Una newsletter es una herramienta de marketing increíblemente potente. Es una forma conveniente de construir y fortalecer las relaciones con tus clientes, pero también podría costarte caro si no cumples con tus obligaciones legales. Si estás pensando enviar o, de hecho, ya estás enviando newsletters, tienes la obligación legal de tener una política de privacidad completa, ya que recopilas datos personales de tus usuarios.
De acuerdo con la gran mayoría de legislaciones, si se tratan datos personales, se debe informar al usuario de dichas actividades de tratamiento (generalmente a través de una política de privacidad) y, dependiendo de la legislación aplicable, también puede ser necesario recopilar el consentimiento de parte del usuario y/o proporcionar un método a través del cual pueda retirar fácilmente su consentimiento.
En general, estas normas se aplican a cualquier servicio dirigido a los residentes de un país, lo que significa que se pueden aplicar a tu empresa, independientemente de que tenga su sede en dicho país o no. Esto es incluso más relevante si estás utilizando una lista de correos electrónicos comprada, ya que en ese caso puede que no conozcas el país de residencia del destinatario. Por ello, es siempre recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas.
Puedes obtener más información sobre la normativa aplicable aquí o consultar nuestro Resumen de los requisitos legales aquí.
En la mayoría de los casos, la ley requiere que tu política de privacidad informe a los usuarios sobre las actividades de tratamiento de datos que se llevan a cabo en un lenguaje fácil de entender y sin ambigüedades.
La política debe incluir detalles sobre:
Las apps y servicios de terceros también tienen que cumplir la ley. Por esta razón, a menudo es obligatorio que todos los socios y clientes que usen sus servicios cumplan los estándares normativos. La mayoría de las plataformas de gestión de newsletters más reconocidas han hecho obligatorio que los usuarios de sus servicios cuenten con una política de privacidad completa que aclare su participación y cumpla con la normativa.
Aquí puedes ver un extracto de los Términos de servicio de Mailchimp:
Describirás claramente por escrito cómo piensas utilizar los datos recopilados, incluyendo para el uso de Mailchimp. Obtendrás consentimiento expreso para transferir datos a Mailchimp como parte de este proceso, y en cualquier caso, cumplirás con cualquier política de privacidad que hayas publicado.
Y otro de los Términos de servicio de Campaign Monitor:
Adoptarás y respetarás una política que cumpla con todas las leyes de privacidad aplicables y que sea al menos tan estricta como nuestra Política de Privacidad (modificada de vez en cuando por Campaign Monitor). Reconoces que todos los datos personales que nos proporcionas han sido recopilados con el consentimiento del interesado, que has informado a esa persona de los fines para los que se recopilaron los datos y que puedes proporcionarnos esta información con el fin de utilizar el Servicio. Eres consciente de que los datos personales facilitados se pueden almacenar en servidores ubicados en los Estados Unidos de América y, además, garantizas que has obtenido el consentimiento de las personas interesadas para el almacenamiento y transmisión de sus datos personales en la forma indicada.
En general, la normativa establece que tu política de privacidad debe ser claramente visible y de fácil acceso en todo tu sitio web o aplicación. Para ello puede ser suficiente insertar un simple enlace a la política directamente en el pie de página. Sin embargo, en un contexto de transparencia (que suele ser uno de las principales finalidades de las leyes de privacidad), es recomendable que pongas tu política de privacidad a disposición de los usuarios en cada situación. Por ejemplo, insertando también un enlace en el formulario de registro y en la newsletter.
View live demos and have your questions answered in real time by attending one of our free English webinars. They are all practical and designed to really help you with understanding and achieving compliance for your websites or apps.
Attend our free webinarsSegún la Ley de Control del Asalto a la Pornografía y Comercialización No Solicitada (CAN-SPAM) de la Comisión Federal de Comercio (FTC) de EE. UU., no es necesario obtener el consentimiento antes de añadir a los usuarios de EE. UU. a tu lista de correo o enviarles mensajes comerciales. Sin embargo, es obligatorio proporcionar a tus usuarios un mecanismo claro para rechazar cualquier contacto futuro.
Dado que los formularios de suscripción a la newsletter son herramientas de recopilación de datos, según la legislación de la UE (es decir, el RGPD) es obligatorio obtener el consentimiento informado del usuario antes de suscribirlo a tu servicio. Según los reglamentos de la UE, adquirir el consentimiento es un procedimiento con dos partes, que incluye informar al usuario y obtener consentimiento verificable a través de una acción afirmativa.
Para informar al usuario es necesario:
Ser específico.
Debes indicar claramente el tipo de correo electrónico al que el usuario está dando su consentimiento;
Ser claro y sin ambigüedades.
El usuario medio debería poder comprender fácilmente a qué está dando su consentimiento;
Dejar claro que el registro es opcional.
El consentimiento debe ser “dado libremente”: no es posible obligar a los usuarios a suscribirse a tu lista de correo o hacer que parezca que el registro es obligatorio. Por este motivo, es necesario aclarar que el registro es opcional. Esto es especialmente relevante en los casos en los que ofreces documentos técnicos (o libros electrónicos) gratuitos para descargar. Si bien la dirección de correo electrónico del usuario es necesaria para la prestación del servicio, la suscripción a la newsletter no lo es. En tal caso, no debe parecer que la suscripción a la newsletter es obligatoria y hay que dejar claro que es opcional.
Por lo tanto, si deseas agregar a las personas que descargan tu libro electrónico a la newsletter, debes incluir un mensaje parecido a este en el formulario de descarga del libro electrónico:
Como se puede ver en el ejemplo, los usuarios deben ser conscientes de que el consentimiento es en realidad opcional y no obligatorio.
El consentimiento debe ser explícito y verificable.
Es necesario que el proceso para obtener el consentimiento del usuario sea sencillo e implique una acción clara de “aceptación”. Esto significa que no se permiten mecanismos como las casillas de verificación para la suscripción a newsletters previamente seleccionadas, ya que la normativa europea prohíbe expresamente este tipo de casillas y otros métodos alternativos de “autoexclusión”.
Sin embargo, puedes utilizar cualquier otro método que requiera que el usuario realice una acción afirmativa directa (que puede incluir cualquier acción de consentimiento verificable, incluido el envío de un correo electrónico o hacer clic en una casilla de verificación).
Los usuarios deben tener la posibilidad de retirar su consentimiento.
Según el RGPD, los usuarios tienen derecho a retirar su consentimiento. Esto significa que estás obligado a hacer que la retirada del consentimiento sea tan fácil como su obtención. Este requisito se puede cumplir fácilmente insertando un enlace de cancelación de suscripción visible y válido en cada newsletter. Los usuarios también deberían poder gestionar sus preferencias de correo electrónico desde su propia cuenta.
El consentimiento adquirido debe ser específico al tipo de contenido que se envía.
Esto quiere decir que la newsletter solo debe contener información a la que el usuario ha dado su consentimiento. Por ejemplo, si el usuario solo acepta recibir correos electrónicos sobre nuevos productos, no debes enviarle emails promocionales relacionados con ofertas de terceros.
En los casos en los que desees enviar diferentes tipos de correos electrónicos a tus usuarios, es necesario obtener un consentimiento adicional específico para estos usos, ya que es necesario contar con un consentimiento para cada finalidad del tratamiento.
No es necesario utilizar un formulario adicional. En la práctica, es suficiente agregar varias casillas de verificación para informar al usuario de cualquier otro propósito y permitirle dar su consentimiento específico para estos fines.
Esto es especialmente importante para el marketing directo por correo electrónico (DEM) (es decir, para enviar correos electrónicos cuya finalidad es publicitar directamente productos o servicios). En el caso de enviar DEM, es necesario obtener un consentimiento adicional si envías correos electrónicos sobre productos/servicios de terceros además de los tuyos.
Hay algunas excepciones al requisito del tipo de consentimiento activo mencionado anteriormente. Echemos un vistazo al consentimiento previo suave y al formulario explícito.
