Alerta: a partir del 25 de mayo el nuevo Reglamento de Protección de Datos de la UE (RGPD) es de obligado cumplimiento para cualquier negocio online que maneje datos de sus usuarios, aunque esté domiciliado fuera de la Unión Europea.

¿Cómo va a afectar esto a los que hacemos marketing de contenidos, SEO o Adwords para captar leads y suscriptores?

Antes de nada, quiero aclarar que no soy experto en temas legales, sino en SEO y ecommerce. Pero he investigado este tema para saber con precisión cómo va a afectar a mis clientes que tienen tiendas online y webs corporativas o informativas, en las que recogen emails y otros datos personales de los usuarios.

Como lo que he encontrado es importante y afecta a prácticamente todos en el ámbito del marketing digital y el blogging, he decidido compartirlo con vosotros:

Qué es el RGPD y cuando entra en vigor

El RGPD es el nuevo Reglamento General de Protección de Datos, y sustituye a la LOPD. Aquí tienes el texto completo del RGPD en español, publicado en el BOE (warning, tochazo inside).

Para lo que nos afecta a nosotros, marketeros y bloggers, rige cómo debemos gestionar los datos personales de nuestros usuarios.

Aunque creas que no tienes datos personales de tus usuarios y que no necesitas hacer nada, piénsatelo dos veces:

  • Si capturas emails para enviar tu newsletter, estás gestionando información personal y necesitas ajustarte al RGPD
  • Si tienes un formulario de contacto y te quedas con datos como el email y el teléfono de los usuarios, también rige el RGPD
  • Incluso, si no haces nada de eso, pero permites comentarios en tu blog, estás sujeto a lo que dice el RGPD

Como ves, raro es el blog o tienda online que se queda fuera del alcance del RGPD.

¿Está el RGPD ya en vigor? Está aprobado desde el 2016, pero estamos actualmente en un período de margen para la adaptación.

Pero el momento en el que su cumplimiento pasa a ser obligatorio, y por tanto puedes ser sancionado si no lo cumples, está muy cerca: 25 de mayo de 2018.

Apúntate la fecha en un sitio donde la veas muy bien todos los días, porque no queda mucho para adecuar todos tus formularios al dichoso RGPD.

A quién afecta el RGPD y cómo

A toda aquella persona o empresa responsable de una web en la cual se recojan y almacenen datos de ciudadanos de la Unión Europea.

¿Cómo afecta? Pues para cumplir el RGPD estamos obligados a una serie de requisitos que la mayoría de blogs y tiendas online ahora mismo no cumplen:

  • Cumplir el principio de responsabilidad (accountability). Acreditar en nuestra web que se han adoptando todas las medidas necesarias para tratar los datos personales tal y como exige el RGPD. Es una responsabilidad proactiva, que básicamente quiere decir que no basta con un copia y pega de la política de protección de datos de otra web cualquiera, porque cada negocio tiene su propio tratamiento de datos y debe garantizar el cumplimiento de la ley de una manera distinta.
  • Cumplir con los principios de protección de datos por defecto y desde la creación del negocio o servicio. Son medidas para garantizar el cumplimiento de la norma desde el mismo momento en el que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos. Mi comentario: esto es bastante abstracto y difícil de demostrar, pero me quedo con que debemos tener en cuenta el problema del tratamiento de información personal antes de meternos en un negocio donde planeamos captar emails.
  • Principio de transparencia. Los avisos legales y políticas de privacidad deben ser más sencillos, para que cualquier persona pueda comprenderlos rápidamente, al tiempo que deben ser más completos.

Para esto último, debemos proporcionar la información al usuario en capas: una primera capa con la información más esencial presente en el propio formulario de captación de datos, y una segunda capa con los datos completos en la clásica página de Política de Privacidad.

Todo esto (llamado información multinivel o en capas) está muy bien explicado en el post de Marina Brocca sobre el RGPD para blogs en Miposicionamientoweb, y como yo no soy experto en leyes y ella sí, te recomiendo que lo leas para profundizar en el tema.

