Hoy vamos a enfocarnos en las repercusiones del RGPD en la industria del marketing.
Cuando uno está por someterse a una intervención quirúrgica, su médico le informa y explica sobre la finalidad, riesgos, ventajas, etc. de dicha operación y nos solicita nuestro “consentimiento informado”.
De la misma manera, cuando recabamos datos personales - sea digital o analógicamente - debemos informar a nuestros clientes/usuarios sobre la finalidad, riesgos, posibles ventajas y todo aquello que haga al tratamiento de datos que realizaremos. Una vez informado, solicitaremos su consentimiento para el tratamiento de datos personales.
Pero, ¿por qué es importante el consentimiento? Porque si no hay consentimiento de por medio, el tratamiento que hagamos es ilícito y, por lo tanto, estamos incumpliendo el RGPD y podemos ser sancionados.
Tendremos que lograr un consentimiento por parte del usuario que sea libre, específico, informado e inequívoco. Deberá ser una declaración del mismo o una acción positiva. Se acabó la época del silencio o el “consentimiento tácito” (como era la norma en email marketing!)
Asimismo, el RGPD te impone la carga de demostrar que el usuario consintió el tratamiento de datos. Desde aquí, te sugerimos la implementación de un sistema “opt in - double opt in” para supuestos de email marketing.
Por último, recordá que el consentimiento puede ser revocado por el titular en cualquier momento y deberás cesar en el tratamiento de datos que llevás a cabo.
Deberíamos hacer una auditoria detallada de todos ellos y contrastar con los términos del RGPD. Hacernos, mínimamente, las siguientes preguntas: ¿obtuvimos el consentimiento de ellos de la manera que exige el RGPD? ¿Informamos sobre todas las finalidades del tratamiento? ¿Informamos sobre la revocación del consentimiento? ¿El consentimiento fue tácito?
Si creemos que reunimos los requisitos del RGPD, podríamos continuar con el tratamiento. En caso contrario, debemos comunicarnos con todos y cada uno de ellos y solicitar un nuevo consentimiento.
¿Y si no responden? Sencillo, elimínalos!
El marketing, y en especial el inbound marketing que pregona este blog, se basa en generar relaciones genuinas y duraderas con nuestros clientes. El RGPD brinda una nueva oportunidad para generar una cultura del marketing basada en el respeto mutuo, la generación de valor y la fidelidad de los usuarios, consumidores y/o clientes, quienes pasarán a estar “primeros” y no serán torturados con contenido que no fue requerido o víctimas de tratamientos de datos ilícitos.
Si antes de la entrada en vigor del RGPD era ya una práctica oscura y no alentada por profesionales del marketing y/o la abogacía, ahora mucho menos! Podría ser legal en algún supuesto muy elaborado, pero la práctica y experiencia indican que usualmente son bases de dudosa procedencia, menor eficacia aún e ilegales.
Veamos, la compra de base de datos no se condice en lo más mínimo con el espíritu del RGPD. Éste será el momento de “dar el salto de calidad” por parte de los profesionales del marketing. Deberán idear nuevas estrategias, generar valor agregado, crear nuevas relaciones y nutrir las ya existentes, de manera tal que se pueda llegar al paradigma descrito en el punto anterior. Si el gerente de marketing de tu empresa te ofrece, como mejor o única alternativa, la compra de una base de datos… quizá sea el momento de reemplazarlo.
Cuando se realiza tratamiento de datos personales con fines de “mercadotecnia” y se procede a la elaboración de perfiles, debemos tener en cuenta tres cosas.
¿Qué sucede si el titular me solicita sus datos personales?
Estamos obligados a proporcionar los datos personales al titular en un formato estructurado, de uso común y lectura mecánica. Si solicita que transmitamos sus datos personales a otro responsable de tratamiento (ej: a otra empresa con la cual compito), estamos obligados a hacerlo cuando sea “técnicamente posible”.
En caso que un tercero (encargado de tratamiento) acceda a los datos personales de nuestros clientes, usuarios, etc. debemos establecer reglas claras sobre el tratamiento que hará este tercero, las cuales serán plasmadas en un contrato.
Quienes hacen marketing, usualmente, manejan y disponen de información proporcionada por sus clientes que - en muchos supuestos - puede ser privilegiada y/o sensible. Más allá de las medidas de seguridad que se adoptan, puede suceder que tengamos incidentes de seguridad. En algunos supuestos, deberemos comunicar dicho incidente a la autoridad de aplicación del RGPD. Ejemplos: pérdida de una laptop, acceso indebido a una base de datos por terceros, etc.
Podemos concluir que el RGPD se trata de: