¿Qué dice el RGPD sobre el Spam?

Spam. Entre los demás principios de protección de datos del artículo 5 están «la legalidad, la equidad y la transparencia». Esto significa que sólo se pueden utilizar los datos de las personas si está permitido en virtud de una de las seis justificaciones legales, debe basarse en una comunicación transparente e inequívoca con la persona identificable en los datos.

Marketing por correo electrónico y spam, ¿Qué dice el RGPD?:

Hay seis «bases legales» para «procesar» (recoger, almacenar, utilizar, etc.) los datos de las personas. Se enumeran en el artículo 6. La primera es el consentimiento, que debe obtenerse de forma inequívoca y tras una explicación completa de lo que se pretende hacer con los datos. En concreto:

• El consentimiento debe ser «libre, específico, informado e inequívoco».
• Las solicitudes de consentimiento deben ser «claramente distinguibles de los demás asuntos» y presentarse en «lenguaje claro y sencillo».
• Los sujetos de los datos pueden retirar el consentimiento previamente otorgado cuando lo deseen, y usted tiene que respetar su decisión. No puedes simplemente cambiar la base jurídica del tratamiento por una de las otras justificaciones.
• Los menores de 13 años sólo pueden dar su consentimiento con la autorización de sus padres.
• Tienes que conservar pruebas documentales del consentimiento.
• La sexta base jurídica es tener un «interés legítimo» para tratar los datos de la persona. Aunque el término es vago y podría aplicarse a una amplia gama de situaciones, es posible que le resulte difícil basarse en esta base porque los «derechos y libertades fundamentales del interesado» a menudo pueden prevalecer sobre su interés legítimo. Además, está por ver cómo interpretarán esta base los reguladores y los tribunales.

Las otras cuatro bases legales son menos comunes, pero es una buena idea revisar el artículo 6 para asegurarse de que no nos las están aplicando. La conclusión es que debemos tener mucho cuidado con el uso de los datos de alguien a menos que estemos seguro de que la persona quiere que se utilicen de esa manera.

Sin embargo, la Directiva sobre la privacidad y las comunicaciones electrónicas, concretamente el artículo 13, ofrece a las organizaciones otra forma de utilizar los datos de una persona con fines de marketing que se deriva de la base contractual del RGPD. En el contexto de la venta de un bien o servicio, una organización «podrá utilizar estos datos electrónicos de contacto para la comercialización directa de sus propios productos o servicios similares, siempre que se ofrezca a los clientes la posibilidad de oponerse de forma clara y sencilla», según el artículo 13, parte 2. Básicamente, esto significa que una organización puede enviarle legalmente correos electrónicos de marketing sobre el servicio que le prestan, siempre que le informe de que puede optar por no recibirlos en cualquier momento y que exista la opción de darse de baja en cada comunicación.

¿Qué significa esto para el correo electrónico?

Tras la aprobación del RGPD , algunos dijeron que sería «el fin del marketing por correo electrónico» o «el fin del spam»… para nada ha sido así. El spam siempre ha estado prohibido o va en contra de las condiciones de uso de la mayoría de los proveedores de correo electrónico. Quienes envían correos masivos no solicitados o maliciosos probablemente seguirán enviándolos. ¿Ha dejado de recibir spam después del 25 de mayo de 2018, cuando el RGPD entró en vigor?

En cuanto al marketing por correo electrónico, el RGPD no prohíbe el marketing por correo electrónico de ninguna manera. El RGPD no se propuso ser antiempresarial, solo proconsumidor. Lo ideal es que un buen correo electrónico de marketing aporte valor al destinatario y sea algo que éste quiera recibir de todos modos. Lo que hace el RGPD es aclarar los términos del consentimiento, exigiendo a las organizaciones que pidan un consentimiento expreso para poder enviar comunicaciones. Y también debe facilitar que las personas cambien de opinión y se den de baja. Sólo si un correo electrónico de marketing no presenta la opción de darse de baja, se envía a alguien que nunca se inscribió para ello, o no anuncia un servicio relacionado con uno que el receptor utiliza, está violando el RGPD.

Seguridad del correo electrónico de la organización

Hay un aspecto más del correo electrónico del RGPD, y es la seguridad del correo electrónico. El artículo 5(f) dice que debes proteger los datos personales «contra la pérdida, la destrucción o el daño accidentales, utilizando medidas técnicas u organizativas apropiadas.»

¿Qué significa esto para el correo electrónico?

El cifrado del correo electrónico es una medida técnica. Las medidas organizativas tienen que ver con las políticas internas, la gestión y la formación. El 91% de los ciberataques comienzan con un correo electrónico de phishing, en el que los hackers intentan acceder a una cuenta o a un dispositivo mediante el engaño o el malware. Nunca se debe hacer clic en los enlaces y archivos adjuntos de cuentas desconocidas ni descargarlos. Una vez que un atacante obtiene acceso a una cuenta o dispositivo, suele ser fácil acceder a otros, lo que significa que un error de un empleado podría comprometer grandes cantidades de datos. Si no puede demostrar a los reguladores que ha aplicado las medidas técnicas y organizativas adecuadas, podría verse obligado a pagar enormes multas de la UE y a indemnizar a los interesados.

Desde Tenerife, Canarias, Alisios Consultores Protección de Datos.