7 mitos sobre la protección de datos y el marketing digital

Los cambios que trajo el RGPD pillaron a la mayor parte de los marketeros completamente desprevenidos, a pesar de que algunos profesionales habían llamado la atención sobre el cambio que se nos venía encima.

Esto hizo que la adaptación de los portales digitales a la normativa de privacidad fuera bastante acelerada. Como era de esperar, entre la confusión surgieron numerosos mitos sobre privacidad que se han difundido a lo largo del último año.

Para que las cosas te sean más fáciles, en este post tetraigo 7 mitos sobre la protección de datos y el marketing digital que me he encontrado más de una vez (y de dos, y de tres…) y la verdad que se esconde detrás de ellos. Seguro que alguno te suena o, quizá, hasta te la habían colado. No te preocupes, a todos nos puede pasar. ¡Empezamos!


También te puede interesar:

🔹 Las 25 mejores cuentas de twitter para saberlo todo sobre privacidad

🔹 Guía para cumplir con la protección de datos en tu blog +CHECKLIST


🔴 #1. La política de privacidad es suficiente para cumplir con el RGPD

El RGPD o Reglamento (UE) 2016/679 sobre protección de datos de las personas físicas establece la serie de obligaciones que tienen las personas u organizaciones que traten datos de personas físicas identificables.

Es decir, el RGPD no aplica a los datos sobre las personas jurídicas, ni a los de las personas fallecidas, ni a aquellos que estén anonimizados, ni, por cierto, a los datos que tratan las personas en su ámbito privado. Aplica a todo lo demás. (PISTA: Un blog público, online, muy privado no parece. Tu agenda del móvil personal, sí)

Dentro de esos requisitos que establece el RGPD hay algunos obligatorios y otros no obligatorios que, en cualquier caso, siguen siendo muy recomendables. Y la política de privacidad es solamente uno de ellos, mira:

 

🔓 Requisitos mínimos para cumplir con el RGPD en un blog

Dentro de las obligaciones que establece el RGPD para las personas que tienen un blog (y que, por tanto, son responsables del tratamiento de los datos personales de los usuarios de la web, por ejemplo, y los suscritos a su newsletter, si la tiene), están:

  • La realización de un análisis de riesgos
  • En ciertos casos, la realización de un registro de actividades del tratamiento
  • La definición de las obligaciones de los encargados del tratamiento a través de un contrato
  • Tratar los datos de forma legítima (es decir, tener una base legal para tratarlos)
  • El establecimiento de un protocolo de actuación en el caso de que tenga lugar una quiebra de seguridad
  • La existencia de mecanismos necesarios para que los interesados puedan ejercer cualquiera de sus derechos
  • Utilizar los datos mínimos, limitados y necesarios para la actividad en cuestión, y asegurarse de que están actualizados y son exactos, claro
  • El deber de informar a los interesados sobre qué harás con sus datos (si te los dan)

Es en esta última obligación, la de informar, donde se vuelve necesaria una política de privacidad y la elaboración de esas leyendas que acompañan cada formulario de contacto, suscripción o comentarios del blog.

Pero, como ves con esa lista, tener una política de privacidad y unas leyendas, y suponiendo que se informe de todo lo que se debe informar, no es suficiente. No, “con la política de privacidad” no vale, porque no se cumple con las demás obligaciones.

Podrás librarte de que sospechen de que no cumples con la normativa al ver tu web, pero en cuanto haya algún problema, no estarás cubierto.

 

🔴 #2. Copiar y pegar la política de privacidad de otro blog me sirve

Pues no, tampoco. Además, copiar está feo. Que se lo digan a la cantidad de webs que he visto por ahí con la política de privacidad que tenía en noemicarro.es y en la que, por no cambiar, no han cambiado ni el nombre.

El contenido de la política de privacidad es bastante concreto, o debería serlo, y lo más probable es que la página de la que vayas a copiar la política funcione de forma distinta a la tuya.

 

🔓 Copiar la política de privacidad y meter la pata en la newsletter

Por ejemplo, ¿utilizas SendinBlue o Mailchimp? Porque si utilizas Mailchimp y copias una política de privacidad que dice que usas SendinBlue, el problema es doble: no solamente no informas adecuadamente de cuál es tu gestor de newsletter, sino que además omites que la información de tus suscriptores sale del Espacio Económico Europeo (EEE) y se va a hasta EE.UU., donde está domiciliada la empresa que explota Mailchimp.

¿Y eso qué más da? Pues importa un poquito solo: mandar datos fuera implica realizar una transferencia internacional de datos personales y, en el caso de Mailchimp a un país no reconocido como seguro por la Comisión Europea.Y las transferencias de datos son algo complicado.

NOTA: Que no cunda el pánico. Es cierto que Mailchimp está adherido al US-EU Privacy Shield (el acuerdo entre EE.UU. y Europa para garantizar la transferencia de datos de forma segura), pero pocas cosas impiden que esta circunstancia deje de ser válida algún día. Y si no, que se lo digan a cierta asociación, que siguió mandando su newsletter con Mailchimp mientras la Comisión había dado de baja el Privacy Shield y se ha comido una multa de 50.000 € de la que no le ha librado ni la Audiencia Nacional.