El consentimiento previo suave puede permitirte eludir la necesidad de un consentimiento previo. El consentimiento previo suave puede darse cuando un usuario ha facilitado su dirección de correo electrónico al comprar un producto o servicio. En particular, el consentimiento previo suave puede aplicarse cuando se cumplen las siguientes condiciones:
💡 Obtén más información sobre los casos en los que se aplica el consentimiento previo suave consultando nuestra tabla de resumen de email marketing internacional.
Un formulario explícito es cuando la finalidad del mecanismo de registro es inequívoco. Así, por ejemplo, si tu web tiene una ventana emergente que invita a los usuarios a suscribirse a la newsletter con una frase clara como: “Suscríbete a nuestra newsletter para acceder a vales de descuento y actualizaciones de nuestros productos“, la acción afirmativa que realiza el usuario al escribir su dirección de email se consideraría un consentimiento válido.
Como el consentimiento según el RGPD es un tema tan importante, es esencial que mantengas registros claros relacionados con el mismo. El registro de consentimientos debe contener al menos la siguiente información:
Mantener un registro válido, si bien es obligatorio, puede ser todo un desafío técnico. Nuestra Consent Database simplifica este proceso, permitiéndote ver, gestionar y exportar tus registros de consentimiento fácilmente. Puedes leer más sobre nuestra solución aquí.
Mientras que la suscripción única solo requiere que los usuarios introduzcan su información para ser agregados a tu lista de correo, la suscripción doble requiere que los usuarios validen primero su dirección de correo electrónico antes de ser agregados. La validación tiene lugar cuando el usuario hace clic en un enlace específico contenido en un mensaje de “confirmación” enviado a su dirección de correo electrónico.
Con este método, te aseguras de que la dirección de correo electrónico que recibe la comunicación pertenece realmente a la persona que da el consentimiento, con la garantía adicional de evitar altas tasas de cancelación de suscripción, de preservar la integridad de la lista de correo y la reputación de tu propia dirección de correo electrónico. Este método de registro se considera la mejor práctica en muchos países de la Unión Europea, especialmente en Alemania..
En varios casos, los tribunales alemanes han dictaminado que el procedimiento de suscripción única no constituye una prueba suficiente del consentimiento. Un ejemplo de esto sería el caso OLG Celle, sentencia del 15/05/2014:
En principio, el remitente de publicidad (por correo electrónico) debe declarar que existe un consentimiento a tal efecto, que debe provenir en particular del destinatario… El remitente de correos electrónicos publicitarios puede cumplir con este requisito con el llamado “procedimiento de suscripción doble”… de forma adecuada para cada dirección de correo electrónico individual.
Dependiendo de dónde vivan tus usuarios, es posible que se apliquen leyes específicas sobre el spam. En los Estados Unidos, la Ley CAN-SPAM establece las reglas para enviar mensajes comerciales, incluidos los correos electrónicos.
Estos son los principales requisitos de la Ley CAN-SPAM:
Utiliza información veraz en el encabezado de tus correos electrónicos.
Tu nombre, dirección de correo electrónico e información de enrutamiento (incluido el dominio) deben ser precisos e identificar correctamente al remitente del mensaje.
No escribas asuntos engañosos.
El asunto del correo electrónico debe representar correctamente el contenido del mensaje.
Indica que el mensaje es un anuncio publicitario.
No existe un método específico para hacer esto, aunque la divulgación debe ser “clara y visible”.
Informa a los destinatarios sobre dónde te encuentras.
Se debe incluir una dirección postal válida.
Supervisa lo que otras organizaciones están haciendo en tu nombre.
Incluso si has subcontratado tus actividades de marketing por correo electrónico, la ley puede responsabilizaros tanto a ti y como a la otra empresa.
Informa a los usuarios y proporciona una opción visible para retirar el consentimiento.
La opción “cancelar suscripción” se debe ver fácilmente y debe incluir una explicación clara de cómo el usuario puede optar por no recibir correos electrónicos en el futuro. El aviso debe ser claramente reconocible, legible y comprensible para el usuario medio. Una forma práctica de implementar esta opción es incluyendo un enlace de “cancelar suscripción” junto con una declaración que informe al usuario de la opción.
