¿Estás dispuesto a perder tu lista de suscriptores? - LEXblogger

¿Estás dispuesto a perder tu lista de suscriptores? – El consentimiento

Imagina que llega el día en que descubres que tu lista de suscriptores, esa que has alimentado con tanto esfuerzo y visto crecer durante años, ya no es válida y no puedes seguir utilizándola.

Ese día está cerca, es mayo de 2018. A partir de ese día habrá  listas cumplidoras y no cumplidoras.

Créeme que este post no pretende convertirse en el cuento del lobo, más bien todo lo contrario.

Ya te hemos contado en más de una ocasión, el protagonismo que tiene el consentimiento para el Reglamento Europeo de Protección de datos (RGPD) y no, no es que hayamos decidido ser unos cansinos, es que debes conocer la trascendencia que va a tener el consentimiento en el futuro de tu negocio.

Entre tú y yo, sin miedo a equivocarme, puedo afirmarte que el consentimiento será la pieza clave en cualquier estrategia comercial y de marketing.

Porqué deberías ocuparte del consentimiento  “right now”

El RGPD plantea otra dimensión del consentimiento que será la que “certifique” la voluntad del usuario. Esta nueva dimensión hará que la materia prima de toda campaña, los registros, leads, datos de usuarios, pueda quedarse obsoleta o caducar a menos que te ocupes de acondicionarla adecuadamente.

Si, como lo oyes, o te ocupas de “acondicionar” adecuadamente los registros que tengas y los que vayas a obtener, o tu lista no valdrá nada, sencillamente, porque no es una lista legítima que puedas seguir utilizando sin riesgos.

Ya no podrás seguir utilizando las fórmulas de consentimiento tácito o por omisión, porque el  RGPD, exige que la voluntad del usuario no admita ningún resquicio de duda, concretamente,  el RGPD indica que el tratamiento sólo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Por qué debería importarte el consentimiento

Aunque los amantes del marketing y de Seth Godin no paramos de hablar de las bondades del permiso, lo cierto es que este refuerzo del consentimiento no ha sentado precisamente bien a muchos bloggers, en especial, cuando les explicamos que tienen que informar por capas como requisito indispensable del consentimiento…

“¿En serio es obligatorio y pretenden que pongamos todo ese tocho de texto dentro de un formulario? ¡Si pongo eso me come media Home!, ¿nos hemos vuelto locos?”

“Eso de poner un check box creo que bajaría el porcentaje de leads captados, cuantas más “acciones” le requieres al usuario, peor es el resultado”

“Tanto  texto debajo del formulario de suscripción de una web da miedo, se van a desplomar las suscripciones a mi web”

Todos argumentos válidos, razonables y entendibles que seguramente tú compartas. Son temores comunes a todos lo que dependemos de una lista como materia prima de nuestro negocio. Para resumirlo en una frase, te diré que para el RGPD, el consentimiento es el rey.

Y es normal que los cambios produzcan resistencia, más cuando nos obligan a redefinir toda nuestra estrategia, a transformar todos esos formularios tan cucos y molones que nos curramos, a ejecutar nuevas acciones a las que no estamos acostumbrados.

Todo cambio al principio es displacentero y molesto, pero hay cambios que son necesarios para seguir avanzando, ya sabes que no sobrevive el más fuerte sino el que mejor se adapta y este es un cambio sustancial en la manera de entender el permiso.

“no sobrevive el más fuerte sino el que mejor se adapta”

 Cómo legitimar el consentimiento

Para explicarlo de forma terrenal, el RGPD nos pide que siempre que solicitemos información personal, nos aseguremos de que la persona a quien le solicitemos sus datos,  conozca y consienta el tratamiento de sus datos conforme le hemos informado, vamos, de que no haya la menor duda de que está de acuerdo en que por ejemplo, la incorporemos a nuestra lista y le mandemos boletines periódicamente.

Las fórmulas en las que presuponemos este consentimiento, es decir, las basadas en la inacción del ciudadano, no son válidas ni legales. De esta forma,  quedan descartados los tipos de consentimiento por defecto: el silencio y las casillas ya marcadas no pueden constituir formas de consentimiento en ningún caso.

