Actualmente, uno de los aspectos que más está influyendo en la actividad cotidiana de las empresas es el Reglamento General de Protección de Datos (RGPD). Esta “nueva” normativa europea ha obligado a las organizaciones a modificar, entre otras cosas, la forma que tienen de recopilar y tratar los datos de sus clientes o la manera de realizar las campañas de marketing.
El RGPD va más allá de la mera protección de los datos, afectando a varias áreas y elementos de las empresas. Uno de dichos elementos, y a su vez de los más importantes, es la página web, cuya legalidad se rige por la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE) y también por la normativa en materia de protección de datos de carácter personal, es decir, por el RGPD y por la Ley Orgánica 3/2018 de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD).
Veamos como afecta cada una de estas normas a tu negocio online y algunas de las medidas que deberíamos tomar para cumplir con la legalidad vigente.
La LSSICE, la línea entre el spam y el mail marketing legal.
Seguramente te has encontrado alguna vez con que ese mail que has dejado en tu web para contactar con la empresa es utilizado por otras compañías para enviarte publicidad. Esta forma de contacto, camuflada como una acción de mail marketing, no solo no es correcta, sino que además infringe la normativa y puede suponer graves sanciones. La responsable es la LSSICE.
Dicha norma, en su artículo 21, indica claramente como se debe obrar en relación al envío de comunicaciones comerciales:
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En otras palabras, si no tenemos una relación comercial con la organización a la que nos queremos dirigir, emplear el correo de nuestra web para enviar comunicaciones comerciales está terminantemente prohibido y es sancionable si no se ha obtenido previamente el consentimiento.
La entrada en aplicación de la normativa europea de protección de datos ha venido a reforzar este consentimiento, puesto que ha desaparecido el consentimiento tácito y actualmente se requiere un consentimiento expreso (otorgado a través de una acción positiva, como marcar una casilla o hacer un scroll) y en algunas ocasiones un consentimiento explícito, pudiendo revocarse el mismo en cualquier momento. Esta acción es obligatoria y no responder a un mail de solicitud de consentimiento no supondría en ningún caso el consentimiento por parte de la persona.
Como más arriba se ha mencionado, en el caso de que exista una relación comercial previa no es necesario solicitar el consentimiento para el envío de comunicaciones comerciales relacionadas con los productos o servicios que se están suministrando o prestando. El desconocimiento de este detalle y de que los consentimientos ya otorgados en el pasado seguían siendo válidos supuso que, con la psicosis surgida el 25 de mayo de 2018 por la entrada en aplicación del RGPD, muchas compañías enviasen mails para volver a solicitar el consentimiento de clientes que ya se había obtenido en el pasado, y al no recibir respuesta por parte de dichos clientes ese consentimiento era denegado, por lo que se dilapidaron innecesariamente bases de datos limpias en casi un 90% por puro desconocimiento de la normativa, puesto que ese correo de solicitud de consentimiento sólo tenía sentido para aquellos clientes no habían otorgado previamente el mismo.
En conclusión, la LSSICE condiciona la manera que tenemos de captar posibles clientes potenciales desde un punto de vista outbound. Enviar comunicaciones comerciales empleando el mail para consultas de la web constituye una infracción y puede ser objeto de multas administrativas. No obstante, este consentimiento se puede obtener básicamente de dos formas:
- El cliente nos deja sus datos voluntariamente en uno de nuestros formularios aceptando el envío.
- Mediante una llamada telefónica contactamos con la empresa o el cliente potencial para buscar su permiso expreso a recibir algún tipo de comunicación comercial.
El RGPD y la LOPDGDD, el cambio de paradigma en la protección los datos.
Si bien la LSSICE conlleva ciertas consideraciones a tener en cuenta de cara a realizar un determinado contacto web, las normas que verdaderamente han supuesto un cambio de paradigma son el RGPD y la LOPDGDD que, si bien no afectan en demasía a la legalidad de la web, sí que lo hacen considerablemente en cuanto al tratamiento de los datos personales que recopilamos con ella.
Antiguamente, La protección de los datos de las personas venía regulada por la Ley Orgánica de Protección de Datos 15/1999. Sin embargo, desde la entrada en aplicación del RGPD en mayo de 2018, y sobre todo, desde la entrada en vigor de la LOPDGDD en diciembre del mismo año, la LOPD 15/1999 ha quedado derogada, salvo 3 artículos que residualmente se mantienen todavía.
