300 días desde la LOPD. ¿Aún no has adaptado tu negocio?

El próximo lunes 23 de septiembre de 18 a 19 horas tendremos en nuestro espacio de aceleración almeriense a Alejandro Zornoza, mentor en Derecho de las Nuevas Tecnologías. Hablará sobre el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos, que ya afectan no solo a grandes corporaciones, sino también a startups. 

El RGPD amplía los derechos de los usuarios a decidir cómo desean que sus datos sean tratados y a la forma en la que quieren recibir información de las empresas. Otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0. Es por ello que adecuar nuestro proyecto o nuestra empresa al RGPD y a la LOPD, que ya lleva 300 días en vigor, es una obligación legal.

Obtener el consentimiento es un proceso relativamente sencillo. Sin embargo, existen pequeños detalles en el modo en el en que se redactan o implantan las políticas de privacidad que hacen que muchas empresas terminen incurriendo en alguna irregularidad sin haberlo pretendido.

Conoce a Alejandro Zornoza 

Nuestro ponente es mentor en Derecho de las Nuevas Tecnologías en El Cable,  es doctorado en Derecho y Robótica y trabaja al frente de Zornoza Abogados. Destaca por su capacidad analítica y crítica y por la búsqueda creativa de soluciones. ¿Desarrollas una startup tecnológica e innovadora y quieres recibir el asesoramiento de mentores como Alejandro? Inscríbete al #RetoAOF hasta el 8 de octubre. 

Si te interesa la temática, este mismo mentor nos aportó claves interesantísimas para nuestro blog. dos artículos de nuestro blog sobre RGPD. ¡Te esperamos el 23 de septiembre en El Cable! LOPD Eventbrite

11 consejos para una buena campaña de email marketing

Una de las herramientas más poderosas de las empresas en su comunicación digital es la buena gestión del email marketing. Se trata de una forma muy directa de llegar a nuestros clientes y potenciales clientes.

Como en todo lo que tiene relación con el ámbito de la comunicación, no podemos dejar su planificación y ejecución en manos de cualquiera que sepa, en este caso, mandar un email. Un profesional del área del email marketing comprende cuál es la mejor forma de llegar al público objetivo y dedica sus esfuerzos en elaborar la mejor comunicación posible para cumplir los objetivos por los que se hace una campaña de este tipo, siguiendo la estrategia trazada.

Se trata de una pata más del plan de marketing y comunicación digitales. Por este motivo es importante tener en cuenta que hemos de alinear todos los canales de comunicación para hacer una estrategia conjunta. Es decir, que exista una coherencia y una circulación lógica de información y comunicación entre los distintos canales, que sea coordinado.

Aunque ser especialista en email marketing requiere de profundos conocimientos sobre la materia, del manejo perfecto de las herramientas, de estar perfectamente sincronizado con la estrategia, siempre es positivo contar con unas nociones básicas para saber afrontarlo y saber de lo que estamos hablando.

La base de datos, los cimientos

La primera y una de las fases más importantes en una estrategia de email marketing es configurar una base de datos de contactos interesantes para llevar a cabo nuestra comunicación. Una base de datos no es algo que se consiga fácil ni rápidamente, requiere una serie de acciones de captación previas y continuas, ya que siempre estamos alimentando nuestra base de datos.

Por ejemplo, podemos captar leads entre aquellas personas que ya son clientes, a través de campañas en redes sociales, a través de concursos o promociones, de inscripciones a newsletters o publicaciones, de campañas offline en el propio establecimiento o en la calle… La cantidad de datos y su calidad dependerá de cómo queramos utilizar esos datos (nombre, apellido, edad, teléfono, email, ciudad, sexo, profesión…). Las tendencias para 2019 irán en la línea de una mayor segmentación y de la automatización de este proceso. Se estima que un target correctamente segmentado ofrece una respuesta 18 veces mayor.

Elige bien tu herramienta

Para gestionar nuestras campañas de email marketing lo ideal es que contemos con una herramienta que nos permita gestionar la base de datos a nuestro antojo, organizar las campañas, diseñarlas, almacenarlas y, por supuesto, medir su repercusión.

Encontramos varias herramientas en el mercado que son las más utilizadas porque nos permiten hacer todo lo que necesitamos. Las más conocidas son Mailchimp, Hubspot y MailRelay en la actualidad. Sus versiones gratuitas nos ayudarán a comenzar, pero gracias a sus versiones de pago podremos llegar hasta donde queramos en la comunicación a través del email.