Un ejemplo de esto es el del formulario de suscripción tipo de algunos blogs:

Captura de email sin consentimiento

Aquí no hay consentimiento acreditable ni verificable de la voluntad del usuario respecto al tratamiento que se piensa realizar, porque entre otras cosas, el usuario desconoce la voluntad del prestador, su identidad y si piensa ceder o no su información a terceros por ejemplo.

El nuevo Reglamento en su punto 32 señala: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”.

Por tanto, en consentimiento para que sea legítimo, tiene que cumplir algunos requisitos:

Caractersticas del consentimiento - LEXblogger

  • Expreso significa  que la opción de suscripción no puede usar una casilla de opt-in ya marcada o fórmulas del tipo: “al completar el formulario me das permiso para quedarme en tu casa todos los fines de semana”
  • Específico  requiere que cada contacto realice una acción para dar su consentimiento con una finalidad previamente informada. Además, el mensaje de opt-in que utilices debe indicar todas las formas en que podrías utilizar los datos personales que recopilas, porque se trata de un consentimiento específico y no genérico. Esto significa que según la finalidad que persigas en cada formulario, deberás explicarle al usuario para que te propones utilizar esos datos, porque no es lo misma la finalidad que le das a un formulario de contacto, que a uno de captación o uno de venta, cada formulario, debe incluir una descripción específica de la finalidad que persigue.
  • Verificable: debes ser capaz de acreditar que lo has obtenido conforme exige el RGPD

No basta con hacerlo bien, deberás poder acreditarlo

Esta parte es capital

¿Cómo nos ocupamos de que sea verificable?

Ya no basta con no hacerlo mal, ahora es necesario acreditar que lo estamos haciendo bien. El consentimiento verificable requiere necesariamente de  un registro escrito de cuándo y cómo alguien decidió  permitirte procesar sus datos personales.

En el caso de los formularios online, se debería aportar capturas de la primera capa informativa y de la segunda, con la información más detallada.

La forma correcta sería recabar el consentimiento conforme exige el RGPD y dejar constancia de que todas las personas de nuestra lista, han prestado este consentimiento mediante un registro.

 

¿Cómo llevar un registro de esos consentimientos?

Ten en cuenta que poder acreditar esos consentimientos es tan importante como recogerlos conforme exige el RGPD.

Ya que el consentimiento para que sea válido debe ser verificable, te recomendamos que obtengas el consentimiento por escrito o de manera archivable para cada suscriptor.

Este registro por tanto, deberá contener una serie de datos que confirmen la validez de los consentimientos recabados, por ejemplo, deberá contener  la fecha en la que se otorgó, la IP, el email y la URL  implicados, el nombre del usuario, como se muestra a continuación:

Registro del consentimiento - LEXblogger

Tus formularios y la plataforma de email marketing con la que trabajes, deben permitirte por tanto, recopilar la dirección de correo electrónico, la dirección IP y la marca de tiempo asociada a todos los que envían el formulario.

También deberías poder presentar capturas de datos  vinculados a la política de privacidad, y demás avisos legales vigentes en aquel momento. Los pasos por tanto serían dos:

  • Captar legalmente los nuevos suscriptores con un formulario que permita recabar datos conforme exige el RGPD siguiendo este modelo.

Formulario adecuado al RGPD - LEXblogger

  • Llevar un registro con marca de tiempo de todos nuevos suscriptores.

 

Cómo convertir al consentimiento en un permiso reforzado

Olvídate por un momento del requisito legal y de las sanciones quita hipos que te pueden caer por incumplimiento. Piensa solo en tu estrategia.

¿Te gustaría contar con una lista de usuarios verdaderamente  comprometidos con tu blog?

¿Te gustaría una lista depurada en donde quienes reciban tus boletines sean quienes realmente desean recibirlos?

¿Te gustaría que tu tasa de abandonos y bajas de lista sean algo marginal?

No hace falta ser un lumbreras para saber que has respondido afirmativamente a todas estas preguntas y eso solo indica una cosa: el refuerzo del consentimiento es tu mejor herramienta para conseguirlo.

