Inicio

RGPD y mercadotecnia: 7 cosas que todo experto debe saber

Soumya Patnaik

Data protection consultant

En la actualidad, gran parte del consumo se realiza en línea. Por ello, es crucial que su estrategia de marketing digital sea relevante y efectiva, independientemente del sector o tamaño de su organización y de su mercado (B2B o B2C).

Por otra parte, con la aplicación del RGPD, se ha tomado más conciencia acerca de los derechos de protección de datos, pero al mismo tiempo, se ha perdido la confianza en los espacios en línea. Es por ello que los expertos en mercadotecnia deben andar con pies de plomo. En esta entrada sobre la mercadotecnia en el marco del RGPD, analizamos 7 puntos básicos que todos los profesionales deben conocer.

 

1. ¿Qué legislación se aplica al tratamiento de datos personales con fines de mercadotecnia en la UE?

En la UE, los datos personales en el ámbito del marketing digital están regulados por dos leyes: la primera es el Reglamento General de Protección de Datos, es decir, el RGPD y la segunda es la Directiva sobre la privacidad y las comunicaciones electrónicas. La Directiva es un complemento del RGPD y puede considerarse como una lex specialis con respecto a su objeto, es decir, los servicios de comunicación electrónica. La comunicación electrónica incluye la comunicación a través de Internet (correos electrónicos, aplicaciones, etc.), comunicación telefónica, servicios de mensajería instantánea, entre otros.

 

2. ¿Qué actividades de tratamiento de datos personales forman parte de la estrategia de marketing digital de una organización?

Estos son algunos de los objetivos específicos del tratamiento de datos personales al servicio de las estrategias de marketing digital:

  1. Uso de datos personales para medir y mejorar la efectividad del diseño de un sitio web;
  2. Uso de datos personales para medir y mejorar la efectividad de los avisos en línea y las campañas de mercadotecnia;
  3. Uso del tráfico y otros datos sobre la ubicación para dirigir el contenido publicitario personalizado a los usuarios;
  4. Uso de datos personales para las decisiones automatizadas/la elaboración de perfiles y publicidad comportamental; y
  5. Uso de datos personales para facilitar la comunicación directa en línea, como por ejemplo, correos electrónicos, mensajes de texto, mensajes telefónicos automatizados.

 

3. ¿Cuál es el fundamento jurídico del tratamiento de datos personales con fines de marketing digital?

El tratamiento de datos personales debe ajustarse a uno de los fundamentos jurídicos del Artículo 6 del RGPD. Además, cada actividad/conjunto de actividades de tratamiento debe tener un fin específico y el fundamento jurídico debe corresponderse con dicho fin. Como mencionamos en el punto 1, cuando el tratamiento de datos personales se realiza en el contexto de los servicios de comunicación electrónica, será necesario analizar si el contexto del tratamiento está cubierto o no por la Directiva sobre la privacidad.

En el punto 2, enumeramos cinco objetivos específicos del tratamiento de datos personales que sirven al marketing digital. De estos cinco objetivos, surgen tres contextos de tratamiento específicos: (a) análisis de mercadotecnia; (b) contenido dirigido; y (c) comunicación directa en línea.