Por ejemplo, puedes utilizar una frase como esta: “Recibes esta comunicación comercial de [Nombre de la empresa] porque has mostrado interés en nuestros productos y servicios. Si ya no deseas recibir estas comunicaciones, puedes darte de baja haciendo clic en este enlace”.
Según la CAN-SPAM, la posibilidad de darse de baja debe ser gratuita y no debe requerir un proceso de inicio de sesión. Esto significa que los usuarios deben poder darse de baja sin costo y sin tener que iniciar sesión en su cuenta. La FTC establece que:
No puedes exigir el pago de una tarifa, ni pedirle al destinatario que te proporcione información personal más allá de una dirección de correo electrónico, ni pedirle que tome medidas que no sean enviar un correo electrónico de respuesta o visitar una única página web como condición para cumplir su solicitud de autoexclusión.
Algunos tipos de correos electrónicos están exentos de la mayoría de los requisitos de la Ley CAN-SPAM y están sujetos únicamente al requisito de información de enrutamiento veraz.
Estas exenciones incluyen correos electrónicos donde el propósito principal es:
Transaccional: estos son correos electrónicos relacionados con transacciones ya acordadas, o correos electrónicos que transmiten bienes o servicios como parte de una transacción a la que el usuario ya ha dado su consentimiento (por ejemplo, un código de licencia o la entrega de un libro electrónico).
Relacional: son correos electrónicos que actualizan a los usuarios (que ya tienen una relación con el servicio) sobre cambios en los términos del producto/servicio, sus características o información de la cuenta, que también incluyen información sobre garantías, devoluciones, seguridad o protección de un producto o servicio.
Otros correos electrónicos (no comerciales).
En la Unión Europea, la Directiva de ePrivacy establece pautas generales que son implementadas individualmente por los Estados miembros, aunque algunos elementos (como la posibilidad de retirar el consentimiento) entran dentro del alcance del RGPD.
En general, las disposiciones europeas antispam establecen lo siguiente:
Proporciona un enlace para cancelar la suscripción directamente en el correo electrónico.
La opción de revocación debe ser clara, visible y de fácil acceso. Este elemento entra dentro del alcance del RGPD y, concretamente, dentro del alcance del derecho de supresión; por esta razón, el tiempo máximo para atender estas solicitudes es de 30 días. Sin embargo, vale la pena señalar que, si bien la ley establece hasta 30 días para cumplir con estas solicitudes, la mayoría de los suscriptores no estarán dispuestos a esperar. Por lo tanto, es prudente cumplir de inmediato con las solicitudes de autoexclusión para no correr el riesgo de ser marcado como spam y, por lo tanto, comprometer la legitimidad de tu dirección de correo electrónico.
Indica claramente la identidad del remitente.
No está permitido ocultar la identidad del remitente, la información debe ser clara y directa.
Incluye una dirección física de la empresa.
Se debe proporcionar una dirección válida.
Indica y especifica claramente la naturaleza del mensaje.
Es decir, es necesario indicar, de forma inequívoca, el tipo de mensaje enviado (promocional o no).
Evita el uso de expresiones falsas o engañosas.
La publicidad en cualquier forma (incluidos los mensajes comerciales) no debe formularse de manera que induzca a error a los destinatarios.
Algunas legislaciones (por ejemplo, Alemania y Australia) también pueden requerir que se incluya información sobre cómo ponerse en contacto con el remitente. Siempre es mejor seguir la legislación más estricta o verificar los requisitos antispam específicos del lugar donde se encuentran los destinatarios.
A continuación se muestra un ejemplo de una comunicación comercial que contiene todos los elementos básicos. En el ejemplo, elementos como el nombre y la dirección se incluyen en la parte superior del correo electrónico. Sin embargo, la ubicación queda a tu entera discreción, siempre que la información sea visible y se pueda encontrar fácilmente.