El consentimiento  significa un permiso expreso y verificable para recibir tus comunicaciones  ¿acaso hay mejor declaración de lealtad y amor?.

Requerir un check box de consentimiento no puede  perjudicarte, más bien todo lo contrario ¿Crees de verdad que un usuario a quien le interesen verdaderamente tus contenidos va a desistir de hacerlo por un casilla que tiene que clickear? Y si esa casilla lo hace desistir…  ¿crees que de verdad ese lead es un lead de calidad? Para mi, y para otros expertos del marketing este requisito lo que hace en cualquier caso, es aumentar la calidad de los leads.

Es cierto que todos acostumbrados a la mecanización, a darle a todo que sí sin leer y continuar y cuánto más ágil sea el proceso, mejor, pero el RGPD cambia las reglas de juego y eso nos obliga a un cambio de mentalidad, a tomarnos nuestra privacidad más en serio y en especial, a la de los demás si somos quienes gestionamos la privacidad de otros.

Piensa que proyectar una imagen de infractor nunca es una buena publicidad. Es además, la mejor oportunidad para diferenciarte, pero esto no durará mucho, cada día hay nuevos profesionales que acuden a LEXblogger para adecuar sus blogs al RGPD y cada vez serán más notorias y notables las diferencias.

De verdad piensas que proyectar una imagen de infractor será una buena publicidad para tu marca personalHaz click para twittear

¿Qué pasa con los consentimientos previos?

Es importante recordar que los consentimientos obtenidos con carácter previo a la entrada en vigor del nuevo reglamento, sólo serán válidos cuando hayan sido recabados respetando los principios exigidos por el mismo, es decir, que sean consentimientos expresos, pero también verificables.

En caso de que los consentimientos no cumplieran con estos requisitos y hayan sido obtenidos por ejemplo, por omisión, deberías  suspender esa práctica y sustituirla por otros procedimientos que permitan obtener el consentimiento de forma expresa. Lo mismo ocurre si no podemos acreditar la forma en la que los hemos obtenido.

Un buen ejemplo de regularización de registros es el que está llevando a cabo MailChimp a quién desde luego aplaudo la gestión tan cuidada que está desarrollando para adecuarse al RGPD.

En estos días está enviando a sus clientes, el siguiente correo:

Carta de mailchimp - LEXblogger

Básicamente, le informan a sus clientes que El 25 de mayo de 2018, la UE aplicará una nueva ley de protección de datos llamada Regulación General de Protección de Datos (GDPR). Y que son consientes que la preparación para este cambio regulatorio es una prioridad para muchos de sus clientes, y también es una prioridad para ellos.

Para adecuarse a estos nuevos requisitos, han decidido implantar  una actualización del “MailChimp DPA” existente que se ha actualizado específicamente para reflejar los requisitos del GDPR. El DPA actualizado.

En la nota, se requiere a los clientes que completen el siguiente formulario en dónde se recaba el consentimiento expreso con sus nuevas políticas.

Como ves, para toda dificultad hay una solución; para cada obstáculo, la posibilidad de superarlo, para cada reto, un oportunidad de superarnos.

En LEXblogger llevamos mucho tiempo trabajando en estos retos, sabemos que tu tiempo es valioso, sabemos que posiblemente no te sobran recursos para dedicarlos a esta adecuación y sabemos sobradamente que no es una tarea nada sencilla, hemos dedicado horas y horas de análisis y desarrollo para que cada blog tenga un traje legal a medida.

Ya nos hemos quedado muchas noches sin dormir para que tu puedas dormir a pierna suelta y puedas tener una solución sencilla a un reto complejo.

Busca aquí el traje legal que necesita tu blog.

¿Quieres cumplir con todos estos requisitos de forma sencilla? Consigue todo lo que necesita tu blog para pasar al siguiente nivel, a un clic gracias a la herramienta Legal Box Basic.

 

Foto principal por davide ragusa en Unsplash

 

46 comentarios en “¿Estás dispuesto a perder tu lista de suscriptores? – El consentimiento”

  1. Buenos días:

    En el caso de formularios de suscripción para un boletín informativo, ¿es obligatorio el uso de un checkbox de confirmación?

