¿Qué es el RGPD?
El Reglamento General de Protección de Datos o RGPD (GDPR por sus siglas en inglés) es el marco legal de la Unión Europea que reemplazó a la Directiva de Protección de Datos en 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
La diferencia entre el Reglamento y la Directiva es que las directivas son recomendaciones y no son legalmente vinculantes, mientras que las regulaciones sí son leyes y como tal deben ser cumplidas por todos los Estados europeos miembros.
¿Desde cuándo está en vigor?
Entró en vigor el 25 de mayo de 2016 pero no se aplicó hasta el 25 de mayo de 2018. Durante esos dos años, la Unión Europea dio margen a todos los países y las empresas y organismos ubicados en ellos para que tuvieran tiempo de conocer el reglamento y aplicarlo.
¿Qué pasa si he enviado mensajes después de que entrara en vigor sin saberlo?
El Reglamento te obliga a informar a todos tus clientes. Así que, si has enviado SMS comerciales o campañas de emailing después de que entrara en vigor, los datos que recopiles con mediante esos mensajes de texto no servirán, ya que deberás enviarles un mensaje en el que den su consentimiento de tratamiento de sus datos personales mediante una declaración o una acción afirmativa clara.
Una vez hayas hecho esto y ellos hayan aceptado, puedes enviarles SMS comerciales sin ningún problema.
¿Dónde tiene que estar ubicada una empresa para que le afecte?
El RGPD debe ser cumplido por cualquier entidad o empresa pública que resida en la Unión Europea. Aún así, si una empresa está ubicada fuera de la UE pero que recibe tráfico web de portales ubicados en la UE, o proporcione servicios a personas o empresas que sí estén dentro de la UE, deberá cumplir igualmente con el RGPD.
Básicamente afecta a todas esas empresas que hagan uso de datos personales de individuos pertenecientes a la Unión Europea, independientemente de estar ubicada dentro o fuera de esta.
Sin embargo, si el tratamiento de estos datos personales no constituye la acción principal del negocio y la actividad que lleva a cabo no entraña riesgos para las personas, puede no estar sujeto a algunas obligaciones. Por ejemplo, el nombramiento de un delegado de protección de datos (DPD), entre otros.
¿Dónde tienen que estar ubicados los clientes de una empresa para que le afecte?
Como hemos dicho arriba, el RGPD afectará a las empresas que tengan como clientes a ciudadanos de la Unión Europea. Es decir, la empresa puede estar tanto dentro como fuera de la UE, pero si los servicios que presta afectan a los ciudadanos dentro de la UE, se aplicará el RGPD. Si, por ejemplo, se trata de una empresa americana que trata solamente con clientes de Estados Unidos, la RGPD no se le aplicará. Si solamente queremos centrarnos en ciudadanos españoles, tendríamos que tener en cuenta la LOPD.
¿Se pueden seguir enviando SMS a los clientes igual que antes?
Sí y no. Puedes mandarles SMS masivos (o campañas de email marketing) igual que hacías en tus anteriores campañas PERO siempre y cuando hayan rellenado el formulario de confirmación de uso de datos personales (que tendrás que enviarles antes de realizar cualquier acción comercial o publicitaria). La principal obligación del RGPD es que todas las empresas deben recibir el consentimiento expreso de sus clientes para comunicaciones comerciales que se les vaya a hacer en un futuro, cómo puede ser a través del SMS masivo.
Por lo tanto, antes de mandar SMS masivos a tus clientes, asegúrate de que:
- Todos tus contactos dieron permiso para que les envíes tus SMS (preferiblemente a través de tu formulario doble opt-in)
- La página donde se dieron de alta tus contactos dice claramente qué tipo de contenido recibirán por SMS y con qué frecuencia
- Tus SMS exhiben el nombre de tu negocio o empresa como remitente y dan al contacto la posibilidad de darse de baja de inmediato
- Tus procesos internos de tratamiento y protección de datos personales cumplen el RGPD
¿Qué ha cambiado?
Existen varios puntos que han cambiado desde la implementación de la directiva de Protección de Datos al Reglamento. Vamos a verlos:
Derecho de información: A diferencia de la Directiva anterior a 2018, el nuevo Reglamento configura la información como un derecho de las personas afectadas y amplía los temas sobre los que habría una necesidad de informarlas, teniendo en cuenta los siguientes aspectos:
- Los datos de contacto del delegado de protección de datos
- Los intereses legítimos en los que se fundamente el tratamiento
- La base jurídica del tratamiento
- La transferencia de datos a países terceros u organizaciones internacionales
- La duración de conservación de los datos
- El derecho de solicitud de portabilidad
- El derecho de retirar el consentimiento en el momento que se desee
- El derecho a presentar una reclamación ante una autoridad de control
Consentimiento expreso: El RGPD pide que el consumidor o cliente dé su consentimiento mediante una declaración o una acción afirmativa clara. Ya no vale el consentimiento tácito, sino que tu empresa deberá revisar y solicitar nuevos consentimientos a sus clientes (los que en el pasado dieron datos que se obtuvieron tácitamente) o buscarles otra cobertura legal.
