Tengo un blog ¿qué obligaciones RGPD y LSSI tengo? ¿Debo publicar mis datos personales en el blog para cumplir la ley? ¿Y si es un podcast, una cuenta de instagram o un canal de youtube? ¿Necesito adaptarme también al RGPD?
Respuesta corta:
- Si tienes un blog personal, un podcast aficionado, una cuenta de instagram o un canal de youtube para que tus amigos y familiares vean lo bien que te lo pasas en la piscina, entonces no. No estás obligado a nada.
- Pero si monetizas o integras cualquiera de estos canales en tu negocio online u offline, entonces sí.
Pero mi blog tiene lista de correo ¿estás seguro de que no debo cumplir el RGPD?
Vale. Estamos entrando en un terreno delicado en el que necesitamos desarrollar una respuesta larga, aburrida y llena de referencias legales. Si estuviera en Twitter, ahora mismo diría [abro hilo]. Pero como esto es un blog, os invito a leer los siguientes apartados.
Índice del artículo
¿Monetizas tu blog, youtube, instagram o podcast?
Esta es una pregunta fundamental. Los requerimientos legales de nuestra presencia en internet serán muy diferentes dependiendo de la respuesta.
En internet se pueden encontrar muy buenos artículos sobre requisitos legales de los blogs frente al Reglamento General de Protección de Datos. Por ejemplo, este de Marina Brocca publicado en el blog de Rubén Alonso y este otro de Antonio Cambronero de Blogpocket.
En ambos casos los blogs forman parte de la estrategia digital de un negocio, ya sea monetizando a través de publicidad, enlaces de afiliación o vendiendo infoproductos directamente. Y todo ello haciendo uso intensivo, además, de una lista de correo para e-mail marketing. Por supuesto, para ellos, serán obligatorios los requisitos que se mencionan en sus artículos.
Pero esta no es, de entrada, la situación que se analiza en este artículo. En primer lugar, existe vida más allá de los blogs. El podcasting, los canales de Youtube y las cuentas de instagram están ganando protagonismo en el mundo digital, por lo que es pertinente informarse si deben cumplir también requisitos parecidos a los blogs.
En segundo lugar, es importante darse cuenta de que, a efectos de requisitos, son dos las normativas que debemos tener en cuenta:
- La Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI, en adelante) para medios (podcast, blog, o lo que sea) que constituyan una actividad económica; y
- el famoso Reglamento General de Protección de Datos (RGPD, en adelante), si en nuestro medio hacemos tratamiento de datos personales.
Esto nos dará unas cuantas situaciones que deberemos considerar. Las más claras estarán en los extremos: el primero, un medio estrictamente personal (esto es, que no sea actividad económica ni realice tratamientos de datos personales), y el segundo, un medio que sí sea actividad económica y que también realice tratamientos de datos personales.
Sin embargo, me detendré en una situación especial: la de una actividad económica que no trate datos personales.
Para hacer todo esto no queda más remedio que examinar el marco jurídico básico de los negocios en internet, con lo que daremos paso a la parte aburrida, larga y deprimente. Vamos allá.
Requisitos legales básicos para emprender en internet en España
El marco jurídico básico está delimitado por las dos normas que regulan, por un lado, la protección de datos y por otro, los servicios de la sociedad de la información y el comercio digital.
Ley Orgánica de Protección de Datos Personales (LOPD) y Reglamento General de Protección de Datos (RGPD)
La primera norma es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Aquí se puede consultar el texto legal en el BOE.
La finalidad de esta disposición es garantizar los derechos digitales de la ciudadanía. En España, los derechos fundamentales y las libertades públicas deben estar regulados mediante unas leyes especiales que requieren una mayoría absoluta en el Congreso para su aprobación. Así, este nuevo texto legal cumple dos funciones:
- Primero deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la antigua LOPD.
- Y segundo, establece un nuevo régimen de protección de datos que coincide con el establecido en el famoso RGPD. La referencia completa es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. El texto del RGPD se puede consultar aquí.
En otras palabras, el reglamento europeo se convierte en una norma de casi aplicación directa, lo que no deja de ser curioso. Una Ley orgánica de un estado soberano queda igualada a un reglamento elaborado por unos tecnócratas de Bruselas que nadie sabe muy bien cómo se eligen. Pero este es otro debate.
