46 comentarios en “¿Estás dispuesto a perder tu lista de suscriptores? – El consentimiento”

  1. Buenos días:

    En el caso de formularios de suscripción para un boletín informativo, ¿es obligatorio el uso de un checkbox de confirmación?

    Lo pregunto porque en mi caso utilizo un sistema de doble opt-in, de manera que al usuario le llega un email de confirmación en el que se le informa de la política de privacidad y del uso de sus datos. ¿Sería necesario, además, incluir un checkbox?

    Gracias

    1. Hola Emiliano, gracias por pasarte por aquí. El RGPD realmente dice que se tiene que obtener el consentimiento mediante un acto afirmativo, inequívoco, informado y verificable, la manera de más sencilla de obtenerlo cumplimiendo con esos 4 requisito es el checkbox, siempre que ese checkbox genere un log que te permita registrarlo adecuadamente, tan como se explica en el post.
      Un abrazo

    2. Hola Emiliano, si es obligatorio, no es lo mismo el doble opt-in, que solo certifica la identidad del usuario que una casilla de consentimiento asociada a una información concreta. El primero es un mecanismo de autenticación, el segundo de consentimiento con lo explicado.

      Un abrazo

      1. Hola de nuevo,

        Gracias por la respuesta. Me queda la duda, entonces, de si el doble optin es obligatorio en los registros o, al marcar el usuario la casilla ya podríamos interpretar que con un solo paso (marcar el check-in) da su consentimiento y se identifica correctamente.

        Gracias

        1. El doble opt-in es obligatorio como sistema de autenticación y para validar que el usuario es quién dice ser, de no tenerlo, cualquier usuario podría realizar suscripciones fraudulentas o incluso, suscripciones usurpando la identidad de otros, el check box y el doble opt-in son herramientas complementarias, igual de necesarias.

          Un abrazo

  2. Hola,

    Tengo un blog en el que hay comentarios antiguos (las cuentas de EMail de los usuarios están almacenadas en la base de datos que se encuentra en el alojamiento web, y que no han sido usadas para nada más).

    La lógica dicta que resultaría imposible obtener el consentimiento de todos esos usuarios (lo que sí habría que hacer con los suscriptores), ¿qué se debería hacer con ellos entonces, eliminarlos?

    Un saludo y muchas gracias.

      1. Pues yo me he encontrado con un caso, donde además, los comentarios venían de la versión anterior del blog en wordpress.com… así que yo en ese caso sí, los he borrado, los e-mail y las ip, y todos los apellidos. Comentarios anonimizados en un momentito.

        1. Entonces, los borro ya mismo todos los comentarios antiguos?? o se pueden anonimizar con algun pluggin?

  3. Hola! gran artículo muchas gracias.

    Tengo una duda. Mailchimp ha sacado en su Form builder para la captación de suscriptores un campo para cumplir con la nueva ley, el tema es que no permite el formato para embeberlo con HTML por ejemplo en Thrive Leads.

    Lo que ha generado no es un simple checkbox de verificación como el que comentas, sino que es un campo especial para la nueva ley.

    Mi consulta es: ¿con un simple checkbox y la confirmación de mailchimp por email del nuevo suscriptor alcanza? ¿O en mailchimp solo vale el campo especialmente agregado?

    Muchas gracias de antemano!

  4. Buenos días,
    Tengo una duda y no encuentro respuesta en ningún sitio…
    En que caso debemos tener un registro de consentimientos?
    Si en un formulario ya tenemos el checkbox y toda la informacion legal (las dos capas), es realmente obligatorio tener este registro?
    Entiendo para una lista de suscriptores (blog, newsletter…). Es obligatorio, hasta para una asociacion con pocos socios?
    Luego, si es por ejemplo un formulario de contacto, un formulario de reserva, un pedido… hay que hacerlo siempre?
    Gracias de antemano

    1. Hola Sandrine, siempre que se recaben datos por primera vez, es necesario informar según estable el RGPD y recabar un consentimiento verificable con lo informado, ten en cuenta que la carga de la prueba la tiene que aportar la parte denunciada y no vale un formulario adaptado, hay que contar con un log de registro que permita acreditar ese consentimiento en caso de tener que aportarlo.

      Un fuerte abrazo

  5. Buenas tardes, lo primero muchas gracias por el artículo, me ha sido de mucha utilidad.

    Tengo una duda que agradecería mucho que me la resolvieran. ¿Es totalmente necesario guardar la IP del usuario? Realmente en la ley no especifica nada al respecto. Yo entiendo que está relacionado con la acreditación del consentimiento, pero claro, la IP es un dato que puedo tomar del usuario, al igual que el navegador que esté usando, por ejemplo.

    Muchas gracias

  6. Hola buenas noches,

    Con respecto al consentimiento tengo claro que hay que poner una casilla (desmarcada) para obtenerlo de forma expresa, pero… ¿si ya en la resumen del formulario se indica que se enviarán actualizaciones del sitio web Y ADEMÁS eventuales ofertas comerciales?, ¿sería necesario poner una casilla para cada tipo de contenido o es suficiente con una al estar especificado?

    Un saludo y muchas gracias !

    1. Hola Javier, siendo escrupulosos, el Reglamento define el consentimiento en su artículo 4.11 :

      “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

      Al definir como condición que sea especifico, las finalidades del tratamiento de datos deben aparecer de manera específica y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos.

      Por tanto, la clave es que el cosnentimiento sea granular, es decir, que exista una opción de consentimiento para cada finalidad y que vaya acompañado de información específica y separada para cada uno de los consentimientos, es decir, uno para suscribirse y otro para recibir ofertas comerciales.

      Un abrazo

  7. Hola,
    En caso de una app que usa Facebook Login y Google Login para iniciar la app, ¿se podría usar esos emails que te los da Facebook y Google? Es decir, cuando se registran con Facebook ya dan permiso a facebook para dar los correos ¿o necesitaría pedirles permiso para enviar correos promocionales? Lo más seguro seria el check pero podría perder usuarios, solo lo pondría en caso de ser imprescindible. ¿Lo es o ya han dado el consentimiento al registrarse con facebook? Gracias! Buen trabajo!

    1. Hola Alberto,
      Solo podremos hacer envíos de email marketing con las cuentas y perfiles de Facebook o Google en las que hayamos obtenido su consentimiento, para lo que se deberá enviar un primer correo no comercial, donde los remitentes puedan aprobar o rechazar la recepción de comunicaciones a través de dicha vía. No podrás contactadar por email para envío comerciales sin su consentimiento en ningún caso. Por lo que, una sugerencia de primer contacto, sería invitarles a formar parte de nuestra base de datos mediante el chat de de Facebook o Google, las publicaciones y/o los comentarios.

      Un abrazo

  8. Hola, el formulario propuesto no cumple la GDPR.

    Por 2 motivos:

    1.- «La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para enviarte nuestras publicaciones, promociones de productos y/o servicios y recursos exclusivos.»

    Respuesta: La finalidad es para enviarme el Manual y pobre de ti que me envíes algo más.

    2.- A no ser que me llegue el doble Optin… el Formulario no me deja elegir si quiero o no recibir información comercial independientemente de aceptar la política de privacidad.

    Saludos

    1. Hola Jimmy, realmente no es así, el lead magned es solo para agradecer la suscripción y el consentimiento se solicita con la finalidad de añadir al usuario a nuestras listas y poder ofrecer de forma ocasional, información comercial sobre productos o servicios que ofrecemos, en ningún caso requerimos consentimiento para descargar la guía.

  9. Hola,
    Somos una distribuidora y por lo tanto nuestros clientes son otras empresas (nunca cliente final) que previamente hemos tenido que dar de alta a través de un formulario completo.
    Hemos enviado carta (a través de Mailchimp) de la nueva Ley RGPD a todos nuestros clientes para que acepten privacidad y actualicen preferencias. Mi pregunta es: ¿como controlo quién ha aceptado todo y quién no? No sé como «limpiar» la lista una vez llegado el día 25 de Mayo.
    Muy agradecida por tu respuesta.

    1. Hola Cristina, gracias por comentar, debes tener en cuenta que la necesidad de reconfirmar el consentimiento es solo para personas que no son clientes, es decir usuarios, suscriptores y clientes potenciales.
      En estos casos, el proceso sería este:
      1) Debes crear una campaña con nuestra plantilla «autorización para el tratamiento de datos». Esta campaña estará destinada a volver a solicitar el consentimiento a sus contactos para que reciban tus envíos de e-mails. En ese correo se debe integhrar un mecanismo para recabar el consentimiento del usuario que sea inequívoco y verificable.

      2) Identificar a los contactos que han vuelto a confirmar el consentimiento

      Una vez que haya enviado su campaña, identificaremos a aquellos contactos que hayan vuelto a dar su consentimiento para recibir tus newsletters y serán los que podremos tratando en nuestras campañas, el resto los eliminaremos.,

      3) Exportar prueba de consentimiento

      Dependiendo de la herramienta que utilices, es importante poder realizar la exportación del informe de la campaña en formato .csv permite obtener la fecha y la hora en que se hizo clic,

      Un abrazo y gracias por comentar

  10. Hola!! como siempre un gran trabajo y mucha ayuda para todos nosotros.

    Te hago dos consultas:

    1) He realizado el reconsentimiento enviando un email a la lista, par que rellene nuevamente los datos haciendo click en el checkbox. Una vez que sucede esto, lo que te permite Mailchimp es hacer un auto-update del suscriptor registrando el click en el checkbox completando el campo que hayamos creado (grupo) en la lista para tal fin, tenemos la fecha de modificación y lo más importante la ruta desde donde se realizó dicho cambio, en este caso a través de la API, lo cuál deja en claro que no ha sido hecho a mano. ¿Te parece correcto? Porque me han llegado muchos emails de referentes del mundo online haciendo este método.

    2) ¿Será posible enviarles después del 25 a los que no hayan hecho el reconsentimiento, un email para recordarles que deben hacerlo? Entiendo perfectamente que emails comerciales no, pero tengo la duda de si se les puede insistir con el reconsentimiento.

    Desde ya que muchas gracias, y felicitaciones por todo el trabajo realizado.

    Abrazo!

    1. Hola Pablo,

      Comentas que has enviado una campaña con Mailchimp que te da la posibilidad de obtener la aceptación del consentimiento con checkbox, ¿lo has hecho con la opción de Mailchimp Marketing Permissions (Permisos de marketing)?

      Muchas gracias por tu ayuda.

      Saludos.

    2. Hola Pablo, desde el punto estrictamente legal, no deberías, dado que el 25 es el plazo final para tener regularizados y adecuados todos nuestros listados, ahora bien, esa decisión entra dentro de una gestión de riesgo. Tú debes analizar el riesgo que se genere una denuncia (entiendo que marginal) y lo que puede suponer una denuncia de una campaña de regularización, que justamente intenta ajustarse al RGPD, que entiendo mínimo también. En cualquier caso, es una decisión personal.

      Un abrazo

  11. Hola.

    Tengo entendido que aunque mi web esté en latinoamerica, si recibo usuarios de Europa y tengo una lista de suscriptores con usuarios europeos, debo cumplir la ley, ¿estoy en lo correcto?

    Por otra parte, la coletilla legal que se coloca en la sección de comentarios, he visto que algunos hacen referencia a su proveedor de email marketing, otros a su empresa de hosting (como en tu caso). Yo, siendo la sección de comentarios, he colocado como destinatario el sistema de comentarios de wordpress, pues allí es desde donde gestiono los comentarios que me llegan.

    Tengo la duda, pues ahora que veo Raiola en tu caso, supongo que es que, directamente aunque se gestionen a través de tu gestor de comentarios, estos se almacenan en tu hosting. Agradezco me disipes la duda.

    Gracias, y un saludo desde Colombia.

  12. Hola. ¿Se deben entonces borrar todos los comentarios antiguos de las entradas de los blogs?

    1. EL RGPD tiene como plazo de adecuación final el día 25, todo tratamiento que se haga con posterioridad entra en un análisis de gestión de riesgo, tu debes evaluar si el riesgo es asumible o no.

      Un abrazo

  13. Buenas tardes,
    ¿Es el doble opt in obligatorio para poder renovar el consentimiento en una lista de mailing previa al 25?

    Muchas gracias

    1. El doble opt-in complementa el opt in de aceptación ya que es un sistema para autenticar al usuario.

      Por otra parte, para poder decir que el consentimiento es acreditable, las empresas deben de poder acreditar y documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles.

      Un abrazo

  14. Hola,

    Tengo una web con un formulario para pedir cita online en el que recojo nombre, apellidos, email y telefono de contacto. Una vez el usuario completa los datos recibo un email con dicha información.
    En ningún caso hay registro de ususarios, únicamente recibo un email con esos datos.
    Entiendo que aun así tengo que añadir un checkbox y un enlace a la politica de protección de datos. Podría confirmámelo?
    Tampoco me queda claro el tema de la verificación. Puesto que no tengo ningún sistema de log, únicamente email, bastaría con añadir al email recibido la fecha, la IP, el email y la URL implicados o tengo que generar un log interno? Que se entiende por URL, es el la URL desde donde se aceptan las condiciones?
    Un saludo
    Gracias

