Cuando el mail marketing incumple el RGPD

En anteriores posts, hemos mencionado algunos errores comunes en los que suelen incurrir las empresas en relación al cumplimiento del RGPD. Sin embargo, existe otro error común en relación a dicha normativa que se suele cometer por parte de las organizaciones en cuanto a marketing se refiere y que incumple gravemente la Ley, lo que conlleva la posibilidad de imposición de fuertes sanciones. Nos estamos refiriendo al mail marketing.

Pero no nos estamos refiriendo aquí al mail marketing per se, sino al que se lleva a cabo utilizando el correo de contacto o bien a través de los formularios de contacto que las empresas incorporan a sus webs. ¿Cuántas veces te has encontrado spam en tu bandeja de entrada de empresas que promocionan sus servicios y a las que no has dado el consentimiento para el envío de esas comunicaciones comerciales? Gracias al RGPD esto es denunciable y sancionable.

La primera cuestión que debemos plantearnos es si la dirección de correo electrónico se considera un dato de carácter personal. Dado que está compuesto por caracteres que identifican al individuo (en caso de que identifique a una persona física) se puede concluir que efectivamente es un dato de carácter personal. El RGPD solo es aplicable a las direcciones de correo que se puedan considerarse de este modo.

Es el artículo 21 de la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico) el que regula esta situación disponiendo que no es legal el envío de comunicaciones comerciales si la empresa no ha otorgado su consentimiento previo para ello, o bien exista una relación contractual previa, como indica el apartado 2 del referido artículo.

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

¿Qué ocurre con el mail marketing si los correos son considerados un dato de carácter personal?

Para realizar un mail marketing que se ajuste al RGPD es necesario que el mismo se apoye en una base legal que haga legitimo el tratamiento de los datos. Si se tiene en cuenta la regulación europea, serían dos las bases legales a considerar:

1. Cuando los datos personales hayan sido proporcionados directamente por los destinatarios y se haya obtenido su consentimiento expreso y acreditable con el envío de campañas de e-mail marketing. En este caso, la base legal sería el consentimiento.

2. Cuando el remitente y el destinatario estén vinculados por una relación contractual previa y respecto de productos y/o servicios similares a los contratados. En este caso, sería el interés legítimo del cliente, eso sí, siempre que se envíe información vinculada a la compra o transacción.

Así mismo, para cumplir con el RGPD conviene mencionar 3 aspectos adicionales:

• Solo podemos solicitar aquellos datos que sean necesarios para el envío de los correos comerciales.
• No podemos utilizar los datos recopilados para una finalidad diferente.
• La información recabada no se puede compartir, salvo que se trate de una obligación legal.

También debemos destacar que la compra de bases de datos no asegura que el tratamiento de los mismos cumpla el RGPD si no conocemos que es una base de datos limpia. Únicamente si nos cercionamos de que se ha obtenido el consentimiento de los destinatarios y el consentimiento de la cesión de los datos para fines comerciales podremos llevar a cabo las acciones de promoción correspondientes.

El desconocimiento de las empresas en la materia

Por último, en relación con el mail marketing, conviene hacer referencia al grave error en el que incurrieron las empresas en el momento de la entrada en aplicación del RGPD, el 25 de mayo de 2018, y que supuso una “trampa” derivada de una inadecuada interpretación.

Los cambios en la política de privacidad de las empresas tuvieron como consecuencia que sus clientes recibiesen infinidad de correos alertando de que se habían cambiado las políticas para ajustarse al RGPD, solicitando además nuevos consentimientos que no eran en absoluto necesarios si ya existían dichos consentimientos con anterioridad.

La mayoría de aquellos correos de empresas no solo informaban del cambio sino que además solicitaban a sus clientes volver a otorgar el consentimiento para el tratamiento de los datos o el envío de comunicaciones comerciales.

Al igual que no era necesario informar de todos los cambios, tampoco lo era volver a solicitar el consentimiento si ya se poseía. Numerosas empresas aprovecharon esta situación para intentar conseguir un consentimiento que previamente no disponían bajo el pretexto de adecuarse al RGPD. El Considerando 171 del RGPD especifica claramente este aspecto.

(171) La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.

El intento de obtener de nuevo un consentimiento que ya existía se volvió en contra de estas empresas conforme a la nueva regulación. Todos aquellos mails que fueron enviados y no obtuvieron el consentimiento expreso o el “clic” necesario (hasta un 90%), automáticamente supusieron una retirada del consentimiento, dilapidando innecesariamente bases de datos limpias y legalmente obtenidas en un momento anterior a la entrada en aplicación del RGPD.

Como hemos podido comprobar, la nueva política de protección de datos en combinación con otras leyes como la LSSICE afecta a sectores ajenos al ámbito legal como son el marketing y la publicidad. Es necesario considerar que a la hora de contactar a un cliente potencial tengamos en cuenta incluso si podemos hacerlo desde un punto de vista legal.

El departamento de Leasba especializado en derecho de las nuevas tecnologías dispone de servicios de asesoramiento en materia de RGPD, LSSICE y consultoría tecnológica que orientan a las empresas sobre la forma correcta de obrar conforme a la legalidad vigente. Si estás sufriendo spam no deseado de terceros o si necesitas asesoramiento en el correcto acercamiento a tus leads, en Leasba te ayudamos.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.

También publicada en Medium.