RGPD y doble opt-in para empresas ¿es obligatorio?
La necesidad del doble opt-in para las campañas de email marketing de empresas para cumplir el RGPD, es una duda recurrente en muchos clientes; muchos de ellos se pasan días hasta encontrar una herramienta para sus campañas que permita el doble opt-in.
¿Es necesario el doble opt-in para email marketing de empresas?
La respuesta es simple y llanamente, no.
Con la aprobación del RGPD (en mayo de 2018), se convirtió en obligatorio que el consentimiento para tratar datos personales (también para campañas de email marketing), fuera expreso.
En otras palabras, que se necesitaba una acción positiva o una confirmación expresa del destinatario del email comercial para poder realizar las campañas.
En ningún lugar sin embargo, se hace mención en el RGPD que este opt-in (o consentimiento expreso) deba ser doble. Habitualmente este sistema implica una doble aceptación:
- Primer opt-in: en el proceso de alta del email (con un check box).
- Segundo opt-in: mediante la aceptación de email de confirmación posterior.
A pesar que este sistema puede ser útil, ten esto claro: nunca recibirás una sanción en el caso que tu sistema de alta en tu Newsletter o campañas de email marketing, no prevean un sistema de doble verificación o doble opt-in.
Doble opt-in: ¿Qué exige pues el RGPD?
Antes de responder a esta pregunta, es necesario indicar que el RGPD es “tecnológicamente neutro”, es decir que nunca sugiere ni mucho menos impone, una tecnología concreta. El RGPD te dice “asegúrate que haces esto” pero no te dice “cómo hacerlo”, mientras consigas lo primero.
Aclarado esto, lo que sí que exige el RGPD en relación a los consentimientos es:
- Que sea expreso (esto ya lo hemos visto). Es decir no valen frases como “Sino me dices lo contrario, autorizas a…”.
- Que quien recoge el dato (la empresa), tenga pruebas de este consentimiento. En palabras del RGPD “Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.”
Es en este segundo punto en el que la presunta “obligatoriedad del doble opt-in” ha encontrado campo adobado. Y es que, ciertamente, si se hace un primer clic al facilitar el mail y luego se confirma el alta mediante otro clic a un mensaje enviado a ese mismo mail, la necesidad de esa prueba, claramente se refuerza lo que ayuda a cumplir el RGPD.
Por lo tanto el doble opt-in, sin ser obligatorio, sí que puede ser una herramienta útil en ciertos casos para demostrar ese consentimiento. Pero repetimos, obligatorio no es.
¿Cómo dispongo de la prueba del consentimiento (con y sin la doble verificación)?
La obligatoriedad de disponer de una prueba suficiente para demostrar el consentimiento en tus campañas de email marketing, puede alcanzarse de distintas formas:
- En primer lugar, asegúrate que en el proceso de recopilación de mails, el usuario debe aceptar expresamente la Política de Privacidad, antes del envío de sus datos. No sirven ni las casillas pre-marcadas ni lógicamente, los procesos de alta en que no se dé acceso a la Política de Privacidad.
- Pocas webs lo aplican aún pero el RGPD exige que en el mismo ámbito visual de la casilla de recopilación de datos, se incluyan los datos básicos de la Política de Privacidad, lo que se conoce como Primera capa informativa. La AEPD trató este asunto en su Guía del Deber de Informar. En este guía puedes encontrar ejemplos concretos de cómo cumplir con esta obligación.
- Junto con lo anterior, si el caso lo precisa, puedes contar con “terceros” que archiven estos consentimientos, actuando a modo de “notarios digitales”. En caso de conflicto en relación a si se ha dado o no el consentimiento, estos terceros pueden acreditar si esto fue realmente así. Te recomiendo que lo valores en cada caso por qué en ocasiones, puede ser una herramienta útil.
- Finalmente el doble opt-in que, aunque ya hemos dicho que no es obligatorio, puede ser una buena forma de acreditar este consentimiento.
¿Cuánto tiempo tengo que guardar la prueba del consentimiento?
El consentimiento es por definición revocable, es decir, se puede retirar. En otras palabras, quién te haya dado el consentimiento para tu campaña, puede retirarlo cuando quiera.
En ese caso debes tener en cuenta que des de la petición de baja, esa persona aún dispone de un tiempo para denunciar posibles irregularidades en el uso de sus datos (hasta tres años en los casos más graves); por lo que es recomendable que la prueba del consentimiento, la archives por ese período de tiempo.
¿Es siempre obligatorio el consentimiento para las campañas de email marketing?
No. Existe una opción, aun poco explorada por las empresas, que es el interés legítimo y que traté en mi último post.
De manera resumida, puedes hacer campañas de email marketing, sin consentimiento, siempre que el destinatario sea un cliente vigente y le informes de los mismos productos o servicios que contrató al inicio. En el post te cuento los detalles a tener en cuenta.
Contacta con nosotros si quieres que validemos que tu sistema de alta o de gestión de tus campañas de email marketing, está alineada con el RGPD.