Tu tienda S.L. [dirección] [Ciudad] [Estado] [Código postal] [País]
[Dirección de correo electrónico de respuesta (por ejemplo, info@tutienda.com)]
[Asunto: ¡Novedades para la primavera!] [Nombre de tu sitio web]
[Tipo de correo electrónico (por ejemplo, promocional)]“.Estimado cliente, nos complace presentarte nuestras últimas novedades para la primavera. ¿Hay algo que te guste? Puedes comprar cualquiera de estos artículos haciendo clic directamente en los productos de este correo electrónico y se te redirigirá inmediatamente a nuestro sitio web, donde podrás concluir la compra de manera segura“.
Si ya no deseas recibir comunicaciones nuestras, haz clic aquí para cancelar la suscripción.
Las condiciones descritas aquí también se aplican a otras herramientas de marketing que utilizan mensajes electrónicos, incluido el Email Marketing Directo (DEM) y los mensajes de marketing viral (por ejemplo, mensajes que piden a los usuarios que reenvíen una comunicación de marketing a sus amigos).
Las implicaciones legales del incumplimiento incluyen fuertes multas tanto en la UE como en los EE. UU., con multas que van desde decenas de miles hasta millones de euros. Pero quizás igualmente preocupantes son las otras posibles sanciones que podrían implementarse contra organizaciones que se encuentren en violación. Estas sanciones pueden incluir reprimendas oficiales (para primeras infracciones), auditorías periódicas de protección de datos y responsabilidad civil por daños.
El RGPD, en particular, otorga a los usuarios el derecho específico de presentar una queja ante una autoridad supervisora si consideran que alguna de las actividades de tratamiento de sus datos personales se llevó a cabo en violación de la normativa vigente. Así, por ejemplo, si se presenta un informe a la autoridad competente sobre una instancia de infracción legal, dicha autoridad puede optar por realizar una auditoría de tus operaciones de tratamiento de datos. Si se descubre que alguna actividad de tratamiento se llevó a cabo de forma ilegal, no solo se impone una multa, sino que se te puede prohibir volver a utilizar tanto los datos de la consulta como todos aquellos datos que se hubiesen obtenido a través de mecanismos similares. Esto significa que si la infracción cometida fue en relación con la recopilación de direcciones de correo electrónico, corres el riesgo de que se te prohíba utilizar toda la lista de correos electrónicos asociada.
Con respecto a la responsabilidad por daños, tanto la legislación de la UE como la de los EE.UU. otorgan a los usuarios individuales el derecho a una indemnización por cualquier daño resultante del incumplimiento de las regulaciones por parte de una organización. Esto significa que violar las regulaciones puede exponerte al riesgo de un posible litigio.
Algunos servicios de terceros pueden hacer que el cumplimiento de las regulaciones sea una parte integral de sus condiciones de uso. En tales casos, una violación de los requisitos legales también puede considerarse una violación de sus términos; por lo tanto, tales violaciones pueden dar lugar a la suspensión del servicio o, potencialmente, a prohibiciones permanentes.
El incumplimiento de las obligaciones legales puede llevar a los usuarios a percibir tu actividad como incompetente o maliciosa. Esto puede provocar un daño significativo y duradero a la imagen pública y la reputación de tu organización.
Cuando se trata de cumplimiento, siempre es recomendable abordar tus actividades de tratamiento de datos teniendo en cuenta las normativas aplicables más estrictas. En lo que respecta al proceso de las newsletters, el cumplimiento al menos requiere que pongas en práctica lo siguiente:
Define:
Informa a los usuarios de:
Si realizas actividades de email marketing directo (DEM) para el mercado alemán, debes agregar una declaración en la política de privacidad en la que especifiques qué empresas y tipos de bienes y servicios se promocionarán a través de la newsletter.
Obtén un consentimiento previo (de acuerdo con la ley local) que sea:
Ofrece la opción de retirar el consentimiento. Esta opción debe:
Mantén un registro de los consentimientos recopilados:
Con la entrada en vigor del RGPD, muchas empresas han abrumado a sus usuarios con solicitudes de renovación de consentimiento para comunicaciones comerciales y para el tratamiento de datos. Sin embargo, la práctica de enviar correos electrónicos de confirmación de consentimiento es complicada y se debe manejar con mucho cuidado.
