Alerta: a partir del 25 de mayo el nuevo Reglamento de Protección de Datos de la UE (RGPD) es de obligado cumplimiento para cualquier negocio online que maneje datos de sus usuarios, aunque esté domiciliado fuera de la Unión Europea.
¿Cómo va a afectar esto a los que hacemos marketing de contenidos, SEO o Adwords para captar leads y suscriptores?
Antes de nada, quiero aclarar que no soy experto en temas legales, sino en SEO y ecommerce. Pero he investigado este tema para saber con precisión cómo va a afectar a mis clientes que tienen tiendas online y webs corporativas o informativas, en las que recogen emails y otros datos personales de los usuarios.
Como lo que he encontrado es importante y afecta a prácticamente todos en el ámbito del marketing digital y el blogging, he decidido compartirlo con vosotros:
Qué es el RGPD y cuando entra en vigor
El RGPD es el nuevo Reglamento General de Protección de Datos, y sustituye a la LOPD. Aquí tienes el texto completo del RGPD en español, publicado en el BOE (warning, tochazo inside).
Para lo que nos afecta a nosotros, marketeros y bloggers, rige cómo debemos gestionar los datos personales de nuestros usuarios.
Aunque creas que no tienes datos personales de tus usuarios y que no necesitas hacer nada, piénsatelo dos veces:
- Si capturas emails para enviar tu newsletter, estás gestionando información personal y necesitas ajustarte al RGPD
- Si tienes un formulario de contacto y te quedas con datos como el email y el teléfono de los usuarios, también rige el RGPD
- Incluso, si no haces nada de eso, pero permites comentarios en tu blog, estás sujeto a lo que dice el RGPD
Como ves, raro es el blog o tienda online que se queda fuera del alcance del RGPD.
¿Está el RGPD ya en vigor? Está aprobado desde el 2016, pero estamos actualmente en un período de margen para la adaptación.
Pero el momento en el que su cumplimiento pasa a ser obligatorio, y por tanto puedes ser sancionado si no lo cumples, está muy cerca: 25 de mayo de 2018.
Apúntate la fecha en un sitio donde la veas muy bien todos los días, porque no queda mucho para adecuar todos tus formularios al dichoso RGPD.
A quién afecta el RGPD y cómo
A toda aquella persona o empresa responsable de una web en la cual se recojan y almacenen datos de ciudadanos de la Unión Europea.
¿Cómo afecta? Pues para cumplir el RGPD estamos obligados a una serie de requisitos que la mayoría de blogs y tiendas online ahora mismo no cumplen:
- Cumplir el principio de responsabilidad (accountability). Acreditar en nuestra web que se han adoptando todas las medidas necesarias para tratar los datos personales tal y como exige el RGPD. Es una responsabilidad proactiva, que básicamente quiere decir que no basta con un copia y pega de la política de protección de datos de otra web cualquiera, porque cada negocio tiene su propio tratamiento de datos y debe garantizar el cumplimiento de la ley de una manera distinta.
- Cumplir con los principios de protección de datos por defecto y desde la creación del negocio o servicio. Son medidas para garantizar el cumplimiento de la norma desde el mismo momento en el que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos. Mi comentario: esto es bastante abstracto y difícil de demostrar, pero me quedo con que debemos tener en cuenta el problema del tratamiento de información personal antes de meternos en un negocio donde planeamos captar emails.
- Principio de transparencia. Los avisos legales y políticas de privacidad deben ser más sencillos, para que cualquier persona pueda comprenderlos rápidamente, al tiempo que deben ser más completos.
Para esto último, debemos proporcionar la información al usuario en capas: una primera capa con la información más esencial presente en el propio formulario de captación de datos, y una segunda capa con los datos completos en la clásica página de Política de Privacidad.
Todo esto (llamado información multinivel o en capas) está muy bien explicado en el post de Marina Brocca sobre el RGPD para blogs en Miposicionamientoweb, y como yo no soy experto en leyes y ella sí, te recomiendo que lo leas para profundizar en el tema.
