Una tragicomedia en 3 actos y epílogo.
ACTO 1: CON LA LOPD HEMOS TOPADO
Normalmente tengo menos luces que el coche de los Picapiedra, pero, en esta ocasión y puestos en faena, se me encendió una bombilla y me planteé que, por muy launch page que fuera, no dejaba de ser una web en toda regla y, como tal, debía cumplir la legislación española.
Y la legislación española dice, entre otras cosas, que DA IGUAL si tu web ofrece cojoservicios SaaS de cloud computing por un pastizal o es un simple blog: si recoges datos personales de tus usuarios o clientes, estás obligado a cumplir la LOPD o Ley Orgánica de Protección de Datos.
Supongo que ahora mismo estarás rascándote la cabeza como un mandril perplejo y preguntándote si tú recoges y usas datos personales. No te preocupes, Toribio, ya te ayudo yo: algunos jueces consideran el correo electrónico como un dato personal. Así que, algo tan inocente como una página de lanzamiento o una fantabulosa página de contacto, DEBEN cumplir la LOPD.
La cuestión no es una tontería. El incumplimiento de la LOPD puede acarrear sanciones que van desde los 600€ hasta… 600.000€ ¡Matamecamión!
ACTO 2: ¿QUÉ CARALLO ES ESO DE LA LOPD?
Ahora mismo, el pobre Dani Latorre debe de tener palpitaciones anales. ¡No te preocupes, Dani! No es para tanto. En realidad, los multones más altos son para aquellos casos en los que están involucrados datos especialmente protegidos, que sólo querría utilizar una mente enferma -o una compañía yankee-, como la raza o religión de tus usuarios.
En cualquier caso, las sanciones leves se castigan con multas entre los 600 y los 60.000€, capaces de hacerle un roto hasta a una megastar como Latorre, así que parece una buena idea informarse de qué carallo es eso de la LOPD.
Da igual que los servicios que ofrezcas sean gratuitos. Debes cumplir la LOPD
Sin ánimo de ser exhaustivo ni de convertir este artículo en un referente jurídico, sino de intentar traducir la ley del klingon al castellano, la LOPD dice que, en el caso de que guardes datos personales, estás obligado a:
- Informar a tus usuarios de qué datos personales estás recogiendo, cómo vas a utilizarlos y obtener su consentimiento para hacerlo. Una vez más, para el 99% de las webs -las que sólo recogen los datos más básicos, como el nombre y el correo electrónico- con un consentimiento tácito es suficiente (Ej. “El registro en esta web implica la aceptación de su Política de Privacidad“). Además, debes proporcionar un método para que dichos usuarios puedan consultar, modificar o dar de baja sus datos.
- Implementar las medidas de seguridad oportunas para proteger los datos. El nivel básico de seguridad, nos obliga a:
- Garantizar que no dejaremos que cualquier tuercebotas acceda a los datos, mediante una contraseña
- Hacer un copia de seguridad de los datos con carácter semanal
- Cambiar la contraseña de acceso al menos una vez al año
- Escribir un ladrillo en forma de documento que explique nuestra “política de seguridad” (quién tiene permisos de acceso, qué base de datos se utiliza, etc…)
- Registrar el fichero de datos en la AEPD, Agencia Española de Protección de Datos. Donde podéis identificar el “fichero“ como el conjunto de tablas de base de datos, ficheros de texto, Excel, libro de registro o pergamino escrito con sangre de un mapache virgen donde guardéis los malditos datos personales.
La ignorancia no nos exime de responsabilidad.
ACTO 3: ¿CÓMO CUMPLO ESO?
Los dos primeros puntos puedes cumplirlos desde tu cubil. Es decir, sin tener que perder años de vida interactuando con la Administración, pero lo de “registrar un fichero» suena a citas previas, largas colas y el “Vuelva usted mañana” de Larra.
