Una newsletter es una herramienta de marketing increíblemente potente. Es una forma conveniente de construir y fortalecer las relaciones con tus clientes, pero también podría costarte caro si no cumples con tus obligaciones legales. Si estás pensando enviar o, de hecho, ya estás enviando newsletters, tienes la obligación legal de tener una política de privacidad completa, ya que recopilas datos personales de tus usuarios.
Requisitos legales en general
De acuerdo con la gran mayoría de legislaciones, si se tratan datos personales, se debe informar al usuario de dichas actividades de tratamiento (generalmente a través de una política de privacidad) y, dependiendo de la legislación aplicable, también puede ser necesario recopilar el consentimiento de parte del usuario y/o proporcionar un método a través del cual pueda retirar fácilmente su consentimiento.
En general, estas normas se aplican a cualquier servicio dirigido a los residentes de un país, lo que significa que se pueden aplicar a tu empresa, independientemente de que tenga su sede en dicho país o no. Esto es incluso más relevante si estás utilizando una lista de correos electrónicos comprada, ya que en ese caso puede que no conozcas el país de residencia del destinatario. Por ello, es siempre recomendable que abordes todo lo relativo a tus actividades de tratamiento de datos teniendo en cuenta las normativas más estrictas.
Puedes obtener más información sobre la normativa aplicable aquí o consultar nuestro Resumen de los requisitos legales aquí.
Informar a tus usuarios sobre tus actividades de recopilación de datos
En la mayoría de los casos, la ley requiere que tu política de privacidad informe a los usuarios sobre las actividades de tratamiento de datos que se llevan a cabo en un lenguaje fácil de entender y sin ambigüedades.
La política debe incluir detalles sobre:
- Qué datos tratas;
- Cómo los tratas;
- La finalidad del tratamiento (por ejemplo, envío de newsletters o análisis de mercado);
- Los terceros involucrados;
- Los derechos del usuario con respecto a sus datos;
- Cómo gestionas las solicitudes de los usuarios en relación con el ejercicio de sus derechos;
- Los mecanismos de comunicación utilizados (correo electrónico, correo postal, etc.);
- Cómo proteges los datos
Requisitos de terceros
Las apps y servicios de terceros también tienen que cumplir la ley. Por esta razón, a menudo es obligatorio que todos los socios y clientes que usen sus servicios cumplan los estándares normativos. La mayoría de las plataformas de gestión de newsletters más reconocidas han hecho obligatorio que los usuarios de sus servicios cuenten con una política de privacidad completa que aclare su participación y cumpla con la normativa.
Aquí puedes ver un extracto de los Términos de servicio de Mailchimp:
Describirás claramente por escrito cómo piensas utilizar los datos recopilados, incluyendo para el uso de Mailchimp. Obtendrás consentimiento expreso para transferir datos a Mailchimp como parte de este proceso, y en cualquier caso, cumplirás con cualquier política de privacidad que hayas publicado.
Y otro de los Términos de servicio de Campaign Monitor:
Adoptarás y respetarás una política que cumpla con todas las leyes de privacidad aplicables y que sea al menos tan estricta como nuestra Política de Privacidad (modificada de vez en cuando por Campaign Monitor). Reconoces que todos los datos personales que nos proporcionas han sido recopilados con el consentimiento del interesado, que has informado a esa persona de los fines para los que se recopilaron los datos y que puedes proporcionarnos esta información con el fin de utilizar el Servicio. Eres consciente de que los datos personales facilitados se pueden almacenar en servidores ubicados en los Estados Unidos de América y, además, garantizas que has obtenido el consentimiento de las personas interesadas para el almacenamiento y transmisión de sus datos personales en la forma indicada.
Dónde insertar la política de privacidad
En general, la normativa establece que tu política de privacidad debe ser claramente visible y de fácil acceso en todo tu sitio web o aplicación. Para ello puede ser suficiente insertar un simple enlace a la política directamente en el pie de página. Sin embargo, en un contexto de transparencia (que suele ser uno de las principales finalidades de las leyes de privacidad), es recomendable que pongas tu política de privacidad a disposición de los usuarios en cada situación. Por ejemplo, insertando también un enlace en el formulario de registro y en la newsletter.
Pregunta a nuestros expertos en directo
Participa en uno de nuestros webinars gratuitos, disfruta de demostraciones en directo y resuelve tus dudas al instante. Nuestros webinars son totalmente prácticos y están diseñados para ayudarte a entender los requisitos legales y a adaptar tus sitios web o apps a la normativa.
Participa en nuestros webinars gratuitosObligaciones legales para agregar usuarios a tu lista de correo
Legislación de EE. UU.
Según la Ley de Control del Asalto a la Pornografía y Comercialización No Solicitada (CAN-SPAM) de la Comisión Federal de Comercio (FTC) de EE. UU., no es necesario obtener el consentimiento antes de añadir a los usuarios de EE. UU. a tu lista de correo o enviarles mensajes comerciales. Sin embargo, es obligatorio proporcionar a tus usuarios un mecanismo claro para rechazar cualquier contacto futuro.
Legislación de la UE
Dado que los formularios de suscripción a la newsletter son herramientas de recopilación de datos, según la legislación de la UE (es decir, el RGPD) es obligatorio obtener el consentimiento informado del usuario antes de suscribirlo a tu servicio. Según los reglamentos de la UE, adquirir el consentimiento es un procedimiento con dos partes, que incluye informar al usuario y obtener consentimiento verificable a través de una acción afirmativa.
Para informar al usuario es necesario:
Ser específico.
Debes indicar claramente el tipo de correo electrónico al que el usuario está dando su consentimiento;Ser claro y sin ambigüedades.
El usuario medio debería poder comprender fácilmente a qué está dando su consentimiento;Dejar claro que el registro es opcional.
El consentimiento debe ser “dado libremente”: no es posible obligar a los usuarios a suscribirse a tu lista de correo o hacer que parezca que el registro es obligatorio. Por este motivo, es necesario aclarar que el registro es opcional. Esto es especialmente relevante en los casos en los que ofreces documentos técnicos (o libros electrónicos) gratuitos para descargar. Si bien la dirección de correo electrónico del usuario es necesaria para la prestación del servicio, la suscripción a la newsletter no lo es. En tal caso, no debe parecer que la suscripción a la newsletter es obligatoria y hay que dejar claro que es opcional.
Por lo tanto, si deseas agregar a las personas que descargan tu libro electrónico a la newsletter, debes incluir un mensaje parecido a este en el formulario de descarga del libro electrónico:

Como se puede ver en el ejemplo, los usuarios deben ser conscientes de que el consentimiento es en realidad opcional y no obligatorio.
Adquisición del consentimiento
El consentimiento debe ser explícito y verificable.
Es necesario que el proceso para obtener el consentimiento del usuario sea sencillo e implique una acción clara de “aceptación”. Esto significa que no se permiten mecanismos como las casillas de verificación para la suscripción a newsletters previamente seleccionadas, ya que la normativa europea prohíbe expresamente este tipo de casillas y otros métodos alternativos de “autoexclusión”.

Sin embargo, puedes utilizar cualquier otro método que requiera que el usuario realice una acción afirmativa directa (que puede incluir cualquier acción de consentimiento verificable, incluido el envío de un correo electrónico o hacer clic en una casilla de verificación).
Los usuarios deben tener la posibilidad de retirar su consentimiento.
Según el RGPD, los usuarios tienen derecho a retirar su consentimiento. Esto significa que estás obligado a hacer que la retirada del consentimiento sea tan fácil como su obtención. Este requisito se puede cumplir fácilmente insertando un enlace de cancelación de suscripción visible y válido en cada newsletter. Los usuarios también deberían poder gestionar sus preferencias de correo electrónico desde su propia cuenta.

El consentimiento adquirido debe ser específico al tipo de contenido que se envía.
Esto quiere decir que la newsletter solo debe contener información a la que el usuario ha dado su consentimiento. Por ejemplo, si el usuario solo acepta recibir correos electrónicos sobre nuevos productos, no debes enviarle emails promocionales relacionados con ofertas de terceros.