Ten claro tus objetivos

No sirve de nada lanzar una campaña de email marketing si no tenemos claro para qué lo hacemos. Los objetivos van estrechamente alineados con nuestra estrategia, y puede ser una parte fundamental de la misma. Por ejemplo, si vendemos unos cursos y queremos ganar suscriptores al mismo, primero tendremos que captar al público (probablemente a través de nuestro contenido); una vez atraídos hemos de crear acciones para captar leads, entre los que se encuentran su dirección de correo electrónico; a continuación, enviamos un primer mail de contacto y de ofrecimiento de nuestros cursos, por ejemplo, haciendo una promoción especial para aquellos que reciban el mail; podemos hacer posteriores envíos con diferentes reclamos y contenidos.

Configura tus listas

Es importante que sepamos qué tenemos exactamente en nuestra base de datos. En ella podemos tener contactos captados a través de diferentes campañas en las que ha habido distintos objetivos y cuyos miembros tenían intereses dispares. Con esta premisa, entendemos que no podemos utilizar la base de datos al completo buscando los mismos objetivos, porque la campaña sería poco efectiva.

Gracias a los datos que captamos, podemos ordenar a nuestros contactos y crear listas por temáticas, intereses, momentos en los que se ha captado, perfil de las personas que se encuentran en ella, si son ya clientes o no… y un sinfín de características que nos ayudarán a diseñar mejor a nuestro target. Gracias a las herramientas mencionadas pomos gestionar estas listas para las diferentes campañas.

Cumple la ley y respeta a los usuarios

El Reglamento General de Protección de Datos, en vigor desde mayo de 2017, asegura, entre otras cosas, que no se van a utilizar los datos que hemos almacenado de forma perjudicial para los usuarios y que los datos que tratamos sobre los usuarios han sido obtenidos con su consentimiento expreso. Esto quiere decir que no vamos a comprar ni vender bases de datos de forma ilegal, que no vamos a utilizar esos datos de forma inconsciente o ilegal y que respetaremos la privacidad de nuestros usuarios, así como el motivo comercial por el que han cedido sus datos. Respetar la ley nos puede ahorrar muchos quebraderos de cabeza y sanciones muy perjudiciales en el futuro. Es siempre preferible hacerlo poco a poco pero bien, que buscando atajos poco beneficiosos en una perspectiva estratégica.

Tenemos algo que contar

Ya conocemos la importancia de los contenidos en todas nuestras comunicaciones. Tener algo que contar es muy importante para que nuestros mensajes no estén vacíos, no se queden en un mero intento de hacer contacto con nuestros usuarios. Por eso, las comunicaciones que hagamos a través de las campañas de email tienen que estar justificadas con contenidos de interés para nuestros usuarios. Gracias a la capacidad de segmentación de la que hemos hablado anteriormente, sabemos qué decir a qué usuarios en cada momento, despertando su interés por lo que decimos y consiguiendo así toda su atención.

Elige un tema central

Al igual que es importante tener algo que contar, también lo es centrar el tiro de lo que estamos diciendo. De nada vale el envío de un email con una cantidad muy grande de contenidos porque queremos contarlo todo. Tanta información, probablemente, abrume a los receptores del mensaje. Es preferible elegir un tema troncal y enfocar la comunicación alrededor de ese tema de importancia, abordándolo de diferentes maneras.

Haz que participen

Hemos de provocar a los usuarios creando call to actions que los inciten a hacer clic, a navegar, a realizar la acción que pretendemos. Es el principio de nuestra interacción con ellos.

Las llamadas a la acción puede ser desde, como decimos, que los usuarios se dirijan a un enlace, que se inscriban en un formulario o la reproducción de un vídeo. Cualquier acción que queramos que el usuario haga será una call to action.

Apuesta por un diseño atractivo

De nada vale un contenido de interés si no llamamos la atención de nuestros usuarios. El diseño del mail debe ser atractivo, dinámico y actual, no solo texto plano y monocromático. Para ello es recomendable siempre contar con el apoyo de diseñadores gráficos que sean capaces de alinear nuestros elementos gráficos con nuestras campañas de email marketing. En cualquier comunicación, el usuario ha de relacionarnos con nuestra marca.

El diseño, además, ha de ser de fácil comprensión para el usuario, usable, accesible y cómodo. Directo y sencillo, conciso y claro.

Ten en cuenta la temporalidad

Tan importante como ser conciso y enviar los contenidos afines a nuestra audiencia es tener en cuenta cuándo enviamos las comunicaciones por email. Un usuario que recibe emails de una empresa de forma demasiado frecuente acaba por rechazar esas comunicaciones, ya sea obviando su contenido o, lo que es aún peor, dándose de baja en nuestra suscripción o bloqueándonos.