Otra novedad del RGPD es el deber de notificar cualquier brecha de la seguridad de nuestros datos, es decir, si hemos sido hackeados y los hackers han tenido acceso a los datos que guardamos de nuestros usuarios. En tal caso, no podemos guardar silencio y hacer como que no ha pasado nada. Tenemos 72 horas desde nuestro conocimiento del ataque para notificar del mismo a la autoridad en materia de protección de datos de nuestro país.
Por último, ya no es necesario notificar de tus ficheros de tratamiento de datos a la AGPD (Agencia Española de Protección de Datos), salvo que la información que recoges incluya datos especialmente protegidos o sensibles: por ejemplo datos biométricos o historial penal de los usuarios. La mayoría de negocios online no entrarán en esta categoría, pero para salir de dudas hay una herramienta muy sencilla de la AGPD llamada Facilita RGPD, que te dirá si los datos que recoges están en la categoría sensible, y por lo tanto necesitas dar pasos adicionales.
Sanciones por no cumplir el RGPD
Vamos a lo que todo el mundo quiere saber. ¿Qué puede pasar si me descuido y pasado el 25 de mayo de 2018 todavía no he adaptado mis formularios ni mi información sobre protección de datos?
Muy fácil: te puede caer una multa de hasta 20 millones o el 4% de tu facturación global anual (lo que sea mayor). No estoy diciendo que a todo aquel que tenga el mínimo fallo pasado el 25 de mayo le vaya a caer una señora multa de tales proporciones, pero estas sanciones están contempladas en el nuevo RGPD y hay que saberlo.
En mi opinión personal (y por favor tómalo como tal, una opinión, y encima de alguien que en temas de Derecho podría ser perfectamente tachado de cuñado) este tipo de multas tienen más posibilidades de caerles a las grandes compañías (Facebook y Google, os estoy mirando a vosotros) que a un pequeño negocio online, al menos en un primer período. Pero aun y así no me quedo tranquilo y me parece que lo más prudente es cumplir al máximo la ley desde el día 1. A ti también, ¿verdad?
¿Me afecta el RGPD si estoy fuera de la Unión Europea?
Sí. Si tienes usuarios de la UE y estás guardando sus datos, aunque tú estés por ejemplo en un país de Latinoamérica, también te afecta.
Cito directamente del FAQ del sitio oficial del RGPD:
The GDPR not only applies to organisations located within the EU but it will also apply to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.
Que traducido es exactamente esto:
El GDPR no sólo se aplica a las organizaciones establecidas en la UE, sino que también se aplicará a las organizaciones situadas fuera de la UE si ofrecen bienes o servicios a los interesados de la UE o analizan su comportamiento. Se aplica a todas las empresas que tratan y conservan datos personales de sujetos que residen en la Unión Europea, independientemente de la ubicación de dichas empresas.
Cómo cumplir el RGPD con mi tienda online o blog
Explicado el peligro, vamos a lo práctico. ¿Cómo asegurarnos de que cumplimos al 100% con el RGPD y nadie puede ponernos ni un pero?
Voy a centrarme en la parte que afecta a los formularios y al email marketing. Sobre cómo completar tus páginas de Política de privacidad y protección de datos, y dado que la norma dice que cada negocio debe acreditar de manera específica sus esfuerzos, aparte de las líneas básicas que doy recomiendo buscar más información sobre el tema o contactar con un experto.
Si ante todo quieres ahorrar tiempo, te puede interesar la herramienta Legal Box, desarrollada por los expertos de LexBlogger para asesorarte y verificar que tu blog cumple con el RGPD.
Además, al final del post indico una serie de recursos, herramientas o páginas de referencia en las que buscar más información.
Cómo cumplir con el RGPD si tienes un ecommerce
Empiezo por las prácticas que con el nuevo reglamento no se pueden hacer en ningún caso:
- No se pueden enviar correos electrónicos a alguien que no haya solicitado activamente estar en nuestra lista. No más listas compradas a terceros, o fusionar listas de diferentes compañías en otras listas.
- No se pueden enviar emails automáticos para recuperar carritos abandonados o para informar de ofertas y descuentos, a no ser que el comprador haya optado expresamente por recibir este tipo de correos.
- Es ilegal negarse a facilitar a los clientes sus datos personales, si ellos lo solicitan.