En los casos en los que desees enviar diferentes tipos de correos electrónicos a tus usuarios, es necesario obtener un consentimiento adicional específico para estos usos, ya que es necesario contar con un consentimiento para cada finalidad del tratamiento.

No es necesario utilizar un formulario adicional. En la práctica, es suficiente agregar varias casillas de verificación para informar al usuario de cualquier otro propósito y permitirle dar su consentimiento específico para estos fines.
Esto es especialmente importante para el marketing directo por correo electrónico (DEM) (es decir, para enviar correos electrónicos cuya finalidad es publicitar directamente productos o servicios). En el caso de enviar DEM, es necesario obtener un consentimiento adicional si envías correos electrónicos sobre productos/servicios de terceros además de los tuyos.

Excepciones
Hay algunas excepciones al requisito del tipo de consentimiento activo mencionado anteriormente. Echemos un vistazo al consentimiento previo suave y al formulario explícito.
El consentimiento previo suave puede permitirte eludir la necesidad de un consentimiento previo. El consentimiento previo suave puede darse cuando un usuario ha facilitado su dirección de correo electrónico al comprar un producto o servicio. En particular, el consentimiento previo suave puede aplicarse cuando se cumplen las siguientes condiciones:
- la dirección de correo electrónico se recogió como parte de un proceso de venta anterior en tu sitio web;
- el cliente ha sido adecuadamente informado (por ejemplo, mediante un aviso en la página de las ventas o en tu política de privacidad) de que utilizas de este modo los correos electrónicos recogidos durante el proceso de venta;
- el usuario no se ha autoexcluido de ser contactado (por ejemplo, dándose de baja de tu newsletter);
- tus futuros correos electrónicos promocionales están relacionados con tus productos y servicios, los cuales son similares a los que el usuario compró inicialmente; y
- los productos o servicios que pretendes promocionar son los tuyos propios (no de terceros).
💡 Obtén más información sobre los casos en los que se aplica el consentimiento previo suave consultando nuestra tabla de resumen de email marketing internacional.
Un formulario explícito es cuando la finalidad del mecanismo de registro es inequívoco. Así, por ejemplo, si tu web tiene una ventana emergente que invita a los usuarios a suscribirse a la newsletter con una frase clara como: “Suscríbete a nuestra newsletter para acceder a vales de descuento y actualizaciones de nuestros productos“, la acción afirmativa que realiza el usuario al escribir su dirección de email se consideraría un consentimiento válido.

Registro de consentimientos
Como el consentimiento según el RGPD es un tema tan importante, es esencial que mantengas registros claros relacionados con el mismo. El registro de consentimientos debe contener al menos la siguiente información:
- La identidad del usuario que otorga su consentimiento;
- Cuándo se otorgó el consentimiento;
- Qué información se proporcionó al usuario cuando dio su consentimiento;
- Los métodos utilizados para obtener el consentimiento (por ejemplo, un formulario de newsletter, durante el proceso de compra, etc.);
- Si se ha retirado el consentimiento o no
Mantener un registro válido, si bien es obligatorio, puede ser todo un desafío técnico. Nuestra Consent Database simplifica este proceso, permitiéndote ver, gestionar y exportar tus registros de consentimiento fácilmente. Puedes leer más sobre nuestra solución aquí.
Suscripción única vs suscripción doble
Mientras que la suscripción única solo requiere que los usuarios introduzcan su información para ser agregados a tu lista de correo, la suscripción doble requiere que los usuarios validen primero su dirección de correo electrónico antes de ser agregados. La validación tiene lugar cuando el usuario hace clic en un enlace específico contenido en un mensaje de “confirmación” enviado a su dirección de correo electrónico.
Con este método, te aseguras de que la dirección de correo electrónico que recibe la comunicación pertenece realmente a la persona que da el consentimiento, con la garantía adicional de evitar altas tasas de cancelación de suscripción, de preservar la integridad de la lista de correo y la reputación de tu propia dirección de correo electrónico. Este método de registro se considera la mejor práctica en muchos países de la Unión Europea, especialmente en Alemania..