Actividad de tratamiento de datos: El registro de esta actividad es una obligación para los responsables del tratamiento. Sin embargo, aquellas empresas que cuenten con menos de 250 trabajadores y que lleven a cabo tratamientos que no pongan en riesgo los derechos y libertades de las personas interesadas, quedan exceptuadas de esta obligación. La información que lleva el registro la establece el artículo 30 del RGPD.
Derechos POLIARSO: Este término hace referencia a los derechos de: Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido, y Oposición a ser objeto de decisiones individuales automatizadas. Esta lista de derechos es más amplia que la de la Directiva, anterior a 2018, por lo que debemos tenerla en cuenta en nuestras comunicaciones comerciales.
Violaciones de seguridad: Cualquier violación de seguridad que afecte a los datos personales en un plazo de 72 horas deberá ser obligatoriamente comunicada a la Agencia Española de Protección de Datos (en casos graves, se comunicará a los propios afectados).
Si tengo una lista de teléfonos de clientes para SMS anterior a la ley, ¿qué tengo que hacer?
Esto dependerá de cómo se recogieron los datos de estas personas, para qué fueron recogidos y qué se les va a enviar. En caso de tener dudas, lo mejor es enviarles un SMS invitándoles a confirmar que quieran seguir recibiendo las comunicaciones comerciales que han recibido hasta ahora de tu marca, y proporcionarles toda la información sobre cómo se tratarán sus datos y para qué se utilizan en el futuro.
Recuerda que el envío de este SMS es perfectamente legal basándose en el interés legítimo del responsable de los datos para actualizar los mismos, pero esta base no se puede utilizar de forma ilimitada para enviarles SMS de cualquier tipo.
Como añadido a este SMS, te recomendamos que insertes una URL a una landing en la que se les pueda proporcionar toda la información detallada, y en la que puedan aceptar todas las condiciones pulsando un botón de estar de acuerdo.
Es muy probable que una vez hayas realizado esta acción, la lista de clientes potenciales se reduzca, ya que no todos van a confirmar o estar de acuerdo con la recepción de SMS comerciales. Sin embargo, tu lista de clientes será más cualificada, ya que se tratará de clientes que realmente estén interesados en tus productos y servicios, y la efectividad de los SMS que les envíes en el futuro será mucho más alta. También disminuirá tu presupuesto invertido en el envío de SMS.
Consejos para adaptarse lo mejor y más rápido posible a la ley
Para aplicar el RGPD de forma debida sin que se nos pase nada puede resultar complicado, por eso te damos algunas recomendaciones para facilitarte el proceso:
- Limpia tus bases de datos: No conserves registros de los que no puedas justificar su conservación o demostrar su consentimiento para ser tratados.
- Elabora una política de privacidad acorde a las condiciones del nuevo Reglamento Europeo de Protección de Datos.
- Cuenta con programas informáticos y tecnología necesaria para que la gestión de los datos obtenidos por la empresa resulte más fácil.
- Forma a los empleados de la llegada y adaptación de la normativa, para que conozcan las características, las responsabilidades y los requisitos que se deben cumplir.
- Designa un Delegado de Protección de Datos: Se puede designar al Delegado oficialmente a través de un formulario de la sede de la AEPD aquí. Es obligatorio para las organizaciones que traten datos personales de forma intensiva o datos sensibles a gran escala y administraciones públicas.
- Envía mensajes claros y transparentes: debes proporcionar a los usuarios información clara de quién es la empresa o persona que realiza el envío, con el propósito de que puedan contactar con ellos. Además, se debe indicar claramente que se trata de publicidad incluyendo, al menos en el comienzo del texto del mensaje, el vocablo “PUBLI”.
- Da la posibilidad de darse de baja de recibir publicidad: en los mensajes de publicidad enviados por SMS se debe ofrecer la posibilidad de darse de baja de recibir nuevos mensajes de forma sencilla y gratuita (El enlace de baja se puede añadir en el texto de tu SMS, en una SMS landing o formulario SMS, o en tu propia landing page).
¿Estás pensando hacer una campaña de SMS?
Mira estos precios primero: