Con la entrada en vigor en 2018 del Reglamento General de Protección de Datos (RGPD) muchas cambiaron en el día a día de las empresas de marketing y publicidad, que desde entonces deben contemplar las mismas normas de protección de datos que el resto de empresas, especialmente a la hora de enviar comunicaciones comerciales. En esta entrada vamos a explicar cómo deben adaptarse a la Ley de Protección de datos aquellas empresas dedicadas a la publicidad y el marketing.
Normativa de Protección de Datos
Las empresas dedicadas a la publicidad y el marketing encontrarán las normas respecto a la protección de datos en las siguientes leyes y reglamentos:
- RGPD
- LOPD
- Ley 34/1988, de 11 de noviembre, General de Publicidad
- LSSI (Ley de Servicios de la Sociedad de la información y el comercio electrónico)
Adapta tu agencia de publicidad y/o marketing al RGPD
Incluso si tu agencia de publicidad y marketing se dedica únicamente a trabajar con otras empresas o personas jurídicas, lo más seguro es que maneje alguna clase de datos de carácter personal (por ejemplo, de sus empleados), por lo que estará obligada a cumplir con la Ley de Protección de Datos (LOPD). Con la entrada en vigor del RGPD, se introdujeron varias novedades de obligado cumplimento para poder adaptarse a este reglamento:
- Consentimiento de clientes
- Contratos con terceros
- Contratos con empleados
- Delegado de Protección de Datos
- Nuevos derechos para los usuarios
- Análisis de riesgos
- Registro de actividades de tratamiento
- Evaluación de Impacto en Protección de Datos
- Textos legales en la página web
- Notifica las brechas de seguridad
Vemos a continuación cada uno de estos apartados por separado.
1. Consentimiento de clientes
Este es uno de los principales requisitos (y novedades en su momento) que tu empresa de publicidad tendrá que cumplir; para poder tratar los datos personales de tus clientes, necesitas contar con su consentimiento expreso, que podrás recabar de dos formas diferentes: en la web o en la empresa.
El RGPD incluye la obligación de contar con este consentimiento expreso con el fin de que los ciudadanos puedan ser más conscientes tanto de los datos que ceden como para qué fines los están cediendo. De manera que aparte de cambiar las políticas de privacidad para avisar de esto, cada vez que hagas una modificación de las mismas, tendrás notificar a tus clientes y empleados de las mismas (ya sea a través de un email o la propia página web).
En la web
Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En la empresa
En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- el medio por el que puede ejercer sus derechos ARCO.
2. Firmar contratos de encargo de tratamiento con terceros
Es inevitable, todas las empresas acaban cediendo datos personales a terceros, ya sean de sus clientes o de sus empleados. Y una empresa de marketing o publicidad no es, desde luego ninguna excepción, especialmente si tiene contratados servicios para la gestión de sus bases de datos, para el envío de correos electrónicos u otras empresas o profesionales para la elaboración de campañas. Igualmente si una gestoría se ocupa de la gestión de las nóminas de sus empleados o un servicio de prevención y vigilancia de la salud.
En estos casos la actual Ley de Protección de Datos para empresas obliga a realizar una lista con todas esas empresas y profesionales externos que pueden llegar a tener acceso a datos personales en nuestra posesión y, además, deberemos firmar con ellos un contrato de encargo de tratamiento en el que estableceremos las obligaciones de estos para proteger esos datos personales.
De esta manera, nos aseguraremos que no solo nuestra empresa de publicidad cumple con la protección de datos, sino que también los terceros con los que mantenemos una relación comercial.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
3. Contratos con empleados
Si tienes empleados trabajando en tu empresa de publicidad y marketing y estos pueden llegar a tener acceso a los datos personales de terceros, concretamente de tus clientes, tienes que asegurarte de que cumplirán con las medidas de seguridad de la empresa en materia de protección de datos y que evitarán revelar esa información a personas no autorizadas.