    Lo pregunto porque en mi caso utilizo un sistema de doble opt-in, de manera que al usuario le llega un email de confirmación en el que se le informa de la política de privacidad y del uso de sus datos. ¿Sería necesario, además, incluir un checkbox?

    Gracias

    1. Hola Emiliano, gracias por pasarte por aquí. El RGPD realmente dice que se tiene que obtener el consentimiento mediante un acto afirmativo, inequívoco, informado y verificable, la manera de más sencilla de obtenerlo cumplimiendo con esos 4 requisito es el checkbox, siempre que ese checkbox genere un log que te permita registrarlo adecuadamente, tan como se explica en el post.
      Un abrazo

    2. Hola Emiliano, si es obligatorio, no es lo mismo el doble opt-in, que solo certifica la identidad del usuario que una casilla de consentimiento asociada a una información concreta. El primero es un mecanismo de autenticación, el segundo de consentimiento con lo explicado.

      Un abrazo

      1. Hola de nuevo, Marina:

        Gracias por la respuesta. Me queda la duda, entonces, de si el doble optin es obligatorio en los registros o, al marcar el usuario la casilla ya podríamos interpretar que con un solo paso (marcar el check-in) da su consentimiento y se identifica correctamente.

        Gracias

        1. El doble opt-in es obligatorio como sistema de autenticación y para validar que el usuario es quién dice ser, de no tenerlo, cualquier usuario podría realizar suscripciones fraudulentas o incluso, suscripciones usurpando la identidad de otros, el check box y el doble opt-in son herramientas complementarias, igual de necesarias.

          Un abrazo

  2. Hola Marina,

    Tengo un blog en el que hay comentarios antiguos (las cuentas de EMail de los usuarios están almacenadas en la base de datos que se encuentra en el alojamiento web, y que no han sido usadas para nada más).

    La lógica dicta que resultaría imposible obtener el consentimiento de todos esos usuarios (lo que sí habría que hacer con los suscriptores), ¿qué se debería hacer con ellos entonces, eliminarlos?

    Un saludo y muchas gracias.

      1. Pues yo me he encontrado con un caso, donde además, los comentarios venían de la versión anterior del blog en wordpress.com… así que yo en ese caso sí, los he borrado, los e-mail y las ip, y todos los apellidos. Comentarios anonimizados en un momentito.

  3. Hola Marina! gran artículo muchas gracias.

    Tengo una duda. Mailchimp ha sacado en su Form builder para la captación de suscriptores un campo para cumplir con la nueva ley, el tema es que no permite el formato para embeberlo con HTML por ejemplo en Thrive Leads.

    Lo que ha generado no es un simple checkbox de verificación como el que comentas, sino que es un campo especial para la nueva ley.

    Mi consulta es: ¿con un simple checkbox y la confirmación de mailchimp por email del nuevo suscriptor alcanza? ¿O en mailchimp solo vale el campo especialmente agregado?

    Muchas gracias de antemano!

  4. Buenos días,
    Tengo una duda y no encuentro respuesta en ningún sitio…
    En que caso debemos tener un registro de consentimientos?
    Si en un formulario ya tenemos el checkbox y toda la informacion legal (las dos capas), es realmente obligatorio tener este registro?
    Entiendo para una lista de suscriptores (blog, newsletter…). Es obligatorio, hasta para una asociacion con pocos socios?
    Luego, si es por ejemplo un formulario de contacto, un formulario de reserva, un pedido… hay que hacerlo siempre?
    Gracias de antemano

    1. Hola Sandrine, siempre que se recaben datos por primera vez, es necesario informar según estable el RGPD y recabar un consentimiento verificable con lo informado, ten en cuenta que la carga de la prueba la tiene que aportar la parte denunciada y no vale un formulario adaptado, hay que contar con un log de registro que permita acreditar ese consentimiento en caso de tener que aportarlo.

      Un fuerte abrazo

  5. Buenas tardes, lo primero muchas gracias por el artículo, me ha sido de mucha utilidad.

    Tengo una duda que agradecería mucho que me la resolvieran. ¿Es totalmente necesario guardar la IP del usuario? Realmente en la ley no especifica nada al respecto. Yo entiendo que está relacionado con la acreditación del consentimiento, pero claro, la IP es un dato que puedo tomar del usuario, al igual que el navegador que esté usando, por ejemplo.

