Crear un correcta política de protección de datos para nuestras campañas de email marketing no solo salvaguarda los derechos de nuestros usuarios y suscriptores sino que ofrece una defensa ante posibles denuncias o reclamaciones ante la Agencia Española de Protección de Datos.

Vamos a destacar esos 4 pasos que creemos fundamentales para trabajar con campañas de email marketing.

La política de privacidad de nuestra empresa debe reflejar de manera fiel que garantías tiene el usuario sobre nuestro tratamiento de sus datos de carácter personal. Revisando la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal debemos recordar que:

Artículo 4. Calidad de los datos.

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Artículo 11. Comunicación de datos.

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

[…]

Es decir que debemos indicar de manera explícita

• los fines para los que usaremos los datos, estos fines deben ser los mismos que indiquemos al rellenar el formulario NOTA que la Agencia Española de Protección de Datos pone a nuestra disposición. En el caso de que hubiese una modificación de los mismos debemos modificar el formulario primero y comunicar a nuestro suscriptores qué hemos añadido, modificado o eliminado. Los usuarios tendrán por tanto la potestad de ejercer sus derecho de cancelación y oposición.
• indicar que los datos recogidos no se usarán para otros fines que no sean los indicados.
• velar por la calidad de los mismos facilitando a los usuarios medios para su actualización (derecho de rectificación) y, en nuestro caso a través de las herramientas de email marketing, asegurar la buena salud de nuestra base de datos.
• indicar de manera expresa que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

No debemos recoger ningún dato de carácter personal sin registrar el fichero donde se guardarán en la Agencia Española de Protección de Datos. Hay dos opciones ante este punto dependiendo de donde guardéis esa información: si usáis MailChimp u otra aplicación que tenga sus servidores fuera de UE o si usáis Mailrelay u otras con los servidores dentro de la UE. Vamos a describir el procedimiento general para ambos casos y después el paso adicional a seguir para el caso de MailChimp.

1. Visita el apartado sobre el formulario NOTA en la web de la Agencia Española de Protección de Datos. Este formulario es un PDF autorrellenable que permite completar la información del responsable y encargado del tratamiento de datos, la finalidad de los mismos, la tipología y el contenido de los datos recogidos y, en definitiva, toda la información necesaria y exigida por la Agencia. El procedimiento puede completarse mediante certificado digital. Al final de este apartado os dejamos adjunto el archivo de ayuda. Son muy importantes dos apartados: cesión y transferencia de datos y transferencia internacional de datos.
2. En cuanto a la cesión y transferencia de datos nos referimos al artículo 11, apartado 1 de la ley 15/1999 sobre comunicación de datos:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Luego debemos ser consecuentes con lo declarado en nuestra política de privacidad.

3. Tras la derogación del protocolo Safe Harbour el 6 de octubre de 2015 por el que se invalidaba el acuerdo entre la UE y los Estados Unidos en materia de protección de datos entramos en un periodo de incertidumbre en el que los datos almacenados en servidores en US (como el caso de MailChimp) no cumplían la directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Para intentar solventar este problema MailChimp creó un recurso en su knowledge base hablando del tema y poniendo a disposición de los usuarios una política de privacidad actualizada con las directrices de la UE  y, lo más importante, un contrato firmado por la empresa estadounidense apoyando este cambio en la seguridad de la información. Este contrato firmado por ellos y por nuestra empresa podía adjuntarse a nuestra declaración en la Agencia mediante una modificación en el formulario NOTA. Según la información que tenemos desde la Agencia están a la espera de próximos cambios en la normativa al respecto y a validar la información llegada desde MailChimp con documentación adicional. La recomendación es, en todo caso, al usar un servicio como MailChimp con servidores fuera de la UE que completemos el apartado de transferencias internacionales en el formulario NOTA. Citando los artículos 33 y 34 de la citada ley:

Artículo 33. Norma general sobre movimiento internacional de datos.

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

[…]

Artículo 34. Excepciones sobre movimiento internacional de datos.

Lo dispuesto en el artículo anterior no será de aplicación:

[…]

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

[…]

– indicar en que país se realiza el tratamiento de datos, en el caso de MailChimp los Estados Unidos.

– comunicar a nuestros futuros suscriptores que el tratamiento de datos se realiza en Estados Unidos, a menos que tengamos la negativa de forma inequívoca mediante cualquier canal podremos realizar la transferencia internacional de datos y por la tanto usar MailChimp.

[pdf-embedder url=»http://nambaruan.com/wp-content/uploads/2016/05/Guia_rapida_NOTA.pdf»]

De la misma forma que tenemos que definir correctamente nuestra política de privacidad no podemos tomar datos de carácter personal por cualquier canal o medio. Deben cumplirse una serie de requisitos.

Artículo 5. Derecho de información en la recogida de datos.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

[…]

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. […]

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Es decir, debemos:

• antes de que el usuario proceda a suscribirse a nuestra lista debe ser informado de manera clara y sin lugar a dudas de la existencia de un fichero donde se recogen sus datos, del responsable y destinatario de su información, igualmente debe conocer exactamente como ejercer sus derechos de acceso, rectificación, cancelación y oposición de sus datos de carácter personal. Resumiendo, antes de que un usuario se suscriba debe haber un enlace a nuestra política de privacidad donde se recojan los puntos anteriores.
• si los datos del usuario han sido tomados de fuentes de origen público (artículo 3, apartado: se consideran fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación) deberá ser informado de la existencia del fichero, del contenido, del tratamiento, de la posibilidad de ejercer sus derechos ARCO y la identidad y responsable del tratamiento de datos.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1 que «el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».

El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientos de datos personales la adopción de las medidas de seguridad establecidas en el Reglamento de la LOPD, la Agencia Española de Protección de Datos pone a su disposición esta Guía de Seguridad que incluye

• Guía Modelo del Documento de Seguridad
• Cuadro Resumen de Medidas de Seguridad
• Relación de comprobaciones para la realización de la Auditoria de Seguridad.

Puedes descargar la Guía Modelo del Documento de Seguridad en formato editable y la misma Guía de Seguridad pero con la relación de comprobaciones para la realización de Auditorías de Seguridad.

Fuente: Agencia Española de Protección de Datos.