En realidad, en realidad podemos registrar online el «fichero«. Eso sí, sólo en caso de que dispongamos de certificado digital y utilizando la sofisticadísima tecnología de la AEPD: el sistema NOTA, que no es ni más ni menos que… un formulario PDF interactivo.
Así que, en el caso de que no lo tengas instalado -como le pasará al 98,73% de los usuarios de Mac-, si quieres utilizar el sistema NOTA, tendrás que instalarte el software Acrobat Reader. Y ahí comienza la fiesta.
Prepárate para deslizarte por una montaña rusa de emociones y diversión, donde encontrarás campos como el de “Finalidad del fichero”, con opciones intuitivas a la par de elegantes como “PRESTACIÓN DE SERVICIOS DE COMUNICACIÓN ELECTRÓNICA”. Dificultad extra si encima tienes que definir qué servicios delegas en terceros. Por ejemplo, cuando tu lista de correo la gestionas desde Mailchimp.
Si consigues rellenar el formulario por completo, antes de enviarlo tendrás que firmarlo electrónicamente con tu certificado digital. Copio una captura:
En mi caso, el proceso de firmado fue como la seda… con el certificado digital de empresa (Bonillaware es una S.L.U.) y una vez que conseguí instalarlo en el Mac. No tengo ni idea de si esto mismo funcionará con certificados digitales personales como los que se usan para presentar la Declaración de la Renta.
EPÍLOGO: YO NO LLORO, PERO ME DESESPERO
Una vez finalizada y firmada la solicitud, tendrás un PDF que podrás guardar: una “Solicitud de Inscripción”. De hecho, será el único PDF que, oficialmente, podrás guardar.
El problema con este PDF es que, en el caso de que tengas problemas, no vale absolutamente para nada, porque no guarda ninguna prueba documental de que hayas enviado absolutamente NADA.
Lo que sí vale como prueba son los datos de registro de entrada que aparecen en el formulario interactivo PDF una vez que lo envías a la AEPD. Datos que, por supuesto, no puedes guardar ni exportar como PDF normal – ¿para qué ponérselo fácil a la gente?- sólo imprimir. Así que, la única forma que conseguí para guardar digitalmente mi solicitud fue muy de hacker de nivel 52 o superior: imprimir y escanear la solicitud con los datos de registro de entrada. Copio una captura para que sepáis lo que debéis guardar:
… y una vez que tienes tu fichero registrado ¿Qué crees que se le puede ocurrir a un hombre de bien? Pues comprobar que todo ha finalizado correctamente. Por eso, te vas al buscador de ficheros registrados de la AEPD, te buscas a ti mismo y encuentras… CERO, NADA, AGUJERO NEGRO, CAOS Y DESTRUCCIÓN.
Así que, te preguntas si has hecho algo mal y, por supuesto, llamas al teléfono de información la AEPD donde te informan de que eres un pailán, un optimista y que tu fichero tardará alrededor de un mees en aparecer en su web.
Por supuesto, pregunté si había alguna manera de saber antes de ese mes si el registro había finalizado con éxito y -sorpresa- la respuesta fue NO.
También pregunté si podría lanzar la web que usaba dicho fichero antes de ese mes y la respuesta fue NO DEBERÍA. Así que, en teoría, se deben registrar los ficheros con un mes o más de antelación antes de que lancéis vuestra “aplicación”, aunque esta sea un truño tan grande como una página de lanzamiento.
¡Un mes! Y eso que la presenté telemáticamente. Si llego a hacerlo presencialmente, a lo mejor tengo que esperar a la próxima legislatura.