Tecnicismos a parte, lo que se pretende con el RGPD es bastante razonable: la protección de los datos personales de los ciudadanos europeos para que no acaben en ficheros sobre los que se elaboren, de forma automática, perfiles comerciales, políticos o de cualquier otra clase.
Obligaciones RGPD
¿Cuáles son las obligaciones que nos imponen estas normas? Así, muy resumido, podemos decir que el artículo 5 del RGPD establece unos principios generales que deben respetarse en los tratamientos de los datos que hagamos.
Los tratamientos de los datos personales de los interesados deberán ser lícitos, leales y transparentes. Los datos sólo podrán ser recogidos con limitación de finalidad. Es decir, que se emplearán sólo para aquello que se haya informado, por lo que los objetivos de la recogida de datos serán explícitos y legítimos; y para ello tomaremos sólo los datos mínimos necesarios que, además, estarán actualizados durante su plazo de conservación.
El artículo 22 prohíbe, además, la elaboración de perfiles de los ciudadanos con objeto de realizar tratamientos automatizados, excepto en el caso de que se disponga del consentimiento explícito.
Por otra parte, durante el plazo de conservación de los datos, su integridad y confidencialidad, deberá quedar garantizada por la aplicación de las medidas técnicas u organizativas adecuadas.
Pero, quizás, la obligación más complicada de todas es la de la responsabilidad proactiva establecidas en los artículos 30 y 32. El responsable del tratamiento debe ser capaz de demostrar ante las autoridades que cumple con los principios antes enumerados cuando maneja datos personales de usuarios o clientes.
Finalmente, los artículos 44 y siguientes regulan la transferencia de datos personales.
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
La otra gran norma que debemos tener en cuenta es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico o LSSI.
Esta Ley pretende regular los los servicios de la sociedad de la información y de la contratación por vía electrónica estableciendo ciertas obligaciones tanto a los prestadores de tales servicios como a los intermediarios en la transmisión de contenidos por las redes de telecomunicaciones. Esto incluye un tema que afecta bastante a los bloggers: las comunicaciones comerciales por vía electrónica.
Lo único que nos falta saber es que este concepto es algo que ha sido regulado en el artículo 4, apartado 25, del propio RGPD.
25) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);
La definición no aclara mucho, la verdad. En realidad, nos remite a otra Directiva europea que habla de reglamentaciones técnicas aplicadas a los los servicios de la sociedad de la información. El nombre completo es Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información y puede consultarse en este enlace. Pero esta vez sí que encontramos una definición:
todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios.
La Directiva continúa desarrollando cada uno de los aspectos mencionados. Volveremos sobre ellos más tarde.
Obligaciones LSSI
Respecto a la LSSI, el principal quebradero de cabeza lo encontramos en el artículo 10.1 a). Poco más o menos dice que el prestador de servicios de la sociedad de la información estará obligado a disponer de los medios electrónicos que permitan acceder de forma permanente, fácil, directa y gratuita, a sus nombre, domicilio y dirección de correo electrónico.
Y este último punto es, quizás, el foco más importante de confusión a la hora de considerar las obligaciones legales de blogs, podcast y canales de youtube. Todo el mundo entiende que crear un podcast, por ejemplo, para hablar de lo bien que te lo pasaste durante el fin de semana en la playa no puede acarrear demasiadas complicaciones legales. Pero, si tienes una lista de correo para avisar a los suscriptores de que has publicado un episodio, quizás podrías estar haciendo uso de datos personales, por lo que la situación ya no está tan clara.
Por otra parte, el artículo 21 de la LSSI prohíbe el el envío de comunicaciones publicitarias o promocionales por correo electrónico (o medios equivalentes) que no hubieran sido solicitadas previamente, lo que podría afectar a los negocios basados en internet.
Pues bien, ahora que conocemos el marco regulatorio y las obligaciones que nos impone, estamos en disposición de retomar las preguntas iniciales relativas a las obligaciones legales de bloggers, instagramers, podcasters y youtubers.
¿A quién afecta la LSSI?