En varios casos, los tribunales alemanes han dictaminado que el procedimiento de suscripción única no constituye una prueba suficiente del consentimiento. Un ejemplo de esto sería el caso OLG Celle, sentencia del 15/05/2014:
En principio, el remitente de publicidad (por correo electrónico) debe declarar que existe un consentimiento a tal efecto, que debe provenir en particular del destinatario… El remitente de correos electrónicos publicitarios puede cumplir con este requisito con el llamado “procedimiento de suscripción doble”… de forma adecuada para cada dirección de correo electrónico individual.
¿Buscas una forma sencilla y conforme a la ley de gestionar el consentimiento para las suscripciones a newsletters?
Prueba nuestra herramienta Newsletter Opt-in Booster 👉 Incorpora un formulario de suscripción que puede personalizarse en función de tu sitio web y que te permite recoger y gestionar el consentimiento a través de un proceso de doble opción de inclusión. Así conseguirás una audiencia más comprometida y receptiva.
Actívala yaObligaciones legales relacionadas con el contenido de la newsletter
Legislación de EE. UU.
Dependiendo de dónde vivan tus usuarios, es posible que se apliquen leyes específicas sobre el spam. En los Estados Unidos, la Ley CAN-SPAM establece las reglas para enviar mensajes comerciales, incluidos los correos electrónicos.
Estos son los principales requisitos de la Ley CAN-SPAM:
Utiliza información veraz en el encabezado de tus correos electrónicos.
Tu nombre, dirección de correo electrónico e información de enrutamiento (incluido el dominio) deben ser precisos e identificar correctamente al remitente del mensaje.No escribas asuntos engañosos.
El asunto del correo electrónico debe representar correctamente el contenido del mensaje.Indica que el mensaje es un anuncio publicitario.
No existe un método específico para hacer esto, aunque la divulgación debe ser “clara y visible”.Informa a los destinatarios sobre dónde te encuentras.
Se debe incluir una dirección postal válida.Supervisa lo que otras organizaciones están haciendo en tu nombre.
Incluso si has subcontratado tus actividades de marketing por correo electrónico, la ley puede responsabilizaros tanto a ti y como a la otra empresa.Informa a los usuarios y proporciona una opción visible para retirar el consentimiento.
La opción “cancelar suscripción” se debe ver fácilmente y debe incluir una explicación clara de cómo el usuario puede optar por no recibir correos electrónicos en el futuro. El aviso debe ser claramente reconocible, legible y comprensible para el usuario medio. Una forma práctica de implementar esta opción es incluyendo un enlace de “cancelar suscripción” junto con una declaración que informe al usuario de la opción.Por ejemplo, puedes utilizar una frase como esta: “Recibes esta comunicación comercial de [Nombre de la empresa] porque has mostrado interés en nuestros productos y servicios. Si ya no deseas recibir estas comunicaciones, puedes darte de baja haciendo clic en este enlace”.
Según la CAN-SPAM, la posibilidad de darse de baja debe ser gratuita y no debe requerir un proceso de inicio de sesión. Esto significa que los usuarios deben poder darse de baja sin costo y sin tener que iniciar sesión en su cuenta. La FTC establece que:
No puedes exigir el pago de una tarifa, ni pedirle al destinatario que te proporcione información personal más allá de una dirección de correo electrónico, ni pedirle que tome medidas que no sean enviar un correo electrónico de respuesta o visitar una única página web como condición para cumplir su solicitud de autoexclusión.
Solicitudes de cancelación
- El enlace para darse de baja debe ser válido durante al menos 30 días después de enviar el correo electrónico;
- Las solicitudes de cancelación también deben cumplirse dentro de los 10 días
Excepciones
Algunos tipos de correos electrónicos están exentos de la mayoría de los requisitos de la Ley CAN-SPAM y están sujetos únicamente al requisito de información de enrutamiento veraz.
Estas exenciones incluyen correos electrónicos donde el propósito principal es:
Transaccional: estos son correos electrónicos relacionados con transacciones ya acordadas, o correos electrónicos que transmiten bienes o servicios como parte de una transacción a la que el usuario ya ha dado su consentimiento (por ejemplo, un código de licencia o la entrega de un libro electrónico).