    Muchas gracias

  6. Hola buenas noches Marina,

    Con respecto al consentimiento tengo claro que hay que poner una casilla (desmarcada) para obtenerlo de forma expresa, pero… ¿si ya en la resumen del formulario se indica que se enviarán actualizaciones del sitio web Y ADEMÁS eventuales ofertas comerciales?, ¿sería necesario poner una casilla para cada tipo de contenido o es suficiente con una al estar especificado?

    Un saludo y muchas gracias !

    1. Hola Javier, siendo escrupulosos, el Reglamento define el consentimiento en su artículo 4.11 :

      “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

      Al definir como condición que sea especifico, las finalidades del tratamiento de datos deben aparecer de manera específica y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos.

      Por tanto, la clave es que el cosnentimiento sea granular, es decir, que exista una opción de consentimiento para cada finalidad y que vaya acompañado de información específica y separada para cada uno de los consentimientos, es decir, uno para suscribirse y otro para recibir ofertas comerciales.

      Un abrazo

  7. Hola Marina,
    En caso de una app que usa Facebook Login y Google Login para iniciar la app, ¿se podría usar esos emails que te los da Facebook y Google? Es decir, cuando se registran con Facebook ya dan permiso a facebook para dar los correos ¿o necesitaría pedirles permiso para enviar correos promocionales? Lo más seguro seria el check pero podría perder usuarios, solo lo pondría en caso de ser imprescindible. ¿Lo es o ya han dado el consentimiento al registrarse con facebook? Gracias! Buen trabajo!

    1. Hola Alberto,
      Solo podremos hacer envíos de email marketing con las cuentas y perfiles de Facebook o Google en las que hayamos obtenido su consentimiento, para lo que se deberá enviar un primer correo no comercial, donde los remitentes puedan aprobar o rechazar la recepción de comunicaciones a través de dicha vía. No podrás contactadar por email para envío comerciales sin su consentimiento en ningún caso. Por lo que, una sugerencia de primer contacto, sería invitarles a formar parte de nuestra base de datos mediante el chat de de Facebook o Google, las publicaciones y/o los comentarios.

      Un abrazo

  8. Hola, el formulario propuesto no cumple la GDPR.

    Por 2 motivos:

    1.- “La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para enviarte nuestras publicaciones, promociones de productos y/o servicios y recursos exclusivos.”

    Respuesta: La finalidad es para enviarme el Manual y pobre de ti que me envíes algo más.

    2.- A no ser que me llegue el doble Optin… el Formulario no me deja elegir si quiero o no recibir información comercial independientemente de aceptar la política de privacidad.

    Saludos

    1. Hola Jimmy, realmente no es así, el lead magned es solo para agradecer la suscripción y el consentimiento se solicita con la finalidad de añadir al usuario a nuestras listas y poder ofrecer de forma ocasional, información comercial sobre productos o servicios que ofrecemos, en ningún caso requerimos consentimiento para descargar la guía.

  9. Hola Marina,
    Somos una distribuidora y por lo tanto nuestros clientes son otras empresas (nunca cliente final) que previamente hemos tenido que dar de alta a través de un formulario completo.
    Hemos enviado carta (a través de Mailchimp) de la nueva Ley RGPD a todos nuestros clientes para que acepten privacidad y actualicen preferencias. Mi pregunta es: ¿como controlo quién ha aceptado todo y quién no? No sé como “limpiar” la lista una vez llegado el día 25 de Mayo.
    Muy agradecida por tu respuesta.

    1. Hola Cristina, gracias por comentar, debes tener en cuenta que la necesidad de reconfirmar el consentimiento es solo para personas que no son clientes, es decir usuarios, suscriptores y clientes potenciales.
      En estos casos, el proceso sería este:
      1) Debes crear una campaña con nuestra plantilla “autorización para el tratamiento de datos”. Esta campaña estará destinada a volver a solicitar el consentimiento a sus contactos para que reciban tus envíos de e-mails. En ese correo se debe integhrar un mecanismo para recabar el consentimiento del usuario que sea inequívoco y verificable.