Aunque sea algo obvio, no está de más repetirlo. El hecho de abrir un blog, podcast, instagram o canal de youtube no tiene, por sí mismo, significado legal. Lo importante es saber si constituye una actividad económica o no para ver qué normativa es de aplicación. Sobre actividades económicas en España podéis consultar esta entrada.
En caso de que el servicio prestado sea una actividad económica, deberemos evaluar si se trata de un servicio LSSI o no. Como demostraré enseguida, no todo servicio prestado por vía electrónica constituirá un servicio de la sociedad de la información para el que debamos cumplir la obligación de publicar nuestro domicilio.
Así que vamos al lío. ¿Para qué utilizo estos medios de comunicación (blog, instagram, youtube o podcast)? Solo hay dos respuestas:
- Actividad personal. En mi blog, podcast o canal de youtube cuento lo que quiero sin pedir nada a cambio. No hay monetización de ningún tipo. Notad que esta situación también se daría en el caso de trabajadores por cuenta ajena, que emplean estos medios para potenciar su marca personal o para posicionarse como expertos en algún campo.
- Realización de una actividad económica. Bien como empresario individual, profesional autónomo, o a través de una forma societaria, se pueden emplear podcasts, blogs o canales de youtube para dar soporte a nuestra presencia en internet.
Definición de Servicios de la Sociedad de la Información
Para saber si se nos aplica la LSSI primero examinaremos la definición. El artículo 1 b) de la Directiva (UE) 2015/1535 dice que se entenderá por servicio de la sociedad de la información “todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios.”
Elementos fundamentales en esta definición:
- Servicio prestado a cambio de una remuneración. Si no cobras, no es un servicio LSSI.
- a distancia significa que el servicio se presta sin que las partes estén simultáneamente en el mismo sitio. Si se requiere la presencia de ambas partes, ya no sería a distancia.
- por vía electrónica. El servicio se envía desde la fuente y llega al destinatario mediante equipos electrónicos conectados por medios electromagnéticos.
- a petición individual de un destinatario de servicios. Este es también muy importante. El servicio debe ser prestado mediante transmisión de datos a petición individual. Por hacer la equivalencia, una valla publicitaria no funciona a petición individual, en cambio, el envío de un catálogo de muebles a tu casa, sí.
Resulta, además, que la Directiva (UE) 2015/1535 incluye un Anexo I en el que se da una lista indicativa de servicios que no son LSSI:
- Servicios no ofrecidos a distancia. Son aquellos prestados en presencia física del prestador y del destinatario, aunque impliquen la utilización de dispositivos electrónicos. Este sería el caso de las sesiones de consultoría ofrecidas a través de videoconferencia.
- Servicios no ofrecidos por vía electrónica. Son aquellos cuyo contenido sea material, aunque se presten utilizando dispositivos electrónicos; o que se empleen medios a distancia pero sin requerir sistemas de tratamiento de datos. Sería el caso de la venta de entradas o cupones de descuento a través de una web o, nuevamente, la realización de consultorías por medios telemáticos.
- Servicios no prestados a petición individual de un destinatario. Se refiere a servicios prestados mediante transmisión de datos sin petición individual y destinados a la recepción simultánea por un número ilimitado de destinatarios. En este último punto se citan explícitamente los servicios de radiodifusión televisiva, sonora y el teletexto.
Blogs, podcasts, instagrams y canales de youtube como medios personales
La primera conclusión, que en realidad es evidente, es que tanto blogs como podcast y canales de youtube estrictamente personales (que no supongan la realización de una actividad económica) se salen del ámbito de aplicación de esta normativa. Por tanto, si abres un medio de uso personal (blog, podcast o vídeos de youtube) no tienes la obligación de publicar tu nombre, NIF, dirección ni datos de contacto.
Publicidad y patrocinios
La segunda conclusión, a primera vista sorprendente, es que ciertas actividades económicas que impliquen la monetización a través de blogs, podcasts o canales de youtube, también van a quedar fuera de la la LSSI. ¿Cuáles? Los servicios no prestados a petición individual consistentes en la transmisión de datos destinados a la recepción simultánea por un número ilimitado de destinatarios: blogs, podcasts y canales de youtube.
En realidad, los medios citados no son negocios on line por sí mismos. Funcionarían, más bien, como medios de comunicación con los que podremos monetizar a través de varias fuentes:
- Un podcast en el que insertemos cuñas publicitarias o dispongamos de patrocinios;
- Un blog con adsense o banners publicitarios; o
- Un canal de youtube o cuenta de instagram con publicidad/patrocinios.
Por tanto, si queremos monetizar nuestros podcast/blog/canal con publicidad o con patrocinios *no estaremos obligados a publicar nuestros datos personales.
Consultoría a través de videoconferencia
La tercera conclusión tendrá que ver con un tipo de servicio muy popular en el mundo de los blogs: el servicio de mentoría o consultoría a través de videoconferencia. En esencia, el servicio prestado consiste en una entrevista sin necesidad de la presencia física en la misma ubicación de ambas partes gracias a la utilización de ordenadores y redes de comunicación. Este servicio, además, no depende de los medios electrónicos empleados. Perfectamente, se podría realizar la consulta por teléfono o incluso por carta manuscrita. La videoconferencia sólo hace más cómodo y rápido el proceso.
De todo lo dicho se desprende que la entrevista, ni es a distancia ni se realiza por vía electrónica en el sentido dado en la Directiva (UE) 2015/1535, por lo que se trata también de un servicio prestado al margen de la LSSI.
Sitios de membresía
Vaya, parece entonces que la LSSI casi no nos afecta. Incorrecto. Existen servicios que caen de pleno en el ámbito de aplicación de esta Ley. Un ejemplo bastante claro es el de los modelos de negocio basados en sitios de membresía.
Si tienes un sitio web donde los usuarios se dan de alta para el acceso privado a servicios variados (descargas de video, acceso a foros restringidos, etc…) a cambio de una suscripción mensual, entonces sí que se aplica la LSSI, entre otras cosas, por ser un servicio de pago prestado a petición individual.
Pasamos ahora al segundo punto de dolor de los negocios en internet. El tratamiento de datos personales.
RGPD en webs, podcasts, instagram y canales de youtube
Para saber si se aplica el RGPD a nuestros podcasts, blogs y canales de youtube, examinaremos el ámbito de aplicación material de la Directiva, que queda establecida en su artículo 2:
- El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
- El presente Reglamento no se aplica al tratamiento de datos personales: c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
Por tanto, para saber si se nos aplica o no el RGPD, deberemos tener en cuenta dos elementos: si hacemos un uso estrictamente doméstico y si manejamos datos personales de usuarios o clientes.
Medios personales
En este caso, parte de la discusión planteada en el apartado de la LSSI respecto a la realización de actividades económicas, es aplicable.
Si realizamos una actividad económica en la que empleemos un medio, ya no se tratará de un uso exclusivamente personal o doméstico. Por tanto, nuestro podcast, canal o blog deberá cumplir con el RGPD. Pero, si no realizamos actividad económica alguna, en principio no se nos aplicará el RGPD. Por supuesto, siempre habrá alguna persona retorcida que tenga un medio de uso personal en el que elabore perfiles de usuarios por puro entretenimiento. Pero no será lo habitual.
En el caso de medios de uso personal, lo mejor será aplicar el sentido común y tener en cuenta que el RGPD está pensado para proteger derechos de consumidores y usuarios. En caso de duda, mejor informar de nuestra política de privacidad.
La parte interesante viene ahora. Veremos, por un lado, tanto medios con los que se desarrollen actividades económicas por vía electrónica, pero que no hagan uso de datos personales como, por otro, actividades económicas basadas en el tratamiento de datos personales.
Resumen del RGPD
Es importante tener en cuenta que el objetivo que se plantea el RGPD es doble: por un lado declara que el derecho a la protección de los datos personales de los ciudadanos europeos es una libertad fundamental, y por otro establece que esa libertad fundamental no podrá impedir la libre circulación de éstos dentro de la Unión (arts. 1.2 y 1.3 RGPD). Como siempre, una de cal y otra de arena: el derecho a la protección no impide el negocio.
Además, en su artículo 4, establece unas definiciones que conviene conocer:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
Por tanto, información como el correo electrónico o la dirección IP del ordenador de un usuario pudieran ser considerados como datos personales.
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
Esto significa que prácticamente cualquier cosa se considera “tratamiento” de datos personales o “fichero”. Por ejemplo, una agenda de las antiguas, en papel, consiste en la recogida de datos personales (nombre y número de teléfono) y su incorporación a un fichero estructurado y centralizado (una libreta), para facilitar la posterior consulta con criterio alfabético, todo ello mediante procedimientos no automatizados (un bolígrafo o lapicero, en función de la disponibilidad).
4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
Esta definición es muy importante porque establece el principal objetivo del RGPD. La idea es la protección de nuestros datos personales para que cuando se elaboren con ellos perfiles con los que predecir nuestros comportamientos de compra, preferencias políticas y demás, se haga de forma controlada. Este es el caso de muchas de las listas de correo para e-mail marketing.
5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
Esta es otra definición interesante porque nos abre un camino para escapar del RGPD. Si eres capaz de disociar el dato personal de la información, entonces podremos ganar mucha libertad a la hora de definir nuestro modelo de negocio.
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
Este es un requisito necesario si queremos tratar datos personales. A causa de él se ha puesto de moda el doble opt-in para la suscripción a las newsletters.
A continuación examinaremos, desde el punto de vista del RGPD, algunos elementos comunes a blogs, podcasts y canales de youtube que emplean tecnologías de tratamientos de datos basadas en listas de correo.
Botón de suscribirse a una la lista de correo
Una lista de correo es un servicio por el que se permite el envío de correos electrónicos a múltiples direcciones pertenecientes a la lista.
El ejemplo más simple es el del botón de suscripción. Cuando introduces tu correo electrónico, éste queda apuntado en una lista a la que se envía un e-mail cada vez que se publica una nueva entrada.
Algo parecido ocurre con la suscripción a un canal de youtube o a un podcast. Los usuarios suscritos reciben notificaciones cada vez que se publica un nuevo vídeo en el canal o un episodio en del podcast.
Desde el punto de vista del RGPD, los tres casos son parecidos. Los usuarios se apuntan a una lista y cada vez que se publica nuevo contenido reciben un aviso. La diferencia entre ellos está en el dato que proporcionan. En el blog es el correo electrónico y en los otros dos es el usuario de la plataforma en cuestión (youtube, Apple podcast o iVoox, por ejemplo).
Además, es importante notar algunas características:
- La suscripción es voluntaria y requiere el consentimiento del interesado.
- El único uso posible de esta lista es la comunicación al usuario de la publicación de novedades. Cualquier otro uso requiere de un tratamiento complejo de los datos.
- En todos los casos no es el bloguero o el youtuber quienes gestionan los datos. La plataforma de publicación es la que se encarga de todo el trabajo.
Según la definición, “responsable” es quien determine los fines y medios del tratamiento. Pero el propietario del medio -blog/canal/podcast- no determina la finalidad de la lista, pues ésta ya está predeterminada (la comunicación de las novedades publicadas). Tampoco determina los medios del tratamiento, puesto que de ello se encarga la plataforma a través de la cual publica.
Una vez dicho todo esto ¿qué responsabilidades tienen los blogueros, los youtubers o los podcasters frente al RGPD? En mi opinión, al no ser los responsables del tratamiento, muy poca.
Lo único que deberíamos cumplir tendrá que ver con el deber básico de información a nuestros usuarios. Me refiero a que no está de más comunicarles el tema de las cookies y que sus datos serán tratados por terceras partes (las empresas propietarias de las plataformas). Las más habituales son: Automattic para WordPress, Google para Youtube, Apple para iTunes, hoy Apple Podcast y nuestra iVoox.
El email marketing
El servicio de email marketing también basa en una lista de correo de suscripción voluntaria, pero su funcionamiento es muy diferente del caso anterior ya que tiene una clara vocación comercial.
- El uso ya no está predeterminado. Se pueden enviar correos de cualquier tipo (boletines de noticias o newsletters, catálogos comerciales u ofertas de productos).
- El responsable del tratamiento sí que es el propietario del medio (el bloguero, el youtuber o el podcaster) ya que determina tanto la finalidad como los medios. Es decir, el responsable puede decidir si empleará la lista para vender, para publicitarse de forma pasiva, para generar engagement hacia su marca o para lo que que se le antoje. Y para ello decidirá sobre los medios a emplear, lo que normalmente se traducirá en la subcontratación del tratamiento de datos.
