GDPR
¿Ha escuchado del tema “protección de datos”? le voy a contar sobre la nueva ley GDPR aprobada por el Parlamento de la UE en 2016. Es una regulación de privacidad destinada a proporcionar mejor protección para la información personal de los residentes de la UE. Se espera que todas las empresas, en todo el mundo, cumplan con GDPR antes del 25 de mayo de 2018.
¿Ud. cree que esta nueva Ley ni le va ni le viene? ¡Espere! Si tiene aunque sea un residente europeo como cliente o suscriptor de correo electrónico en su base de datos. Sin duda la ley aplica para usted… ¡y no cumplirla le puede generar un GRAN PROBLEMÓN! y en euros… así que lea.
¿Qué es el GDPR?
GDPR significa Regulación General de Protección de Datos.
Aunque entra en vigor hasta el 25 de mayo, es retroactiva. Lo que significa que también se aplica a cualquier persona de la UE que se haya unido a su lista de suscriptores en el pasado (esté en su lista actualmente).
Las consecuencias por no cumplir no están estandarizadas, pero son multas de hasta € 20 millones por los delitos más graves. Y el 2% de facturación global anual (ventas) por delitos como por ejemplo no tener sus registros en orden o no notificar a las autoridades de una violación, ¿verdad que no puede ignorarla?
¿Cómo asegurarse de que cumple con GDPR?
Estos cambios inminentes se aplicarán en gran medida a la forma en que realiza el marketing por correo electrónico, que es muy común en las empresas. Tenga en cuenta que no soy abogada, solo voy a mencionarle los puntos por cuestión de espacio (en mi blog me extiendo www.marcelamexia.com)
- Ponga MUY claro para qué se está inscribiendo la gente (a su lista de correos)
- No pida mas información de la que necesita
- Haga fácil para sus suscriptores: cambiar, darse de baja o borrar su información (nada de andar escondiendo el unsusucribe)
- ¡Nunca, jamás, envíe correos electrónicos a personas que se hayan dado de baja de su lista!
- Utilice un doble proceso (double opt-in) de aceptación cuando recopile correos electrónicos
- Mantenga el registro del consentimiento de las personas
- Incluya un enlace claro a su política de privacidad o términos de uso
- Asegúrate de que tu sitio web esté cambiado a HTTPS
No me alcanza el espacio pero usted ya sabe lo básico, prometo extenderme ¡revise su base de datos!
Lo prometido es deuda, me faltaron algunos puntos y la explicación de cada uno de ellos, aquí la extensión:
1. Ponga MUY claro para qué se está inscribiendo la gente.
Uno de los conceptos más importantes del GDPR es el consentimiento: ¿sus suscriptores realmente saben para qué se están suscribiendo?
Cuando solicite una dirección de correo electrónico, tenga muy claro que debe pedir su consentimiento no solo para el momento sino para todas las acciones futuras. Y no se vale poner solo el cuadrito para activar el consentimiento, no, ellos necesitan claramente mostrar la intención de solicitar unirse a su lista de suscriptores y recibir sus correos.
También deberá obtener el permiso si desea enviar diferentes tipos de correos electrónicos a sus suscriptores; por ejemplo, si un cliente le ha dado su dirección de correo electrónico para que pueda comunicarse con ellos sobre descargar productos, ¡no puede de repente comenzar a enviarles correos electrónicos promocionales!
QUÉ HACER: en su formulario de suscripción por correo electrónico, incluya una redacción que deje en claro para qué se está registrando la gente. Si ofrece un producto gratuito a cambio del correo electrónico, incluya una casilla de verificación (NO preestablecida) que le pregunte si también desea recibir correos electrónicos de marketing regulares de su empresa. Ya no es suficiente usar palabras como «Al ingresar su correo electrónico, acepta recibir mi guía y mis correos electrónicos regulares».
2. No solicite más información de la que necesita.
Como propietario de una empresa o marca, puede ser muy tentador solicitar una gran variedad de información para mejorar sus esfuerzos de marketing. Sin embargo, el GDPR estipula que las empresas solo deben solicitar la información que realmente necesitan.
En otras palabras, si está en el negocio de las finanzas personales y está pidiendo a la gente su película favorita o el nombre de su perro, ¡probablemente esté pidiendo demasiada información!
QUÉ HACER: revise los campos que actualmente incluye en sus formularios de suscripción y pregúntese si realmente son necesarios. Si no puede justificar fácilmente por qué solicita una información específica, es mejor no pedirla.