    1. Hola Alejandro, efectivamente, requieres un check box que permita recabar y acreditar ese consentimiento. Para poder decir que el consentimiento es acreditable, las empresas deben de poder documentar lo siguiente: ¿Quién otorgó su consentimiento?: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle. Además, se debe poder demostrar si se ha revocado o no el consentimiento. En caso de que se revoque, se debe poder demostrar cuándo fue revocado.¿Cuándo y cómo se otorgó el consentimiento?Si el consentimiento se realiza por escrito y de forma online, es necesario obtenerlo con un sello de tiempo. ¿Qué información recibió la persona que consintió? Para cumplir con la exigencia que establece el GDPR de mayor información se recomienda implantar un modelo de información por capas o niveles:

      Es imprescindible tener una copia del formulario utilizado para obtener los datos del interesado, o copia del sistema de captura de datos, con la información que se le haya proporcionado al dueño de los datos.

      En los Formularios online: se deben tener capturas de las capas informativas con sus sellos de tiempo correspondientes. en su alta o suscripción. En este correo electrónico se puede insertar las capas informativas y se hacen capturas del proceso.
      Hay que tener en cuenta que el consentimiento tiene que ser verificable: quienes recopilen datos personales deben ser capaces de demostrar que el interesado les otorgó su consentimiento. Respecto a la URL, es justamente esa que comentas.
      Un abrazo

  15. hola.
    muy buen articulo.

    ahora… consulta… trabajo para una empresa de la UE pero en Argentina. Tenemos todos los mails de las personas que se registran en nuestro sitio y ahora queremos empezar a realiar envio de informacion. Como hago para obtener el consentimiento de toda estas personas. Obvio q desde el momento 1 toda esta gente aceptaron nuestros terminos y condiciones pero nunca hemos subido la lista a mail chimp para hacer envios. Podras ayudarme? gracias! slds

    1. Hola Melisa, te explico lo que dice la ley:
      Artículo 4.11 :
      “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” Este adjetivo exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser realizada por medios electrónicos. Básicamente se habla de una manifestación de voluntad que se obtenga de manera independiente al hecho de acordar un contrato o de aceptar los términos y condiciones aplicables a un servicio.

      De no cumplir con la obtención de un consentimiento libre, específico, informado e inequívoco, podría darse un perjuicio económico para la empresa en forma de multas y sanciones que el Reglamento regula, además de un Los consentimientos obtenidos con anterioridad a la fecha de aplicación del GDPR – el 25 de mayo de 2018 – solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento. Es decir, que puedas acreditar el consentimiento inequívoco, libre, informado e inequívoco. Deberías generar una campaña que te permita recabar esos consentimientos conforme exige el RGPD y poder acreditarlos.
      Por otra parte, en su Considerando 32, el GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro:

      «podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».

      Por otra parte, una cosa es el tratamiento a clientes, en dónde efectivamente, no se requiere validar el consentimiento porque existe una base legal para el tratamiento, el propio contrato, y puede ser el caso de raynair perfectamente.

      El GT29 aconseja que todas las empresas revisen sus sistemas y procedimientos de recogida de datos personales para garantizar el cumplimiento de los requisitos previstos en el Reglamento.

      Espero haberte ayudado.
      Un saludo

  16. Hola, tengo una duda respecto al registro de la IP. ¿Que ocurre si el usuario está detrás de un proxy o u tilizando un servicio vpn?, Gracias 🙂

  17. Hola, mi pregunta es si para un tienda online en la que solo se van a recabar los datos necesarios para tramitar el pedido (nombre, dirección…etc) y no se utilizarán para enviar emails publicitarios ¿Sería necesario el doble opt-in? Creo que la identidad del usuario quedaría acreditada al pagar el pedido ya sea con tarjeta o contra reembolso dependiendo del caso.
    Muchas gracias, ha sido muy útil el post y los comentarios.

    1. Hola Luis, la autenticación es un tema fundamental a la hora de acreditar el cumplimiento RGPD, y más cuando estamos hablando de transacciones online, no en vano muchas empresas utilizan hasta 4 sistemas diferentes de autenticación. Por otra parte, recuerda que es fundamental poder acreditar el consentimiento del usuario y la única forma de hacerlo es mediante un check box.
      Un abrazo y gracias por comentar.

      1. Gracias por la rápida respuesta!!
        Entonces ¿Tendría que hacer que una vez pulsado el botón de «GRABAR PEDIDO», se le enviase un mail con un botón al cliente y el cliente una vez recibido el mail pulse en el botón desde el mismo para confirmar? En ese caso, si esto es lo obligatorio, ¿No podría enviar el pedido hasta que el cliente pulsara el botón desde el email?
        Gracias por todo, un abrazo.