- El encargado del tratamiento suele ser un tercero contratado para ese fin. Los servicios más populares que se dedican a esto (en 2019) son Mailrelay, Mailchimp, Aweber y otros similares.
¿Qué responsabilidades tenemos frente al RGPD si hacemos email marketing? Pues muchas, porque aquí se dan todos los elementos de la tormenta perfecta. Bienvenidos al mundo de los embudos de ventas.
Embudo de ventas y RGPD
Todo empieza con un inocente “suscríbete a nuestra newsletter a cambio de este maravilloso regalo”. Para recibirlo tienes que dar el consentimiento, normalmente a través de un sistema de doble confirmación. Es el sistema de consentimiento del interesado por doble opt-in que mencioné antes: ¿quieres el regalo? SÍ ¿Estás seguro? HE DICHO QUE SÍ. Pues acepta nuestra política de privacidad y ya te puedes descargar nuestro vídeo de gatitos.
El mensaje de confirmación doble quedará registrado en el sistema informático del responsable del tratamiento para que pueda demostrar ante una auditoría que vendiste tu alma al diablo sabiendo lo que hacías.
Y aunque tú no lo notes, te habrás transformado. Dejarás de ser un visitante y te convertirás en un lead que se moverá a través de un embudo de ventas.
Explicado en pocas palabras, un embudo es un sistema que sirve para segmentar una lista de correo electrónico en nichos específicos a los que realizar acciones concretas de marketing. Veámoslo con un ejemplo.
¿Que es un embudo de ventas?
Supongamos que te suscribes al boletín de noticias de un concesionario de coches. Al cabo de un tiempo te llega un correo informándote que está disponible un artículo comparativo de vehículos tipo ranchera y, como no te interesa, ni lo abres. El servicio de email marketing detecta que no has abierto el mensaje y te cataloga como “rancheras no”.
Otro día te llega un nuevo correo con un análisis del último deportivo que ha salido al mercado. Ese te interesa y lo abres. El sistema te cataloga como “deportivos si”.
Al cabo de un tiempo, te llega un amable correo explicándote que el concesionario ha elaborado una guía para elegir el mejor coche eléctrico. Y tú te la descargas enseguida. El sistema te clasifica como “coche deportivo + eléctrico” y el concesionario prepara una oferta para este segmento de clientes.
Finalmente, tiempo después, llega una oferta flash a tu correo: “Buenos días, tenemos en stock un Tesla deportivo con un 20% de descuento si lo compra antes de final de mes ¿le interesa?” ¡PUES CLARO! ¡JUSTO LO QUE BUSCABA! ¡QUE SUERTE HE TENIDO AL PILLAR ESTE DESCUENTO! ¡CARIÑO VENDE AL PERRO QUE NOS CAMBIAMOS DE COCHE!
Este es un ejemplo un poco exagerado de cómo funciona un embudo de ventas. Y debo añadir que no se trata de un medio diabólico con el que se engaña a la gente. El objetivo es que los negocios puedan adaptar una oferta de bienes y servicios de interés para los clientes, cosa que se puede hacer de forma muy eficiente segmentando una lista de correo. El negocio obtiene beneficios y el cliente queda satisfecho.
Queda claro que se trata una relación win-win. Sin embargo, como responsables de un tratamiento de datos personales, tenemos muchas obligaciones que cumplir relacionadas con la protección de datos. Y la transparencia en esta materia es, además, un elemento que da confianza a los clientes.
Email marketing y RGPD
Después de todo lo visto se concluye que el e-mail marketing es una técnica que entra dentro del ámbito del RGPD de una forma clara debido a que:
- Hay un responsable del tratamiento, que es el propietario del blog/canal/podcast que implemente la técnica.
- El responsable suele delegar la implementación del servicio en una tercera parte que será el encargado del tratamiento.
- Debe quedar constancia del consentimento del interesado, ya que es el elemento legitimador del tratamiento de datos personales.
- El objetivo es la elaboración de perfiles de los usuarios para predecir sus preferencias de consumo.
Pero todavía podemos complicar más el modelo desde el punto de vista de la protección de datos. Esto lo veremos con el siguiente modelo de negocio también basado en las listas de correo.
¿Qué es un lead?
El modelo en cuestión consiste en la venta de leads. En pocas palabras, la idea descansa en la creación de un medio sobre un tema concreto para captar suscriptores. Después, sobre esa lista, se implementa un embudo específico cuya finalidad no será la venta de ningún producto, sino la segmentación de la lista en nichos específicos.
El modelo de negocio estará en la venta de esa lista de correo segmentada a terceras empresas interesadas. Cuanto más segmentada esté la lista de clientes, más valiosa será.
Venta de leads y RGPD
Este modelo es el más complicado desde el punto de vista del RGPD. Además de los cuatro puntos mencionados en el punto anterior se debe añadir un quinto relacionado con la transferencia de datos personales para su explotación económica.
Si nuestro negocio se basa en la captación y venta de leads, desde el punto del RGPD deberemos tener en cuenta que:
- El interesado debe ser informado y debe prestar el consentimiento para que sus datos sean entregados a otras empresas con fines comerciales.
- Si la transferencia de datos se realiza a países externos a la Unión Europea, existe además un sistema de supervisión establecido por la Comisión Europea que no es nada sencillo y que puede estar sujeto a los vaivenes de la política internacional.
Por otra parte, cuando nuestro negocio se base en la compra de leads, desde el punto del RGPD deberemos tener en cuenta un elemento adicional. Si la lista de correo se emplea con un fin distinto del que se comunicó inicialmente, se debería dar la posibilidad a los usuarios de revocar el consentimiento concedido en su día.
Desde el punto de vista de los usuarios, ojo con la letra pequeña de la política de protección de datos que aceptamos sin leer apenas. Puede que estemos dando el consentimiento para que nuestros datos personales acaben en vaya-usted-a-saber dónde.
Conclusiones
Una vez que hemos analizado el marco legal ya estamos en condiciones de exponer los requisitos legales frente a la LSSI y el RGPD que deben cumplir desde blogs hasta canales de youtube pasando por podcasts en varios casos que exponemos a continuación.
Caso 1. Medio personal
Esta situación se da cuando creamos un canal de youtube, un podcast o un blog para uso personal, y que dispone de botón de suscripción. Este medio no estará vinculado a la realización de actividades económicas.
La conclusión está clara: no tenemos obligaciones legales ni frente a la LSSI ni frente al RGPD. Por tanto no estaremos obligados a publicar ni nuestro nombre completo ni nuestro domicilio. Tampoco tendremos que implementar medidas para demostrar que protegemos datos personales y demás elementos de “responsabilidad proactiva”. Ni siquiera tendríamos porqué informar de las dichosas cookies, ya que eso es responsabilidad del proveedor de internet o de la plataforma de publicación. O sea, que si queremos informar de la política de privacidad, es decisión voluntaria nuestra.
Caso 2. Medios con mecenas y/o patrocinadores
Este caso puede darse en muchas situaciones:
- Influencer de moda que disponga de instagram, blog y canal de youtube, con marcas dispuestas a patrocinar a esta persona.
- Disponer de un canal o un podcast que monetiza mediante publicidad insertando anuncios o cuñas del patrocinador.
- Podcasts que dispongan de personas dispuestas a actuar de mecenas a cambio del acceso a contenidos especiales.
Son muchas las situaciones que se pueden dar. El denominador común es que la monetización proviene de dos fuentes: el patrocinio o el mecenazgo.
La diferencia con el caso 1 es que ahora sí que estamos realizando una actividad económica. Sin embargo, y aunque parezca curioso, tampoco deberemos cumplir con la LSSI ni con el RGPD ya que, recordemos, un medio publicitario ni es un servicio LSSI, ni se basa en la elaboración de perfiles personales de visitantes.
Caso 3. Blogs con Adsense y marketing de afiliación
Hoy en día, los canales de youtube insertan publicidad tipo Adsense y además tienen la posibilidad de incluir enlaces de afiliados.
Este caso es completamente análogo al anterior. Se trata de una actividad económica que no es un servicio LSSI y no está sujeto al RGPD, ya que no se presta a petición individual y, además, se realiza de forma anónima.