      2) Identificar a los contactos que han vuelto a confirmar el consentimiento

      Una vez que haya enviado su campaña, identificaremos a aquellos contactos que hayan vuelto a dar su consentimiento para recibir tus newsletters y serán los que podremos tratando en nuestras campañas, el resto los eliminaremos.,

      3) Exportar prueba de consentimiento

      Dependiendo de la herramienta que utilices, es importante poder realizar la exportación del informe de la campaña en formato .csv permite obtener la fecha y la hora en que se hizo clic,

      Un abrazo y gracias por comentar

  10. Hola Marina!! como siempre un gran trabajo y mucha ayuda para todos nosotros.

    Te hago dos consultas:

    1) He realizado el reconsentimiento enviando un email a la lista, par que rellene nuevamente los datos haciendo click en el checkbox. Una vez que sucede esto, lo que te permite Mailchimp es hacer un auto-update del suscriptor registrando el click en el checkbox completando el campo que hayamos creado (grupo) en la lista para tal fin, tenemos la fecha de modificación y lo más importante la ruta desde donde se realizó dicho cambio, en este caso a través de la API, lo cuál deja en claro que no ha sido hecho a mano. ¿Te parece correcto? Porque me han llegado muchos emails de referentes del mundo online haciendo este método.

    2) ¿Será posible enviarles después del 25 a los que no hayan hecho el reconsentimiento, un email para recordarles que deben hacerlo? Entiendo perfectamente que emails comerciales no, pero tengo la duda de si se les puede insistir con el reconsentimiento.

    Desde ya que muchas gracias, y felicitaciones por todo el trabajo realizado.

    Abrazo!

    1. Hola Pablo,

      Comentas que has enviado una campaña con Mailchimp que te da la posibilidad de obtener la aceptación del consentimiento con checkbox, ¿lo has hecho con la opción de Mailchimp Marketing Permissions (Permisos de marketing)?

      Muchas gracias por tu ayuda.

      Saludos.

    2. Hola Pablo, desde el punto estrictamente legal, no deberías, dado que el 25 es el plazo final para tener regularizados y adecuados todos nuestros listados, ahora bien, esa decisión entra dentro de una gestión de riesgo. Tú debes analizar el riesgo que se genere una denuncia (entiendo que marginal) y lo que puede suponer una denuncia de una campaña de regularización, que justamente intenta ajustarse al RGPD, que entiendo mínimo también. En cualquier caso, es una decisión personal.

      Un abrazo

  11. Hola Marina.

    Tengo entendido que aunque mi web esté en latinoamerica, si recibo usuarios de Europa y tengo una lista de suscriptores con usuarios europeos, debo cumplir la ley, ¿estoy en lo correcto?

    Por otra parte, la coletilla legal que se coloca en la sección de comentarios, he visto que algunos hacen referencia a su proveedor de email marketing, otros a su empresa de hosting (como en tu caso). Yo, siendo la sección de comentarios, he colocado como destinatario el sistema de comentarios de wordpress, pues allí es desde donde gestiono los comentarios que me llegan.

    Tengo la duda, pues ahora que veo Raiola en tu caso, supongo que es que, directamente aunque se gestionen a través de tu gestor de comentarios, estos se almacenan en tu hosting. Agradezco me disipes la duda.

    Gracias, y un saludo desde Colombia.

    1. EL RGPD tiene como plazo de adecuación final el día 25, todo tratamiento que se haga con posterioridad entra en un análisis de gestión de riesgo, tu debes evaluar si el riesgo es asumible o no.

      Un abrazo

    1. El doble opt-in complementa el opt in de aceptación ya que es un sistema para autenticar al usuario.

      Por otra parte, para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles.