La conclusión a la que he llegado es que, el 90% de las webs españolas no cumplen la LOPD y que, al 99,999% de los usuarios no les importa un pimiento. La Ley es confusa y su cumplimiento y seguimiento difícil. Me dejo MUCHAS cosas en el tintero y vamos por las 1.400 palabras… Eso sí, si quieres dormir tranquilo y cumplir con la legalidad, aquí tienes algunas pistas sobre como empezar. Mucha suerte a todos…
Autor:
BonillaWare
Explicación del procedimiento – versión extendida
La ignorancia no nos exime de responsabilidad
LOPD, LSSI e Email Marketing, lo mínimo que deberías conocer
Este artículo está dirigido a todas aquellas personas o empresas que andan algo despistadas con respecto a las responsabilidades legales que conlleva el uso de aplicaciones de email marketing y que a día de hoy aún tienen muchas dudas a la hora de enfrentarse legalmente a comunicaciones electrónicas y a la utilización de herramientas para enviar Newsletters, promociones, información, boletines y en general cualquier tipo de comunicación que se realice vía email.
Son muchas las preguntas que nuestros clientes nos hacen constantemente sobre el tema: ¿Puedo usar emails públicos de Internet?, ¿Puedo comprar una base de datos?, ¿Debo pedir permiso para enviar un email?,¿Qué responsabilidad legal tengo ante una denuncia?,…
Trataré en este artículo de sintetizar de manera sencilla y sin tecnicismos cuales son los elementos a considerar que nos afectan antes de acometer comunicaciones por email, principalmente en el mercado Español ya que es una de las legislaciones más restrictivas y complicadas que existen en todo el mundo, pero no os preocupéis, al final es más sencillo de lo que parece.
Elección de plataforma de email marketing, compra de bases de datos, permiso expreso, tratamiento de datos, encargado de tratamiento,… en definitiva son parte de los elementos básicos necesarios que hay que comprender antes de realizar una campaña de email marketing y sobretodo si eres una empresa o particular que ejerce su profesión desde España.
Leyes que nos afectan ante una campaña de email marketing
Una de los aspectos que mas despiste y dudas genera son las leyes que nos afectan a la hora de realizar campañas de email marketing, existe mucha confusión al respecto y es relativamente sencillo, en concreto en España hay dos, la LOPD y la LSSI.
LOPD
Ley Orgánica de Protección de Datos de Carácter Personal
En pocas palabras es la ley que trata de velar por la protección de los datos de carácter personal, es decir, si yo facilito mi nombre y número de teléfono a una empresa para contratar un servicio, esta ley obliga a esta empresa a proteger mis datos de un uso fraudulento o lo que es lo mismo, que esta empresa no comercie con mis datos y que los tenga debidamente protegidos.
LSSI
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico
Básicamente, aunque la ley es muy extensa y abarca muchos conceptos, la LSSI es la Ley queregula las comunicaciones electrónicas, es decir que si mandamos una carta postal, esta ley no se aplica, pero si enviamos un email ya se considera comunicación electrónica y debemos tenerla en cuenta. La ley trata de regular todas estas comunicaciones electrónicas para evitar abusos y proteger a los consumidores.
AEPD
Agencia Española de Protección de Datos
Esto no es una ley, pero una vez tenemos las dos leyes anteriores claramente identificadas y sabemos para que sirven, existe en España una agencia que se encarga de velar por el cumplimiento de estas dos leyes y esta es la AEPD.
Para no entrar en muchos detalles básicamente la AEPD es la encargada de proteger a los consumidores de abusos y mal uso tanto de las comunicaciones electrónicas como los datos de carácter personal, así que si tenemos algún problema ante el no complimiento de la LOPD y LSSI nos veremos las caras con la AEPD con lo que es recomendable cumplir con todas nuestras obligaciones para evitar fuertes sanciones.
Obligaciones LOPD en email marketing
La LOPD es un ley muy extensa y abarca muchísimas casuísticas y conceptos, aunque en esta artículo no puedo argumentar todas las que me gustaría, si he tratado de sintetizar que aspectos son lo esenciales a tener en cuenta cuando utilizamos aplicaciones de email marketing.
Adecuación
Si nuestro objetivo es comenzar a realizar campañas de email marketing se supone que manejaremos datos personales, es decir si disponemos de una lista de contactos con un email y con su nombre, por ejemplo, estaremos manejando datos de carácter personal y con esto ya hay que estar atentos.