Hemos de tener en consideración al usuario y ponernos en su lugar. La cantidad no es directamente proporcional a la efectividad del mensaje, así que debemos procurar no molestarlo y aportar siempre, siempre servir de ayuda.

Mide y saca conclusiones

Por último, las herramientas que hemos mencionado anteriormente, entre otras cosas, nos ofrecen datos sobre la efectividad de nuestros envíos. Los datos más importantes que podemos extraer son:

  • Cantidad de personas a las que enviamos el mail: sabemos cuántas personas contiene la lista de usuarios a las que hemos enviado la comunicación.
  • Ratio de apertura: mide cuál es el porcentaje de apertura del email enviado, lo que ya nos está indicando a cuánta gente le interesa lo que enviamos solo por el hecho de ser nosotros y del topic (el asunto del mensaje) que pongamos, algo que también hay que tener muy en cuenta, ya que puede significar la apertura o no del contenido del email. Sabemos, además, quiénes han abierto el mensaje y quiénes no lo han hecho.
  • Clics: nos dice cuántos usuarios han hecho clic dentro de nuestro email, accediendo a nuestra call to action.
  • Enlaces más clicados: dentro del contenido del email, nos ayuda a saber cuáles son los que tienen más clics.
  • Abandono: es usual que un porcentaje de nuestra lista se dé de baja de nuestra suscripción después de recibir un envío. No debemos alarmarnos demasiado por ello si las cifras son las lógicas.

Con estos datos, podemos extraer conclusiones que nos ayuden a afinar nuestro próximo envío para sacarle más partido. 

 

Imagen: rawpixel

El fresh-start en la obtención del consentimiento según el RGPD (II), por Alejandro Zornoza

Hace unos días veíamos lo adecuado que sería re-obtener el consentimiento de aquellos usuarios cuyos datos estuviéramos tratando antes del 25 de mayo, cuando será plenamente exigible el RGPD.

Comentábamos, sin más detalle, que el consentimiento debía prestarse de una manera libre, específica, informada e inequívoca. Veamos ahora qué significa cada una de estas características.

El consentimiento es libre cuando no existen consecuencias negativas para el usuario que no desee prestarlo (por ejemplo, acceso a algunas funcionalidades sólo si se permite el tratamiento); es específico porque es granular, es decir, el usuario consiente que se traten sus datos para una o varias finalidades concretas y sólo para esas finalidades. Existen determinadas situaciones a las que el RGPD otorga una protección especial, de manera que cuando sea necesario el tratamiento de datos en alguna de esas circunstancias será necesario obtener un consentimiento explícito e individualizado. Esto sucederá cuando se traten alguno de los datos recogidos en el art. 9 RGPD (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física, los relativos a la salud, a la vida sexual o a la orientación sexual de una persona física), cuando se realicen transferencias internacionales de datos (art. 49 RGPD) o cuando sea tomen decisiones individuales automatizadas (art. 22 RGPD), pues todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos.

En este proceso se incluye también la elaboración de perfiles cuando produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar. Es inequívoco cuando el usuario ha podido conocer y reconocer perfectamente para qué está prestando el consentimiento, y no se le ha engañado o confundido; y finalmente es informado, porque ha obtenido toda la información necesaria para poder tomar una decisión sobre el tratamiento de sus datos.

La pregunta a contestar sería ¿cómo garantizar que obtenemos el consentimiento siguiendo las exigencias del RGPD? Existen varias maneras de hacerlo, todas ellas igual de válidas, pero en el entorno digital me inclino por la información presentada por capas. Esto significa que en un primer momento (primera capa) ofreceríamos al usuario la parte más nuclear de la información esencial, y le damos la opción de ampliar toda esa información en una segunda capa o página.

La ventaja de la información por capas es que nos permite ofrecer a un usuario toda la información básica necesaria en un solo vistazo, y gestionarla de una manera sencilla y limpia en nuestra página web, sin miedo a que su lectura resulte visualmente confusa y complicada.

¿Sobre qué debemos informar en esta primera capa? A continuación encontraréis la información básica, esencial y obligatoria que debemos ofrecer al usuario para que el tratamiento de datos sea conforme a Derecho, y a renglón seguido, la información que deberíais ampliar en la segunda capa, y que está aquí señalado como +INFO.

RESPONSABLE DEL TRATAMIENTO/ DPO

El responsable del tratamiento, y en su caso, el Delegado de Protección de Datos (DPO, por sus siglas en inglés) deben quedar identificados. En este primer momento, puede ser suficiente con dar a conocer la denominación del Responsable.