En primer lugar, hay que decir que el consentimiento es solo una de las seis bases jurídicas para el tratamiento de datos personales. Las demás son: obligación legal, necesidades contractuales, intereses vitales, interés público e interés legítimo.
Si ya estás tratando legítimamente (recopilando, accediendo, almacenando o interactuando de otra manera) los datos de tus usuarios sobre la base de una de estas otras cinco bases jurídicas, no es necesario enviar correos electrónicos de confirmación de consentimiento. No obstante, asegúrate de que esta base jurídica esté indicada en tu política de privacidad y que esta última sea de fácil acceso para los usuarios.
Si esta información no estaba disponible para los usuarios en ese momento, pero una de estas bases jurídicas actualmente se puede aplicar legítimamente a tu situación, deberás asegurarte de que tu aviso de privacidad actual cumple con los requisitos legales, para que puedas seguir tratando los datos de tus usuarios de acuerdo con la normativa.
La capacidad de “transferir” el consentimiento, eliminando así la necesidad de solicitarlo nuevamente o de apoyarse en otra base legal, depende de dos condiciones: debe haber sido recopilado de acuerdo con el RGPD y debe ser posible probarlo.
Estas son algunas preguntas que deberías plantearte:
Incluso si has confiado en el consentimiento como base jurídica en el pasado, no significa que debas continuar en el futuro. De hecho, también podría ser desaconsejable, especialmente si no estás seguro de cómo conseguiste esos contactos (por ejemplo, listas de correo electrónico adquiridas de manera ilegítima), o si no puedes demostrar que has actuado legalmente.
Para ser claros, si contactas a un usuario para pedirle su consentimiento, y no existe una base jurídica que te permita tener su información de contacto, también estás violando, además del RGPD, la directiva europea de protección de datos.
Otra razón para evaluar si existe una base jurídica alternativa aplicable, es que técnicamente hablando, si no tienes el consentimiento necesario para contactar a un usuario, probablemente ni siquiera tendrás el consentimiento para enviar un correo electrónico solicitando consentimiento.
Si no se puede aplicar ninguna otra base jurídica legítimamente a tu caso, es posible que debas obtener el consentimiento nuevamente. Un aviso en tu web y/o una publicación en tus redes sociales son algunas de las formas en las que puedes notificar a los usuarios que tendrán que volver a suscribirse si quieren seguir recibiendo noticias tuyas.
La base jurídica debe ser legítimamente aplicable a tu situación, no puedes “elegir” una a voluntad. Dado que se trata de un asunto delicado y de primordial importancia, nuestro consejo es que contactes con un abogado: éste sin duda podrá identificar la base jurídica correcta y asesorarte al respecto.
Nuestro Generador de Políticas de Privacidad y Cookies te ayuda a preparar fácilmente un aviso de información para satisfacer la obligación de informar exhaustivamente a tus usuarios de acuerdo con la ley.
Este proceso es sencillo e intuitivo: simplemente haz clic para añadir tus servicios, completa los datos del propietario y de contacto de tu web/app e integra tu política en tu sitio web.
¡Felicidades! Has creado tu política. Ahora, simplemente tienes que revisar que todos los datos son correctos, y después:
Para obtener más información sobre políticas de privacidad, haz clic aquí.
Nuestra Consent Database simplifica el proceso de recopilación y mantenimiento de un registro de consentimientos en conformidad con la ley. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la recopilación del consentimiento), así como las preferencias expresadas por el usuario.
Para utilizarla, simplemente activa la Consent Database y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
Para descubrir las funciones de nuestra Consent Database, haz clic aquí o consulta nuestra guía aquí. Si prefieres ver un ejemplo práctico, echa un vistazo a nuestra guía sobre Cómo utilizar la Consent Database con Contact Form 7.
Recuerda que estos pasos están relacionados específicamente con los requisitos de las newsletters. Si deseas obtener más información sobre los requisitos generales de un sitio web, consulta nuestra Guía de inicio aquí.
→ Participa en uno de nuestros webinars gratuitos (en inglés), resuelve tus dudas en directo y consigue más información sobre nuestro Generador de Políticas de Privacidad y Cookies y Privacy Controls and Cookie Solution.
