Lista de comprobación del cumplimiento del GDPR para profesionales del marketing digital

18 de octubre de 2017

Si no ha oído hablar del nuevo Reglamento GDPR, este post es para usted.

En serio, el GDPR es importante, cambia las reglas del juego y hay que actuar en consecuencia. Preferiblemente ahora.

Por eso hemos elaborado esta Lista de comprobación del cumplimiento del GDPR para profesionales del marketing digital.

Lo primero es lo primero, esta nueva Ley entra en vigor el 25 de mayo de 2018, y afecta a cualquier vendedor digital y de correo electrónico en la UE. No hace falta decir que no se puede ignorar. El impacto va a ser enorme. Empieza ya a hacer los preparativos.

¿Qué es el GDPR?

El RGPD, que sustituye a la Ley de Protección de Datos de 1998, está diseñado para proteger tanto a los consumidores como a las empresas, normalizando la recogida y el intercambio de datos. A partir de ahora, los datos de los consumidores sólo podrán utilizarse para el fin para el que fueron adquiridos. La forma de distribuir los datos de los clientes está cambiando, independientemente del lugar del mundo en que se almacenen y procesen. Todos y cada uno de los 500 millones de ciudadanos de la UE se verán afectados.

La definición oficial del GDPR es:

"toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la que el interesado consienta, por declaración o mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernan".

Los datos personales se refieren a cualquier cosa que haga identificable a una persona, incluso características tan granulares como la afiliación política. La dirección IP también se considera ahora un dato personal identificable.

Vivimos en un mundo en el que los datos de primera y tercera parte impulsan el mundo digital, revolucionado por las redes sociales y los teléfonos inteligentes. Pero el nuevo Reglamento transformará por completo las normas para los profesionales del marketing.

¿A quién va a afectar?

La legislación afectará a cualquiera que utilice datos personales con fines comerciales. Tanto si se trata de marketing por correo electrónico como de publicidad en redes sociales, se verá afectado.

Los más afectados serán los que utilicen datos de terceros, por ejemplo, alquilando listas de correo electrónico. Básicamente, ya no podrá utilizarlas, porque no ha solicitado personalmente el consentimiento de las personas que figuran en la lista. Y tampoco podrá demostrar que le han dado permiso para ponerse en contacto con ellos.

Además, los propietarios de estas listas de terceros también van a sufrir las consecuencias. A menos que puedan volver a autorizar sus listas, éstas serán redundantes. Es necesario poder demostrar que se tiene una relación directa con la persona con la que se quiere contactar. De lo contrario, no podrá ponerse en contacto con ella y, además, no podrá conservar sus datos. Los datos deben tratarse siempre de forma lícita y con una finalidad específica. Una vez cumplida esa finalidad, los datos en cuestión deben eliminarse.

Además, si una persona desea que sus datos se eliminen de su base de datos y ya no se utilizan para el fin para el que se adquirieron, tiene derecho a hacerlo. Es lo que se conoce como "derecho al olvido".

Más concretamente, el RGPD se aplica a los "responsables del tratamiento" y a los "encargados del tratamiento" de los datos. Aunque cualquiera de ellos tenga su sede fuera de la UE, siempre que traten datos que pertenezcan a residentes de la UE, seguirán estando sujetos al RGPD.

Es probable que el RGPD no afecte a la recopilación real de datos de clientes potenciales a través de empresas como Google y Facebook, principalmente porque ya mantienen relaciones directas con los clientes. Por lo tanto, es probable que estas redes se beneficien enormemente de la legislación, dado que los profesionales del marketing pueden ver reducido el tamaño de sus propios datos de origen y, por lo tanto, dependerán más de las redes sociales para llegar a los consumidores.

¿Qué va a cambiar?

Seguramente habrá visto algún que otro artículo alarmista en el que se detallan las reacciones instintivas de las marcas ante la legislación, algunas de las cuales han llegado incluso a eliminar por completo su base de datos de correo electrónico. Cuando, en realidad, lo único que hace falta es poner orden en casa.

Si ya tiene el consentimiento expreso para su base de datos, es poco probable que sea suficiente. Incluso si ya se ha puesto en contacto con una persona, tendrá que obtener su consentimiento de nuevo. Y tener constancia de ello. Esta es la cuestión principal: tener un registro de un usuario que dice que está de acuerdo en recibir sus mensajes de marketing, cuándo dio su consentimiento y cómo.

Y tienes que decir CÓMO se utilizarán sus datos. Aunque alguien le haya dado su tarjeta de visita y le haya dicho "póngase en contacto conmigo", no es suficiente. Ni siquiera el acuerdo verbal se sostendrá ante el GDPR. El consentimiento debe ser demostrable y quedar registrado.

Sin el consentimiento explícito de estos usuarios, la única alternativa es tener una base de datos de usuarios completamente redundante. Esta es una situación que ninguna empresa desea, y sería catastrófica.

¿Y el Brexit?

No hay forma de evitarlo: la legislación entrará en vigor, independientemente del Brexit. En el momento en que entre en vigor el RGPD, el Reino Unido seguirá formando parte de la UE. Ya sabemos que el Reino Unido no abandonará la UE hasta dentro de dos años como mínimo. El Gobierno británico ya ha confirmado que los cambios seguirán adelante.