3. Facilite que sus suscriptores editen o eliminen su información
Uno de los elementos del GDPR es el «derecho al olvido». Esto significa que sus suscriptores deberían poder retirar su consentimiento fácilmente o dejar de utilizar su información personal.
Una vez que se da de baja, también es importante que su información sea eliminada de cualquier proveedor externo que utilice (por ejemplo, Paypal), O bien, que indique claramente que no es responsable de lo que sucede después de que las personas abandonan su sitio en su política de privacidad.
QUÉ HACER: asegúrese de que sus correos electrónicos incluyan un vínculo o botón «Cancelar suscripción» y «Editar sus preferencias». Afortunadamente, la mayoría de los servicios de marketing por correo electrónico ya lo requieren y lo incluyen por defecto en sus plantillas. Agregue una cláusula a su política de privacidad que indique que no es responsable de lo que sucede después de que las personas abandonen su sitio.
4. ¡Nunca, jamás, envíe correos electrónicos a personas que se hayan dado de baja de su lista! No es NO.
Si bien esto puede parecer de sentido común, algunas empresas se ponen ingeniosas para continuar conectándose con quienes se habían dado de baja, enviándoles un correo electrónico y preguntándoles si les gustaría recibir futuros correos electrónicos.
¡Este es un ENORME no-no, no solo en términos del GDPR sino en términos de respetar los deseos de sus suscriptores!
QUÉ HACER: si alguien ha inhabilitado su lista, por ningún motivo envíe un correo electrónico nuevamente (a menos que, por supuesto, solicite explícitamente volver a unirse a su lista en algún momento). Asegúrese también de ELIMINAR a esas personas de su lista … ya que algunos proveedores de correo electrónico (por ejemplo, AWeber) solo moverán esos correos electrónicos a una lista no suscrita por separado. Elimínelos totalmente así evita problemas futuros.
5. Utilice un doble proceso de aceptación (double opt-int) cuando recopile correos electrónicos.
Esto siempre se ha considerado una buena práctica, pero a raíz de la GDPR, probablemente sea mejor considerarla ahora una herramienta imprescindible.
Cuando alguien se registra en su lista, la mayoría de los servicios de marketing por correo electrónico le ofrecen dos opciones: pasar por un solo proceso de suscripción voluntaria o doble.
La opción de suscripción única significa que la persona ingresa su correo electrónico, y eso es todo: ahora están registrados para recibir correos futuros.
El double opt-in, por otro lado, significa que después de ingresar su correo electrónico, también deben hacer clic en un enlace de confirmación en un correo electrónico para confirmar que desean recibir sus correos electrónicos.
QUÉ HACER: vaya a la configuración de su software de marketing por correo electrónico y asegúrese de haber seleccionado el proceso de double opt-in.
6. Mantenga registros del consentimiento de las personas.
Si está utilizando un doble proceso de suscripción voluntaria para recopilar correos electrónicos, ya va de gane.
Pero, ¿qué pasa si ocasionalmente recopilas correos electrónicos en eventos en vivo, conferencias o ferias comerciales? Simple: ¡solo asegúrate de mantener los registros originales donde las personas piden ser agregadas a tu lista de correo electrónico!
Otro elemento para mantener registros compatibles será llevar un registro de cómo se inscribió cada persona en su lista (un mapa de flujo de datos).Básicamente, ¡solo necesitas poder demostrar cómo cada persona en tu lista se incluyó en tu lista!
QUÉ HACER: si usted agrega nuevos suscriptores manualmente por cualquier motivo, mantenga una hoja de cálculo o un diagrama de flujo que muestre exactamente cómo optó por su lista. Si está recopilando correos electrónicos en un evento en vivo, asegúrese de tener y conservar un documento donde sus suscriptores se hayan registrado físicamente para agregarlo a su lista.
7. Incluya un enlace claro a su política de privacidad o términos de uso.
cuando las personas se suscriban a su lista, debe haber un enlace obvio a su política de privacidad o términos de uso que pueden hacer clic para obtener más información.
Básicamente, esta página debe explicar cómo planea usar sus datos personales, cómo planea proteger esos datos, quién podrá ver esos datos, etc.
También debe saber cómo sus proveedores o proveedores de servicios (por ejemplo, Stripe, PayPal) están usando esa información … O BIEN, incluya una exención de responsabilidad de que no es responsable de lo que sucede cuando las personas abandonan su sitio.
Finalmente, su política de privacidad debe explicar claramente quién es usted, por qué tiene derecho a usar sus datos (porque optó por ellos), y que la gente tiene derecho a presentar una queja al ICO si hay un problema con la forma en que lo está manejando sus datos.