Otra novedad del RGPD es el deber de notificar cualquier brecha de la seguridad de nuestros datos, es decir, si hemos sido hackeados y los hackers han tenido acceso a los datos que guardamos de nuestros usuarios. En tal caso, no podemos guardar silencio y hacer como que no ha pasado nada. Tenemos 72 horas desde nuestro conocimiento del ataque para notificar del mismo a la autoridad en materia de protección de datos de nuestro país.

Por último, ya no es necesario notificar de tus ficheros de tratamiento de datos a la AGPD (Agencia Española de Protección de Datos), salvo que la información que recoges incluya datos especialmente protegidos o sensibles: por ejemplo datos biométricos o historial penal de los usuarios. La mayoría de negocios online no entrarán en esta categoría, pero para salir de dudas hay una herramienta muy sencilla de la AGPD llamada Facilita RGPD, que te dirá si los datos que recoges están en la categoría sensible, y por lo tanto necesitas dar pasos adicionales.

Sanciones por no cumplir el RGPD

Vamos a lo que todo el mundo quiere saber. ¿Qué puede pasar si me descuido y pasado el 25 de mayo de 2018 todavía no he adaptado mis formularios ni mi información sobre protección de datos?

Muy fácil: te puede caer una multa de hasta 20 millones o el 4% de tu facturación global anual (lo que sea mayor). No estoy diciendo que a todo aquel que tenga el mínimo fallo pasado el 25 de mayo le vaya a caer una señora multa de tales proporciones, pero estas sanciones están contempladas en el nuevo RGPD y hay que saberlo.

En mi opinión personal (y por favor tómalo como tal, una opinión, y encima de alguien que en temas de Derecho podría ser perfectamente tachado de cuñado) este tipo de multas tienen más posibilidades de caerles a las grandes compañías (Facebook y Google, os estoy mirando a vosotros) que a un pequeño negocio online, al menos en un primer período. Pero aun y así no me quedo tranquilo y me parece que lo más prudente es cumplir al máximo la ley desde el día 1. A ti también, ¿verdad?

¿Me afecta el RGPD si estoy fuera de la Unión Europea?

Sí. Si tienes usuarios de la UE y estás guardando sus datos, aunque tú estés por ejemplo en un país de Latinoamérica, también te afecta.

Cito directamente del FAQ del sitio oficial del RGPD:

The GDPR not only applies to organisations located within the EU but it will also apply to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.

Que traducido es exactamente esto:

El GDPR no sólo se aplica a las organizaciones establecidas en la UE, sino que también se aplicará a las organizaciones situadas fuera de la UE si ofrecen bienes o servicios a los interesados de la UE o analizan su comportamiento. Se aplica a todas las empresas que tratan y conservan datos personales de sujetos que residen en la Unión Europea, independientemente de la ubicación de dichas empresas.

Cómo cumplir el RGPD con mi tienda online o blog

Explicado el peligro, vamos a lo práctico. ¿Cómo asegurarnos de que cumplimos al 100% con el RGPD y nadie puede ponernos ni un pero?

Voy a centrarme en la parte que afecta a los formularios y al email marketing. Sobre cómo completar tus páginas de Política de privacidad y protección de datos, y dado que la norma dice que cada negocio debe acreditar de manera específica sus esfuerzos, aparte de las líneas básicas que doy recomiendo buscar más información sobre el tema o contactar con un experto.

Si ante todo quieres ahorrar tiempo, te puede interesar la herramienta Legal Box, desarrollada por los expertos de LexBlogger para asesorarte y verificar que tu blog cumple con el RGPD.

Además, al final del post indico una serie de recursos, herramientas o páginas de referencia en las que buscar más información.