- No se pueden puede enviar mensajes no solicitados a través de SMS.
Ojo, porque muchas de estas ya estaban en contra del reglamento vigente antes del RGPD (como por ejemplo lo de usar listas de terceros) y a pesar de ello muchos negocios online seguían haciéndolo.
Ante la duda, volver al punto de las posibles sanciones. La denuncia de una sola persona que reciba un correo no solicitado de tu parte puede desembocar en una multa de 20 millones de euros o el 4% de tu facturación anual. Yo no me arriesgaría.
Además, aunque la ley no dijese nada, si mandas correo no solicitado eres un pesado y tus tasas de apertura y clic van a ser bajísimas.
Ahora, ¿qué debes hacer activamente para adecuarte a la norma?
- Adaptar tus formularios, eliminando todos los opt-ins automáticos. Es decir, en todos tus formularios debe haberse clic en una casilla de consentimiento (checkbox) para completar la acción o suscripción. Además, el formulario mostrará una cláusula informativa con los principales aspectos de tu tratamiento de datos (pongo un ejemplo más abajo). Sería la primera capa de información que debemos proporcionar al usuario, y debe ir acompañada de un enlace a la página en la que estará la segunda capa, la información completa y detallada.
- Actualizar tu Política de Privacidad. Varios nuevos aspectos que esta página debe incluir:
- Debes indicar expresamente que cumples y te sometes al RGPD
- Debes especificar qué información recoges de los usuarios (por ejemplo, sus direcciones IP, desde qué tipo de dispositivo navegan, cookies, duración de la visita y páginas visitadas, su email, teléfono, nombre, dirección de envío y dirección de facturación, etc.)
- Especificar quién, además de ti, tiene acceso a la información que guardas de tus usuarios (como por ejemplo Google, Mailchimp, Disqus…) Todos ellos son destinatarios de la información de tus usuarios y deben quedar consignados en tu Política de Privacidad.
- Especificar la identidad del responsable de la gestión de los datos personales (puede ser un delegado en tu nombre).
- Especificar que los usuarios tienen derecho a solicitar al responsable el acceso a los datos personales que hayan facilitado, a su rectificación o supresión, a la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- Especificar la finalidad que vas a dar a los datos recogidos, y durante qué plazo vas a guardarlos.
- Por último, si hay procesos automatizados como por ejemplo meter a un usuario en un segmento u otro de tu lista según qué acciones hayan realizado, esto debe estar explicado, siempre que vaya a tener consecuencias jurídicas para el afectado (si tienes dudas sobre esto, ya sabes, consulta con un experto).
Si tienes un blog y recoges datos de tus usuarios
Si recoges datos de tus usuarios mediante un formulario de suscripción, de contacto, o incluso pides algún dato para dejar comentarios, todo lo dicho en el apartado anterior (ecommerce) es aplicable para ti también.
En el caso de que en tu blog no captes leads, ni tengas formulario de suscripción a la newsletter o de contacto, y si no pides ningún dato a la hora de dejar comentarios, puede que no necesites hacer nada de lo que pide el RGPD, pero aun y así yo me asesoraría, por si acaso.
Ejemplos de formularios de suscripción
He buscado mucho para encontrar ejemplos concretos de ecommerce cuyos formularios estén adaptados ya a las exigencias del RGPD y no he encontrado ninguno que lo cumpla todo. Estoy seguro de que en las próximas semanas podré ofrecer muchos ejemplos, pero por ahora voy a mostrar un par de tiendas online que ahora mismo cumplen parciamente, para que veamos de qué estamos hablando, y por último un blog que sí cumple con todo.
Este formulario de La Redoute incluye el checkbox obligatorio, con enlace a la política de privacidad, pero no incluye una coletilla legal con la primera capa de información sobre la entidad que recoge datos y el propósito.
Este segundo formulario, de Sarenza, sí incluye coletilla legal, pero no el checkbox obligatorio para expresar consentimiento.
