Auditoría de protección de datos en el email: RGPD, CAN-SPAM y CCPA

¿Qué es una auditoría de protección de datos en el email?

A grandes rasgos, una auditoría de protección de datos en el email está diseñada para garantizar que los profesionales del marketing cumplan con los requisitos de las leyes de privacidad de datos a las que se encuentran sujetos.

Más concretamente, debe permitir a los equipos de email asegurarse de que han recopilado legalmente cualquier información de contacto almacenada en sus herramientas de software para marketing y de que tienen registros del permiso explícito para recibir comunicaciones de marketing otorgado por cada suscriptor.

La auditoría también debería ayudar a los responsables de marketing a entender dónde se almacena la información de los suscriptores en la empresa, para así poder eliminar rápidamente los datos de sus sistemas en caso de que un suscriptor lo solicitara. Y además, debe ayudar a fijar el plazo durante el cual los profesionales de marketing deben conservar la información de los suscriptores si están inactivos.

Sabemos que si has trabajado en el email marketing antes del RGPD, la fecha del 25 de mayo de 2018 probablemente esté grabada a fuego en tu memoria, y serás plenamente consciente de cómo es una auditoría de protección de datos en el email. Pero, por si acaso, vamos a  refrescarte la memoria.

Con la entrada en vigor del decreto, los profesionales del email marketing se sumieron en una locura colectiva por demostrar que sus actividades cumplían con el RGPD, consultando desesperadamente a sus equipos legales antes de revisar sus registros para comprobar que tenían permiso para mantener sus relaciones con sus suscriptores.

En muchos casos, esa información faltaba, por lo que hubo que pedir, de manera retroactiva, el permiso de sus suscriptores para continuar su relación. La mayoría de estas solicitudes fueron ignoradas, y muchas bandejas de entrada se vieron bastante vacías durante un tiempo. Para los profesionales de marketing más atentos y obedientes, que ya llevaban tiempo siguiendo las mejores prácticas, esto supuso una gran noticia: menos emails significó menos competencia por captar la atención de los receptores.

¿Con qué normas de protección de datos debes cumplir?

El primer paso antes de auditar el cumplimiento de las leyes de protección de datos en tus emails es identificar qué normas debes cumplir. Conocer la ubicación de tus usuarios te ayudará a entender qué leyes tienes que respetar. Por ejemplo, los profesionales de marketing que envíen emails a ciudadanos de la UE deberán seguir el RGPD, mientras que los que envíen campañas a usuarios residentes en California deberán cumplir la CCPA.

La buena noticia es que, si cumples con el RGPD, es probable que también cumplas con la CCPA, la CPRA y demás regulaciones que puedan afectar a tus campañas, ya que el RGPD establece un estándar general bastante alto. Lo que es mejor aún, cumplir el RGPD es una de las prácticas de email marketing recomendadas.

El RGPD, la CCPA y la CPRA tienen en común que los profesionales del email marketing deben:

• Contar con el permiso explícito de sus suscriptores antes de añadirlos a una lista.

• Enviar únicamente comunicaciones relevantes basadas en interacciones anteriores.

• Proteger los datos personales y no compartirlos con otras partes sin su permiso.

• Identificarse claramente en cada mensaje.

• Permitir a los suscriptores ser eliminados rápida y fácilmente de las listas. 

Es decir que, si consideras que haces una buena labor de email marketing, cumplir cualquier regulación debería ser pan comido para ti. Ay, si la vida fuera así de fácil...

¿Cuándo se debe hacer una auditoría de protección de datos en el email?

Al igual que cualquier auditoría de email, es necesario realizar auditorías de protección de datos periódicamente para garantizar el cumplimiento de todas las leyes y regulaciones que puedan aplicarse a tu negocio, sobre todo cuando entra en vigor una nueva.

También es posible que desees llevar a cabo una auditoría de protección de datos en el email si has heredado una lista de contactos y no entiendes claramente cómo se adquirieron los datos. En el mejor de los casos, dichos datos podrían haberse recopilado de forma legítima pero haberse separado de la documentación que demuestra su cumplimiento con el paso del tiempo. En el peor de los casos, podrían haberse adquirido utilizando prácticas poco éticas. 

Da igual si las direcciones en tu lista de email han sido compradas, robadas o si tus suscriptores han revocado su consentimiento.  Como profesional del email marketing que cumple la normativa más reciente, si no cuentas con consentimiento activo y explícito de tus suscriptores, no puedes incluirlos en tus comunicaciones de marketing.

En este punto, querrás realizar una auditoría de protección de datos en el email para separar los datos que puedes utilizar de aquellos contactos a los que no debes enviar.

¿Qué información debe estar presente en una auditoría de protección de datos en el email?