+INFO. Si recurrimos a un modelo de información ampliada, aquí deberíamos incluir la identificación completa del Responsable (denominación social, NIF, dirección postal, teléfono de contacto, correo electrónico) y en caso de contar con un DPO, el modo de localizar al mismo.

FINALIDAD DEL TRATAMIENTO

Los datos personales de otras personas son recabados para una finalidad concreta, que puede ser la de prestar un servicio de gestión o el de enviar información sobre nuestro producto. En cualquier caso, es obligatorio comunicar cuál será el uso que le vamos a dar a esos datos personales. La finalidad del tratamiento debe darse a conocer de un modo claro, determinado y explícito.

+INFO. En la información básica será suficiente con indicar la finalidad del tratamiento, que ya hemos dicho no puede ser vaga ni confusa. Pero sobre todo, no puede ser eterna: no podemos tratar los datos de los usuarios hasta el fin de los tiempos, sino que habrá que establecer un término, y si esto no es posible, indicar cuáles son los criterios que utilizaremos para determinar el plazo de tratamiento. Debemos tener en cuenta que si nuestra empresa recurre a sistemas que permiten la toma de decisiones automatizadas, (incluida la elaboración de perfiles) debemos proporcionar información sobre la lógica aplicada y las consecuencias previstas que de dicho tratamiento puedan tener lugar para el interesado. (art. 22 RGPD).

LEGITIMACIÓN DEL TRATAMIENTO

Tratar datos personales es una actividad que debe estar legítimamente motivada, de manera que no cualquier razón es buena recopilar y utilizar los datos personales de otros. De una manera condensada, se entiende que existe licitud en el tratamiento de datos si se da alguna de las siguientes condiciones:

  • El interesado dio su consentimiento para uno o varios fines específicos
  • Es necesario para la ejecución de un contrato
  • Es necesario para el cumplimiento de una obligación legal
  • Es necesario para el cumplimiento de una misión en interés público o ejercicio de poderes públicos
  • Es necesario para el cumplimiento de un interés legítimo del Responsable o de un tercero

+INFO. La información anterior debe ser ampliada con el mayor detalle posible, pero siempre procurando que no resulte confuso para el usuario. Así por ejemplo, si la finalidad del tratamiento es la ejecución de un contrato de prestación de servicios, lo correcto sería identificar el tipo de contrato al que nos referimos con un nivel detalle suficiente para que no pueda ser malinterpretado. Si se trata del cumplimiento de una obligación legal, debemos identificar debidamente la norma que nos impone esta obligación. El hecho de estar trabajando en un entorno digital nos permite adoptar posturas de buena disposición para con el usuario, como incluir un enlace a la norma concreta a las que nos referimos, facilitándole el proceso de búsqueda e información. Se puede consultar con más detalle la licitud del tratamiento en el art.6 RGPD.

DESTINATARIOS DE CESIONES O TRANSFERENCIAS

Es frecuente que nuestra start-up o nuestro proyecto de emprendimiento se vean en la necesidad de ceder datos a terceros. Tanto si van a cederse datos en el futuro como si no, este hecho debe quedar reflejado de una manera sencilla y clara, de modo que el usuario

DERECHOS DEL USUARIO

Los famosos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) no se han visto modificados en el RGPD. Más bien todo lo contrario: se han visto reforzados con nuevas expresiones como el derecho al olvido. El conocimiento por parte del usuario de cuáles son sus derechos sigue siendo la piedra angular del sistema de protección de usuarios, por lo que es obligatorio informar de cuáles son los derechos que asisten a nuestros potenciales clientes sobre sus datos personales.

+INFO. Además de indicar cuáles son éstos, debemos indicar cómo ejercerlos y facilitarle un formulario. También debemos indicar que puede dirigirse a la Agencia Española de Protección de Datos en caso de que considerase interponer una reclamación.

PROCEDENCIA DE LOS DATOS

En ocasiones, trataremos datos de usuarios cuyo consentimiento no hemos obtenido directamente del interesado, sino que nos llega a través de terceros. Si este es nuestro caso, es necesario informar de dónde proceden los datos que tratamos.

+INFO. Es necesario indicar tanto las categorías en las que se encuentren los datos personales tratados que hemos obtenido de terceros, como si alguno de esos datos son o no datos especialmente protegidos. Por supuesto, debemos identificar la fuente de origen de esos datos, ya sea esta una fuente privada o pública, y en su caso, si se trata de una fuente pública sin restricciones.

 

Un apunte importante a este respecto: Internet, en toda su extensión, no es fuente pública sin restricciones de la que podamos obtener datos personales. Hasta la fecha, sólo son fuentes electrónicas accesibles al público: el censo promocional, las guías de servicios de comunicaciones electrónicas, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente el nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo, los diarios y boletines oficiales y los medios de comunicación.