Por último, este formulario de mi amigo Rubén Alonso, de Mi Posicionamiento Web, sí que incluye tanto el checkbox como la necesaria coletilla legal. Rubén ya no va a tener ningún problema de formularios con el RGPD. ;)
Cómo va a afectar el RGPD al marketing digital en general
No soy profeta, pero me han pedido que me moje y me voy a mojar.
Cómo afectará a las grandes empresas
De entrada puedo decir que los grandes jugadores internacionales van a tener mucho que ajustar. Google, Amazon, Facebook, Twitter… incumplen diariamente miles de veces algunas de las normas que trae consigo el RGPD.
Un ejemplo: las campañas de leads de Facebook Ads y Twitter Ads, en las que es posible “hacerte” con el correo de una persona a través de un anuncio que aparece en el timeline de ese usuario en Facebook o Twitter. Ahí no hay checkbox, no hay un resumen de la política de privacidad de la empresa que se queda con tus datos, y en muchos casos ni siquiera se sabe quién es esa empresa o ese señor. Todo mal.
Pero hay muchos más casos. Amazon te manda correos sobre productos que has mirado en su web, aunque sea de reojo, y muchos ecommerce te los muestran en anuncios de display insertados en otras páginas.
La mayoría de usuarios no han dado nunca permiso expreso para esta práctica, ni siquiera saben que es posible (el aceptamiento tácito de una serie de términos genéricos que nadie comprende ya no es suficiente, según el RGPD). Para hacerse una idea de cómo podría afectar a los grandes gigantes de internet, valga este estudio de Deutsche Bank que dice que Google podría perder un 2% de su facturación anual, si un 30% de los usuarios europeos dijeran que no a compartir sus datos con Google.
Pero claro, como he dicho antes, hay muchas cosas que en el Reglamento quedan un poco abstractas, y eso quiere decir que las grandes empresas tienen margen para litigar. Y estoy seguro de que, ante la amenaza de una multa del 4% de su facturación, van a preferir invertir en unos buenos abogados. Por caro que sea el abogado, será menos que ese 4%.
Cómo afectará a las tiendas online y marketers de a pie
¿Y qué pasa con los que no podemos pagarnos un abogado como el de OJ Simpson? ¿La ambigüedad en torno a la ley será suficiente como para que se sigan haciendo cosas claramente al margen?
En mi opinión, no. Por un lado, creo que el marketing digital va a ir a mejor, en el sentido de que bajará en un porcentaje respetable el spam y la agresividad a la hora de tratar de captar leads. Eso es bueno, no sólo para el usuario, sino para los que queremos hacer marketing bien, ya que nos obliga a pensar y hacer de manera más eficiente e inteligente nuestro trabajo.
Generar leads ya no va a ser tanto cuestión de “usar una herramienta”, como el que aprieta un botón y pasa por caja para pagar sus leads, sino que será algo que dependerá más de la estrategia elegida para llegar a los usuarios y de tu propuesta de valor.
Creo que, dada la facilidad que ofrecen ciertas herramientas para crear una buena landing page y hacerla visible, muchos han caído en un tipo de marketing muy facilón (y bastante alejado además de lo que en su esencia es el inbound marketing) en el que todo acaba siendo un juego de porcentajes: consigue mucho tráfico, mándales a una landing, suéltales un pop-up que no puedan ignorar y a pescar a ese porcentaje de usuarios que siempre están dispuestos a dar su email si ofreces algo gratis.
No pretendo estar en posesión de la verdad, pero el marketing de contenidos que de verdad funciona lleva más tiempo y supone crear una relación de confianza con los usuarios, a través de una estrategia sostenida de aportar contenido relevante y de calidad. No es un aquí te pillo, aquí te mato, me llevo 1000 emails y algo sacaré.
En definitiva, sube un poco el listón para el marketer, y repito que es algo con lo que estoy bastante conforme.
En cuanto a aspectos negativos, se me ocurren dos.
El primero es el meramente estético. Todos los formularios llevarán incorporado un pegote de texto legal, que no será precisamente bonito.
Pero esto es algo subjetivo, y sólo llamará la atención de los usuarios durante las primeras semanas o meses. Luego, los usuarios se acostumbrarán a ello y harán como si no lo vieran, igual que pasó con el aviso de cookies, o como ocurre con el 90% de banners de la web.