Al manejar datos de carácter personal la LOPD nos obliga a que nuestra empresa o nosotros mismos estemos adecuados a la ley ¿Y esto que quiere decir? Pues es muy sencillo, se trata decomunicar a la AEPD que poseemos datos de carácter personal, que tipo de datos, informar de quienes los manejan y que medidas de seguridad vamos a implementar para proteger estos datos.
Esta gestión es relativamente sencilla y cualquier gestoría o profesional de protección de datos nos puede hacer los tramites sin un excesivo coste. Ojo, esto no es opcional, es obligatorio para cualquier persona física o jurídica que maneje datos de carácter personal.
De esta forma, si por algún casual, alguien nos denuncia ante la AEPD por utilizar sus datos de carácter personal y encima no estamos bien adecuados a la LOPD el problema se puede incrementar exponencialmente.
Ubicación
A la hora de elegir una plataforma o aplicación de email marketing debemos tener en cuenta varios aspectos muy importantes que nos obliga la LOPD, como hemos comentado anteriormente el principal objetivo de la LOPD es velar por la protección de los datos de carácter personal que manejamos y donde o a quien se los dejamos.
Si utilizamos una plataforma de email marketing en el fondo estamos depositando todos los datos de carácter personal que utilizaremos para nuestras comunicaciones en una máquina propiedad de dicha empresa y esto puede ser peligroso si desconocemos su ubicación real.
La LOPD contempla esto como una especie de cesión de datos a terceros con la finalidad de obtener un servicio y para esta circunstancia regula claramente una serie de obligaciones. Una de ellas es la ubicación de los datos, es decir, no es lo mismo que el servidor donde se depositen los datos esté en España que en Estados Unidos. Si necesitáis o decidís alojar cualquier tipo de dato de carácter personal fuera del territorio Español, esto está considerado cómo “Transferencia internacional de datos” y os aconsejo que comprobéis que el servicio cumple con un nivel adecuado de protección de datos.
Básicamente la LOPD exige que cuando se depositen los datos en un servidor de un tercero este cumpla con las medidas de seguridad exigidas por la ley, estas medidas de seguridad no las cumplen todos los países y si nuestra aplicación de email marketing se encuentra fuera de España o usa servidores fuera del territorio nacional, debemos estar seguros de que cumple con la normativa, así que ojo a la hora de contratar, hay que asegurarnos bien donde estarán ubicados los datos físicamente.
Encargado
No sólo es importante tener en cuenta donde se alojarán los datos sino quien está detrás de ellos, en pocas palabras, que persona o personas son las que asegurarán un correcto manejo de los mismos, los protege y se responsabiliza de un correcto tratamiento.
La empresa donde depositaremos los datos para realizar campañas de email marketing, de forma obligatoria y tipificado por la LOPD, pasará a ser Encargado de Tratamiento de Datos, con lo que es estrictamente necesario que en las condiciones de contratación o por escrito, esto quede claramente resuelto para evitar posibles problemas.
¿Quién es el Encargado de Tratamiento de Datos? Pues sencillamente aquel tercero que no accediendo ni usando los datos de carácter personal, los almacena, los gestiona, o los consulta con la finalidad de prestar un servicio a los responsables de los datos y su tratamiento.
Por ejemplo, si mandamos nuestras facturas a una gestoría para que nos ayude en nuestras obligaciones fiscales, esta pasará obligatoriamente a ser un Encargado de Tratamiento de Datos, en el caso de una aplicación de email marketing si depositamos los datos en sus sistemas con la finalidad de usarlos para campañas de comunicación, esta será igualmente Encargado de Tratamiento de Datos.
