¿Recibe un bombardeo de publicidad en su correo electrónico? Estos son sus derechos

Vender, vender y vender. El email marketing es una de las estrategias más utilizadas por los departamentos comerciales por su eficacia en la venta de productos o servicios, pero los incumplimientos en materia de privacidad siguen a la orden del día. No hay más que echar un vistazo a la última memoria de la Agencia Española de Protección de Datos (AEPD), que muestra un crecimiento del 114% de las reclamaciones por publicidad en 2023. Los expertos aseguran que los riesgos legales están ahí y la falta de asesoramiento puede acarrear sanciones tanto a las empresas como a los responsables del tratamiento, independientemente de si la campaña está en manos de un proveedor o de un encargado.

Los consumidores están más concienciados y son más exigentes. “De poco o nada sirve diseñar la mejor campaña de email marketing si los receptores la perciben de forma negativa a causa de incumplimientos legales y otras faltas al respeto por su privacidad”, reflexiona Teresa Pereyra, socia de privacidad & IT de Ecija.

Los anunciantes deben adoptar medidas antes, durante y después del envío de correos electrónicos comerciales. Entre los pasos fundamentales para cumplir con la legalidad vigente destaca una correcta gestión del consentimiento, desde su obtención hasta su revocación, así como tener un registro de este para acreditar su existencia. También es necesario justificar el interés legítimo para realizar estos envíos, que deben identificarse claramente como comunicaciones comerciales, y que la relación contractual con el usuario está en vigor.

Otro aspecto indispensable consiste en comprobar si el interesado se ha registrado en sistemas de exclusión publicitaria, como la Lista Robinson. También fijar un plazo de conservación de los datos personales, una medida que puede ayudar a evitar su inexactitud. Por otra parte, se debe incluir la posibilidad de pedir la baja, aplicar medidas técnicas y organizativas para mitigar riesgos de filtración, como el cifrado y el envío con copia oculta, y actualizar y depurar la base de datos de clientes.

Niveles de cumplimiento

Pero las dudas surgen sobre si ahora se cumple más y mejor con la normativa vigente que antes. “Los niveles de cumplimiento en materia de privacidad en las campañas de email marketing dependen de la tipología de empresa, del sector en el cual procesan los datos —salud, sindical, político, menores, publicidad comercial—, del tipo de usuarios y de la concienciación”, explica Efrén Díaz, responsable de tecnología del bufete Mas y Calvet, que pone el acento en algunos quebrantamientos destacados. ¿Un ejemplo? La multa de 50.000 euros a una gran compañía de telecomunicaciones, después de que se comprobara que la empresa a la que había encargado el tratamiento de datos personales no era responsable porque seguía las directrices de la operadora, tal como se acreditó en el contrato de los servicios.

Precisamente, la relación contractual con los encargados del tratamiento es clave y se debe cuidar al detalle, comprobando que cuentan con medidas técnicas y organizativas orientadas a cumplir con el Reglamento General de Protección de Datos (RGPD). Es crucial dejar constancia de ello en el contrato.

La elección de la plataforma de email marketing que se va a utilizar para el envío de las campañas configura otro foco de riesgo. En muchos casos, su uso supone una transferencia internacional de datos personales, algo que suelen desconocer las empresas, lo que exige un esfuerzo extra de adecuación. “El país del proveedor debe estar en la lista de países que la Comisión Europea ha determinado que ofrecen un nivel adecuado de protección de datos. Sin embargo, muchos países fuera de la UE no están en esta lista”, advierte Efrén Díaz.

En estos casos, hay que cumplir unos requisitos específicos. Si el país de origen no está catalogado como seguro, las empresas pueden usar cláusulas contractuales tipo, aprobadas por la Comisión, con el fin de asegurar que el nivel de protección de datos es equiparable. Y si el proveedor es parte de un grupo empresarial, se pueden adoptar normas corporativas vinculantes.

La supervisión legal previa es fundamental. Es necesario evaluar cuidadosamente al socio para asegurarse de que cumple con el reglamento y que ofrece las garantías. “Por tanto, es importante revisar las políticas de privacidad y las medidas de seguridad del proveedor para garantizar que son adecuadas”, apunta Pereyra.

Por último, es indispensable informar a los usuarios de manera clara y comprensible sobre la transferencia de sus datos personales a un proveedor fuera de la UE, así como de las medidas de protección adoptadas, el reconocimiento de los derechos de acceso, rectificación, supresión u oposición incluso en estos supuestos de transferencia internacional. De acuerdo con las resoluciones de la AEPD, parece que el origen del desconocimiento sobre lo que supone una transferencia internacional de datos es doble. “La falta de asesoramiento en las empresas es causa frecuente de incumplimientos. Además, la escasa concienciación sobre las consecuencias propicia más conductas infractoras de la protección de datos”, concluye Díaz.

Si se utilizan bases de datos de terceros para ampliar el listado de destinatarios, se recomienda evaluar al proveedor desde el punto de vista del negocio y, sobre todo, desde la perspectiva legal. “Conviene conocer y revisar que el titular de la base de datos ha cumplido con los requisitos legales exigidos por la normativa aplicable: que los datos han sido recabados de forma lícita, que el titular de los datos ha emitido consentimiento expreso e informado a recibir comunicaciones comerciales de terceros”, advierte Teresa Pereyra, que también pone el foco en la exactitud y actualización de los datos. Y es que el perjuicio para la marca puede ser mucho mayor que la multa y extenderse a largo plazo.

Sigue toda la información de Economía y Negocios en Facebook y X, o en nuestra newsletter semanal