Enlace a esta página en cada página de su sitio web, especialmente en las páginas en las que las personas comparten su correo electrónico u otra información personal, como cualquier página de destino o página de ventas.
QUÉ HACER: incluya un enlace claro a su política de privacidad de correo electrónico o términos de uso en sus formularios de suscripción, sitio web, así como en los correos electrónicos que envíe a su lista. Si es posible, incluya una casilla que las personas puedan verificar para decir que han leído su política. Asegúrese de que su política de privacidad esté escrita en un lenguaje claro y cubra todo lo mencionado anteriormente. Consulte a su abogado para obtener más información sobre esto.
8. Asegúrese de que su sitio web esté cambiado a HTTPS.
Tener un sitio web seguro (https://www.yoursite.com versus http://www.yoursite.com) es muy importante en términos de SEO (optimización de motores de búsqueda); y a la luz del GDPR, también se ha convertido en una necesidad para la seguridad de los datos.
Cambiar su sitio a https no es demasiado complicado, y garantiza que su sitio no solo se clasifique bien en los motores de búsqueda, sino que encripte los datos confidenciales y, por lo tanto, mantenga esos datos seguros.
QUÉ HACER: solicite a su proveedor de hosting que lo ayude a realizar este cambio o hágalo usted mismo si sabe cómo hacerlo. La mayoría proporciona una forma sencilla de hacerlo a través de su panel de control de hosting. Tenga en cuenta que también deberá asegurarse de que Google sepa que ha realizado este cambio o que podría sufrir una caída importante en sus clasificaciones de búsqueda.
9. Escriba sus procedimientos.
Para cumplir con el GDPR, debe tener un registro escrito de las diversas políticas y procedimientos que tiene en vigencia relacionados con la forma en que recopila y utiliza los datos personales. Esto incluye:
- ¿Cómo va a eliminar los datos personales?
- ¿Cómo va a proteger sus datos personales?
- ¿Qué hará si su correo electrónico o sitio web es pirateado y los datos personales están en peligro?
QUÉ HACER: cree un documento simple que describa sus políticas y procedimientos para cada uno de los elementos anteriores.
10. Asegúrese de que su servicio de marketing por correo electrónico cumpla con GDPR.
La mayoría de los grandes proveedores de correo electrónico ya están trabajando arduamente en esto (por ejemplo, MailChimp, Ontraport, Convertkit, Send Lane, Active Campaign, AWeber, Kajabi, etc.).
Sin embargo. No todos los sistemas de correo electrónico lo están haciendo. Por lo que le conviene asegurarse de que tengan un acuerdo de procesamiento de datos compatible.
¡Asegúrese también de que puede agregar una casilla de verificación a sus formularios de suscripción!
QUÉ HACER: comuníquese con su servicio de marketing por correo electrónico y pregunte qué están haciendo para prepararse para el GDPR.
11. Eliminar contactos que no cumplen con el GDPR
Después de leer esta publicación. Es posible que se haya dado cuenta de algunos errores que ha cometido con su lista en el pasado. Y sí, ¡sí importa! Recuerde, esta ley es retroactiva, por lo que las tácticas anteriores de creación de correo electrónico pueden ser consideradas.
Si este es el caso. Ahora es el momento (antes del 25 de mayo) para acceder a su software de email marketing. Y eliminar los contactos que no se recopilaron de forma adecuada.
Recuerde: estas pautas sólo se aplican a los suscriptores de la UE. PERO, si no está seguro de dónde se encuentran sus suscriptores, es posible que deba solicitarles que acepten de nuevo.
QUÉ HACER: si sabe que ha cometido un gran no-no en el pasado (como agregar manualmente correos electrónicos sin obtener permiso primero), le sugiero que elimine esos correos electrónicos de su lista. ¿Y si no está seguro de si recopiló los correos electrónicos de manera adecuada o no? Envíe un correo electrónico a toda su lista pidiéndoles que acepten de nuevo.
Estuve investigando el tema, detonado por el escándalo de Cambridge Analytica y Facebook. Además todos mis clientes, conocidos y parientes me preguntan sobre la protección de datos. Bueno, la Unión Europea ya dió su primer gran paso y nos incluye a todos. Porque podríamos tener suscriptores españoles, por ejemplo; además ¿cuánto tardan para aplicar esta Ley en los demás países?, así que siga estas recomendaciones, busque asesoría legal y cuando aplique en su país, usted tendrá la tarea ya hecha.
Este artículo en buena medida fue traducción de:
https://kimgarst.com/gdpr-what-marketers-need-to-know
https://ico.org.uk/about-the-ico/who-we-are/
Te invito a que visites mi blog