Obligaciones LSSI en email marketing
Para que todo el mundo pueda entenderlo de forma sencilla, una cosa es proteger los datos de carácter personal (LOPD) y otra muy distinta escomunicarse de forma electrónica con nuestros “datos” (LSSI). Por esto es muy importante tener en cuenta que no sólo vale con proteger nuestros datos sino que tenemos que tener cuidado con la forma en la que nos comunicamos con ellos. Ojo, en España no es lo mismo enviar una carta postal que un email y no entender esto puede tener consecuencias desastrosas.
Permiso
La LSSI es bastante clara al respecto y muchas veces nos empecinamos en buscar el hueco al que agarrarnos para poder enviar emails de forma indiscriminada. Que si fuente accesible al público, que si una empresa me ha vendido una base de datos, que si he visto un email en un foro, que si mi competencia lo hace, que si es ilegal porque se venden bases de datos,… Ya es hora de olvidarse de todo esto, aquí la LOPD no pinta nada.
No se pueden enviar emails sin tener un permiso expreso del destinatario para ello, mas claro no puedo ser y ante esto no hay excusas ya que el email es una comunicación electrónica y está regulado por la LSSI.
Lógicamente y para no ser tan estricto existe una excepción a esto, que el destinatario haya mantenido una relación comercial previa con el cliente y que el email que vamos a enviar sea sobre productos o servicios similares a los que contratamos o preguntamos en su momento.
Es decir, por poner un ejemplo, si voy a una agencia de viajes y pido información o contrato un crucero y proporciono mis datos donde incluyo mi email y donde no he dado mi consentimiento expreso, esta agencia luego no puede enviarme emails vendiéndome lavadoras pero si puede mandarme promociones de viajes o ofertas comerciales similares a la relación comercial que mantuve con ellos.
10 + 1 consejos para evitar posibles problemas legales
Estas recomendaciones que os expongo a continuación hay que tomarlas de forma meramente informativas y cómo siempre, lo mejor es que consultéis con un experto en LOPD y LSSI antes de acometer acciones de comunicación y promociones masivas mediante aplicaciones de email marketing.
1) Adecuación
Procura estar adecuado a la LOPD, inscribiendo tus ficheros en la AEPD e informando de quien es el responsable del fichero y su tratamiento.
2) Protección
Confirma que tu empresa de email marketing utiliza servidores bien ubicados, identificados físicamente y protege adecuadamente tus datos como exige la LOPD.
3) Encargado
Comprueba que queda claramente confirmado la figura de Encargado de Tratamiento de Datos, bien en las condiciones de contratación o bien con contrato por escrito.
4) Permiso
No realices envíos promocionales por email a no ser que tengas consentimiento expreso o hayas mantenido algún tipo de relación comercial previa como indica la LSSI.
5) Tipología
Informa claramente al destinatario si tu email es comercial (Publicidad) y sobretodo no trates de enviar un contenido que no tenga nada que ver con lo que el destinatario encontrará al hora de ir a tu web.
6) Procedencia
En tus emails informa siempre a los destinatarios de la procedencia de sus datos de carácter personal, es decir, de donde proceden esos datos.
7) Tratamiento
Informa a tus destinatarios de cual será el tratamiento que realizarás de sus datos, es decir, en que ficheros están o serán inscritos y a nombre de quien estarán estos ficheros.
8) Derecho
Informa a los destinatarios del derecho que tienen de acceder, rectificar o cancelar los datos de carácter personal de los que dispones (Derechos ARCO).
9) Baja
Procura que la herramienta de email marketing disponga de un sistema de baja automatizado para agilizar el tramite de no envío de futuras comunicaciones en caso de que el destinatario quiera cancelar estas.
10) Remitente
Utiliza un remitente para tus campañas claramente identificable y que pueda responder ante cualquier consulta, recuerda que los noreply@ o cualquier email que sea robotizado es ilegal.
+1) Mucho cuidado
Y por último, no se te ocurra comprar o obtener bases de datos sin consentimiento expreso para realizar campañas de email marketing de forma indiscriminada, sinceramente sólo te dará problemas y posiblemente fuertes sanciones.
Ningún comentario