El proceso de baja de una Newsletter y el RGPD
El proceso de baja de una Newsletter y de otras comunicaciones de email marketing, cuestión aparentemente sencilla, puede suponer un problema de cumplimiento del RGPD y la LOPD si no se realiza de manera correcta. Por ello, y siguiendo un post que publiqué en LinkedIn, en esta entrada del blog abordaremos esta cuestión esencial para el mundo del email marketing.
Solo por mencionar algunos casos recientes y reales, la AEPD ha venido sancionando, por cuestiones relacionadas con la implementación incorrecta de un proceso de bajas, los siguientes casos:
- Remitir correos electrónicos comerciales tras la solicitud de baja: 600 € (sanción inicial de 1000 €).
- Remitir mensajes publicitarios vía Whatsapp tras la solicitud de supresión de datos: 4200 € (sanción inicial de 7000 €).
- Imposibilidad de darse de baja de SMS de carácter comercial: 2400 € (sanción inicial de 3000 €).
Derechos en juego en el proceso de baja de una newsletter: derecho de supresión y/o de oposición
Como hemos venido comentando en posts anteriores, el envío de comunicaciones comerciales electrónicas puede realizarse de acuerdo a dos bases legitimadoras previstas en el RGPD: el consentimiento explícito del interesado (art. 6.1. a) del RGPD) o el interés legítimo -ver post enlazado para más información- (art. 6.1. f) RGPD).
Proceso de baja cuando los datos se tratan con base en el consentimiento previo: con carácter general, este tratamiento de datos exigirá una acción positiva del titular de los datos para autorizar el tratamiento de sus datos (email, teléfono, etc.) con fines publicitarios. Siguiendo con el RGPD en su artículo. 7.3: el consentimiento puede retirarse en cualquier momento, de manera que quién lo haya dado puede, en cualquier instante, revocarlo, de manera que el tratamiento de sus datos desde ese momento sería ilícito.
¿Cuándo proceder a la baja efectiva del correo?: Ante una solicitud de baja, debe tenerse en consideración que la LOPD y la normativa de protección de datos prevén unos plazos (de 1 a 3 años) de prescripción de las distintas infracciones posibles. De esta manera, si ante una retirada de consentimiento se procediera, de manera inmediata, a borrar toda la información de aquella persona (incluido la propia prueba del consentimiento dado en su día), podría suceder que ante una denuncia realizada dentro del período de prescripción, no fuera posible acreditar hechos relevantes. Es por ello que ante la solicitud de baja debe:
- Procederse al bloqueo de los datos personales durante el período de prescripción de las infracciones. En este estado los datos deben ser mantenidos en los sistemas de la empresa, pero sin posibilidad de ser ni siquiera visualizados. Estos datos quedarán a disposición de los jueces, tribunales y administraciones públicas competentes para atender posibles responsabilidades.
- Transcurrido este plazo deberá procederse, entonces sí, a la completa eliminación de los datos personales.
Proceso de baja de datos tratados con base en el interés legítimo del responsable: Recordemos que para que este supuesto cumpla con los requisitos de la AEPD debe tratarse de datos de clientes vigentes de quién envía los comunicados electrónicos comerciales y, por tanto, si alguien solicita la baja, lo que estará ejerciendo es el derecho a oponerse a que sus datos sean tratados con fines comerciales (lo que no significa que desee dejar de ser cliente de la empresa). En este supuesto, y a pesar de no ser exigible el consentimiento y, por tanto, no tener que probarlo en caso de requerimiento, deberemos estar en posición de demostrar que:
- El cliente efectivamente era cliente de la empresa durante los envíos.
- Se informó al cliente que sus datos podían ser tratados con fines comerciales.
No facilitar información acerca de los fines del tratamiento está considerado como una infracción leve (art. 74 LOPD), cuya prescripción es de un año. Por ello, ante la solicitud de baja para recibir más comunicaciones comerciales (derecho a oposición), procederá el bloqueo de los datos durante un año y su eliminación transcurrido este período. No obviar aquí que, como decimos, la persona puede seguir siendo cliente y, por tanto, este proceso no debe afectar a la información necesaria para el mantenimiento de la relación contractual con el cliente.
A todo ello y a modo de conclusión, y una vez considerados estos procedimientos, es necesario recordar que el sistema (manual o automatizado) debe ser efectivo, ya que el error humano o técnico que muchas empresas argumentan para eludir la responsabilidad no es suficiente a ojos de la AEPD. Así que, en definitiva:
- Ten claro y registra qué base legitimadora te permite hacer uso de datos con fines comerciales: consentimiento o interés legítimo.
- Activa un sistema de baja efectivo y sencillo en cada comunicado comercial.
- En caso de baja, aplica los criterios mencionados.
- Forma a tu equipo comercial y/o de marketing en estos aspectos.
Y, por supuesto, si necesitas más información sobre el proceso de bajas de las comunicaciones de tu empresa, ¡no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.