RGPD i doble opt-in per a empreses: és obligatori?
La necessitat del doble opt-in per a les campanyes d’email màrqueting d’empreses per complir el RGPD, és un dubte recurrent en molts clients; molts d’ells es passen dies fins a trobar una eina per a les seves campanyes que permeti el doble opt-in.
És necessari el doble opt-in per a email màrqueting d’empreses?
La resposta és simple, no.
Amb l’aprovació del RGPD (al maig de 2018), es va convertir en obligatori que el consentiment per tractar dades personals (també per a campanyes d’email màrqueting), fos exprés.
En altres paraules, que es necessitava una acció positiva o una confirmació expressa del destinatari de l’email comercial per poder realitzar les campanyes.
En cap lloc però, es fa esment en el RGPD que aquest opt-in (o consentiment exprés) hagi de ser doble. Habitualment aquest sistema implica una doble acceptació:
- Primer opt-in: en el procés d’alta de l’email (amb un check box).
- Segon opt-in: mitjançant l’acceptació de correu electrònic de confirmació posterior.
Malgrat que aquest sistema pot ser útil, tingues això clar: mai rebràs una sanció en el cas que el teu sistema d’alta en el teu Newsletter o campanyes d’email màrqueting, no inclogui un sistema de doble verificació o doble opt-in.
Doble opt-in: Què exigeix doncs el RGPD?
Abans de respondre a aquesta pregunta, cal indicar que el RGPD és “tecnològicament neutre”, és a dir que mai suggereix ni de bon tros imposa, una tecnologia concreta. El RGPD et diu “assegura’t que fas això” però no et diu “com fer-ho”, mentre aconsegueixis el primer.
Aclarit això, el que sí que exigeix el RGPD en relació als consentiments és:
- Que sigui exprés (això ja ho hem vist). És a dir no valen frases com “Si no em dius el contrari, autoritzes a …”.
- Que qui recull la dada (l’empresa), tingui proves d’aquest consentiment. En paraules del RGPD “Quan el tractament es basi en el consentiment de la persona interessada, el responsable haurà de ser capaç de demostrar que aquell va consentir el tractament de les seves dades personals.”
És en aquest segon punt en què la presumpta “obligatorietat del doble opt-in” ha trobat camp adobat. I és que, certament, si es fa un primer click al facilitar el mail i després es confirma l’alta mitjançant un altre clic a un missatge enviat a aquest mateix mail, la necessitat d’aquesta prova, clarament es reforça el que ajuda a complir el RGPD.
Per tant, el doble opt-in, sense ser obligatori, sí que pot ser una eina útil en certs casos per demostrar aquest consentiment. Però repetim, obligatori no és.
Com disposo de la prova del consentiment (amb i sense la doble verificació)?
La obligatorietat de disposar d’una prova suficient per demostrar el consentiment en les teves campanyes d’email màrqueting, pot aconseguir-se de diferents formes:
- En primer lloc, assegura’t que en el procés de recopilació de mails, l’usuari ha d’acceptar expressament la Política de Privacitat, abans de l’enviament de les seves dades. No serveixen ni les caselles pre-marcades ni lògicament, els processos d’alta en què no es doni accés a la Política de Privadesa.
- Poques webs l’apliquen encara, però el RGPD exigeix que en el mateix àmbit visual de la casella de recopilació de dades, s’incloguin les dades bàsiques de la Política de Privacitat, el que es coneix com a Primera capa informativa. L’AEPD va tractar aquest assumpte en la seva Guia del Deure de Informar. En aquest guia pots trobar exemples concrets de com complir amb aquesta obligació.
- Juntament amb l’anterior, si el cas ho precisa, pots comptar amb “tercers” que s’arxivin aquests consentiments, actuant a manera de “notaris digitals”. En cas de conflicte en relació a si s’ha donat o no el consentiment, aquests tercers poden acreditar si això va ser realment així. Et recomano que ho valoris en cada cas per què de vegades, pot ser una eina útil.
- Finalment el doble opt-in que, tot i que ja hem dit que no és obligatori, pot ser una bona forma d’acreditar aquest consentiment.
Quant de temps he de guardar la prova del consentiment?
El consentiment és per definició revocable, és a dir, es pot retirar. En altres paraules, qui t’hagi donat el consentiment per a la teva campanya, el pot retirar quan vulgui.
En aquest cas, has de tenir en compte que des de la petició de baixa, aquesta persona encara disposa d’un temps per denunciar possibles irregularitats en l’ús de les seves dades (fins a tres anys en els casos més greus); pel que és recomanable que la prova del consentiment, l’arxivis per aquest període de temps.
És sempre obligatori el consentiment per a les campanyes d’email màrqueting en empreses?
No. Hi ha una opció, encara poc explorada per les empreses, que és l’interès legítim i que vaig tractar en el meu últim post.
De manera resumida, pots fer campanyes d’email màrqueting, sense consentiment, sempre que el destinatari sigui un client vigent i l’informis dels mateixos productes o serveis que va contractar a l’inici. En el post t’explico els detalls a tenir en compte.
Contacta amb nosaltres si vols que validem que el teu sistema d’alta o de gestió de les teves campanyes d’email màrqueting, està alineada amb el RGPD.