Finalmente, el RGPD exige que toda esta información sea ofrecida de una manera sencilla, sin usar un vocabulario complicado o enrevesado, y que sea adecuado y comprensible para el usuario. Sin duda esta es una de las tareas más complicadas, pues en ese proceso de facilitación de los textos legales, unas veces, se vuelven aun más farragosos, y otras veces, terminan por omitir información.

El fresh-start en la obtención del consentimiento según el RGPD, por Alejandro Zornoza

A estas alturas, a ningún emprendedor se le escapa que el nuevo Reglamento europeo de protección de datos (RGPD) trae consigo importantes novedades respecto de nuestra Ley Orgánica de Protección de Datos (LOPD), a la que diremos adiós el próximo 25 de mayo.

Adecuar nuestro proyecto o nuestra empresa al RGPD es una obligación legal, y como tal, debe cumplirse, y cumplirse bien. Lo contrario, además de ser sancionable, no solo implicaría que estaríamos vulnerando los derechos de nuestros usuarios, sino que estaríamos limitándonos a nosotros mismos el uso de determinadas funcionalidades, como el uso de una lista de distribución, que nos permiten fidelizar a nuestros clientes y distinguirnos de la competencia.

Lo que afirmaré a continuación puede parecer una obviedad, pero para poder tratar datos de un usuario debemos obtener el consentimiento previo de dicho usuario. Obtener el consentimiento es un proceso relativamente sencillo, y aunque seguro que muchos pensáis que con la cantidad de información y herramientas que existen hoy en día es complicado hacerlo mal, existen pequeños detalles en la forma en que se redactan o implantan las políticas de privacidad que hacen que muchas empresas, especialmente las de base tecnológica, terminen incurriendo en alguna irregularidad sin haberlo pretendido. Por suerte para todos, el RGPD nos ofrece la posibilidad de actualizar nuestra política de privacidad y ponernos al día con la obtención del consentimiento.

¿Qué necesitamos saber al respecto? Principalmente que este debe prestarse de un modo libre, específico, inequívoco e informado.

Aunque de un primer vistazo pueda parecer que todas estas expresiones (de las que nos ocuparemos en otro momento) son sinónimas y que están sólo para otorgar pompa y circunstancia al Reglamento, lo cierto es que, a nivel jurídico, todas ellas se pueden separar y analizar individualmente. Por el momento, es suficiente con saber que el RGPD establece una serie de información obligatoria que el usuario debe conocer para poder prestar válidamente su consentimiento.

Alejandro Zornoza
Alejandro Zornoza en El Cable

Hay que tener en cuenta que el RGPD no se aplica exclusivamente a los datos nuevos que se traten a partir del 25 de Mayo, sino que se aplicará con toda su fuerza a aquellos datos que se traten a partir del 25 de Mayo aunque el tratamiento se viniera haciendo desde antes de esta fecha con arreglo a la normativa anterior. Es decir, que aquellos datos que obtuvimos en el pasado con arreglo a la LOPD, y que estemos tratando en el presente, deberán cumplir con las futuras condiciones de prestación del consentimiento del RDGP.

Si nuestro proyecto comenzó a funcionar hace varios años, probablemente no estemos en condiciones de asegurar que desde el primer momento obtuvimos el consentimiento con arreglo a la LOPD. Pero aunque así fuera, seguro que no existirá plena coincidencia con los requisitos que exige el RGPD, por lo que lo mejor será curarse en salud y volver a recabarlo.

¿Cómo lo hacemos? Un primer paso interesante sería obtener de la AGPD una copia de la relación de ficheros que hayamos inscrito hasta el momento. Hay que tener en cuenta que a partir del 25 de Mayo se considerará inválido el consentimiento obtenido mediante «el silencio, las casillas ya marcadas o la inacción».

Lo siguiente sería actualizar nuestras políticas de privacidad, adecuar la prestación del consentimiento al RGPD y remitir un mensaje a todos nuestros usuarios anteriores al 25 de mayo, indicando que nos hemos adaptado a la nueva normativa, y pidiéndoles que presten nuevamente el consentimiento. Esto garantizará que el usuario tenga la oportunidad de repasar el tratamiento de datos que realizamos y le concederemos la oportunidad de ejercitar sus derechos, asegurándonos de que obtenemos un consentimiento renovado conforme a la nueva legislación.

Y con estas sencillas acciones, nuestro fresh-start en el cumplimiento del RGPD habrá comenzado.

 

Alejandro Zornoza, mentor en Derecho de las Nuevas Tecnologías