Supresión de los datos de historias clínicas
17 de julio de 2018
Soft skills
DPO, hard skills & soft skills
1 de agosto de 2018
Mostrar todo

Comunicaciones comerciales y RGPD

Consentimiento

Uno de los grandes quebraderos de cabeza de los departamentos de marketing, y pregunta obligada en las reuniones de toma de datos con los clientes al comienzo de los procesos de adaptación al RGPD, ha sido el mantenimiento de los envíos de comunicaciones comerciales a las grandes bases de datos de usuarios que manejan.

El argumento recurrente –y fruto de un asesoramiento erróneo– es verlo como una necesidad impuesta por el RGPD, que obliga a volver a recabar los consentimientos de todos los usuarios en su base de datos sí o sí mediante una acción de reconsent.

Pero esto no es siempre así. Analicemos la situación.

Lo primero es lo primero. Legitimación, consentimiento y LSSICE.

Legitimación.

Como Responsable del Tratamiento, la empresa debe encontrarse legitimada para llevar a cabo el tratamiento atendiendo al artículo 6 RGPD. Aquí, entre los supuestos de licitud encontramos el consentimiento del interesado (art. 6.1.a)), y el interés legítimo (art. 6.1.f)). En otro momento hablaremos del interés legítimo, pero centrémonos hoy en el consentimiento.

Consentimiento.

¿Qué dice el RGPD respecto del consentimiento?

El artículo 32 establece:

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

 

El artículo es realmente claro: el consentimiento debe ser un acto afirmativo que refleje una voluntad libre, específica, informada e inequívoca. Adiós al consentimiento tácito de la LOPD. Adiós a las casillas premarcadas en formularios. Adiós a la recogida de consentimientos únicos para múltiples tratamientos.

Bien. Ahora que ya sabemos qué requisitos tiene el consentimiento para el RGPD, debemos abandonarlo un momento para echar una mirada a la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

LSSICE.

Esta norma especial recoge en su artículo 21 las previsiones respecto de las comunicaciones electrónicas:

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente

 Ahora ya tenemos todos nuestros ingredientes. Metámoslos en la coctelera y veamos qué podemos hacer con ellos.

Escenarios reales. ¿Estábamos incumpliendo la ley antes del RGPD?

Pues posiblemente…. sí. Aunque hay mucha literatura que alegremente echa la culpa de las ingentes acciones de reconsent que hemos venido sufriendo desde semanas antes del 25 de mayo al RGPD, lo cierto es que el asesino es la LSSICE.

Escenario A.

Si en nuestra base de datos de contactos, recolectada pacientemente a lo largo de los años (y manteniendo evidencia de ello), disponíamos de una masa que nos había facilitado expresa y libremente su consentimiento inequívoco y separado, no debemos hacer nada. En base a la obtención de un consentimiento legítimo podemos continuar enviándoles las comunicaciones de la forma habitual.

Escenario B.

Si estas comunicaciones van dirigidas a los contactos de clientes, el artículo 21.2 LSSICE nos amparaba. Podemos seguir enviando emails comerciales informándole sobre productos o servicios similares a los que habían adquirido. Eso sí, siempre con el botón correspondiente para permitir su baja.

Escenario C.

Pero si no estamos ante ninguno de los dos supuestos (no habíamos recogido con anterioridad el consentimiento expreso, inequívoco, libre e informado, o no se trataba de clientes a los que remitíamos información comercial respecto de nuestros nuevos productos o servicios), aquí es donde tenemos el cuello de botella.

Cuando las cartas venían mal dadas, pero aún así se enviaba comunicaciones a diestro y siniestro (llámalas newsletter si lo prefieres, que aunque las vistamos de seda…) lo primero que se incumplía es la LSSICE. Con la LOPD y el RDLOPD en vigor. No había rastro del RGPD, ni se le esperaba. Y ya se incumplía la norma poque no se trataba lícitamente el consentimiento.

Entonces, responsable de marketing… ¿por qué te enfadas con el DPO cuando te dice que ya lo hacías mal y que debes cesar inmediatamente esos envíos? Cumplir significa dejar de incumplir. Y esto no siempre es tan evidente cuando ves peligrar una gran masa de potenciales receptores de tus comunicaciones. Pero oiga, es lo que hay.

¿Está todo perdido?

No. Lógicamente no lo está. Pero se perderá mucho por el camino (claro que perder lo ganado ilícitamente quizá no sea perder, a fin de cuentas…)

Si nos vemos en el último escenario debemos aislar esa masa de contactos de los que no disponemos evidencia de su consentimiento, y efectuar una acción de reconsent. Aquí sí será claramente necesaria.

Esto va a implicar, como hemos visto antes, que un silencio en la respuesta o marcar un “No acepto” se convierten en dos tercios de las opciones que tiene un usuario, y que deben dar lugar a un bloqueo inmediato de sus datos. Y aquí acabará su recorrido en nuestra base de datos. Cesaremos el envío y no recibirán nunca más nuestros emails.

Esta depuración de la base de datos te anticipo, querido responsable de marketing, que te va a causar muchas bajas. Vas a de dejar sembrado un rastro de cadáveres por el camino que nunca imaginaste. O quizá sí, pero bien suponías que no incumplías ninguna ley, o no te importaba demasiado hacerlo.

Puedes mirarlo por el lado positivo. Los usuarios que te den su consentimiento (incluso nuevamente, en algunos casos), te estarán permitiendo seguir incluyéndolos en tu Tratamiento y les interesará realmente el contenido que les mandas periódicamente.

En esta acción de reconsent el departamento de marketing debe ser creativo más que nunca para convertir el silencio (o el botón de baja) en una aceptación, mostrando la otorgación del consentimiento como una oportunidad positiva para el receptor. Y hacerlo con calma. Si ya incumplíamos… ¿qué prisa tenemos ahora en hacer las cosas bien? Ya no cabe la precipitación. Planificar este paso evitará muchas bajas. Hacer un reconsent sin sentido probablemente agrave la situación y te haga perder más usuarios de los estrictamente necesarios. Ten cabeza, que hay vida más allá del RGPD.

Salvo mejor opinión, claro está…

Raúl García
Raúl García
• Delegado de Protección de Datos (DPO)
• Consultor de Seguridad TI en Indra
• Implantador SGSI (ISO 27001)
WhatsApp ¿Hablamos?