Privacidad y Email Marketing: Recomendaciones Prácticas Para Recolectar Datos Personales y Usarlos de Forma Legal ¿Sigue Alcanzando Con el Opt-out?
Para celebrar el Día Internacional de la Protección de Datos Personales, elegimos la temática de privacidad y recolección de datos para email marketing, que toca de cerca a muchos de nuestros clientes, considerando el dilema con el que se enfrentan de, por un lado, la tendencia de ofrecer una experiencia cada vez más personalizada para los usuarios, y por el otro, la necesidad de respetar su privacidad y la protección de sus datos personales.
Empezamos con algunos tips para que los lectores puedan compatibilizar algunas de las prácticas comunes de email marketing con el respeto a la privacidad de los usuarios y consumidores.
¿Por qué son importantes estos tips? Veremos más adelante, en la reseña de dos casos de email marketing resueltos en el plano internacional, de los que extraemos el concepto de responsabilidad demostrada y cómo implementarla en la práctica. Luego, reflexionamos acerca del impacto que las últimas actualizaciones normativas en Argentina podrían traer en este sentido en el ámbito local.
***
Recomendaciones prácticas para recolectar datos personales mediante formularios online y usarlos de forma legal
El email marketing es una operatoria muy utilizada por las empresas para ofrecer a sus clientes sus productos y servicios diariamente, práctica que, con el devenir de los años y la evolución de las nuevas tecnologías, genera un rendimiento como inversión, en la medida en que la experiencia para los usuarios sea cada vez más personalizada. Por ello, es importante entender cómo debería ser la recolección y el tratamiento de la información personal de los destinatarios de dichos correos, para cumplir con distintas obligaciones en materia de protección de datos personales y evitar sanciones como las que se comentarán más adelante.
Si bien la práctica de utilizar formularios online para recolectar datos personales está muy difundida y se la considera una de las formas “legales” de generar una base de datos para email marketing, no todas las organizaciones que utilizan estos formularios lo hacen de la forma correcta.
Por eso, aquí dejamos algunas recomendaciones para alinear esta práctica con la normativa aplicable y poder no sólo cumplir con las normas, sino además poder demostrar el cumplimiento (en línea con la renovada clasificación de infracciones, y graduación de sanciones que propone la Resolución AAIP N° 240/2022, que se analizará más abajo):
¿Qué se debe informar y qué recaudos tomar en la recolección mediante forms online?
a. Informar de forma clara y transparente la finalidad (o las finalidades) de la recolección de los datos personales.
Ejemplo:
- Ofrecemos un formulario online para la descarga de algún material informativo que se enviará por correo electrónico, pero queremos, además, y principalmente, usar ese correo electrónico del usuario para enviarle publicidad de un producto o servicio relativo a tal material, con posterioridad.
- Para poder utilizar el correo para enviar publicidad, debemos agregar en la información que brindamos al momento del rellenado del formulario, la finalidad de publicidad y esta finalidad debe ser aceptada por el usuario, quien de esta forma nos estará brindando su consentimiento para dicha finalidad.
b. Informar con qué otras organizaciones o proveedores de servicios estaremos compartiendo los datos personales que recolectamos de los usuarios y tener contratos acordes firmados con dichos proveedores para el resguardo de los datos personales de los usuarios.
Ejemplo:
- Si contamos con un proveedor de servicios de email marketing, o de servicios de almacenamiento en la nube, debemos:
Informar a los usuarios que compartiremos los datos con este tipo de proveedores - Asegurarnos mediante contratos acordes con nuestros proveedores, que éstos tratarán los datos personales de nuestros prospectos, usuarios o clientes, cumpliendo con los recaudos técnicos y organizativos de seguridad y confidencialidad, y que sólo los tratarán para las finalidades para las cuales les encargamos ese tratamiento y para que el usuario brindó su consentimiento.
c. Indicar con claridad qué campos del formulario son de rellenado obligatorio y cuáles son optativos. Indicar también las consecuencias de proporcionar los datos, la negativa a hacerlo o de la inexactitud de los mismos
Ejemplo:
- Si un determinado servicio depende de que nuestros usuarios sean mayores de edad para poder prestarse, entonces hay que indicar que no rellenar el campo de la edad o fecha de nacimiento, o rellenarla de forma inexacta, podría implicar que el servicio que se desea contratar o el beneficio que se desea obtener mediante el formulario, no se brinde.
d. Brindar los datos de contacto de nuestra organización y que esos datos sea útiles para que el usuario pueda contactarnos y ejercer sus derechos, como por ejemplo: los derechos de acceso, rectificación y supresión y el derecho de solicitar el retiro o bloqueo de los datos personales para no seguir recibiendo más correos o contactos.
Ejemplo:
- Si un usuario pide el retiro de sus datos de nuestra base de datos para no recibir más correos (es decir, si ejerce el llamado Opt-out), la organización debe poder cumplir con este pedido, y contar con los mecanismos técnicos y organizativos para ello, para evitar las sanciones.
¿Suena imposible? …. ¿Cómo agregamos toda esta información en un formulario online?
Y si, entendemos perfectamente que es inviable en la práctica agregar toda esta información en un formulario online o que, si lo hacemos, pocos completarán nuestro formulario porque parecería sospechoso ante los ojos de los usuarios un formulario con tanto disclaimer para leer. Y en definitiva, agregar toda esta información, terminaría afectando negativamente la tasa de conversión del formulario.
Por ello, una forma de hacerlo suele ser mediante el agregado de sólo algunos pocos puntos pero muy relevantes de información en el formulario mismo para asegurarnos el consentimiento del usuario, y además, sumar un enlace (que funcione correctamente) que derive a la Política de Privacidad de nuestra organización. Dicho documento deberá brindar, entre otra información, la detallada en nuestras recomendaciones. La Política de Privacidad, además, deberá poder ser leída y aceptada -consentida- por quien rellena el formulario, de forma previa al envío del mismo.
No sólo eso, esa aceptación online que realiza el usuario, y que nos estará habilitando para realizar acciones posteriores de email marketing, deberá registrarse de forma correcta por la organización para cada usuario, con resguardo de fecha y hora y de la versión de la Política de Privacidad que fue aceptada por éste, para de esta forma, poder cumplir con el criterio de la responsabilidad demostrada, de la que hablaremos en breve.
Se debe tener en cuenta que si nuestra organización contrata formularios de terceros para la obtención del consentimiento de los usuarios para generar bases de datos relevantes a los fines de realizar acciones email marketing, será necesario controlar y/o auditar tanto los formularios que estas empresas utilizan para la recolección de datos y la obtención del consentimiento, así como a las empresas mismas contratadas a estos fines.
Por último, en Argentina es fundamental informar expresamente en la Política de Privacidad que la Agencia de Acceso a la Información Pública, en su carácter de órgano de control de la Ley 25.326 tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimientos de las normas vigentes en materia de protección de datos personales.
Si logramos implementar correctamente estas prácticas, estaremos cumpliendo con los principios de transparencia y de información en materia de recolección y tratamiento de datos personales mediante formularios online, para ser usados para diversas prácticas de marketing, entre ellas, el email marketing. Además, este cumplimiento no implicará sobrecargar nuestros formularios de avisos y disclaimers que bajen las tasas de conversión.
Antecedentes europeos
Cada vez con mayor frecuencia, en distintas partes del mundo las organizaciones son multadas por autoridades de control en materia de privacidad por no poder demostrar que cuentan con la legitimación necesaria para el envío de email marketing.
Revisaremos a continuación, los principales criterios de privacidad sentados por autoridades de control europeas al resolver dos casos de vulneración de derechos vinculados a estas temáticas.
a)Multa de €600.000 (euros seiscientos mil) impuesta por la autoridad de control francesa, Commission Nationale de l’Informatique et des Libertes (“CNIL”) a la empresa EDF (ELECTRICITE DE FRANCE) por decisión final del 24 de noviembre de 2022.
En este caso, la CNIL decidió multar a la empresa EDF, el principal proveedor de electricidad en Francia, tras recibir numerosas quejas de titulares de datos (individuos que recibían comunicaciones no deseadas). El organismo determinó que la actividad de EDF implicó distintos incumplimientos al Reglamento General de Protección de Datos (GDPR), y el Código de Correos y Comunicaciones Electrónicas de Francia.
En particular, la empresa no pudo demostrar que había implementado medidas suficientes con sus intermediarios de datos para garantizar que las personas -previo a ser encuestadas- hubieran otorgado su consentimiento en forma válida para recibir comunicaciones posteriores. Durante el proceso, EDF tampoco pudo presentar evidencias ante la CNIL de haber realizado auditorías sobre los intermediarios de datos, ni de los formularios de recopilación de consentimiento empleados.
Por otra parte, la CNIL detectó que EDF había incumplido los deberes de información previstos en el Reglamento por considerar que en la carta de prospección comercial enviada a los usuarios no se indicaba con precisión la fuente de los datos (solo se mencionaba en forma genérica que los “datos fueron recopilados de una organización especializada en el enriquecimiento de datos”).
b)Multa de €4.000 (euros cuatro mil) impuesta por la Agencia Española de Protección de Datos (“AEPD”) a la empresa MAX2PROTECT, S.L. Procedimiento Nº: EXP202201667 del 28 de noviembre de 2022.
En este caso, un usuario interpuso un reclamo ante la autoridad de privacidad española por la recepción de spam varias veces al día en su correo electrónico.
Por su parte, la empresa reconoció haber enviado estas comunicaciones en el marco de una campaña de promoción de sus productos a través de email marketing, y entre sus principales argumentos alegó que el usuario al dejar su correo en una web, había aceptado la política de privacidad y cookies, cediendo sus datos personales a terceros y que, en los correos que enviaron se les informaba que si no deseaban continuar recibiéndolos, podían deshabilitarlos. Respecto al origen de los datos, argumentaron que habían comprado una base de datos cuyo vendedor dijo que era lícita.
Pese al descargo anterior, la AEPD consideró que la demandada no pudo acreditar el consentimiento prestado por el reclamante para la remisión de correos electrónicos comerciales y que tampoco presentó documentación respaldatoria que pruebe sus dichos (como por ejemplo, el contrato de compra de la base de datos donde figure la dirección de correo electrónico del usuario reclamante).
La AEPD concluyó que la empresa infringió la ley española al enviar correos electrónicos publicitarios sin el consentimiento previo del interesado y aplicó una sanción de 4.000 euros (cuatro mil euros).
Las últimas actualizaciones normativas de la autoridad de privacidad en Argentina (Agencia de Acceso a la Información Pública “AAIP”)
En las multas impuestas por las autoridades europeas aquí reseñadas la ya mencionada responsabilidad demostrada juega un rol preponderante a la hora de merituar la aplicación o no de sanciones. Cuando hablamos de responsabilidad demostrada, nos referimos al concepto no sólo de cumplir con la normativa, sino de poder demostrar dicho cumplimiento.
En este sentido, el pasado 5 de diciembre, la autoridad de privacidad de Argentina publicó la Resolución AAIP N° 240/2022, actualizando los párametros que tomará en cuenta tanto en el régimen de clasificación de infracciones, como de graduación de sanciones.
Hacemos hincapié en que uno de los nuevos aspectos que se incorporan, consiste en que la AAIP evaluará para la aplicación de sanciones -en sintonía con el Reglamento de Protección de Datos Europeo-, : “[l]a adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos”.
Para entender mejor qué implica este nuevo aspecto de “adopción demostrada” que incorpora la resolución mencionada, tomamos como referencia el principio de responsabilidad proactiva y demostrada definido en el último Anteproyecto de Ley que actualiza la normativa vigente (Ley 25.326).
En pocas palabras, este principio se asocia a:
- las medidas que deben adoptar las organizaciones que tratan datos personales para cumplir con sus obligaciones, como así también su debida diligencia para prevenir y mitigar impactos adversos; y
- la carga de demostrar que se cuenta con bases legales de tratamiento, por ejemplo, el consentimiento del destinatario, ante la Autoridad de aplicación y que éstas fueron oportunamente implementadas.
Conclusiones
Es evidente que la responsabilidad proactiva y demostrada de las actividades de procesamiento de datos por parte de las organizaciones y empresas para la realización de actividades de marketing, es una realidad que llegó para quedarse. Si bien incluir un buen opt-out es un gran avance para el email marketing de una empresa, esto ya no alcanza para cumplir la ley ni para demostrar que estamos en cumplimiento.
La metodología que implica la responsabilidad proactiva y demostrada resulta clave para una gestión responsable de la privacidad de nuestros prospectos y usuarios, de forma de poder acreditar la legitimidad de los tratamientos de datos personales, ya sea ante un pedido de ejercicio de derechos de un usuario o bien, ante requerimientos de la autoridad de control.
Entonces, la primera prueba de cumplimiento proactivo en el ámbito local es una recolección de datos realizada a conciencia y acompañada de una Política de Privacidad completa, con procesos de aceptación y obtención del consentimiento en línea acordes con la normativa vigente.
Esperamos que estas recomendaciones sean útiles.
Si tu organización necesita asistencia personalizada en materia de privacidad y protección de datos personales, podemos ayudarte. Escribinos a info@lermanszlak.com
Gabriela Szlak
Gabriela Szlak es socia del Estudio Lerman & Szlak. Es abogada recibida con honores en la UBA (T°79 F°516 CPACF). Sus áreas de práctica y especialización son el marketing y los negocios digitales, la propiedad intelectual y la privacidad y protección de datos personales. Es docente de nivel maestría y posgrados en la materia de marco regulatorio del marketing y los negocios digitales y en Protección de Datos Personales (UBA y Di Tella). En 2022 obtuvo la Certificación Internacional en Protección de Datos Personales – CIPDP
-
Para más información sobre el caso nos remitimos a la nota publicada por la CNIL disponible en: https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf
-
Arts. 13 y 14 del Reglamento General de Protección de Datos (GDPR)
-
La resolución completa se puede consultar en el sitio web oficial de la Agencia Española de Protección de Datos: https://www.aepd.es/es/documento/ps-00292-2022.pdf
-
Art. 21 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico del Reino de España
You May Also Like
Nic Argentina Actualizó sus Tarifas para Todos los Trámites de Registración, Renovación y Transferencia de Dominios de Internet
Nuestra Socia Cecilia Brazzola líder del Equipo de Derecho Corporativo y Litigio Comercial Lerman & Szlak Sienta Jurisprudencia en Materia de Franquicias
Argentina Aprueba Nuevas Cláusulas Contractuales Estándar para la Transferencia Internacional de Datos
Creación del Programa de Transparencia y Protección de Datos Personales en el Uso de la Inteligencia Artificial
Se Extenderá a Marcas, Modelos y Diseños Industriales el Servicio de Acceso Digital Para Documentos de Prioridad (DAS-OMPI) Administrado por la OMPI
Tratamiento Automatizado de Datos Personales: Implicancias Para La Argentina Con La Aprobación Del Convenio 108 Modernizado
Actualizaciones Regulatorias De La Autoridad De Control De Protección De Datos Personales En Argentina
Argentina: Privacidad y el Sector Salud – Artículo Publicado por Gabriela Szlak en OneTrust Data Guidance (Agosto 2022)
Clase de Protección de Datos Personales en el Programa Intensivo Cross Border del eCommerce Institute
Club de Emprendedores en AMIA: Nuestro Asociado Luciano Gutman Brindó Tips y Orientación Legal a Emprendedores Sobre Derecho Laboral, Contratos y Propiedad Intelectual
Gabriela Szlak Y Celia Lerman Presentaron El Informe De La ADC “Acuerdo Sobre Comercio Electrónico Del Mercosur: Desafíos Y Oportunidades”
Vence el plazo para que las empresas adecuen sus servicios de atención al cliente y gestión de cobranzas
Criptoembargo: Un Juzgado de la Provincia de Tucumán Dicta un Embargo Preventivo Sobre los Fondos en un Exchange Situado en el Exterior
La importancia de los Protocolos de Familia en el ámbito de las Empresas Familiares: Breve comentario al fallo “Strella c/ Strella; Campos del Trópico S.A. s/ Convocatoria de Asamblea”
Club de Emprendedores en AMIA: nuestro asociado Luciano Gutman brindo tips y orientación legal sobre derecho laboral, contratos y Propiedad Intelectual para emprendedores
El equipo de Lerman & Szlak fue designado en diferentes Comités de International Trademark Association (INTA) para el período 2022
Chambers & Partners destacó a nuestra socia Celia Lerman como up-and-coming practitioner en el área de Propiedad Intelectual
La Secretaría de Comercio Interior reglamentó la Ley de Góndolas con efectos para algunas tiendas de eCommerce
Gabriela Szlak expuso sobre Protección de Datos Personales, Servicios de Información Crediticia y Marketing Directo
Resolución General IGJ 8/2021. Nuevas restricciones de la IGJ para la inscripción de Sociedades Extranjeras con el fin de participar en sociedades Locales.