Hay algunos elementos que deberás tener en cuenta cuando decidas llevar a cabo una auditoría de protección de datos de tu programa de email. Se trata de los datos que solicitas a tus suscriptores y de la forma en que recopilas dicha información.

Declaración de permiso

El primer elemento que debes observar al realizar una auditoría de protección de datos en el email es la declaración de permiso aprobada por un suscriptor en el momento en que se registra.

Ese registro de permiso puede recopilarse y almacenarse de varias maneras. Idealmente, se habrá adquirido mediante una casilla de verificación vinculada a un estado de cuenta en un formulario de suscripción en línea y será accesible a través de tu proveedor de servicios de email marketing. También puede haberse originado a través de un sistema de comercio electrónico, una pasarela de pago, una aplicación móvil o cualquier otro servicio en línea. Hacer un seguimiento de estos permisos puede ser un reto cuando se comparten datos entre plataformas, porque pueden perderse al pasar a nuevos sistemas o a una nueva plataforma.

El problema aumenta cuando no se recopilan las direcciones de correo en línea, sino en persona, ya sea en una tienda, un mostrador o un evento. Las buenas prácticas determinan que estas direcciones de email se deben recopilar electrónicamente. Y es que un simple formulario de suscripción con su declaración de permiso se puede alojar fácilmente en una tablet o smartphone. Aunque si quieres complicarte la vida, también es posible obtener el permiso de tus suscriptores mediante formularios en papel, un método que no hará más que darte dolores de cabeza después.

Fuente de las suscripciones

El segundo elemento que debes buscar es la fuente de tu suscripción. Un email que cumpla la normativa tiene que ser acorde a la interacción original por parte de tus suscriptores. Que tu negocio ofrezca múltiples servicios no significa que debas promocionarlos a todos tus suscriptores.

El verdadero desafío para los profesionales del email marketing es tener que remover cielo y tierra para vincular a los suscriptores con declaraciones de permisos y fuentes en múltiples plataformas tecnológicas, a las que pueden, o no, tener acceso. No olvides que el cumplimiento de la protección de datos en el email es un requisito legal. Como profesional de marketing, tendrás que compartir tus conocimientos y experiencia con el equipo legal de tu empresa, que, en última instancia, será el encargado de aprobar tu auditoría.

Cantidad de datos recopilados

El tercer elemento que necesitas evaluar al ejecutar una auditoría de protección de datos en el email es la información real que recopilas de tus contactos. ¿Qué datos solicitas a tus usuarios cuando se registran?

Tus procesos de recopilación de datos siempre deben respetar el principio de minimización de datos. Es decir, solo debes recopilar la información exacta que necesites para tu objetivo específico. No pidas datos que no necesites ni pienses usar. Piénsalo, ¿para qué recabar la fecha de nacimiento o el número de teléfono del usuario si no tienes intención de utilizarlos para nada? Si no es relevante, no lo solicites.

Pros y contras de una auditoría de protección de datos en el email

Vale, el título es algo engañoso. En realidad, llevar a cabo una auditoría de protección de datos en el email solo tiene ventajas. Aunque esto signifique que tengas que eliminar contactos de tus listas, el riesgo que corres al enviar mensajes no solicitados es mucho mayor.

Las infracciones del RGPD pueden acarrear multas elevadas: hasta 20 millones de euros (unos 22,6 millones de dólares) o el 4 % del volumen de negocio global anual, la cantidad que sea mayor. Y si piensas que la UE ladra pero no muerde, piensa en la multa de 8,5 millones de euros impuesta a Vodafone España por llevar a cabo actividades de marketing no solicitadas.

Empieza de cero con Mailjet

Utilizar un proveedor de servicios de email marketing que cumpla con el RGPD, como Mailjet, es un gran comienzo de cara a diseñar un programa de emailing que siga la normativa. Utiliza el widget de suscripción de Mailjet para asegurarte de recopilar, correctamente, la información necesaria de tus nuevos contactos. Con un recurso tan preciado como los datos de tus contactos, querrás cerciorarte en todo momento de no estar contaminando tu lista con métodos de recopilación que no cumplen la ley.

Somos conscientes de que, a menos que te apasione lo legal, a nadie le gusta llevar a cabo una auditoría de protección de datos en el email. Pero, si no puedes garantizar al 100 % la calidad de tus listas, vas a tener que hacerla. No te preocupes, como todos hemos pasado por lo mismo, hemos preparado un kit de emergencias RGPD para profesionales de marketing en apuros.

¿Quieres recibir más consejos de email marketing directamente en tu bandeja de entrada? Suscríbete a nuestra newsletter y recibe actualizaciones semanales del equipo de Mailjet.