necesarios para tramitar el pedido (nombre, dirección…etc) y no se utilizarán para enviar emails publicitarios ¿Sería necesario el doble opt-in? Creo que la identidad del usuario quedaría acreditada al pagar el pedido ya sea con tarjeta o contra reembolso dependiendo del caso.
Muchas gracias, ha sido muy útil el post y los comentarios.
Hola Luis, la autenticación es un tema fundamental a la hora de acreditar el cumplimiento RGPD, y más cuando estamos hablando de transacciones online, no en vano muchas empresas utilizan hasta 4 sistemas diferentes de autenticación. Por otra parte, recuerda que es fundamental poder acreditar el consentimiento del usuario y la única forma de hacerlo es mediante un check box.
Un abrazo y gracias por comentar.
Gracias por la rápida respuesta!!
Entonces ¿Tendría que hacer que una vez pulsado el botón de “GRABAR PEDIDO”, se le enviase un mail con un botón al cliente y el cliente una vez recibido el mail pulse en el botón desde el mismo para confirmar? En ese caso, si esto es lo obligatorio, ¿No podría enviar el pedido hasta que el cliente pulsara el botón desde el email?
Gracias por todo, un abrazo.
Buenos días. Ante todo muchas gracias por compartir estos post de gran utilidad.
Llevo varios meses investigando el tema del RGPD y no sé si es que soy el único que me hago ciertas preguntas pues no encuentro respuestas a ellas.
Primera situación: Tenemos datos de un usuario con su consentimiento verificable en nuestra base de datos; el usuario solicita borrar todos sus datos; borramos sus datos incluida la prueba de consentimiento pues está vinculada con su correo o IP. Si a la semana siguiente recibimos una reclamación por un correo que le hayamos mandado hace un mes, ya no podremos demostrar su consentimiento pues lo hemos borrado con sus datos. ¿Se puede mantener dicho consentimiento para demostrar que lo hemos tenido aun después de que el usuario desee borrar todos sus datos?
Segunda situación: Cualquier usuario “no registrado” nos manda un e-mail a la dirección de correo que ha visto en nuestro apartado de contacto, ¿al responderle mediante el mismo e-mail que nos envió se supone que hay constancia de su consentimiento?; al no existir coletilla informativa que pueda aceptar en su e-mail cuando nos lo manda, ¿podemos conservar los e-mails como prueba para posibles reclamaciones?
Tercera situación: Si un usuario solicita que borremos todos sus datos ¿cómo probaremos que lo hemos borrado con su consentimiento si ya no podemos tener ningún dato de él?
Un saludo y muchas gracias de antemano.
Hola Oscar, gracias por tus preguntas. Lo primero que debes hacer es dejar constancia de todos los procesos, empezando por el ejercicio de derechos, es importante que lleves un registro de todos los requerimientos y de las respuestas. Ten en cuenta, que cuando un usuario te pide la cancelación de su información, te lo pide con una finalidad, no significa que tengas que borrar sus datos, significa que tienes que bloquearlos, es decir, debes dejar de utilizarlos. Desde esa perspectiva, puedes conservar un registro de ese consentimiento previo siempre y cuando lo conserves a efectos de acreditación y no realices ningún otro tratamiento.
Respecto a la segunda situación, misma respuesta que en el primer caso, puedes conservar ese dato solo a efectos de reclamación, no obstante, en la misma respuesta deberás incluir un texto informativo relativo al RGPD.
Sobre la ultima cuestión. también respondida, debes bloquear esa información y acreditar que no la utilizas con ninguna otra finalidad.
Un abrazo
Muchas gracias, me has aclarado bastante el tema, un saludo y buen finde.
Hola,
Tengo una duda con el consentimiento. Tengo una lista de contactos en Mailchimp en la que todos los datos son recogidos únicamente a través de un formulario en papel donde la persona rellena unos datos básicos (nombre, apellidos, dni, fecha nacimiento, dirección postal, email). El formulario tiene un check box donde acepta que quiere ser socio y que todas las comunicaciones sean por medios electrónicos al email que indican. Además en el pie de página se informa sobre el tratamiento de sus datos y los derechos que puede ejercer. La persona además firma el formulario.
¿es necesario mandarles el mail de consentimiento o al ser por escrito de esta manera no haría falta?
Un saludo y muchas gracias!
Hola María, el consentimiento debe recogerse en el mismo medio en el que se recoge la información personal, así que lo estás haciendo correctamente, la única recomendación adicional es que en el correo, le recuerdes como has obtenido su información y como pueden revocar el consentimiento previo, basta con un pié en el boletín que configures junto a la firma.
Un abrazo y gracias por pasarte a comentar.
Hola,
Después de la aplicación del GDPR y de realizar la campaña correspondiente para verificar nuestra lista de suscriptores, no resultó demasiado bien y perdimos muchísimos.
Ahora nos gustaría volver a intentarlo pero entiendo que no está permitido realizar una campaña de mailing a los mismos suscriptores “perdidos”, pero ¿se puede hacer con los que ni siquiera abrieron el email? Es decir, como un segundo intento de campanya de “re-verificación”.
Muchas gracias!
Hola Judit, en este caso, deberías soperar el riesgo de realizar una segunda “repesca” una vez acabado el plazo para regularizar toda la lista, quizás la opción más inteligente es dirigir una acción mediante facebook ads a esos remitentes, al menos sería menor el riesgo al ser un a campaña menos directa, debes tener en cuenta que mayo era la fecha tope para obtener la legitimidad necesaria de esos leads, pasado ese plazo, ya no es legal tratar esa información y por tanto, no puedo recomendarte una segunda campaña.
Un abrazo