Continuidad de la vida interna de las Sociedades durante un posible refuerzo de las medidas de Aislamiento
Gabriela Szlak y Lucia Suyai Mendiberri escriben acerca del proyecto de Ley de Protección de Datos Personales en One Trust – Data Guidance
Celia Lerman Dirige la Diplomatura en Derecho, Tecnología y Empresas de la Universidad Torcuato Di Tella
Shirly Galante publicó un artículo sobre desafíos y estrategias frente al nuevo procedimiento de resolución de oposiciones en materia de marcas en Argentina
Franquicias en la Industria Alimentaria y Nuevos Desafíos en épocas de pandemia. Dark Stores y Aplicaciones Móviles de Delivery
Reanudación de plazos de los procedimientos del Instituto Nacional de la Propiedad Industrial (INPI)
Celia Lerman disertará sobre ética profesional e inteligencia artificial en la quinta edición de las Jornadas Sanisidrenses de Derecho
Argentina: Mejores prácticas de privacidad para las campañas de marketing por correo electrónico – Artículo publicado por Gabriela Szlak y Lucia Suyai Mendiberri en OneTrust Data Guidance
Emisión digital de títulos, documentos de prioridad y certificados de patentes y modelos de utilidad en Argentina
Gabriela Szlak finalizó con éxito el dictado de la materia “Aspectos Legales y Regulatorios del Marketing y Negocios por Internet” en la Maestría de Gestión Estratégica de Marketing y Negocios por Internet
Lucia Suyai Mendiberri disertó acerca de la Protección de Datos Personales en el transporte y la Tecnología
Celia Lerman Expone sobre Estrategias de Propiedad Intelectual Abierta en el Curso Online de Innovación Abierta del Ministerio de Desarrollo Productivo de Argentina
Celia Lerman Enseñará Sobre El Rol De La Propiedad Intelectual En El Curso Virtual De Innovación Abierta – Ministerio De Desarrollo Productivo De Argentina
Nuevas Actividades Exceptuadas del Aislamiento Social, Preventivo y Obligatorio a partir del 20/04/2020
Nuevos avances en la tramitación online de causas judiciales: La Corte Suprema habilita el inicio de expedientes por correo electrónico.
Lerman & Szlak asesoró a INVENTU y a la Universidad Nacional de Rosario en la propiedad intelectual abierta de su innovador dispositivo de emergencia respiratoria
Lerman & Szlak asesoró a Worcket, start up Argentina que combina Recursos Humanos con Inteligencia Artificial, en su nueva ronda de inversión por US$ 1.5 millón
Gabriela Szlak formó parte del Equipo de Expertos junto a Mark Datysgeld y Andrew Mack que presentó un Estudio sobre Cómo Lograr la Participación Sustentable de Empresas Latinoamericanas en el Business Constituency de ICANN
Gabriela Szlak lideró la Discusión sobre Protección de Datos Personales y GDPR en el Email Summit de la Asociación de Marketing Directo de Argentina (AMDIA), con Excelente Recepción del Público
Gabriela Szlak disertará en el Email Summit de AMDIA sobre lo que viene en Protección de Datos Personales y GDPR
Celia Lerman escribe sobre el Impacto del Nuevo Acuerdo Unión Europea – Mercosur sobre Marcas e Indicaciones Geográficas