  • Análisis de mercadotecnia: esto se refiere al uso de tecnologías de seguimiento para “rastrear” los datos del usuario con el fin de medir la efectividad de un sitio web, de las campañas de mercadotecnia, de los anuncios, etc. Estas pueden ser cookies, web bugs, píxeles de seguimiento y tecnologías similares que almacenan y rastrean datos personales en los equipos terminales de los usuarios. Esto está incluido en el Artículo 5(3), y en los Considerandos 24 y 25 de la Directiva sobre la privacidad, que exige el “consentimiento previo” del usuario. Para más información, consulte nuestra entrada sobre Cookies.
  • Contenido dirigido: esto será más o menos invasivo para la intimidad según las categorías de datos personales tratados y la naturaleza del contenido dirigido. Por ejemplo, si se realiza un seguimiento de los datos de tráfico para dirigir al usuario a un sitio web o a un anuncio específico, se requiere el consentimiento previo del usuario según lo dispuesto en el Artículo 6(3) y en el Considerando 26 de la Directiva. Los datos de localización distintos de los datos de tráfico sólo podrán tratarse si se hacen anónimos o previo consentimiento de los usuarios, en la medida y por el tiempo que sean necesarios, según el Artículo 9(1) de la Directiva. Sin embargo, hay formas de seguimiento más invasivas que la publicidad comportamental basada en la elaboración de perfiles/decisiones automatizadas que requieren un nivel de consentimiento más elevado. En el punto 5, desarrollamos este tema con más detalle.
  • Comunicación directa en línea: el Artículo 13(1) de la Directiva sobre la privacidad establece que se podrán utilizar correos electrónicos, mensajes de texto, faxes, llamadores automáticos, etc., con fines de venta directa solamente respecto de aquellos interesados que hayan dado su consentimiento previo. Según el Considerando 40 de la Directiva, el consentimiento previo debe ser explícito mientras que el Artículo 13(1) se refiere solamente al consentimiento normal. Le sugerimos que consulte la legislación local sobre privacidad para determinar cuál es el estándar de consentimiento requerido en cada caso para enviar comunicaciones con fines de venta directa.

4. ¿Puedo basarme en el interés legítimo para el marketing digital?

El Considerando 47 del RGPD establece que la mercadotecnia directa puede estar basada en el “interés legítimo” del responsable del tratamiento. Sin embargo, esto no significa que usted pueda basarse en ello así como así. Como primera medida, deberá verificar la aplicabilidad de los fundamentos mencionados en el punto 3. Si corresponde, deberá obtener el consentimiento previo del interesado.

El “interés legítimo” tiene que ser un equilibrio entre los beneficios/intereses y el efecto sobre los derechos e intereses de los interesados. Siempre que los derechos de los interesados no se antepongan a los intereses del responsable (o de un tercero), intereses que deben estar bien definidos, será posible basarse en este fundamento.

Algunos de los factores que deben considerarse para determinar la legitimidad de este fundamento son:

  1. Las expectativas razonables de los interesados en función de la relación que tienen con usted (el responsable del tratamiento), y si ellos están al tanto del uso de sus datos personales con fines de mercadotecnia; y
  2. Las comunicaciones no solicitadas.

La Directiva sobre la privacidad especifica algunos casos en los que el responsable tiene un interés legítimo en realizar ciertas actividades de mercadotecnia. Esto se aplica exclusivamente a los clientes preexistentes. El Artículo 13(2) y el Considerando 41 de la Directiva establecen que cuando se obtengan las señas electrónicas del cliente en el contexto de la venta de un producto o de un servicio, esas mismas señas electrónicas podrán ser utilizadas para la venta directa de productos o servicios similares, siempre que se informe al cliente de manera clara e inequívoca sobre su uso ulterior con fines de venta directa, y cada vez que reciba un mensaje ulterior de venta directa, debe dársele la opción de exclusión voluntaria, sin cargo alguno. Esto suele denominarse “soft opt-in”. Tenga en cuenta que esto no se aplica a los productos/servicios de terceros.

Esto ocurre, por ejemplo, cuando las personas que visitan su sitio web están interesadas en sus productos o servicios y se suscriben o completan un formulario de consulta. En este caso, usted puede basarse en el interés legítimo para enviarles comunicaciones sobre servicios similares. Sin embargo, incluso en estos casos, es necesario cumplir con algunas condiciones adicionales (vea punto 5).