En otras palabras, toda empresa que actualmente base su cumplimiento y su política de privacidad en la LOPD 15/1999 no solo no tiene una política de protección de datos, sino que además no se ha adaptado al RGPD, conllevando el riesgo de graves sanciones.
En cuanto a la LOPDGDD, hay que decir también que no se trata de una sustitución como tal de la LOPD, sino de una extensión y adecuación de la misma al RGPD, no pudiendo en ningún caso contravenir la normativa europea, siendo un complemento a la misma.
Con la nueva normativa, el cambio de concepción ha sido total, puesto que el actual sistema se basa en el principio de responsabilidad proactiva o “accountability”, pasando de una postura reactiva a una proactiva por parte de las empresas y que se basa en la implantación de un sistema compliance o de prevención en la empresa, adaptado a los diferentes tratamientos que la organización lleve a cabo y que deberá dirigirse a mitigar los riesgos detectados en un análisis previo que obligatoriamente debe realizarse.
Con el fin de proteger los datos personales obtenidos y que se tratan cotidianamente, el sistema va dirigido a que de un modo constante se creen, evalúen y revisen medidas implantadas de manera proactiva con el fin de evitar posibles brechas de seguridad y fugas de datos en su tratamiento.
Además, el hecho de ser un Reglamento europeo no implica que aquellas empresas que no estén ubicadas en la UE no se vean afectadas por el RGPD. En efecto, la recopilación y tratamiento de datos de personas que “se encuentren” en la UE (ni siquiera hace falta ser residente) por empresas externas a la misma implica que las empresas de Estados Unidos o de oriente (China, Corea, Japón…) tengan que adaptarse al RGPD si quieren dirigir sus productos o servicios a dichas personas que residan o se encuentren en territorio de la UE.
A título de ejemplo, afecta a empresas tales como Amazon o Aliexpress, plataformas de pago como Paypal o redes sociales como Facebook.
Por otro lado, con la entrada en aplicación del RGPD, los formularios de nuestra web deben cumplir tres requisitos fundamentales:
- Los datos que se soliciten deben ser identificativos e identificables.
- Solo se deben pedir aquellos datos necesarios para la acción específica.
- El usuario debe otorgar un consentimiento expreso para que se traten sus datos.
Las infracciones se clasifican en leves, graves y muy graves. De ellas se deriva que La cuantía de las sanciones administrativas que conlleva el incumplimiento de estas normativas, puede alcanzar máximos de hasta 20.000.000 de euros de multa o bien el 4% del volumen de negocio total anual global del ejercicio financiero anterior, siendo la cifra de mayor cuantía la elegida.
La baremación de las cuantías aplicadas depende de múltiples factores como el tipo de infracción, la duración de la misma, su reincidencia o las medidas que se tomen para minimizar los efectos del incumplimiento.
Un ejemplo reciente de sanciones aplicadas por incumplimiento del RGPD fue el caso de British Airways, que fue sancionada con 204,6 millones de euros de multa debido a varias infracciones cometidas por no disponer de las medidas necesarias para hacer frente a la brecha de seguridad que sufrió y que supuso una importante fuga de datos.
Las 9 claves para el cumplimiento del RGPD en mi negocio online.
Una vez descrito como afectan las diferentes normas a una web, te ofrecemos 9 breves consejos a considerar para el cumplimiento del RGPD desde el punto de vista de tu empresa.
- No bases tu cumplimiento y tu política de privacidad en la ya derogada LOPD 15/1999.
- Asegúrate de que en tu política de privacidad figure la ley en la que está basada.
- Indica la finalidad para la que van a ser tratados los datos y el tiempo de conservación.
- Cuenta con un Delegado de Protección de Datos que se ocupe de la gestión de los datos provenientes de la web y del control de la legalidad.
- Asegúrate de que exista un consentimiento específico para la cesión de datos a terceros por parte del usuario.
- El usuario siempre debe poder acceder, de una forma sencilla y gratuita, a la solicitud de acceso, modificación o supresión de sus datos de la base de datos en todo momento.
- Es muy conveniente que los datos que recopiles en tus formularios sean securizados de algún modo de cara a potenciales fugas o robos.
- Los datos personales que obtengas solamente deben ser utilizados para el fin con el que fueron recogidos.
- Revisa y evalúa continuamente las medidas de seguridad de la empresa para asegurar el cumplimiento del principio de responsabilidad proactiva o “accountability!.