• English
  • Español
Search
Close this search box.

Privacidad e Email Marketing: Recomendaciones Prácticas Para Recolectar Datos Personales y Usarlos de Forma Legal ¿Sigue Alcanzando Con el Opt-out?

Para celebrar el Día Internacional de la Protección de Datos Personales, elegimos la temática de privacidad y recolección de datos para email marketing, que toca de cerca a muchos de nuestros clientes, considerando el dilema con el que se enfrentan de, por un lado, la tendencia de ofrecer una experiencia cada vez más personalizada para los usuarios, y por el otro, la necesidad de respetar su privacidad y la protección de sus datos personales.

Empezamos con algunos tips para que los lectores puedan compatibilizar algunas de las prácticas comunes de email marketing con el respeto a la privacidad de los usuarios y consumidores.

¿Por qué son importantes estos tips? Veremos más adelante, en la reseña de dos casos de email marketing resueltos en el plano internacional, de los que extraemos el concepto de responsabilidad demostrada y cómo implementarla en la práctica. Luego, reflexionamos acerca del impacto que las últimas actualizaciones normativas en Argentina podrían traer en este sentido en el ámbito local.

***

Recomendaciones prácticas para recolectar datos personales mediante formularios online y usarlos de forma legal

El email marketing es una operatoria muy utilizada por las empresas para ofrecer a sus clientes sus productos y servicios diariamente, práctica que, con el devenir de los años y la evolución de las nuevas tecnologías, genera un rendimiento como inversión, en la medida en que la experiencia para los usuarios sea cada vez más personalizada. Por ello, es importante entender cómo debería ser la recolección y el tratamiento de la información personal de los destinatarios de dichos correos, para cumplir con distintas obligaciones en materia de protección de datos personales y evitar sanciones como las que se comentarán más adelante.

Si bien la práctica de utilizar formularios online para recolectar datos personales está muy difundida y se la considera una de las formas “legales” de generar una base de datos para email marketing, no todas las organizaciones que utilizan estos formularios lo hacen de la forma correcta.

Por eso, aquí dejamos algunas recomendaciones para alinear esta práctica con la normativa aplicable y poder no sólo cumplir con las normas, sino además poder demostrar el cumplimiento (en línea con la renovada clasificación de infracciones, y graduación de sanciones que propone la Resolución AAIP N° 240/2022, que se analizará más abajo):

¿Qué se debe informar y qué recaudos tomar en la recolección mediante forms online?

a. Informar de forma clara y transparente la finalidad (o las finalidades) de la recolección de los datos personales.

Ejemplo:

  • Ofrecemos un formulario online para la descarga de algún material informativo que se enviará por correo electrónico, pero queremos, además, y principalmente, usar ese correo electrónico del usuario para enviarle publicidad de un producto o servicio relativo a tal material, con posterioridad.
  • Para poder utilizar el correo para enviar publicidad, debemos agregar en la información que brindamos al momento del rellenado del formulario, la finalidad de publicidad y esta finalidad debe ser aceptada por el usuario, quien de esta forma nos estará brindando su consentimiento para dicha finalidad.

b. Informar con qué otras organizaciones o proveedores de servicios estaremos compartiendo los datos personales que recolectamos de los usuarios y tener contratos acordes firmados con dichos proveedores para el resguardo de los datos personales de los usuarios.

Ejemplo:

  • Si contamos con un proveedor de servicios de email marketing, o de servicios de almacenamiento en la nube, debemos:
    Informar a los usuarios que compartiremos los datos con este tipo de proveedores
  • Asegurarnos mediante contratos acordes con nuestros proveedores, que éstos tratarán los datos personales de nuestros prospectos, usuarios o clientes, cumpliendo con los recaudos técnicos y organizativos de seguridad y confidencialidad, y que sólo los tratarán para las finalidades para las cuales les encargamos ese tratamiento y para que el usuario brindó su consentimiento.

c. Indicar con claridad qué campos del formulario son de rellenado obligatorio y cuáles son optativos. Indicar también las consecuencias de proporcionar los datos, la negativa a hacerlo o de la inexactitud de los mismos

Ejemplo:

  • Si un determinado servicio depende de que nuestros usuarios sean mayores de edad para poder prestarse, entonces hay que indicar que no rellenar el campo de la edad o fecha de nacimiento, o rellenarla de forma inexacta, podría implicar que el servicio que se desea contratar o el beneficio que se desea obtener mediante el formulario, no se brinde.

d. Brindar los datos de contacto de nuestra organización y que esos datos sea útiles para que el usuario pueda contactarnos y ejercer sus derechos, como por ejemplo: los derechos de acceso, rectificación y supresión y el derecho de solicitar el retiro o bloqueo de los datos personales para no seguir recibiendo más correos o contactos.