Cómo cumplir con el RGPD si tienes un ecommerce

Empiezo por las prácticas que con el nuevo reglamento no se pueden hacer en ningún caso:

  • No se pueden enviar correos electrónicos a alguien que no haya solicitado activamente estar en nuestra lista. No más listas compradas a terceros, o fusionar listas de diferentes compañías en otras listas.
  • No se pueden enviar emails automáticos para recuperar carritos abandonados o para informar de ofertas y descuentos, a no ser que el comprador haya optado expresamente por recibir este tipo de correos.
  • Es ilegal negarse a facilitar a los clientes sus datos personales, si ellos lo solicitan.
  • No se pueden puede enviar mensajes no solicitados a través de SMS.

Ojo, porque muchas de estas ya estaban en contra del reglamento vigente antes del RGPD (como por ejemplo lo de usar listas de terceros) y a pesar de ello muchos negocios online seguían haciéndolo.

Ante la duda, volver al punto de las posibles sanciones. La denuncia de una sola persona que reciba un correo no solicitado de tu parte puede desembocar en una multa de 20 millones de euros o el 4% de tu facturación anual. Yo no me arriesgaría.

Además, aunque la ley no dijese nada, si mandas correo no solicitado eres un pesado y tus tasas de apertura y clic van a ser bajísimas.

Ahora, ¿qué debes hacer activamente para adecuarte a la norma?

  1. Adaptar tus formularios, eliminando todos los opt-ins automáticos. Es decir, en todos tus formularios debe haberse clic en una casilla de consentimiento (checkbox) para completar la acción o suscripción. Además, el formulario mostrará una cláusula informativa con los principales aspectos de tu tratamiento de datos (pongo un ejemplo más abajo). Sería la primera capa de información que debemos proporcionar al usuario, y debe ir acompañada de un enlace a la página en la que estará la segunda capa, la información completa y detallada.
  2. Actualizar tu Política de Privacidad. Varios nuevos aspectos que esta página debe incluir:
    1. Debes indicar expresamente que cumples y te sometes al RGPD
    2. Debes especificar qué información recoges de los usuarios (por ejemplo, sus direcciones IP, desde qué tipo de dispositivo navegan, cookies, duración de la visita y páginas visitadas, su email, teléfono, nombre, dirección de envío y dirección de facturación, etc.)
    3. Especificar quién, además de ti, tiene acceso a la información que guardas de tus usuarios (como por ejemplo Google, Mailchimp, Disqus…) Todos ellos son destinatarios de la información de tus usuarios y deben quedar consignados en tu Política de Privacidad.
    4. Especificar la identidad del responsable de la gestión de los datos personales (puede ser un delegado en tu nombre).
    5. Especificar que los usuarios tienen derecho a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
    6. Especificar la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.
    7. Por último, si hay procesos automatizados como por ejemplo meter a un usuario en un segmento u otro de tu lista según qué acciones hayan realizado, esto debe estar explicado, siempre que vaya a tener consecuencias jurídicas para el afectado (si tienes dudas sobre esto, ya sabes, consulta con un experto).

Si tienes un blog y recoges datos de tus usuarios

Si recoges datos de tus usuarios mediante un formulario de suscripción, de contacto, o incluso pides algún dato para dejar comentarios, todo lo dicho en el apartado anterior (ecommerce) es aplicable para ti también.

En el caso de que en tu blog no captes leads, ni tengas formulario de suscripción a la newsletter o de contacto, y si no pides ningún dato a la hora de dejar comentarios, puede que no necesites hacer nada de lo que pide el RGPD, pero aun y así yo me asesoraría, por si acaso.

Ejemplos de formularios de suscripción

He buscado mucho para encontrar ejemplos concretos de ecommerce cuyos formularios estén adaptados ya a las exigencias del RGPD y no he encontrado ninguno que lo cumpla todo. Estoy seguro de que en las próximas semanas podré ofrecer muchos ejemplos, pero por ahora voy a mostrar un par de tiendas online que ahora mismo cumplen parciamente, para que veamos de qué estamos hablando, y por último un blog que sí cumple con todo.

Este formulario de La Redoute incluye el checkbox obligatorio, con enlace a la política de privacidad, pero no incluye una coletilla legal con la primera capa de información sobre la entidad que recoge datos y el propósito.

Este segundo formulario, de Sarenza, sí incluye coletilla legal, pero no el checkbox obligatorio para expresar consentimiento.

Por último, este formulario de mi amigo Rubén Alonso, de Mi Posicionamiento Web, sí que incluye tanto el checkbox como la necesaria coletilla legal. Rubén ya no va a tener ningún problema de formularios con el RGPD. 😉

Cómo va a afectar el RGPD al marketing digital en general

No soy profeta, pero me han pedido que me moje y me voy a mojar.

Cómo afectará a las grandes empresas

De entrada puedo decir que los grandes jugadores internacionales van a tener mucho que ajustar. Google, Amazon, Facebook, Twitter… incumplen diariamente miles de veces algunas de las normas que trae consigo el RGPD.

Un ejemplo: las campañas de leads de Facebook Ads y Twitter Ads, en las que es posible “hacerte” con el correo de una persona a través de un anuncio que aparece en el timeline de ese usuario en Facebook o Twitter. Ahí no hay checkbox, no hay un resumen de la política de privacidad de la empresa que se queda con tus datos, y en muchos casos ni siquiera se sabe quién es esa empresa o ese señor. Todo mal.

Pero hay muchos más casos. Amazon te manda correos sobre productos que has mirado en su web, aunque sea de reojo, y muchos ecommerce te los muestran en anuncios de display insertados en otras páginas.

La mayoría de usuarios no han dado nunca permiso expreso para esta práctica, ni siquiera saben que es posible (el aceptamiento tácito de una serie de términos genéricos que nadie comprende ya no es suficiente, según el RGPD).  Para hacerse una idea de cómo podría afectar a los grandes gigantes de internet, valga este estudio de Deutsche Bank que dice que Google podría perder un 2% de su facturación anual, si un 30% de los usuarios europeos dijeran que no a compartir sus datos con Google.

Pero claro, como he dicho antes, hay muchas cosas que en el Reglamento quedan un poco abstractas, y eso quiere decir que las grandes empresas tienen margen para litigar. Y estoy seguro de que, ante la amenaza de una multa del 4% de su facturación, van a preferir invertir en unos buenos abogados. Por caro que sea el abogado, será menos que ese 4%.

Cómo afectará a las tiendas online y marketers de a pie

¿Y qué pasa con los que no podemos pagarnos un abogado como el de OJ Simpson? ¿La ambigüedad en torno a la ley será suficiente como para que se sigan haciendo cosas claramente al margen?

En mi opinión, no. Por un lado, creo que el marketing digital va a ir a mejor, en el sentido de que bajará en un porcentaje respetable el spam y la agresividad a la hora de tratar de captar leads. Eso es bueno, no sólo para el usuario, sino para los que queremos hacer marketing bien, ya que nos obliga a pensar y hacer de manera más eficiente e inteligente nuestro trabajo.

Generar leads ya no va a ser tanto cuestión de “usar una herramienta”, como el que aprieta un botón y pasa por caja para pagar sus leads, sino que será algo que dependerá más de la estrategia elegida para llegar a los usuarios y de tu propuesta de valor.

Creo que, dada la facilidad que ofrecen ciertas herramientas para crear una buena landing page y hacerla visible, muchos han caído en un tipo de marketing muy facilón (y bastante alejado además de lo que en su esencia es el inbound marketing) en el que todo acaba siendo un juego de porcentajes: consigue mucho tráfico, mándales a una landing, suéltales un pop-up que no puedan ignorar y a pescar a ese porcentaje de usuarios que siempre están dispuestos a dar su email si ofreces algo gratis.