 

5. Si me baso en interés legítimo, ¿qué otras condiciones debo cumplir?

Si se basa en el interés legítimo como fundamento del tratamiento, asegúrese de que los interesados cuenten con un derecho de oposición u opción de exclusión voluntaria y con información clara sobre cómo ejercerlo. Asegúrese, también, de que el mecanismo de exclusión sea fácil de usar. Por ejemplo, cuando envía material promocional a sus clientes por correo electrónico, puede agregar un enlace para "cancelar la suscripción" que sólo requiere que los usuarios hagan clic y ya. Desde una perspectiva práctica, es importante revisar cómo se gestionan las "opciones de exclusión voluntaria" en toda la organización y prestar  atención a que no pasen desapercibidas y se implementen sin demoras indebidas.

Los principios fundamentales de transparencia y responsabilidad del RGPD deben cumplirse sin excepción. Por lo tanto, el interés legítimo no lo exime de la responsabilidad de garantizar el derecho a la información de los interesados.

 

6. ¿Qué es el consentimiento explícito y cuándo es necesario?

Según el RGPD, el consentimiento normal debe reunir ciertos requisitos: debe reflejar una manifestación de voluntad libre, específica e informada. El consentimiento explícito, sin embargo, eleva el nivel de responsabilidad del responsable del tratamiento. Esto significa que el consentimiento debe cumplir no sólo con los requisitos enumerados más arriba sino que, además, debe obtenerse de manera tal que no haya ninguna malinterpretación de parte de los interesados.

En el contexto de la mercadotecnia, es obligatorio obtener el consentimiento explícito del interesado cuando se trata de la elaboración de perfiles/decisiones automatizadas. Esto se deduce del Artículo 22 del RGPD, que reconoce que las decisiones automatizadas y la elaboración de perfiles pueden tener consecuencias graves para los individuos: por ejemplo, en el ámbito de la publicidad, esto podría ser la exclusión o discriminación de los individuos, las decisiones que afectan su libre elección, etc. El Grupo de Trabajo del Artículo 29 recomienda basarse en los siguientes criterios para determinar si el consentimiento explícito es necesario o no:

  1. el nivel de intrusismo del proceso de elaboración de perfiles, incluido el seguimiento de las personas en diferentes sitios web, dispositivos y servicios;
  2. las expectativas y deseos de las personas afectadas;
  3. la forma en que se presenta el anuncio; o
  4. el uso de conocimientos sobre las vulnerabilidades de los interesados.

 

7. ¿Qué debo tener en cuenta si realizo campañas en otros sitios web o plataformas?

Si usted publica anuncios en sitios web de terceros, tenga en cuenta que estos pueden recoger datos personales de los usuarios que hacen clic en sus anuncios. Usted podrá pensar que esto no le concierne ya que los usuarios están en otro sitio web, es decir, sujetos a otra política de privacidad y a otros términos y condiciones. Sin embargo, tenga en cuenta que, en muchos casos, la información que se recoge cuando los usuarios hacen clic en sus anuncios está sujeta a una política de privacidad diferente o a un acuerdo de tratamiento de datos específico entre usted y el sitio web. Este acuerdo dirá explícitamente que los datos personales son tratados por el sitio web en su nombre y, en los términos del RGPD, esto lo convierte en el responsable del tratamiento. A menudo, se incluye la prohibición de transferirles datos personales. Sin embargo, en la práctica, la realidad es que usted está sujeto a sus términos y no tiene un control real sobre los datos que tratan.

Por lo tanto, cuando compre un espacio publicitario en el sitio web de terceros asegúrese de revisar sus términos y condiciones y de contar con la asistencia de su asesor jurídico. Además, haga todas las preguntas necesarias al delegado de privacidad del sitio web. Al menos, asegúrese de que el tratamiento de datos personales sea limitado y que los fines del tratamiento estén claramente determinados.

En muchos casos, estas campañas tienen píxeles de seguimiento/de conversión que se colocan en su sitio web. Es importante saber cómo funciona esta tecnología y qué información recogen estas cookies antes de instalarlas en su sitio web. Siga leyendo sobre las cookies aquí.