El segundo afectará casi exclusivamente al sector del ecommerce. La tendencia actual en el marketing para tiendas online es hacia la personalización, lo cual es lógico, porque nos permite no «molestar» a nuestros clientes con emails sobre ciertos productos que sabemos que no les van a interesar.
Pero la personalización, para ser efectiva, necesita datos, y según el RGPD, ahora los clientes deben dar su consentimiento consciente y voluntario para que podamos aplicar cualquier técnica de personalización de nuestro contenido y nuestro marketing.
En principio, creo que si los usuarios tienen una buena opinión de nuestra marca y nuestros productos, valorarán positivamente la personalización y darán su consentimiento. Pero es muy posible que haya un porcentaje que desconfíe de esta práctica y diga que no. Todos hemos tenido ya la experiencia de navegar buscando algún regalo sorpresa para nuestra pareja, y que luego nos persigan por la red anuncios con ese mismo producto y variantes. Adiós a la sorpresa (y a la privacidad). Muchos usuarios, acordándose de experiencias como estas, pueden optar por negarse a la personalización.
Resultado: la personalización (que de por sí es costosa de aplicar) podría acabar siendo poco efectiva para algunos negocios online como consecuencia del RGPD y el mayor poder que otorga a los usuarios sobre las acciones que nos dan permiso a realizar.
Lo que nos lleva al problema de los costes de adecuarse al reglamento. En este sentido, no soy muy pesimista.
Sé que, ahora mismo, todo parece muy complicado para el pequeño ecommerce o blog, pero realmente no es tanto lo que hay que hacer, y por estar adecuado a la ley bien merece el esfuerzo.
Sobre cómo implementar los checkboxes o añadir la coletilla legal a los formularios, no temas. En breve, la blogosfera estará llena de tutoriales sobre cómo hacer “x” con Mailchimp para el RGPD o “y” con Thrive Leads.
Para muestra, un botón: un post muy claro de Blogpocket sobre cómo incluir la casilla de verificación en tus formularios de Mailchimp para WordPress.
Incluso, las propias herramientas de email marketing (Mailchimp, Mailrelay, Active Campaign, ectc.) serán parte interesada en hacer fácil la adecuación al RGPD de cualquier formulario y añadirán features y tutoriales para ello. Por mi parte, iré recopilando en la parte de referencias los posts y recursos que me parezcan más útiles para hacer que cualquier ecommerce pueda tener sus formularios listos.
Sigue el retonsejo
No os vayáis todavía, que tengo que pasarle el marrón testigo del Retonsejo a alguien.
Mi elegido es Emilio García de Campamento Web, que está haciendo un podcast excelente sobre SEO y marketing digital que ya se va por su segunda temporada y es un imprescindible si quieres estar al día en estos temas.
¿Que retonsejo le lanzo? Que nos explique cómo potenciar tu marketing de contenidos y tu marca personal con un podcast. Y si quiere responder a la pregunta con un episodio de su podcast, mejor que mejor. ;)
Ahora sí, corto y cierro y os dejo con las referencias en las que podéis buscar más información sobre aspectos concretos del RGPD:
Referencias sobre el RGPD
Tutoriales, recursos y herramientas
- Herramienta Legal Box Basic, para adaptar tu blog al RGPD (y alertarte en caso de que no cumplas algunas de las condiciones)
- Nuevos formularios de Mailchimp adaptados al RGPD (documentación oficial de Mailchimp, por ahora sólo en inglés)
Estupendo artículo y muy importante para evitar sustos. Espero que con estos cambios se consigan mejorar la calidad de los leads. Puede que baje la efectividad de las subscripciones y reducir el impacto del spam. Parece que todo es un copia y pega en las landing. Como bien comentas en el artículo:
«consigue mucho tráfico, mándales a una landing, suéltales un pop-up que no puedan ignorar y a pescar a ese porcentaje de usuarios que siempre están dispuestos a dar su email si ofreces algo gratis.»
Un saludo!
Estamos totalmente de acuerdo, Daniel. Muchas gracias por comentar!
Tengo un blog y desde q empezaron con las cookies y todo eso no lo actualice mas me dio miedo , no se como poner el aviso y no quiero cometer ninguna infracción.
Carina, si tienes WordPress.org puedes descargarte plug-ins gratuitos del repositorio oficial que avisan al usuario sobre el tema de las cookies.
Muy bueno el artículo, me lo guardo para echarle un vistazo más detenidamente. ¡Gracias por compartir la información!
Parece que la cosa se pone sería, muy buen curro Juan, la verdad es que me dan pereza estos temas y me lo has dejado clarito ;)
Y me alegro que el #Retonsejo continue…
Un saludo
Justo hoy había actualizado mi página de contacto para adaptar la casilla de consentimiento. Además he subido una paginita en .pdf descargable con una tabla tipo que se puede encontrar en un manual de la IAB Spain. Gracias por este artículo, muy bien explicado y geniales reflexiones. Un placer haberte conocido.
De nada, Virginia, gracias a ti, y encantado también de haberte conocido. Le he echado un vistazo a ese blog y confirmo que lo estás haciendo muy bien creando contenido completo y útil para un sector «difícil». ¡Ánimo con ello! :)
Hola Juan, encantado de leerte. El problema que veo con el RGPD es la falta de información al respecto. He leído muuuuchos blogs sobre el tema y poco más o menos todos decís lo mismo. Ojo, no quiero decir que hagáis un copy/paste, cada uno con vuestras palabras pero el contenido es similar. De hecho aprovecho para felicitarte porque el tuyo es de los que más me ha gustado.
El ejemplo que pones del formulario de Rubén Alonso que lo calificas como correcto, para mí no es correcto y me explico; la coletilla legal la pone justo después del botón enviar. En una pantalla de teléfono móvil (la gran mayoría de los usuarios accedemos por este medio a internet), haciendo scroll, verían el botón de enviar sin ver «la coletilla legal», es decir, que cualquiera puede hacer clic en el botón sin percatarse y sin leer dicha coletilla.
Todo el mundo habla sobre los textos legales, sobre la adaptación de los formularios pero nadie habla del más allá que es lo verdaderamente complicado.
¿Qué ocurre con las webs que tienen formulario de contacto y no guardan un registro en su base de datos?
– He leído en varios blogs que únicamente tienen que adaptar los textos legales y los formularios (con la coletilla y la casilla de consentimiento) y ya no se tienen que preocupar. Ja!! ¿Dónde lees esos emails que te llegan a través del formulario de contacto?¿Eso no es guardar los datos personales?¿Como hay que gestionar esto?
Del mismo modo, aunque guardes copia en el servidor, tendrás que utilizar un gestor de correo para leer y responder esos mensajes. Entonces deberás advertir a los usuarios sobre este hecho en la política de privacidad. ¿Cómo gestionamos esto? ¿Y si resulta que tu gestor de correo es Gmail con servidores en EEUU? Google ya ha anunciado que su herramienta «G Suite» (de pago) si que cumple con el GDPR pero el Gmail gratuito «no».
También he leído políticas de privacidad de blogs supuestamente ya adaptados al nuevo reglamento donde para ejercitar los derechos ARCO y los nuevos derechos del RGPD hay que hacerlo remitiendo un email adjuntando el DNI.
1.- No se puede comprobar con el DNI que se trate de la persona interesada (al fin y al cabo en el formulario sólo a introducido el nombre de pila y una dirección de email).
2.- El RGPD establece en el considerando 59 que el responsable debe proporcionar medios al interesado para que las solicitudes se presenten por medios electrónicos, sobre todo cuando dicho tratamiento es realizado por dichos medios. ¿No deberíamos utilizar un formulario para facilitar a los usuarios el ejercicio de estos derechos?
He buscado estas dudas por muchos sitios y blogs. No he encontrado respuesta. También he acudido a un «profesional» y el resultado ha sido el mismo….la cara a cuadros. (¿Hay algún especialista en el RGPD?)
