Los datos están regulados por la ley orgánica de protección de datos 15/1999,
el real decreto 1720/2007 y “ahora está la normativa europea, el reglamento 2176/299, aplicable en 2018 que amplía el rango de qué son datos personales y la recogida y uso”, matiza Martínez. La ley estipula que no se pueden enviar correos electrónicos (vía e-mail, SMS, MMS, Whatsapp o similar) con promociones, sorteos o anuncios a nadie que no te haya autorizado, y que la página web debe informar para qué recoge los datos y qué va a hacer con ellos. infracciones más comunes:
Bases de datos compradas. “A veces nos llegan los emprendedores con bases que han comprado por muy poco dinero en Internet para hacer un e-mailing y no pueden hacer nada porque carecen de consentimiento expreso”, explica Guillermo Sáez Viana, socio director de la agencia algo Más que Marketing. “Hace tiempo nos llegó un caso de una empresa que había contratado con una agencia de comunicación el envío de newsletters. Esta agencia utilizaba base de datos compradas sin verificar. La denuncia le llegó a mi cliente, no a la agencia que realizó el envío ni a la empresa que le vendió la base de datos”, explica Raúl Pérez, director de Loyer Asesores. Nuestro consejo: cuidado con esos durosapesetas en materia de bases de datos. Exige que te entreguen el consentimiento por escrito de los incluidos en la base de datos. La primera vez, la agencia suele mandar un aviso y exigir que elimines ese correo, pero la segunda vez sí sanciona y lo hace con multas que de media rondan los 2.500/3.500 euros, pero que, dependiendo del tamaño del envío y de las circunstancias que concurren pueden alcanzar los 300.000 euros e incluso llegar hasta los 600.000.
Bases de datos sensibles. Hay sectores donde la utilización de
la base de datos está especialmente regulada, como es el caso de menores o enfermos. Imagina que estás desarrollando un medicamento o un producto para una enfermedad, por ejemplo el Parkinson, y utilizas una base de datos de enfermos de Parkinson donde no se recoge la autorización expresa. En este caso, serías sancionado automáticamente. Nuestro consejo: asesórate muy bien sobre las especificaciones de tu sector. Es mejor pecar de escrupuloso, que caer en una infracción, porque en estos mercados sensibles la utilización fraudulenta de datos se considera sanción grave (hasta 600.000 euros).
Bases de datos
de elaboración propia. Sólo puedes enviar información comercial si pides autorización expresa o si tienes relación comercial directa con la empresa. Si la relación es indirecta, puedes tener problemas, cuenta Óscar Vega, CEO de Presencia digital: “En marzo
de 2015, uno de nuestros clientes se encontró que una de las empresas a
las que mandaba ofertas comerciales, le solicitó que le mostrara el documento o contrato con su consentimiento. Nuestro cliente entendía que al ser una de las empresas con las que trabajaban en otra empresa del grupo, podían enviarles correos con finalidades comerciales, pero se equivocaba”.
Nuestro consejo: debes tener un formulario donde claramente se pida al usuario su autorización para enviar información con fines comerciales, con una casilla visible que no está premarcada. además, hay que dar de alta el fichero de la base de datos, aclarando para qué se va a utilizar, “qué datos de carácter personal hemos recabado, quiénes lo manejan y qué medidas de seguridad y protección vamos a implantar”, explica Vega.
El derecho de Arco.
Toda comunicación tiene que facilitar, de forma visible para el usuario, su derecho de actuación, Rectificación, Cancelación y Oposición de sus datos. Las sanciones por la ausencia de esta cláusula oscilan entre 600 y 1.200 euros. Una vez que el usuario ejerza el derecho de oposición, debe respetarse a rajatabla. “Recuerdo dos empresas, una línea aérea y un concesionario
de coches, que fueron denunciados por usuarios que seguían recibiendo información comercial tras darse de baja. En el primer caso, la sanción fue de 3.500 euros, en el segundo, 2.000”, explica Pérez.
Nuestro consejo: verifica la redacción de tus escritos de marketing, comprueba que está incluida la cláusula y el botón de opt out y que éste funciona correctamente. Como recuerda Martínez, “respeta el habeas data (la traslación digital del habeas corpus): que el individuo tenga control sobre sus datos y su reputación digital.”
Transferencia internacional de datos o bases alojadas fuera de España o Europa.
“En abril de 2016, un cliente que utilizaba una herramienta de email marketing denominada MailChimp tuvo serios problemas originados por la ubicación de dicha plataforma fuera del estado español. Uno de sus clientes, un hospital, al ver que utilizaba esta plataforma, solicitó a nuestro cliente que le notificara en qué país estaban los servidores (un hospital tiene una LOPD muy estricta que deben cumplir sus partners). Al informarse, mi cliente se enteró de que estaban en Estados Unidos. El hospital demandó y le exigió una indemnización de 13.100 euros por daños y perjuicios”, señala Vega.
Nuestro consejo: hay que extremar las precauciones porque puede ocurrir que las leyes que aplican aquí no sean las mismas que en otros países. a modo orientativo, la transferencia internacional de datos se regula en los artículos 33 y 34 de la LOPD 15/1999, de 13 de diciembre, y en el Reglamento de desarrollo de la LOPD, Real decreto 1720/2007 de 21 de diciembre.
Direcciones a la vista. Aunque cada vez ocurre menos, hace un tiempo ésta era una de las infracciones más habituales: realizar envíos masivos dejando a la vista las direcciones de todos los destinatarios.
Nuestro consejo: utiliza una carpeta propia de contactos o usa la copia oculta. Se considera
una vulneración de la ley de secreto y está castigado con penas que pueden alcanzar los 3.000 euros.