Es posible que revisen la normativa una vez finalizado el Brexit, pero no tiene sentido adelantarse a esa posibilidad. El RGPD está en marcha y las empresas tienen que adaptarse.

¿Y el retargeting a través de audiencias personalizadas?

Se podría argumentar que, como los datos se someten a un tratamiento previo antes de subirlos a Facebook, no son identificables. Sin embargo, esto no impide que sean datos personales, ya que una vez que llegan a Facebook, se siguen comparando con los datos personales de alguien en Facebook. En esencia, sigues intentando identificarlos y llegar a ellos con publicidad.

Antes de la entrada en vigor del GDPR, podías llevar a cabo la limpieza de la reautorización como una campaña publicitaria. Con Facebook Lead Ads, puedes simplificar este proceso y, además, enriquecer tus datos con preguntas adicionales. Trata la renovación de permisos como una oportunidad para enriquecer tu base de datos.

¿Cómo afecta el GDPR al retargeting a través de Facebook Custom Audiences, LinkedIn Matched Audiences o Google Customer Match?

Al utilizar las soluciones de sincronización de audiencias de Driftrock, puedes asegurarte de que cumples con el GDPR. Nuestro software puede sincronizar sus listas y segmentos de CRM cada tres horas. Así, cada vez que alguien se dé de baja de tu CRM, será eliminado de tu audiencia personalizada en Facebook, LinkedIn o Google Matched Audiences. Más información sobre nuestras soluciones GDPR para marketing digital.

¿Cuáles son las consecuencias del incumplimiento?

En serio: ni se le ocurra intentar salirse con la suya. Las sanciones por incumplimiento del GDPR son multas de hasta 20 millones de euros, o el 4 % de su facturación global anual.

Tenga en cuenta también que, a medida que el RGPD se generalice, los consumidores serán cada vez más conscientes de él y, por tanto, conocerán sus derechos, su capacidad para presentar una reclamación y la posibilidad de reclamar una indemnización. No querrá estar en el lado equivocado, no merece la pena arriesgar la reputación de su marca.

Piense en el PPI: nadie había oído hablar de él hace diez años. Ahora forma parte de la conciencia de los consumidores, al igual que su potencial de recompensa.

Si tiene dudas sobre alguna parte de sus datos y la forma en que los recopiló en primer lugar (es decir, si no está claro si se pidió permiso), en lugar de intentar obtener un nuevo permiso, puede que sea más seguro borrarlos.

¿Cuál es la mejor manera de obtener una nueva autorización?

En primer lugar, tienes que estar preparado para que la gente no responda a tu solicitud de re-permiso. Es muy probable que este ejercicio reduzca el tamaño de su base de datos de contactos. Potencialmente, va a ser una carnicería para los profesionales del marketing. Y si no obtienes el permiso, la siguiente opción es borrar los datos de ese usuario. Es la opción más segura para evitar sanciones.

Por supuesto, tiene la opción de no volver a ponerse en contacto con ningún cliente de la UE, ya que la legislación sólo afecta a la UE. Pero es poco probable que esa sea una opción sensata para la mayoría de las empresas de la UE.

Antes de solicitar una nueva autorización, conviene plantearse algunas preguntas para asegurarse de que quiere hacer constar el hecho de que posee datos personales de alguien. Aunque disponga de los datos de alguien que se haya descargado un PDF de su sitio web, no puede dar por sentado que esa persona ha aceptado ser incluida en su lista de correo electrónico.

  • ¿Debería haber tenido estos datos en primer lugar?
  • ¿De dónde ha sacado los datos? ¿De fuentes externas o externas? 
  • ¿Por qué tienes los datos? 
  • ¿Tiene permiso explícito para dirigirse a una persona?

Si al final de estas preguntas todavía puede decir que posee los datos legítimamente, entonces es el momento de decidir cómo va a solicitar exactamente la nueva autorización. Además, como ya se ha dicho, puede aprovechar la oportunidad para obtener información adicional de los contactos, por ejemplo, recabando opiniones y enriqueciendo los datos que tiene sobre ellos.

La clave es que al menos pueda demostrar que ha tomado medidas para prepararse para el RGPD. No basta con decir simplemente que hemos planificado esto y lo otro: tiene que haber verdaderos intentos de limpiar sus datos. Además, ¿realmente puede permitirse el lujo de recibir un golpe en el 4% de su volumen de negocios? No lo creo.

Ahora tienes la oportunidad de crear una base de datos de contactos que QUIEREN que te pongas en contacto con ellos y que te han dicho CÓMO quieren que te pongas en contacto con ellos y PARA QUÉ quieren que te pongas en contacto con ellos. Construye una base de datos de personas que quieren ser contactadas por ti, y descubre exactamente cómo quieren ser contactadas.

Es hora de poner sus datos en línea.

¿Quiere saber cómo Driftrock puede mantenerle en el lado correcto del GDPR con nuestras herramientas de automatización de audiencias CRM? Obtenga más información sobre las soluciones de regulación GDPR de Driftrock:

GDPR PARA VENDEDORES DIGITALES