Aparte de la formación respecto a cómo evitar y protegerse antes posibles ciberataques, especialmente si usáis una red interna para trabajar y comunicaros en la empresa, tus empleados deben firmar un contrato de confidencialidad o en su contrato de trabajo debes incluir cláusulas de confidencialidad, de manera que te asegures que cumplirán las normas y que enfrentarán consecuencias si no lo hacen.
4. ¿Necesita tu empresa de publicidad y marketing un Delegado de Protección de Datos?
Si tu empresa de publicidad y marketing maneja un gran volumen de datos o datos de carácter especial, debe contar con Delegado de Protección de Datos (DPD o DPO).
Se constituye como garante del cumplimiento de la normativa de protección de datos dentro de la propia entidad u organización. Esta figura podrá ser interna o externa, pero deberá cumplir con los requisitos de capacidad profesional necesarios. Entre otras funciones, el DPO se encargará de intermediar entre el responsable del tratamiento y los afectados, así como representarle ante las Autoridades de Control.
Todos aquellos responsables que realicen análisis de perfiles, filmaciones a gran escala de lugares públicos o traten categorías de datos especiales a gran escala, entre otros, estarán obligados a designar un DPO en su organización.
5. Derechos para los usuarios
El RGPD introdujo una mayor protección para los usuarios, proporcionándoles una serie derechos que pueden ejercer en cualquier momento respecto a los datos personales que hayan podido ceder a la empresa, que debe asegurar los mecanismos para que puedan llevarlo a cabo.
Derecho de oposición
Los clientes tienen derecho a elegir cómo puede ser utilizada la información que facilitan.
Las empresas de márketing usan los datos de sus clientes para todo tipo de fines:
- para definir la estrategia de marketing
- suscribirlos a boletines de noticias
- para diseñar perfiles destinados a ciertos grupos demográficos
Hasta ahora las empresas no estaban obligadas a comunicar a sus clientes la manera en que utilizaban sus datos.
Con el RGPD, facilitar esta información se convierte en un trámite necesario.
Derecho al olvido
Hasta ahora, las empresas se habían centrado en obtener la información de los clientes sin tener muy en cuenta cómo eliminarla a petición del interesado.
Las nuevas directrices del RGPD establecen que los clientes puedan decidir si desean que su información personal sea completamente eliminada del sistema de la empresa.
Y debes responder a la solicitud en un máximo de 30 días. Esto significa que tendrás que adaptar tu entidad para especificar qué clientes quieren ejercitar su derecho al olvido.
Derecho de rectificación
Esta normativa establece que los datos introducidos puedan ser modificados o corregidos.
Los clientes pueden solicitarte que les confirmes que los datos facilitados son completos y exactos, así como pedir aquellos cambios que sean necesarios. Este cambio también supondrá que necesitas incorporar procesos para notificar a los clientes la modificación de su información.
Derecho a la portabilidad
Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde tu entidad, siempre que técnicamente sea posible.
Facilita que los usuarios puedan cambiar de un proveedor de servicios a otro. Sin tener que solicitar sus datos y posteriormente entregarlos al nuevo operador. Se reducen los trámites y se agilizan, ya que el usuario simplemente debe pedir la portabilidad.
6. Registro de actividades de tratamiento
Como el resto de empresas, el RGPD obliga a las agencias de publicidad y marketing a llevar un registro de actividades de tratamiento, donde de forma concisa, recoger el tipo de datos que manejan, la cantidad y los fines del tratamiento.
El registro de actividades de tratamiento puede recogerse tanto en papel como en formato digital, debe estar actualizado y es el documento que debes poner a disposición de la Agencia Española de Protección de Datos (AEPD) si esta te lo solicita durante una inspección.
El registro debe contener la siguiente información:
- Nombre y datos de contacto del responsable y del delegado de Protección de Datos,
- fines del tratamiento,
- descripción de las categorías de interesados y de datos personales,
- categorías de destinatarios a quienes comunicarás los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales,
- si vas a realizar transferencias de datos personales a un tercer país o una organización internacional, identificando al mismo, e incluyendo la documentación sobre garantías adecuadas para determinados casos,
- cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos y
- descripción general de las medidas técnicas y organizativas de seguridad que apliques para garantizar la integridad y confidencialidad.