Relacional: son correos electrónicos que actualizan a los usuarios (que ya tienen una relación con el servicio) sobre cambios en los términos del producto/servicio, sus características o información de la cuenta, que también incluyen información sobre garantías, devoluciones, seguridad o protección de un producto o servicio.
Otros correos electrónicos (no comerciales).
Legislación de la UE
En la Unión Europea, la Directiva de ePrivacy establece pautas generales que son implementadas individualmente por los Estados miembros, aunque algunos elementos (como la posibilidad de retirar el consentimiento) entran dentro del alcance del RGPD.
En general, las disposiciones europeas antispam establecen lo siguiente:
Proporciona un enlace para cancelar la suscripción directamente en el correo electrónico.
La opción de revocación debe ser clara, visible y de fácil acceso. Este elemento entra dentro del alcance del RGPD y, concretamente, dentro del alcance del derecho de supresión; por esta razón, el tiempo máximo para atender estas solicitudes es de 30 días. Sin embargo, vale la pena señalar que, si bien la ley establece hasta 30 días para cumplir con estas solicitudes, la mayoría de los suscriptores no estarán dispuestos a esperar. Por lo tanto, es prudente cumplir de inmediato con las solicitudes de autoexclusión para no correr el riesgo de ser marcado como spam y, por lo tanto, comprometer la legitimidad de tu dirección de correo electrónico.Indica claramente la identidad del remitente.
No está permitido ocultar la identidad del remitente, la información debe ser clara y directa.Incluye una dirección física de la empresa.
Se debe proporcionar una dirección válida.Indica y especifica claramente la naturaleza del mensaje.
Es decir, es necesario indicar, de forma inequívoca, el tipo de mensaje enviado (promocional o no).Evita el uso de expresiones falsas o engañosas.
La publicidad en cualquier forma (incluidos los mensajes comerciales) no debe formularse de manera que induzca a error a los destinatarios.
Algunas legislaciones (por ejemplo, Alemania y Australia) también pueden requerir que se incluya información sobre cómo ponerse en contacto con el remitente. Siempre es mejor seguir la legislación más estricta o verificar los requisitos antispam específicos del lugar donde se encuentran los destinatarios.
A continuación se muestra un ejemplo de una comunicación comercial que contiene todos los elementos básicos. En el ejemplo, elementos como el nombre y la dirección se incluyen en la parte superior del correo electrónico. Sin embargo, la ubicación queda a tu entera discreción, siempre que la información sea visible y se pueda encontrar fácilmente.
Tu tienda S.L. [dirección] [Ciudad] [Estado] [Código postal] [País]
[Dirección de correo electrónico de respuesta (por ejemplo, info@tutienda.com)]
[Asunto: ¡Novedades para la primavera!] [Nombre de tu sitio web]
[Tipo de correo electrónico (por ejemplo, promocional)]“.Estimado cliente, nos complace presentarte nuestras últimas novedades para la primavera. ¿Hay algo que te guste? Puedes comprar cualquiera de estos artículos haciendo clic directamente en los productos de este correo electrónico y se te redirigirá inmediatamente a nuestro sitio web, donde podrás concluir la compra de manera segura“.
Si ya no deseas recibir comunicaciones nuestras, haz clic aquí para cancelar la suscripción.
Las condiciones descritas aquí también se aplican a otras herramientas de marketing que utilizan mensajes electrónicos, incluido el Email Marketing Directo (DEM) y los mensajes de marketing viral (por ejemplo, mensajes que piden a los usuarios que reenvíen una comunicación de marketing a sus amigos).
Consecuencias del incumplimiento
Consecuencias legales
Las implicaciones legales del incumplimiento incluyen fuertes multas tanto en la UE como en los EE. UU., con multas que van desde decenas de miles hasta millones de euros. Pero quizás igualmente preocupantes son las otras posibles sanciones que podrían implementarse contra organizaciones que se encuentren en violación. Estas sanciones pueden incluir reprimendas oficiales (para primeras infracciones), auditorías periódicas de protección de datos y responsabilidad civil por daños.
El RGPD, en particular, otorga a los usuarios el derecho específico de presentar una queja ante una autoridad supervisora si consideran que alguna de las actividades de tratamiento de sus datos personales se llevó a cabo en violación de la normativa vigente. Así, por ejemplo, si se presenta un informe a la autoridad competente sobre una instancia de infracción legal, dicha autoridad puede optar por realizar una auditoría de tus operaciones de tratamiento de datos. Si se descubre que alguna actividad de tratamiento se llevó a cabo de forma ilegal, no solo se impone una multa, sino que se te puede prohibir volver a utilizar tanto los datos de la consulta como todos aquellos datos que se hubiesen obtenido a través de mecanismos similares. Esto significa que si la infracción cometida fue en relación con la recopilación de direcciones de correo electrónico, corres el riesgo de que se te prohíba utilizar toda la lista de correos electrónicos asociada.
Con respecto a la responsabilidad por daños, tanto la legislación de la UE como la de los EE.UU. otorgan a los usuarios individuales el derecho a una indemnización por cualquier daño resultante del incumplimiento de las regulaciones por parte de una organización. Esto significa que violar las regulaciones puede exponerte al riesgo de un posible litigio.
Otras consecuencias
Interrupción de servicios
Algunos servicios de terceros pueden hacer que el cumplimiento de las regulaciones sea una parte integral de sus condiciones de uso. En tales casos, una violación de los requisitos legales también puede considerarse una violación de sus términos; por lo tanto, tales violaciones pueden dar lugar a la suspensión del servicio o, potencialmente, a prohibiciones permanentes.
Daño a la reputación
El incumplimiento de las obligaciones legales puede llevar a los usuarios a percibir tu actividad como incompetente o maliciosa. Esto puede provocar un daño significativo y duradero a la imagen pública y la reputación de tu organización.
Qué hacer para que tu newsletter cumpla con las normativas
Lo que debes hacer
Cuando se trata de cumplimiento, siempre es recomendable abordar tus actividades de tratamiento de datos teniendo en cuenta las normativas aplicables más estrictas. En lo que respecta al proceso de las newsletters, el cumplimiento al menos requiere que pongas en práctica lo siguiente:
Define:
- tus servicios;
- los datos que recopilas;
- las finalidades de la recopilación;
- los tipos de comunicaciones que puedes enviar;
- tu método de entrega.
Informa a los usuarios de:
- cualquier proveedor externo involucrado en el proceso de gestión de la newsletter e incluye enlaces a sus documentos de privacidad;
- sus derechos sobre sus datos (incluido el derecho a retirar el consentimiento).
Si realizas actividades de email marketing directo (DEM) para el mercado alemán, debes agregar una declaración en la política de privacidad en la que especifiques qué empresas y tipos de bienes y servicios se promocionarán a través de la newsletter.
Obtén un consentimiento previo (de acuerdo con la ley local) que sea:
- basado en una clara acción afirmativa;
- informado;
- específico.
Ofrece la opción de retirar el consentimiento. Esta opción debe:
- estar disponible en la newsletter;
- ser fácil de ver y comprender;
- ser sencilla.
Mantén un registro de los consentimientos recopilados:
- Si te encuentras dentro del ámbito de aplicación del RGPD (lo cual es muy probable), debes registrar claramente todos los consentimientos adquiridos. Sin un registro, los consentimientos recogidos no son válidos. El registro de consentimientos debe incluir: cuándo y cómo se otorgó el consentimiento; el formulario de recopilación de consentimiento presentado al usuario al momento de la recopilación; y la información legal o de privacidad vigente cuando se obtuvo el consentimiento.
Enviar correos electrónicos para confirmar el consentimiento del RGPD: ¿es una buena o una mala idea?
Con la entrada en vigor del RGPD, muchas empresas han abrumado a sus usuarios con solicitudes de renovación de consentimiento para comunicaciones comerciales y para el tratamiento de datos. Sin embargo, la práctica de enviar correos electrónicos de confirmación de consentimiento es complicada y se debe manejar con mucho cuidado.
En primer lugar, hay que decir que el consentimiento es solo una de las seis bases jurídicas para el tratamiento de datos personales. Las demás son: obligación legal, necesidades contractuales, intereses vitales, interés público e interés legítimo.
Si ya estás tratando legítimamente (recopilando, accediendo, almacenando o interactuando de otra manera) los datos de tus usuarios sobre la base de una de estas otras cinco bases jurídicas, no es necesario enviar correos electrónicos de confirmación de consentimiento. No obstante, asegúrate de que esta base jurídica esté indicada en tu política de privacidad y que esta última sea de fácil acceso para los usuarios.
Si esta información no estaba disponible para los usuarios en ese momento, pero una de estas bases jurídicas actualmente se puede aplicar legítimamente a tu situación, deberás asegurarte de que tu aviso de privacidad actual cumple con los requisitos legales, para que puedas seguir tratando los datos de tus usuarios de acuerdo con la normativa.
¿Se puede transferir el consentimiento?
La capacidad de “transferir” el consentimiento, eliminando así la necesidad de solicitarlo nuevamente o de apoyarse en otra base legal, depende de dos condiciones: debe haber sido recopilado de acuerdo con el RGPD y debe ser posible probarlo.
Estas son algunas preguntas que deberías plantearte:
- ¿Se informó correctamente al usuario en el momento del registro? Es decir, ¿existía una política de privacidad de fácil acceso con toda la información relevante, incluidos los propósitos y métodos de tratamiento, los terceros involucrados y los derechos del usuario en relación con sus datos?
- ¿Se otorgó el consentimiento a través de una acción afirmativa verificable? (Por ejemplo, haciendo clic en una casilla de verificación)? Si, por otro lado, has recurrido a métodos de autoexclusión (casillas de verificación preseleccionadas, prohibidas por el RGPD), tendrás que basarte en otra base jurídica, si corresponde, o recopilar un nuevo consentimiento válido.
- ¿Se dio el consentimiento libremente? Es decir, ¿estaba claro que se trataba de un registro opcional y no obligatorio?
- ¿El consentimiento fue específico? Es decir, ¿has informado al usuario de otras finalidades que le permitan dar su consentimiento adicional, específico para tales usos? (Mira este ejemplo)
- ¿Les ha dado a los usuarios la opción de retirar su consentimiento?
- ¿Tienes un registro de los consentimientos obtenidos, completo con referencias a los documentos legales y las condiciones vigentes en el momento en que se obtuvo el consentimiento? ¿Puedes probar que el consentimiento se obtuvo de manera conforme, si fuera necesario?
Si el consentimiento que obtuve en el pasado no se realizó de manera compatible con el RGPD, ¿cuáles son mis opciones?
Incluso si has confiado en el consentimiento como base jurídica en el pasado, no significa que debas continuar en el futuro. De hecho, también podría ser desaconsejable, especialmente si no estás seguro de cómo conseguiste esos contactos (por ejemplo, listas de correo electrónico adquiridas de manera ilegítima), o si no puedes demostrar que has actuado legalmente.
Para ser claros, si contactas a un usuario para pedirle su consentimiento, y no existe una base jurídica que te permita tener su información de contacto, también estás violando, además del RGPD, la directiva europea de protección de datos.
Otra razón para evaluar si existe una base jurídica alternativa aplicable, es que técnicamente hablando, si no tienes el consentimiento necesario para contactar a un usuario, probablemente ni siquiera tendrás el consentimiento para enviar un correo electrónico solicitando consentimiento.
Si no se puede aplicar ninguna otra base jurídica legítimamente a tu caso, es posible que debas obtener el consentimiento nuevamente. Un aviso en tu web y/o una publicación en tus redes sociales son algunas de las formas en las que puedes notificar a los usuarios que tendrán que volver a suscribirse si quieren seguir recibiendo noticias tuyas.
Nota
La base jurídica debe ser legítimamente aplicable a tu situación, no puedes “elegir” una a voluntad. Dado que se trata de un asunto delicado y de primordial importancia, nuestro consejo es que contactes con un abogado: éste sin duda podrá identificar la base jurídica correcta y asesorarte al respecto.
Cómo te puede ayudar iubenda
Política de Privacidad
Nuestro Generador de Políticas de Privacidad y Cookies te ayuda a preparar fácilmente un aviso de información para satisfacer la obligación de informar exhaustivamente a tus usuarios de acuerdo con la ley.
Este proceso es sencillo e intuitivo: simplemente haz clic para añadir tus servicios, completa los datos del propietario y de contacto de tu web/app e integra tu política en tu sitio web.
1. Añade tus servicios
- Haz clic en añadir servicio y escribe el nombre del servicio que te gustaría añadir. En este caso, añadiremos Newsletter;
- Selecciona la cláusula Lista de correo o newsletter y agrega los tipos de datos personales que recopilas (al definir los servicios personalizarás las cláusulas elaboradas por nuestro equipo legal);
- Si confías en un servicio de terceros para la gestión de las newsletters (por ejemplo, Mailchimp, Constant Contact, etc.), también debes agregarlo (igualmente puedes incluir un “formulario de registro de correo electrónico” o cualquier otro formulario de recopilación cuando sea necesario);
- Si promocionas servicios o productos de terceros a través de tus newsletters, deberías consultar la cláusula Email Marketing Directo (DEM) y agregarla si fuera necesario;
- Si quieres añadir una cláusula personalizada, simplemente tienes que hacer clic en el botón Crear servicio personalizado y completar el formulario incorporado.
2. Completa los datos del titular y de contacto de tu web/app
- Introduce el nombre y la dirección completa;
- Añade la dirección de correo electrónico.
¡Felicidades! Has creado tu política. Ahora, simplemente tienes que revisar que todos los datos son correctos, y después:
3. Integra
- Personaliza la apariencia de tu botón o elige simplemente un enlace de texto;
- Elige el método de incrustación entre un widget en el pie de página, un enlace directo y texto en el cuerpo;
- ¡Integra tu política fácilmente donde quieras! Como hemos mencionado anteriormente, debes elegir un lugar que sea fácilmente accesible y visible para los usuarios. En aras de la transparencia, también puedes considerar la idea de incluir la política de privacidad en tu newsletter.
Para obtener más información sobre políticas de privacidad, haz clic aquí.
Registro de consentimientos
Nuestra Consent Database simplifica el proceso de recopilación y mantenimiento de un registro de consentimientos en conformidad con la ley. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la recopilación del consentimiento), así como las preferencias expresadas por el usuario.
Para utilizarla, simplemente activa la Consent Database y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
Para descubrir las funciones de nuestra Consent Database, haz clic aquí o consulta nuestra guía aquí. Si prefieres ver un ejemplo práctico, echa un vistazo a nuestra guía sobre Cómo utilizar la Consent Database con Contact Form 7.
Recuerda que estos pasos están relacionados específicamente con los requisitos de las newsletters. Si deseas obtener más información sobre los requisitos generales de un sitio web, consulta nuestra Guía de inicio aquí.
→ Participa en uno de nuestros webinars gratuitos (en inglés), resuelve tus dudas en directo y consigue más información sobre nuestro Generador de Políticas de Privacidad y Cookies y Privacy Controls and Cookie Solution.
Más información
- ¿Utilizas servicios de gestión de newsletters de terceros? Consulta nuestras guías para Mailchimp, Campaign Monitor, Mad Mimi y VerticalResponse
- ¿Tienes un caso concreto en mente? Consulta Directiva ePrivacy e Email Marketing Directo (DEM) o nuestra guía sobre requisitos legales para sitios webs y apps utilizadas por niños
- Obtén más información sobre la legislación internacional con nuestra Guía del RGPD, nuestra Guía sobre la Directiva ePrivacy (Ley de Cookies) o nuestra Guía sobre la ley de EE. UU.
- ¿Utilizas los servicios de Google? Lee nuestras guías sobre Google Analytics, Adsense y Ads
- Lee nuestras guías dedicadas a los desarrolladores de aplicaciones móviles o a los sitios web de comercio electrónico