      Un abrazo

  12. Hola,

    Tengo una web con un formulario para pedir cita online en el que recojo nombre, apellidos, email y telefono de contacto. Una vez el usuario completa los datos recibo un email con dicha información.
    En ningún caso hay registro de ususarios, únicamente recibo un email con esos datos.
    Entiendo que aun así tengo que añadir un checkbox y un enlace a la politica de protección de datos. Podría confirmámelo?
    Tampoco me queda claro el tema de la verificación. Puesto que no tengo ningún sistema de log, únicamente email, bastaría con añadir al email recibido la fecha, la IP, el email y la URL implicados o tengo que generar un log interno? Que se entiende por URL, es el la URL desde donde se aceptan las condiciones?
    Un saludo
    Gracias

    1. Hola Alejandro, efectivamente, requieres un check box que permita recabar y acreditar ese consentimiento. Para poder decir que el consentimiento es acreditable, las empresas deben de poder documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles:

      Es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.

      En los Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes. en su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.
      Hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento. Respecto a la URL, es justamente esa que comentas.
      Un abrazo

  13. hola Marina.
    muy buen articulo.

    ahora… consulta… trabajo para una empresa de la UE pero en Argentina. Tenemos todos los mails de las personas que se registran en nuestro sitio y ahora queremos empezar a realiar envio de informacion. Como hago para obtener el consentimiento de toda estas personas. Obvio q desde el momento 1 toda esta gente aceptaron nuestros terminos y condiciones pero nunca hemos subido la lista a mail chimp para hacer envios. Podras ayudarme? gracias! slds

    1. Hola Melisa, te explico lo que dice la ley:
      Artículo 4.11 :
      “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” Este adjetivo exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser realizada por medios electrónicos. Básicamente se habla de una manifestación de voluntad que se obtenga de manera independiente al hecho de acordar un contrato o de aceptar los términos y condiciones aplicables a un servicio.

      De no cumplir con la obtención de un consentimiento libre, específico, informado e inequívoco, podría darse un perjuicio económico para la empresa en forma de multas y sanciones que el Reglamento regula, además de un Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR – el 25 de mayo de 2018 – solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, que puedas acreditar el consentimiento inequívoco, libre, informado e inequívoco. Deberías generar una campaña que te permita recabar esos consentimientos conforme exige el RGPD y poder acreditarlos.
      Por otra parte, en su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro:

      «podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

      Por otra parte, una cosa es el tratamiento a clientes, en dónde efectivamente, no se requiere validar el consentimiento porque existe una base legal para el tratamiento, el propio contrato, y puede ser el caso de raynair perfectamente.

      El GT29 aconseja que todas las empresas revisen sus sistemas y procedimientos de recogida de datos personales para garantizar el cumplimiento de los requisitos previstos en el Reglamento.

      Espero haberte ayudado.
      Un saludo

  14. Hola, mi pregunta es si para un tienda online en la que solo se van a recabar los datos necesarios para tramitar el pedido (nombre, dirección…etc) y no se utilizarán para enviar emails publicitarios ¿Sería necesario el doble opt-in? Creo que la identidad del usuario quedaría acreditada al pagar el pedido ya sea con tarjeta o contra reembolso dependiendo del caso.
    Muchas gracias, ha sido muy útil el post y los comentarios.

    1. Hola Luis, la autenticación es un tema fundamental a la hora de acreditar el cumplimiento RGPD, y más cuando estamos hablando de transacciones online, no en vano muchas empresas utilizan hasta 4 sistemas diferentes de autenticación. Por otra parte, recuerda que es fundamental poder acreditar el consentimiento del usuario y la única forma de hacerlo es mediante un check box.
      Un abrazo y gracias por comentar.

      1. Gracias por la rápida respuesta, Marina!!
        Entonces ¿Tendría que hacer que una vez pulsado el botón de “GRABAR PEDIDO”, se le enviase un mail con un botón al cliente y el cliente una vez recibido el mail pulse en el botón desde el mismo para confirmar? En ese caso, si esto es lo obligatorio, ¿No podría enviar el pedido hasta que el cliente pulsara el botón desde el email?
        Gracias por todo, un abrazo.

  15. Buenos días. Ante todo muchas gracias por compartir estos post de gran utilidad.

    Llevo varios meses investigando el tema del RGPD y no sé si es que soy el único que me hago ciertas preguntas pues no encuentro respuestas a ellas.