7. Análisis de riesgos
Actualmente los datos personales son un bien muy codiciado, no solo sirven a las empresas para, a través de su análisis, tomar decisiones, sino que también pueden venderse al mejor postor y utilizarse para fines fraudulentos (como la suplantación de identidad). Hoy en día, los ciberataques para robar datos son un riesgo que no se puede pasar por alto y debes asegurarte que tus bases de datos y archivos con información sensible están preparados para soportar cualquier ataque.
Para ello, tu empresa debe realizar un análisis de los riesgos que puedan derivarse del tratamiento que realices de los datos personales. Deberás tener en cuenta, entra otras cuestiones:
- el tipo de tratamiento:
- ¿dónde se almacenan los datos?
- ¿durante cuánto tiempo?
- ¿en un fichero o en una base de datos?
- ¿en qué equipos?
- la naturaleza de los datos,
- identificativos
- bancarios
- financieros
- sensibles …
- el número de interesados afectados;
- 1.000
- 5.000
- 50.000 …
Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
8. Evaluación de impacto
Esta nueva herramienta prevista por la normativa europea supone que en tu empresa de marketing debes evaluar con carácter previo los riesgos a los que pueden verse sometidos los datos personales según los tratamientos que pretendas realizar.
Debes elaborar estos informes cuando las operaciones de tratamiento supongan riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines.
¿Qué tratamientos son esos?
Entre otros,
- el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses
- la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales
- cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales
Deberás evaluar los riesgos de manera proactiva y regular.
Y realizar cambios estructurales para evitarlos o reducirlos además de disponer de un plan de contingencias adecuado.
Entonces, ¿tengo o no tengo que hacerla?
En tu empresa de publicidad y marketing debes realizar una Evaluación de impacto ya que te dedicas a la elaboración de perfiles de clientes.
Toda persona tiene derecho a que no se haga un perfil que cause efectos legales o que le afecte de manera significativa. Solo podrás elaborar perfiles si existe un contrato y proteges los intereses legítimos de la persona o ha dado su consentimiento expreso.
9. Si tu empresa de publicidad y marketing tiene una página web
Tanto si agencia de publicidad y marketing tiene una página web para promocionar tus servicios y captar clientes, como si te dedicas a la publicidad digital o el marketing digital y operar enteramente online, debes tener en cuenta que estás obligado a incluir los textos que exige la Ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
- Nº de inscripción en el Registro mercantil
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad de la empresa de publicidad y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
- ¿Dónde se utilizan esos datos?
- ¿Se está haciendo con el consentimiento de los usuarios?
- ¿Tiene fines comerciales?
- ¿Se realizan cesiones a terceros o transferencias internacionales?
Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de
- existencia de un tratamiento de los datos que se le están solicitando,
- finalidad,
- destinatario o destinatarios de aquella información,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
10. Debes informar si se producen brechas de seguridad
Aunque nos gusta pensar que sí, lo cierto es que el riesgo cero nunca existe y esto también se aplica a la protección de datos; incluso si has tomado todas las medidas necesarias para evitar y prevenir posibles ataques que dejen expuestos los datos personales de tus clientes o empleados o, peor aún, estos han sido robados, debes informar de inmediato a la AEPD y los propios afectados.
Para realizar esta notificación tienen un plazo máximo de 72 horas, así que será mejor que cuentes con un plan o protocolo de actuación para este tipo de incidentes, que le permita a tu empresa responder rápido y tomar las medidas necesarias para solucionarlo cuanto antes.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Preguntas frecuentes
¿En qué casos puedo enviar comunicaciones comerciales?
Necesitarás su consentimiento para enviar publicidad o comunicados comerciales a tus clientes.
Se permiten este tipo de emails, cuando:
- La comunicación comercial vaya destinada a una empresa o persona física que sea cliente, esto es, haya existido una relación contractual con la misma.
- La comunicación comercial, aun cuando no vaya destinada a un cliente, haya sido solicitada o expresamente autorizada por el mismo.
¿Qué requisitos deben cumplir los correos publicitarios?
Según la Ley de Protección de Datos los correos electrónicos comerciales deben cumplir las siguientes normas:
- indicar de forma clara la finalidad del mensaje,
- ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines promocionales de forma gratuita y sencilla y
- proveer a los receptores de una dirección de correo electrónico válida para poder revocar en cualquier momento el consentimiento otorgado.
¿Cuánto tiempo puedo conservar los datos de mis clientes?
El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.
En el marketing y la publicidad se trata con una gran cantidad de documento que pueden contener datos personales o de empresas. Todos esos documentos se almacenaban indefinidamente. Sin embargo, con la nueva ley, será necesario que la empresa determine un tiempo máximo de almacenamiento de los datos y se asegure de la destrucción confidencial de documentos.
Con carácter general el plazo máximo de conservación de los datos es de 5 años.
¿Puedo comprar bases de datos para hacer mailing?
También debes cumplir con la protección de datos en campañas de email marketing y eso significa que no puedes comprar bases de datos para hacer mailing.
En el caso de que cuentes con tu propia base de datos, recuerda que para poder hacer estos envíos a tus clientes o a tu público potencial, debes de tener primero su consentimiento expreso. Esta es la principal diferencia entre el email marketing (legal) y el spam (ilegal y sancionable).
¿Puedo comunicarme con mis clientes a través de WhatsApp?
No puedes hacerlo si no tienes el consentimiento expreso de los clientes para ello.
Con el RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social de forma clara para que el usuario consienta dicho traspaso de información.
¿Puedo seguir enviando campañas de marketing a mi lista de contactos actual?
Sí, pero necesitas renovar el consentimiento de esos contactos.
El Reglamento General de Protección de Datos no se aplica solo a la información recopilada a partir del 25 de mayo de 2018, también a los datos recogidos con anterioridad. El registro de consentimiento de tus listas de contactos actuales, ¿prueba que tienes autorización clara para enviar campañas de email marketing para cada uno de los contactos? Cualquier registro ambiguo implicará la necesidad de obtener un nuevo permiso expreso por parte de tus antiguos contactos, para poder enviarles correctamente comunicaciones de email marketing.
Guía Maulrelay para cumplir el RPGD
Aquí tienes una guía para cumplir el RGPD en Mailrelay (dicen que es la herramienta de email marketing en español más utilizada).
Modelos
Si necesitas algún documento en concreto para llevar a cabo la adaptación a la normativa de protección de datos, aquí podrás encontrar varios modelos, que podrás editar y utilizar según tus necesidades:
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
El Reglamento General de Protección de Datos tiene un impacto significativo en la publicidad digital, transformando la forma de recoger y tratar los datos.
El marketing no existiría sin los datos personales. Las compañías necesitan la información de los usuarios para poder seguir vendiendo productos y servicios. Por tanto, la recogida de datos personales es el objetivo principal de la mayoría de las campañas de marketing a nivel global.
Cada día recibimos correos y llamadas de empresas que, muchas veces, no sabemos quiénes son ni cuándo dimos nuestro correo o teléfono. Esto puede llegar a ser muy normal, tanto que nos llegamos a habituar a ello. Y, aunque nos quejamos una y otra vez, las comunicaciones no cesan.
El RGPD establece que cualquier empresa sólo podrá utilizar los datos de una persona si tiene un permiso explícito. De lo contrario, estará cometiendo una infracción grave y será multada por tal acción.
Y después de esto, ¿me cuentas tus estrategias para proteger los datos personales que manejas en tus campañas publicitarias y cómo informas a los usuarios? ¿Qué consideras fundamental para cumplir el RGPD?