No copies la política de privacidad de otra web. Es probable que no tenga nada que ver contigo.

 

🔴 #3. No me hace falta cumplir con la protección de datos: yo solo guardo nombre y un email

El nombre y el email son datos personales. De acuerdo, estrictamente un dato personal es aquel dato de una persona identificable, y si tuvieras guardado solamente “María” puede que, con la de Marías que hay en el mundo, una María en concreto no fuera fácil de identificar.

Pero si tienes un nombre completo, incluso con apellidos, y además, tienes el email, es bastante más fácil asociar esa información a una persona real. Y más fácil será cuanto mayor sea la información de que dispongas.

 

🔓 Proyecto de investigación: ¿de quién es este email?

¿Y si no tienes apellidos? Pues depende. En general, con todo lo que se refiere al RGPD y a la protección de datos lo mejor es curarse en salud en la medida de lo posible, porque ser proactivos es clave para respetar debidamente la privacidad de las personas.

Así que, si no tienes apellidos, en realidad hará falta saber y ser consciente de qué información más tienes, es decir, qué datos más tratas. Si segmentas la newsletter, no solamente tendrás nombre y un email, sino que en la mayoría de gestores de correo podrás conocer las preferencias de un usuario concreto respecto de los emails que les mandas: si le interesa más este servicio, si tarda más o menos en abrir tu correo…

Ahora imagina que no tuvieras un nombre completo, sino un mote, pero te hubieran dejado al suscribirse una dirección de email de una institución. Si fuera, por ejemplo, un doctorando de X universidad, con cruzar los datos en Google lo más probable es que pudieras saber un montón de características de esa persona (su nombre completo, su puesto, asignaturas de las que da clase, papers publicados…) e, incluso, podrías encontrar un teléfono en el que localizarla.

Quizá pienses que eso está muy bien para cerrar la venta de un servicio, pero ten mucho cuidado con aquello para lo que te han dado el nombre y el email. En general, solo se pueden usar los datos para aquella finalidad para la que fueron recogidos tras haber informado debidamente al interesado. Cualquier otro uso tiene todas las papeletas para ser ilegítimo y, por tanto, sancionable.

Dicho esto, sí, el nombre y el email son datos personales, que son los datos de personas físicas identificables a los que aplican el RGPD y la LOPD. Adiós a otro mito: tienes que cumplir con la protección de datos como cualquier otro.

 

🔴 #4. La protección de datos me sale a coste cero si hago un curso

Ufff… peligro. Hace tiempo que ciertas consultoras de dudosa ética utilizan este reclamo para conseguir clientes. La frase al descolgar el teléfono podría ser algo así:

– “¿Sabes las sanciones que hay con la nueva protección de datos? Hay un montón de inspectores y tienes que adaptarte, de lo que has hecho antes, no te vale nada. Pero no te preocupes, yo te hago la protección de datos, te haces un curso con mi empresa con tus créditos de formación y quedamos en eso”.

Estos créditos son los que permitirían bonificar formación de trabajadores por la antigua Fundación Tripartita, hoy Fundación Estatal para la Formación en el Empleo (FUNDAE), que abonaría en el futuro el importe de los cursos o, al menos, parte de él. Tan fácil como eso… ¿no?

Pues no. Y si no te lo crees, mira el propio aviso de la FUNDAE en su web.

Desde mayo de 2018 me he encontrado muchas empresas (algunas, ecommerce) que no recuperaron ni un céntimo de los cursos que pagaron para tener “a coste cero” la protección de datos. Y la mayoría lo hicieron asustados por las sanciones.

Pues muchísimo cuidado con esto, porque asustar a las empresas con las potenciales sanciones según la ley de protección de datos es una práctica agresiva dentro de los términos de la Ley de Competencia Desleal, según la Disposición adicional Decimosexta de a LOPD (L.O. 3/2018), en su apartado c):

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales

Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos.

A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes: (…)

c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

Y así, con el “coste cero”, se han vaciado las carteras de algunos, por un lado y, por el otro, muchos profesionales seguimos esperando el día en que las investigaciones anunciadas por la Agencia Española de Protección de Datos empiecen a ser algo tangible.

Mitos proteccion datos marketing digital

 

🔴 #5. Yo no tengo que cumplir con la protección de datos porque no soy autónomo/a

Este es una variación del mito número #3. No me hace falta cumplir con la protección de datos: yo solo guardo nombre y un email, y nace del mismo error conceptual: el RGPD aplica a empresas públicas y privadas, sí, pero no solamente.

Que no realices una actividad comercial que tenga como base esta información personal, es decir, que no monetices, no te exime de cumplir con todas las obligaciones que exige el Reglamento. Realizas un tratamiento de datos personales fuera de tu ámbito privado, por lo que debes informar, debes implantar medidas de seguridad, debes ser proactivo, mantener un enfoque de análisis de riesgos y, básicamente, tener cuidadín.

¿Un blog para marca personal? Pues a cumplir con el RGPD y la LOPD. No hay más.

 

🔴 #6. Las quiebras de seguridad son cosas de los bancos y las grandes empresas

MEC. Error.