No pretendo estar en posesión de la verdad, pero el marketing de contenidos que de verdad funciona lleva más tiempo y supone crear una relación de confianza con los usuarios, a través de una estrategia sostenida de aportar contenido relevante y de calidad. No es un aquí te pillo, aquí te mato, me llevo 1000 emails y algo sacaré.

En definitiva, sube un poco el listón para el marketer, y repito que es algo con lo que estoy bastante conforme.

En cuanto a aspectos negativos, se me ocurren dos.

El primero es el meramente estético. Todos los formularios llevarán incorporado un pegote de texto legal, que no será precisamente bonito.

Pero esto es algo subjetivo, y sólo llamará la atención de los usuarios durante las primeras semanas o meses. Luego, los usuarios se acostumbrarán a ello y harán como si no lo vieran, igual que pasó con el aviso de cookies, o como ocurre con el 90% de banners de la web.

El segundo afectará casi exclusivamente al sector del ecommerce. La tendencia actual en el marketing para tiendas online es hacia la personalización, lo cual es lógico, porque nos permite no “molestar” a nuestros clientes con emails sobre ciertos productos que sabemos que no les van a interesar.

Pero la personalización, para ser efectiva, necesita datos, y según el RGPD, ahora los clientes deben dar su consentimiento consciente y voluntario para que podamos aplicar cualquier técnica de personalización de nuestro contenido y nuestro marketing.

En principio, creo que si los usuarios tienen una buena opinión de nuestra marca y nuestros productos, valorarán positivamente la personalización y darán su consentimiento. Pero es muy posible que haya un porcentaje que desconfíe de esta práctica y diga que no. Todos hemos tenido ya la experiencia de navegar buscando algún regalo sorpresa para nuestra pareja, y que luego nos persigan por la red anuncios con ese mismo producto y variantes. Adiós a la sorpresa (y a la privacidad). Muchos usuarios, acordándose de experiencias como estas, pueden optar por negarse a la personalización.

Resultado: la personalización (que de por sí es costosa de aplicar) podría acabar siendo poco efectiva para algunos negocios online como consecuencia del RGPD y el mayor poder que otorga a los usuarios sobre las acciones que nos dan permiso a realizar.

Lo que nos lleva al problema de los costes de adecuarse al reglamento. En este sentido, no soy muy pesimista.

Sé que, ahora mismo, todo parece muy complicado para el pequeño ecommerce o blog, pero realmente no es tanto lo que hay que hacer, y por estar adecuado a la ley bien merece el esfuerzo.

Sobre cómo implementar los checkboxes o añadir la coletilla legal a los formularios, no temas. En breve, la blogosfera estará llena de tutoriales sobre cómo hacer “x” con Mailchimp para el RGPD o “y” con Thrive Leads.

Para muestra, un botón: un post muy claro de Blogpocket sobre cómo incluir la casilla de verificación en tus formularios de Mailchimp para WordPress.

Incluso, las propias herramientas de email marketing (Mailchimp, Mailrelay, Active Campaign, ectc.) serán parte interesada en hacer fácil la adecuación al RGPD de cualquier formulario y añadirán features y tutoriales para ello. Por mi parte, iré recopilando en la parte de referencias los posts y recursos que me parezcan más útiles para hacer que cualquier ecommerce pueda tener sus formularios listos.

Sigue el retonsejo

No os vayáis todavía, que tengo que pasarle el marrón testigo del Retonsejo a alguien.

Mi elegido es Emilio García de Campamento Web, que está haciendo un podcast excelente sobre SEO y marketing digital que ya se va por su segunda temporada y es un imprescindible si quieres estar al día en estos temas.

¿Que retonsejo le lanzo? Que nos explique cómo potenciar tu marketing de contenidos y tu marca personal con un podcast. Y si quiere responder a la pregunta con un episodio de su podcast, mejor que mejor. 😉

Ahora sí, corto y cierro y os dejo con las referencias en las que podéis buscar más información sobre aspectos concretos del RGPD:

Referencias sobre el RGPD

Tutoriales, recursos y herramientas