Este último punto es evidente ya que, tanto Adsense como los enlaces de afiliados, se basan en la obtención de tráfico cualificado que es, por naturaleza, anónimo. Por tanto, quien tiene la responsabilidad de proteger los datos personales es la plataforma que realiza la venta (Amazon, por ejemplo).
Caso 4. Venta de servicios y tienda online.
Este caso, en principio, podría referirse a profesionales que abren una web en la que dan a conocer sus servicios en internet. También se trataría de pequeñas tiendas físicas que crean su tienda online con la esperanza de vender por internet.
Hace 20 años, ambas situaciones eran muy comunes pero el paso del tiempo hizo evolucionar estos modelos de negocio hacia su integración en una estrategia de marketing de contenidos con objeto de captar tráfico cualificado.
En otras palabras anunciarse como un cartel no bastaba. Era necesario darse a conocer en el segmento de mercado específico en el que nos interesara posicionarnos. Y para ello se empleaban técnicas para captar tráfico (anónimo pero cualificado) y redirigirlo hacia nuestra web o tienda.
Hoy en día podemos ver el e-mail marketing no sólo como una evolución del marketing de contenidos sino como una pieza más dentro de la estrategia global del negocio.
La web o tienda captará tráfico de internet gracias a una estrategia de marketing de contenidos bien planificada y cuyo objetivo no será la venta sino la captación del correo electrónico del visitante. De este modo, las visitas se transformarán en leads que introduciremos en un embudo de ventas, para lo que será necesario implementar listas de correo y sistemas de análisis de perfiles de visitantes.
Por tanto, este cuarto caso se referirá a una web donde se vendan servicios o una tienda online orientada al producto físico en la que se disponga de un sistema de email marketing.
Aclarados estos puntos, es evidente que SÍ deberemos cumplir con el RGPD debido a que vamos a elaborar perfiles a partir de datos personales con intención comercial.
Respecto la LSSI, la situación es rara. De forma estricta no es necesario que la cumplamos ya que no vendemos servicios de la sociedad de la información. Sin embargo, sí que estamos sujetos al Código del Comercio español, que prevé la inscripción en un registro público (el Registro Mercantil) a quien ejerza actividad comercial. Además, no tiene mucho sentido vender servicios sin anunciar quién eres.
Caso 5. LSSI y RPGD para webinar automatizados
¿Qué es un webinar automatizado? En este episodio de la Academia de Marketing Online, Oscar Feito nos lo explica de maravilla.
Los elementos clave para nuestro análisis son que se anuncia el webinar a una lista de correo no pública, segmentada mediante email marketing, a la que después se le ofrece la venta de un producto o servicio.
Por tanto, SÍ que estamos ante un servicio de la sociedad de la información (se presta a petición individual) y SÍ que estamos sujetos al RGPD por el uso del email marketing.
La guía más completa que he encontrado hasta el momento. Muy atentos que las sanciones son muy elevadas. La AEPD se ha puesto seria con la LOPD, la destrucción confidencial y demás cosas relativas a la protección de datos.
Gracias por comentar. De momento Google no me da mucha visibilidad, pero ahí estamos. Me alegro de que te haya gustado la entrada.
Hola! Muy util la informacion! Pero aun no lo se si se aplica a mi RGPD. AYUDA!
Soy autonoma (no tengo contracto) y tengo un proyecto para hacer transcripciones para videos de Youtube en ingles y tambien traducirlo a otras idiomas. Mi cliente es una empresa de EEUU. Los videos son suyos y cumplen los leyes de EEUU. Las personas que aparecen en los videos incluyen menores de edad pero la empresa estadounidense tiene el consentamiento de dichas personas y sus padres.
En general me mandan los videos (que ya estan publicados en YouTube), los miran, hago transcripciones en ingles, los traduzco a espanol y chino, facturo la empresa a traves de Paypal, y fin.
Para dejarlo muy claro, no tengo ningun datos personales de nadie solo los datos de la empresa que facturo y ellos estan en EEUU y es una empresa de EEUU. Las personas que aparacen en los videos tambien son ciudadanos de EEUU. Y los videos que transcribo y tranduzco ya estan publicados y accesibles al público a traves de YouTube.
Por favor avísame si me aplica RGPD y cuanto me cobraria por este servicio.
Un saludo,