Hola Víctor, pues no te falta razón en lo que dices de la coletilla tras el formulario y el botón «Enviar». Pero se me ocurre que la solución a eso puede ser tan fácil como colocar el checklist (necesario para que un usuario pueda suscribirse) debajo de la coletilla. Así nadie podrá decir que la coletilla no estaba visible, ni siquiera en móvil. De hecho creo que yo lo voy a hacer así en mis formularios cuando por fin me decida a hacer lo que predico en mi propio blog (en casa de herrero cuchillo de palo, pero hasta el 25 de mayo tengo tiempo, jeje).
Sobre las otras cuestiones que planteas… Es cierto que algunas cosas no están del todo claras. También yo he leído mucho, y sobre todo he tratado de acudir a las fuentes, es decir a la reglamentación en sí y toda la parte del almacenamiento de datos ofrece ciertas dudas o contradicciones. Yo creo que, especialmente para tiendas y negocios online, lo mejor es trabajar con herramientas que a su vez cumplan el RGPD. Es decir, si mi base de datos para la newsletter la está gestionando Mailchimp y ellos cumplen RGPD, por ese lado estoy tranquilo.
Lo que comentas de usuarios que te han contactado a través de formulario de contacto en tu web es un caso un poco excepcional, porque todo el que te ha contactado por ahí lo ha hecho de manera voluntaria (igual que siguiendo el RGPD a pies juntillas, si alguien está en tu newsletter lo tiene que haber hecho voluntariamente sí o sí y haciendo clic en el email de confirmación). Por tanto, siempre qu ene el propio formulario de contacto se indique claramente quién y cómo va a gestionar los datos que el usuario pone en tu poder (como mínimo nombre y email) no debería haber ningún problema. Salvo que tú hagas un mal uso de ese email y lo añadas a una newsletter sin su consentimiento, nadie puede poner una sola queja sobre tu manejo de esos datos, aunque estén en tu servidor de tu correo o en Gmail.
Por cierto, aunque no sabía lo de que sólo G Suite piensa cumplir el RGPD y no Gmail, me extraña, ya que Google Analytics es un servicio también gratuito de Google y sí que ha anunciado medidas inmediatas para cumplir RGPD. Dado el uso tan extendido de Gmail creo que sería un gran error por parte de Google no adaptarlo… y las autoridades europeas irían corriendo a buscar motivos para cascarles una buena multa (a Google, no a ti como usuario de Gmail).
Saludos y muchas gracias por comentar y por tu opinión sobre el post.
Ostras Juan, mi respuesta se queda en una minúscula columna. La vuelvo a poner como un nuevo comentario para que la podamos leer mejor.
Muchas gracias por tu respuesta Juan.
De acuerdo contigo en que el mismo reglamento no deja las cosas claras.
Creo que Mailchimp está acogido al acuerdo de seguridad EU-US Privacy. Pero recuerda que tú eres el responsable.
Mi página web y la de muchos autónomos no necesitan almacenar datos personales de los usuarios en la base de datos del servidor. La forma de contacto generalmente es a través de formularios con la única finalidad de responder a sus cuestiones o contratar algún servicio.
Siempre he utilizado cuentas de correo de Gmail en mis formularios, primero porque me parecen mucho más seguras que las de mi dominio y segundo porque Gmail me parece un gestor de correo muy bueno, accesible desde cualquier dispositivo y desde cualquier lugar.
La principal duda que tengo es si voy a poder seguir utilizando Gmail como destino de los envíos que se realicen desde mis formularios y también como mi gestor de correo, o tengo que buscar alternativas de pago como «G Suite».
Slds y de nuevo muchas gracias.
Buenas tardes, ante todo darte la enhorabuena por tu post, ¡está genial!
Me quedo con una duda. Tengo un portal de pádel y tengo una pequeña base de datos que están suscritos al newsletter. Mi pregunta es: ¿tengo que pedirles a estos suscritos su consentimiento?
Está claro que desde ya tengo que actualizar la política de privacidad y que en los formularios debo incluir checkbox para que acepten.
¡Gracias!
Muchas gracias, Antonio. Pues sí, yo entiendo que, aparte de actualizar la política de privacidad y los formularios, necesitas pedir a sus suscriptores actuales que confirmen a través del nuevo formulario. Ya que cuando ellos se suscribieron, no tenías el checkbox ni la coletilla legal. Saludos.