  18. Buenos días. Ante todo muchas gracias por compartir estos post de gran utilidad.

    Llevo varios meses investigando el tema del RGPD y no sé si es que soy el único que me hago ciertas preguntas pues no encuentro respuestas a ellas.

    Primera situación: Tenemos datos de un usuario con su consentimiento verificable en nuestra base de datos; el usuario solicita borrar todos sus datos; borramos sus datos incluida la prueba de consentimiento pues está vinculada con su correo o IP. Si a la semana siguiente recibimos una reclamación por un correo que le hayamos mandado hace un mes, ya no podremos demostrar su consentimiento pues lo hemos borrado con sus datos. ¿Se puede mantener dicho consentimiento para demostrar que lo hemos tenido aun después de que el usuario desee borrar todos sus datos?

    Segunda situación: Cualquier usuario “no registrado” nos manda un e-mail a la dirección de correo que ha visto en nuestro apartado de contacto, ¿al responderle mediante el mismo e-mail que nos envió se supone que hay constancia de su consentimiento?; al no existir coletilla informativa que pueda aceptar en su e-mail cuando nos lo manda, ¿podemos conservar los e-mails como prueba para posibles reclamaciones?
    Tercera situación: Si un usuario solicita que borremos todos sus datos ¿cómo probaremos que lo hemos borrado con su consentimiento si ya no podemos tener ningún dato de él?

    Un saludo y muchas gracias de antemano.

    1. Hola Oscar, gracias por tus preguntas. Lo primero que debes hacer es dejar constancia de todos los procesos, empezando por el ejercicio de derechos, es importante que lleves un registro de todos los requerimientos y de las respuestas. Ten en cuenta, que cuando un usuario te pide la cancelación de su información, te lo pide con una finalidad, no significa que tengas que borrar sus datos, significa que tienes que bloquearlos, es decir, debes dejar de utilizarlos. Desde esa perspectiva, puedes conservar un registro de ese consentimiento previo siempre y cuando lo conserves a efectos de acreditación y no realices ningún otro tratamiento.

      Respecto a la segunda situación, misma respuesta que en el primer caso, puedes conservar ese dato solo a efectos de reclamación, no obstante, en la misma respuesta deberás incluir un texto informativo relativo al RGPD.

      Sobre la ultima cuestión. también respondida, debes bloquear esa información y acreditar que no la utilizas con ninguna otra finalidad.

      Un abrazo

  19. Hola,

    Tengo una duda con el consentimiento. Tengo una lista de contactos en Mailchimp en la que todos los datos son recogidos únicamente a través de un formulario en papel donde la persona rellena unos datos básicos (nombre, apellidos, dni, fecha nacimiento, dirección postal, email). El formulario tiene un check box donde acepta que quiere ser socio y que todas las comunicaciones sean por medios electrónicos al email que indican. Además en el pie de página se informa sobre el tratamiento de sus datos y los derechos que puede ejercer. La persona además firma el formulario.
    ¿es necesario mandarles el mail de consentimiento o al ser por escrito de esta manera no haría falta?

    Un saludo y muchas gracias!

    1. Hola María, el consentimiento debe recogerse en el mismo medio en el que se recoge la información personal, así que lo estás haciendo correctamente, la única recomendación adicional es que en el correo, le recuerdes como has obtenido su información y como pueden revocar el consentimiento previo, basta con un pié en el boletín que configures junto a la firma.
      Un abrazo y gracias por pasarte a comentar.

  20. Hola,

    Después de la aplicación del GDPR y de realizar la campaña correspondiente para verificar nuestra lista de suscriptores, no resultó demasiado bien y perdimos muchísimos.

    Ahora nos gustaría volver a intentarlo pero entiendo que no está permitido realizar una campaña de mailing a los mismos suscriptores «perdidos», pero ¿se puede hacer con los que ni siquiera abrieron el email? Es decir, como un segundo intento de campanya de «re-verificación».

    Muchas gracias!

    1. Hola Judit, en este caso, deberías soperar el riesgo de realizar una segunda «repesca» una vez acabado el plazo para regularizar toda la lista, quizás la opción más inteligente es dirigir una acción mediante facebook ads a esos remitentes, al menos sería menor el riesgo al ser un a campaña menos directa, debes tener en cuenta que mayo era la fecha tope para obtener la legitimidad necesaria de esos leads, pasado ese plazo, ya no es legal tratar esa información y por tanto, no puedo recomendarte una segunda campaña.
      Un abrazo

Los comentarios están cerrados.

Ir arriba