    Primera situación: Tenemos datos de un usuario con su consentimiento verificable en nuestra base de datos; el usuario solicita borrar todos sus datos; borramos sus datos incluida la prueba de consentimiento pues está vinculada con su correo o IP. Si a la semana siguiente recibimos una reclamación por un correo que le hayamos mandado hace un mes, ya no podremos demostrar su consentimiento pues lo hemos borrado con sus datos. ¿Se puede mantener dicho consentimiento para demostrar que lo hemos tenido aun después de que el usuario desee borrar todos sus datos?

    Segunda situación: Cualquier usuario “no registrado” nos manda un e-mail a la dirección de correo que ha visto en nuestro apartado de contacto, ¿al responderle mediante el mismo e-mail que nos envió se supone que hay constancia de su consentimiento?; al no existir coletilla informativa que pueda aceptar en su e-mail cuando nos lo manda, ¿podemos conservar los e-mails como prueba para posibles reclamaciones?
    Tercera situación: Si un usuario solicita que borremos todos sus datos ¿cómo probaremos que lo hemos borrado con su consentimiento si ya no podemos tener ningún dato de él?

    Un saludo y muchas gracias de antemano.

    1. Hola Oscar, gracias por tus preguntas. Lo primero que debes hacer es dejar constancia de todos los procesos, empezando por el ejercicio de derechos, es importante que lleves un registro de todos los requerimientos y de las respuestas. Ten en cuenta, que cuando un usuario te pide la cancelación de su información, te lo pide con una finalidad, no significa que tengas que borrar sus datos, significa que tienes que bloquearlos, es decir, debes dejar de utilizarlos. Desde esa perspectiva, puedes conservar un registro de ese consentimiento previo siempre y cuando lo conserves a efectos de acreditación y no realices ningún otro tratamiento.

      Respecto a la segunda situación, misma respuesta que en el primer caso, puedes conservar ese dato solo a efectos de reclamación, no obstante, en la misma respuesta deberás incluir un texto informativo relativo al RGPD.

      Sobre la ultima cuestión. también respondida, debes bloquear esa información y acreditar que no la utilizas con ninguna otra finalidad.

      Un abrazo

  16. Hola Marina,

    Tengo una duda con el consentimiento. Tengo una lista de contactos en Mailchimp en la que todos los datos son recogidos únicamente a través de un formulario en papel donde la persona rellena unos datos básicos (nombre, apellidos, dni, fecha nacimiento, dirección postal, email). El formulario tiene un check box donde acepta que quiere ser socio y que todas las comunicaciones sean por medios electrónicos al email que indican. Además en el pie de página se informa sobre el tratamiento de sus datos y los derechos que puede ejercer. La persona además firma el formulario.
    ¿es necesario mandarles el mail de consentimiento o al ser por escrito de esta manera no haría falta?

    Un saludo y muchas gracias!

    1. Hola María, el consentimiento debe recogerse en el mismo medio en el que se recoge la información personal, así que lo estás haciendo correctamente, la única recomendación adicional es que en el correo, le recuerdes como has obtenido su información y como pueden revocar el consentimiento previo, basta con un pié en el boletín que configures junto a la firma.
      Un abrazo y gracias por pasarte a comentar.

  17. Hola Marina,

    Después de la aplicación del GDPR y de realizar la campaña correspondiente para verificar nuestra lista de suscriptores, no resultó demasiado bien y perdimos muchísimos.

    Ahora nos gustaría volver a intentarlo pero entiendo que no está permitido realizar una campaña de mailing a los mismos suscriptores “perdidos”, pero ¿se puede hacer con los que ni siquiera abrieron el email? Es decir, como un segundo intento de campanya de “re-verificación”.

    Muchas gracias!

    1. Hola Judit, en este caso, deberías soperar el riesgo de realizar una segunda “repesca” una vez acabado el plazo para regularizar toda la lista, quizás la opción más inteligente es dirigir una acción mediante facebook ads a esos remitentes, al menos sería menor el riesgo al ser un a campaña menos directa, debes tener en cuenta que mayo era la fecha tope para obtener la legitimidad necesaria de esos leads, pasado ese plazo, ya no es legal tratar esa información y por tanto, no puedo recomendarte una segunda campaña.
      Un abrazo

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.