Ejemplo:

  • Si un usuario pide el retiro de sus datos de nuestra base de datos para no recibir más correos (es decir, si ejerce el llamado Opt-out), la organización debe poder cumplir con este pedido, y contar con los mecanismos técnicos y organizativos para ello, para evitar las sanciones.

¿Suena imposible? …. ¿Cómo agregamos toda esta información en un formulario online?

Y si, entendemos perfectamente que es inviable en la práctica agregar toda esta información en un formulario online o que, si lo hacemos, pocos completarán nuestro formulario porque parecería sospechoso ante los ojos de los usuarios un formulario con tanto disclaimer para leer. Y en definitiva, agregar toda esta información, terminaría afectando negativamente la tasa de conversión del formulario.

Por ello, una forma de hacerlo suele ser mediante el agregado de sólo algunos pocos puntos pero muy relevantes de información en el formulario mismo para asegurarnos el consentimiento del usuario, y además, sumar un enlace (que funcione correctamente) que derive a la Política de Privacidad de nuestra organización. Dicho documento deberá brindar, entre otra información, la detallada en nuestras recomendaciones. La Política de Privacidad, además, deberá poder ser leída y aceptada -consentida- por quien rellena el formulario, de forma previa al envío del mismo.

No sólo eso, esa aceptación online que realiza el usuario, y que nos estará habilitando para realizar acciones posteriores de email marketing, deberá registrarse de forma correcta por la organización para cada usuario, con resguardo de fecha y hora y de la versión de la Política de Privacidad que fue aceptada por éste, para de esta forma, poder cumplir con el criterio de la responsabilidad demostrada, de la que hablaremos en breve.

Se debe tener en cuenta que si nuestra organización contrata formularios de terceros para la obtención del consentimiento de los usuarios para generar bases de datos relevantes a los fines de realizar acciones email marketing, será necesario controlar y/o auditar tanto los formularios que estas empresas utilizan para la recolección de datos y la obtención del consentimiento, así como a las empresas mismas contratadas a estos fines.

Por último, en Argentina es fundamental informar expresamente en la Política de Privacidad que la Agencia de Acceso a la Información Pública, en su carácter de órgano de control de la Ley 25.326 tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimientos de las normas vigentes en materia de protección de datos personales.

Si logramos implementar correctamente estas prácticas, estaremos cumpliendo con los principios de transparencia y de información en materia de recolección y tratamiento de datos personales mediante formularios online, para ser usados para diversas prácticas de marketing, entre ellas, el email marketing. Además, este cumplimiento no implicará sobrecargar nuestros formularios de avisos y disclaimers que bajen las tasas de conversión.

Antecedentes europeos

Cada vez con mayor frecuencia, en distintas partes del mundo las organizaciones son multadas por autoridades de control en materia de privacidad por no poder demostrar que cuentan con la legitimación necesaria para el envío de email marketing.

Revisaremos a continuación, los principales criterios de privacidad sentados por autoridades de control europeas al resolver dos casos de vulneración de derechos vinculados a estas temáticas.

a)Multa de €600.000 (euros seiscientos mil) impuesta por la autoridad de control francesa, Commission Nationale de l’Informatique et des Libertes (“CNIL”) a la empresa EDF (ELECTRICITE DE FRANCE) por decisión final del 24 de noviembre de 2022.

En este caso, la CNIL decidió multar a la empresa EDF, el principal proveedor de electricidad en Francia, tras recibir numerosas quejas de titulares de datos (individuos que recibían comunicaciones no deseadas). El organismo determinó que la actividad de EDF implicó distintos incumplimientos al Reglamento General de Protección de Datos (GDPR), y el Código de Correos y Comunicaciones Electrónicas de Francia.

En particular, la empresa no pudo demostrar que había implementado medidas suficientes con sus intermediarios de datos para garantizar que las personas -previo a ser encuestadas- hubieran otorgado su consentimiento en forma válida para recibir comunicaciones posteriores. Durante el proceso, EDF tampoco pudo presentar evidencias ante la CNIL de haber realizado auditorías sobre los intermediarios de datos, ni de los formularios de recopilación de consentimiento empleados.

Por otra parte, la CNIL detectó que EDF había incumplido los deberes de información previstos en el Reglamento por considerar que en la carta de prospección comercial enviada a los usuarios no se indicaba con precisión la fuente de los datos (solo se mencionaba en forma genérica que los “datos fueron recopilados de una organización especializada en el enriquecimiento de datos”).

b)Multa de €4.000 (euros cuatro mil) impuesta por la Agencia Española de Protección de Datos (“AEPD”) a la empresa MAX2PROTECT, S.L. Procedimiento Nº: EXP202201667 del 28 de noviembre de 2022.

En este caso, un usuario interpuso un reclamo ante la autoridad de privacidad española por la recepción de spam varias veces al día en su correo electrónico.

Por su parte, la empresa reconoció haber enviado estas comunicaciones en el marco de una campaña de promoción de sus productos a través de email marketing, y entre sus principales argumentos alegó que el usuario al dejar su correo en una web, había aceptado la política de privacidad y cookies, cediendo sus datos personales a terceros y que, en los correos que enviaron se les informaba que si no deseaban continuar recibiéndolos, podían deshabilitarlos. Respecto al origen de los datos, argumentaron que habían comprado una base de datos cuyo vendedor dijo que era lícita.

Pese al descargo anterior, la AEPD consideró que la demandada no pudo acreditar el consentimiento prestado por el reclamante para la remisión de correos electrónicos comerciales y que tampoco presentó documentación respaldatoria que pruebe sus dichos (como por ejemplo, el contrato de compra de la base de datos donde figure la dirección de correo electrónico del usuario reclamante).

La AEPD concluyó que la empresa infringió la ley española al enviar correos electrónicos publicitarios sin el consentimiento previo del interesado y aplicó una sanción de 4.000 euros (cuatro mil euros).

Las últimas actualizaciones normativas de la autoridad de privacidad en Argentina (Agencia de Acceso a la Información Pública “AAIP”)

En las multas impuestas por las autoridades europeas aquí reseñadas la ya mencionada responsabilidad demostrada juega un rol preponderante a la hora de merituar la aplicación o no de sanciones. Cuando hablamos de responsabilidad demostrada, nos referimos al concepto no sólo de cumplir con la normativa, sino de poder demostrar dicho cumplimiento.

En este sentido, el pasado 5 de diciembre, la autoridad de privacidad de Argentina publicó la Resolución AAIP N° 240/2022, actualizando los párametros que tomará en cuenta tanto en el régimen de clasificación de infracciones, como de graduación de sanciones.

Hacemos hincapié en que uno de los nuevos aspectos que se incorporan, consiste en que la AAIP evaluará para la aplicación de sanciones -en sintonía con el Reglamento de Protección de Datos Europeo-, : “[l]a adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos”.

Para entender mejor qué implica este nuevo aspecto de “adopción demostrada” que incorpora la resolución mencionada, tomamos como referencia el principio de responsabilidad proactiva y demostrada definido en el último Anteproyecto de Ley que actualiza la normativa vigente (Ley 25.326).

En pocas palabras, este principio se asocia a:

  • las medidas que deben adoptar las organizaciones que tratan datos personales para cumplir con sus obligaciones, como así también su debida diligencia para prevenir y mitigar impactos adversos; y
  • la carga de demostrar que se cuenta con bases legales de tratamiento, por ejemplo, el consentimiento del destinatario, ante la Autoridad de aplicación y que éstas fueron oportunamente implementadas.

Conclusiones

Es evidente que la responsabilidad proactiva y demostrada de las actividades de procesamiento de datos por parte de las organizaciones y empresas para la realización de actividades de marketing, es una realidad que llegó para quedarse. Si bien incluir un buen opt-out es un gran avance para el email marketing de una empresa, esto ya no alcanza para cumplir la ley ni para demostrar que estamos en cumplimiento.

La metodología que implica la responsabilidad proactiva y demostrada resulta clave para una gestión responsable de la privacidad de nuestros prospectos y usuarios, de forma de poder acreditar la legitimidad de los tratamientos de datos personales, ya sea ante un pedido de ejercicio de derechos de un usuario o bien, ante requerimientos de la autoridad de control.

Entonces, la primera prueba de cumplimiento proactivo en el ámbito local es una recolección de datos realizada a conciencia y acompañada de una Política de Privacidad completa, con procesos de aceptación y obtención del consentimiento en línea acordes con la normativa vigente.

Esperamos que estas recomendaciones sean útiles.

Si tu organización necesita asistencia personalizada en materia de privacidad y protección de datos personales, podemos ayudarte. Escribinos a info@lermanszlak.com

Gabriela Szlak

Gabriela Szlak es socia del Estudio Lerman & Szlak. Es abogada recibida con honores en la UBA (T°79 F°516 CPACF). Sus áreas de práctica y especialización son el marketing y los negocios digitales, la propiedad intelectual y la privacidad y protección de datos personales. Es docente de nivel maestría y posgrados en la materia de marco regulatorio del marketing y los negocios digitales y en Protección de Datos Personales (UBA y Di Tella). En 2022 obtuvo la Certificación Internacional en Protección de Datos Personales – CIPDP

  1. Para más información sobre el caso nos remitimos a la nota publicada por la CNIL disponible en: https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf
  2. Arts. 13 y 14 del Reglamento General de Protección de Datos (GDPR)
  3. La resolución completa se puede consultar en el sitio web oficial de la Agencia Española de Protección de Datos: https://www.aepd.es/es/documento/ps-00292-2022.pdf
  4.  Art. 21 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico del Reino de España