Al tractar les dades de les llistes de e-mail basant-se en permisos obtinguts dels subscriptors, els gestors de e-mail Marketing tenen diverses tasques a fer en la captura, el processament i la gestió de les dades dels usuaris per complir amb el Reglament.
Recopilació de dades dels subscriptors:
Segons la normativa, els gestors han d’utilitzar el mètode de doble activació (“double opt-in”) per obtenir el consentiment dels seus usuaris. També cal informar als usuaris de perquè estan recollint les seves dades. I du a terme una auditoria interna ajudarà als gestors a comprendre quin tipus de dades de subscriptors tenen i les que encara necessiten recopilar dels seus usuaris. El consentiment s’ha de sol·licitar en termes senzills, entenedors per l’usuari mitjà, i assegurar-se d’obtenir consentiments separats per finalitats diferents.
Hi ha que recordar que el consentiment ha de ser una acció afirmativa voluntària i explícita, així que no s’ha de fer servir qualsevol forma de consentiment predeterminat com ara caselles pre-marcades o camps ja omplerts prèviament. Quan es tracti el consentiment de menors o es recopilin dades sensibles com raça, ètnia, religió, etc., fer-ho només quan s’hagi informat clarament als interessats i es disposi dels procediments adequats per el compliment.
Processar les dades
Un cop es recullin les dades necessàries, la manera de gestionar-les és molt important. Les dades personals que es recopilin dels subscriptors només s’han d’utilitzar pels propòsits que aquests van declarar clarament quan van donar el seu permís (finalitat del tractament). Si s’utilitzen per a qualsevol altre objectiu que no sigui adequat, s’estarà cometent una infracció.
Hi ha que revisar periòdicament les dades per assegurar-se que estiguin actualitzades. Sempre que es realitzin canvis en la política de privacitat, s’ha d’informar immediatament als usuaris. Els subscriptors poden restringir el tractament de les seves dades quan tinguin algun problema amb les dades recollides o amb la manera de gestionar-les. S’ha de respondre a la seves peticions de restricció en el tractament i tenir preparats els procediments per donar-hi resposta adequada.
Emmagatzematge i gestió de dades
És la responsabilitat del gestor protegir les dades personals dels usuaris. En cas de pèrdues o incompliments, pot ser sancionat. S’ha d’informar els subscriptors sobre on s’emmagatzemen les seves dades i no s’ha de permetre que cap servei de tercers o persones no autoritzades accedeixin a les dades emmagatzemades en cap moment.
Com que la relació està basada en permisos, s’ha de permetre que els usuaris puguin abandonar la llista de subscripció en qualsevol moment. Els usuaris també han de poder fer modificacions a la informació que es guarda, de manera que s’ha de permetre que accedeixen a les seves dades i facin les actualitzacions quan sigui necessari.
Transferència i esborrat de dades
S’ha de permetre la transferència de dades personals del sistema del gestor a serveis de tercers quan ho sol·licitin els usuaris. És recomanable que les dades estiguin en països de la UE però també poden estar en altres països amb un nivell de protecció adequat (per exemple, els USA). Un individu també pot exigir la supressió de les dades personals que consideri que no s’estan tractant adequadament per part del gestor. Tant en els casos d’esborrat com de transferència, no es pot penalitzar a l’usuari que realitzi aquesta sol·licitud, i s’ha de respondre ràpidament, fent els tràmits oportuns.
També és important deixar que els usuaris accedeixin a les seves dades en un format llegible. I que puguin descarregar la seva informació en qualsevol moment mitjançant fitxers protegits amb contrasenya.
Nota: Aquestes recomanacions no suposen en cap cas assessorament legal. L’aplicació del que s’explica en el text pressuposa que l’empresa està degudament adequada al Reglament i a la vigent Llei Orgànica de Protecció de Dades. En tot cas, es recomana posar-se en mans d’un professional.