Puede algún SEO hacer un post sobre la RGPD que no sea un tocho infumable de 2.000 palabras con información repetida y que no interesa y que explique simplemente qué hacer para cumplir con la jodida normativa.
Creo que tu blog es muy bueno, pero a veces pecas como el resto de SEOS de querer hacer el post definitivo sobre X temática y meter paja y más paja que lo hace pesadísimo.
Ya sé que todos queréis aparecer los primeros y que google premia los contenidos de 2.000 palabros aprox, pero joder para explicar como aplicar la RGPD se hace un post que diga: 1º Instala este plugin de wordpress, pon este texto en la política de privacidad, pon esto en todos los formularios, etc… y no textos y textos sobre qué es la RGPD, a quien afecta, bla bla porque al final parece que lo único que se quiere es posicionar y no ayudar al lector.
Hola, Manel. Vale, te reconozco que a día de hoy todo lo que tenga que ver con RGPD se hace pesadísimo, y hay un volumen increíble de información circulando que no son más que fotocopias y no aportan nada. Pero por otro, ten en cuenta que cuando yo escribí esto (en febrero) no había ni un sólo post de estas características en español (créeme, que busqué bien antes de hacer el mío) y la información sobre qué es el RGPD y que iba a suponer en ese momento era relevante y necesaria para muchos. No es que yo quisiera ser original o el primero en Google, es que la mayoría de la gente no había oído las siglas RGPD y había que ir avisando del tema. Por eso lo de los «tochos» que ahora parecen redundantes o sólo para posicionar.
A día de hoy ya me hago cargo que lo único que busca la gente es qué plugin instalar y qué texto copiar y pegar para estar tranquilos… pero desgraciadamente no es tan sencillo. Para mí lo más importante (que ya he destacado en el post) es:
– No tengas a nadie en tus listas que no haya solicitado activamente ser parte de tu lista y recibir tus comunicaciones. Si no estás seguro envía un correo pidiendo a los usuarios que rellenen un formulario de acuerdo al nuevo reglamento, y olvídate de todos los usuarios que no lo rellenen. El valor está en la lista, sí, pero más vale estar tranquilo con respecto a posibles denuncias y multas.
– Los formularios DEBEN incluir SIEMPRE un checkbox para el consentimiento, y una coletilla legal con el quién, el qué y el por qué de lo que se va a hacer con su email. Os podéis fijar en los formularios que tengo yo ahora en el blog
– Por último, la página de Aviso Legal o Política de Privacidad debe incluir esa misma información pero ampliada, incluyendo todas las herramientas de terceros que hagan uso de datos de usuarios (Analytics, Mailchimp), si haces remarketing o segmentación de algún tipo para tus envíos de newsletter y acciones de marketing, etc. No te puedo dar un ejemplo de página de Política de Privacidad para que copies y pegues, porque todo dependerá de las acciones que tú lleves a cabo, si son distintas que la del ejemplo no te sirve.
Espero haber aclarado un poco tus dudas y muchas gracias por el comentario, sobre todo por decir que el blog es muy bueno. ;)
Gracias por tu respuesta, tu esfuerzo y dedicación, pocos blogs de SEO como el tuyo y la verdad que te avanzaste con tu post. Tienes razón todo lo relacionado con la RGP se hace muy muy farragoso, pero como te digo llevo estos días (supongo que como todos) buscando información, comparando, instalando plugins y gran parte de la información que encuentro son solo tochos y tochos romualfonsianos con TOC que se han puesto de moda entre los SEO’s. ;-P
Buen post, una consulta sobre las tiendas online y facturas. Cuando entrego una factura física me tienen que responder al formulario RGPD con sí o no y quedarme esa copia, pero con alguien que le factura de fuera como lo puedo hacer? Presentándole la factura con la «coletilla» es suficiente? Un saludo.
La verdad es que no te sé responder a esto, David. Lo que comentas parece razonable, pero yo no soy experto jegal y no me atrevo a confirmarte nada. Puedes dirigirle la pregunta a Marketing On Law, que sí son expertos en esto: http://marketingonlaw.es/contacto/ Espero que encuentres la solución, saludos y gracias por comentar!