Una quiebra de seguridad es toda aquella alteración de la confidencialidad, la integridad y la disponibilidad de los datos personales.

Es decir, que si en algún momento tienes constancia de que los datos personales de los que eres responsable -o encargado del tratamiento- pueden haber dejado de ser confidenciales, pueden haber sido modificados sin tu conocimiento o pueden haber dejado de estar disponibles o, incluso, no pudieran ser restituidos, estás ante una quiebra de seguridad.

Y las quiebras de seguridad, en algunos casos, hay que notificarlas a la Agencia Española de Protección de Datos (AEPD). Pero no en todos los casos: no es así, por ejemplo, si has puesto medidas preventivas u organizativas suficientes para que el riesgo de una filtración, de una alteración o de una desaparición de la información se reduzca a un límite razonable, y si, además, esto no implica un alto riesgo para los derechos de privacidad de las personas.

Ya sabes, hay una gran diferencia entre perder los informes de salud sexual de una clínica con nombre y apellidos, a perder una lista de asistentes a un evento random.

No obstante, en ciertos casos, hay que comunicar a los interesados cuya información se ha visto afectada que hemos sufrido una quiebra de seguridad. Y si no fuera posible decírselo uno a uno… habría que hacer una comunicación pública.

Todo muy favorable de cara a una crisis de reputación online, ¿verdad? De acuerdo, a los bancos y a las grandes empresas les puede salir fatal. ¿A ti?

El resumen es sencillo: ¿tratas datos personales? Pues tienes riesgo, por pequeño que sea, de que haya una quiebra de seguridad.

 

🔴 #7. Si me dejan el email les puedo mandar lo que yo quiera

Llegamos al último mito de esta lista, y el número #7 no podía tener otro protagonista que no fuera el rey del RGPD en el marketing online: el consentimiento.

¿Recuerdas la campaña de spam más grande de la historia, la semana del 25 de mayo de 2018? Pues hubo drama porque algunos no comprendieron (¿comprendimos?) muy bien lo del consentimiento. De repente nadie sabía si podía o no podía seguir mandando información, publicidad y promociones a sus clientes.

¿Por qué? Porque el RGPD acotó el tipo de consentimiento que se considera válido respecto del que permitía la vieja L.O. 15/1999, la LOPD original.

 

🔓 Consentimiento por omisión, afirmativo o explícito: pick one

Con la LOPD vieja el consentimiento podía ser por omisión (aquello de… “si no marcas esta casilla, aceptamos que vendes tu alma al diablo”), pero con el RGPD el consentimiento debe derivar de una “clara acción afirmativa”. Y eso implica que, de por omisión, nada.

Además, con el tema nada espinoso de la publicidad era relevante otra circunstancia: el RGPD establece que el envío de comunicaciones comerciales, es decir, la publicidad, requiere de un consentimiento que, además, sea explícito.

Con el espíritu del RGPD, que insta a los responsables del tratamiento a ser capaces de demostrar que cumplen y han sido proactivos, el doble opt-in famoso con casillas desmarcadas se ha vuelto casi un must.

 

🔓 La delgada línea entre la publicidad y el interés legítimo

Ahora bien, volviendo al “necesito que aceptes las condiciones de privacidad o morirán tres gatitos en las próximas tres horas”, entonces, para un cliente ¿qué es publicidad y qué no lo es?

Pues, a grandes rasgos, la información que envíes a un cliente relacionada con sus adquisiciones anteriores no se considera publicidad (a fin de cuentas, tú tienes un interés legítimo en mantener tu negocio), pero si el cliente te ha comprado un paraguas y le intentas vender una moto, lo mismo te estás aprovechando un poco de tener una base de leads.

Pero, ¿qué ocurre con los blogs de marca personal que no ofrecen servicios, no meten un duro por Adsense y solamente tienen una newsletter para darse a conocer? Pues que si no ofrecen servicios, ni productos, ni en definitiva monetizan, no hacen publicidad.

Es cierto que con el registro de la aceptación explícita de las nuevas políticas de privacidad las organizaciones se aseguraban haber informado a sus usuarios de acuerdo a los nuevos criterios del RGPD, pero la campaña de spam no era tan necesaria (ni tan apocalíptica).

Bastaba con notificar el cambio de las condiciones, si lo hubiera habido (y no solo en torno al 25 de mayo, sino siempre que se den cambios en la forma de tratar los datos personales de los interesados) y renovar los consentimientos que se hubieran obtenido de forma implícita hasta la fecha, amparados en la ley vieja, que el RGPD destronaba.

 

En fin: no. En serio. Si te dejan el email, no les mandes lo que quieras.

Pon cuidado en saber para qué te lo dejaron, y qué es lo que razonablemente esperan. Además, a una marca no suele venirle mal una pizquita de ética.

 


Pues ya está, estos son los 7 mitos sobre la protección de datos y el marketing digital que más he oído en el último año.

¿Crees que me he olvidado alguno que debería estar sí o sí en esa lista?

Entonces, cuéntamelo: ¡estaré encantada de hacer una versión 2.0 de este post!

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad