Correo. Inteligente. Eficaz.
Correo electrónico rápido y multiplataforma diseñado para filtrar el ruido.
Definición
💡 RGPD: el Reglamento General de Protección de Datos, básicamente la amplia ley de privacidad de la UE que controla cómo recopilas, almacenas y usas los datos personales de las personas (incluidas las direcciones de correo electrónico). Entró en vigor el 25 de mayo de 2018 y se aplica a cualquier organización que procese datos de residentes de la UE, sin importar dónde esté ubicada realmente tu empresa.
¿Cuándo importa el RGPD para el correo electrónico?
Si envías correos electrónicos a cualquier persona en Europa, estás bajo la jurisdicción del RGPD.
La normativa exige que protejas los datos de las personas y que les facilites controlar lo que haces con ellos.
Las organizaciones que infringen el RGPD se enfrentan a multas de hasta 20 millones de € o el 4 por ciento de los ingresos globales, lo que sea mayor. Eso no es precisamente una reprimenda leve.
En concreto, para el correo electrónico, el RGPD lo cambió todo sobre cómo funcionan los mensajes de marketing y los transaccionales. No puedes simplemente comprar una lista y empezar a enviar correos masivos. El RGPD exige que las empresas obtengan un consentimiento claro y explícito antes de contactar a alguien por correo electrónico. Eso significa casillas reales de suscripción voluntaria que las personas marcan activamente, no casillas premarcadas ni consentimiento implícito.
Pero no se trata solo de marketing. El RGPD regula toda tu operativa de correo electrónico. Cuánto tiempo almacenas los mensajes, cómo los proteges y qué ocurre cuando alguien te pide que elimines sus datos. Importa más de lo que la mayoría de la gente cree.
Qué exige el RGPD
Hay cuatro áreas principales de cumplimiento:
Base jurídica para el tratamiento. Necesitas una razón legal para recopilar y usar la dirección de correo electrónico de alguien. El tratamiento solo está permitido si el interesado ha dado su consentimiento o si existe otra base jurídica. En el caso de los correos de marketing, casi siempre se trata del consentimiento. Para los correos transaccionales (confirmaciones de pedido, restablecimientos de contraseña), puedes basarte en el interés legítimo o en la necesidad contractual.
Derechos individuales. Las personas pueden solicitar acceso a sus datos, pedirte que los corrijas o exigir que los elimines por completo. El famoso "derecho al olvido" exige que elimines los datos personales cuando ya no sean necesarios. Tus sistemas de correo electrónico deben realmente permitir atender estas solicitudes, no solo acusar recibo de ellas.
Seguridad de los datos. El RGPD exige "protección de datos desde el diseño y por defecto", lo que significa que las organizaciones deben considerar siempre las implicaciones para la protección de datos de cualquier producto o servicio nuevo o existente. El cifrado del correo electrónico se menciona específicamente como una medida técnica que deberías implementar. Hace cinco años, el correo electrónico cifrado no era práctico. Ahora es algo básico.
Prueba de cumplimiento. Necesitas registros. Cuándo alguien se suscribió, cómo lo hizo, qué aceptó. El RGPD exige que las empresas conserven registros del consentimiento, incluido quién dio permiso, cuándo y cómo lo hizo, y qué información se le mostró en ese momento. Sin documentación, no puedes demostrar el cumplimiento durante una auditoría.
Cómo obtener correctamente el consentimiento por correo electrónico
El consentimiento es válido si es libre, informado, inequívoco y específico. Esa última parte suele confundir a la gente. No puedes agrupar el consentimiento para correos de marketing con el consentimiento de los términos del servicio. Son cosas distintas que requieren casillas separadas.
Así es como se ve un consentimiento válido: alguien visita tu sitio, ve una casilla sin marcar que dice "Sí, envíenme actualizaciones semanales de productos", la marca activamente y envía el formulario. Eso funciona.
Lo que no funciona: casillas premarcadas. Consentimiento implícito por realizar una compra. Asumir que el silencio significa sí. Si no tienes el consentimiento explícito e inequívoco del visitante para recibir mensajes de marketing, entonces no podrás enviarle mensajes—o de lo contrario te enfrentarás a fuertes multas.
La doble confirmación es aún mejor. Una vez que alguien completa el formulario de registro y hace clic en enviar, se le manda un correo electrónico con un enlace de confirmación, y las comunicaciones de marketing comienzan solo después de que haya confirmado su consentimiento. Esto evita las suscripciones accidentales y te da una prueba sólida del consentimiento.
Hay una excepción: la suscripción implícita para clientes existentes. Si obtienes la dirección de correo electrónico de tu cliente durante la venta de tu producto o servicio, puedes usarla para marketing directo de productos similares, siempre que ofrezcas una opción para darse de baja. Pero aun así necesitas ese enlace de cancelación de suscripción en cada mensaje.
Retención y eliminación de datos
El artículo 5(e) establece que los datos personales pueden almacenarse "no más tiempo del necesario para los fines para los que se tratan los datos personales". La mayoría de nosotros nunca borramos los correos electrónicos. Ahora eso es un problema de cumplimiento.
Necesitas una política de retención. ¿Cuánto tiempo conservas los correos electrónicos de los clientes? ¿Los tickets de soporte? ¿Las listas de marketing? Decidas lo que decidas, documéntalo y cúmplelo de verdad. Algunos servicios de correo electrónico ofrecen una opción de correo con caducidad que te permite programar la eliminación de mensajes después de un periodo determinado.
Cuando alguien solicita la eliminación, tienes que actuar. Después de que alguien se dé de baja, debes eliminar sus nombres y su información personal de tu lista de correo electrónico. Conserva solo lo suficiente para recordar su preferencia de exclusión, nada más.
Consejos para cumplir con el RGPD
Lo más importante: lee las normas del RGPD y mantente al día con ellas en el sitio web del RGPD. Estas normas pueden cambiar con el tiempo, así que deberías revisarlas periódicamente para asegurarte de que cumples con ellas.
Si tienes dudas, contrata a un especialista para que te ayude a configurar sistemas que cumplan con la normativa.
Usa la doble confirmación para todas las listas de marketing. Es la prueba de consentimiento más clara y filtra las direcciones falsas.
Haz que darse de baja sea fácil. Según los estándares del RGPD, retirar el consentimiento debe ser tan fácil como darlo. Enlaces para darse de baja con un solo clic en cada correo electrónico. Sin trabas ni maniobras para hacerte sentir culpable.
Cifra el correo electrónico siempre que sea posible. El RGPD menciona específicamente el cifrado como medida de protección. Ahora existen servicios de correo electrónico cifrado de extremo a extremo y no son tan difíciles de implementar.
Separa lo transaccional del marketing. Bases jurídicas diferentes, reglas de retención diferentes. Mantenlos en sistemas distintos si puedes.
Documenta todo. Registros de consentimiento, políticas de retención, medidas de seguridad. Si no puedes demostrar que intentaste cumplir, las sanciones son mayores.
Revisa tus listas de correo electrónico con regularidad. Elimina los suscriptores inactivos, verifica que la documentación del consentimiento siga existiendo y comprueba que las solicitudes de exclusión realmente se hayan procesado.
Contenido relacionado
Términos relacionados