Al tratar los datos de las listas de e-mail basándose en permisos obtenidos de los suscriptores, los gestores de e-mail marketing tienen varias tareas a realizar en la captura, el procesamiento y la gestión de los datos de los usuarios para cumplir con el Reglamento.
Recopilación de datos de los suscriptores:
Según la normativa, los gestores deben utilizar el método de doble activación («double opt-in») para obtener el consentimiento de sus usuarios. También hay que informar a los usuarios de que se están recogiendo sus datos. Y llevar a cabo una auditoría interna ayudará a los gestores a comprender qué tipo de datos de suscriptores tienen y los que aún necesitan recopilar de sus usuarios. El consentimiento se ha de solicitar en términos sencillos, comprensibles para el usuario medio, y asegurarse de obtener consentimientos separados por finalidades diferentes.
Hay que recordar que el consentimiento debe ser una acción afirmativa voluntaria y explícita, así que no se debe utilizar cualquier forma de consentimiento predeterminado como casillas pre-marcadas o campos ya llenados previamente. Cuando se trate el consentimiento de menores o se recopilen datos sensibles como raza, etnia, religión, etc., hacerlo sólo cuando se haya informado claramente a los interesados y se disponga de los procedimientos adecuados para el cumplimiento.
Procesar los datos
Una vez se recojan los datos necesarios, el modo de gestionarlos es muy importante. Los datos personales que se recopilen de los suscriptores sólo se deben utilizar para los propósitos que éstos declararon claramente cuando dieron su permiso (finalidad del tratamiento). Si se utilizan para cualquier otro objetivo que no sea adecuado, se estará cometiendo una infracción.
Hay que revisar periódicamente los datos para asegurarse de que estén actualizadas. Siempre que se realicen cambios en la política de privacidad, se informará inmediatamente a los usuarios. Los suscriptores pueden restringir el tratamiento de sus datos cuando tengan algún problema con los datos recogidos o con el modo de gestionarlos. Se debe responder a sus peticiones de restricción en el tratamiento y tener preparados los procedimientos para dar respuesta adecuada.
Almacenamiento y gestión de datos
Es la responsabilidad del gestor proteger los datos personales de los usuarios. En caso de pérdidas o incumplimientos, puede ser sancionado. Se informará a los suscriptores sobre dónde se almacenan sus datos y no se debe permitir que ningún servicio de terceros o personas no autorizadas accedan a los datos almacenados en ningún momento.
Como la relación está basada en permisos, se debe permitir que los usuarios puedan abandonar la lista de suscripción en cualquier momento. Los usuarios también deben poder hacer modificaciones a la información que se guarda, por lo que se debe permitir que acceden a sus datos y hagan cambios cuando sea necesario.
Transferencia y borrado de datos
Se ha de permitir la transferencia de datos personales del sistema del gestor a servicios de terceros cuando lo soliciten los usuarios. Es recomendable que los datos estén en países de la UE, pero también pueden estar en otros países con un nivel de protección adecuado (por ejemplo, los EE. UU.). Un individuo también puede exigir la supresión de los datos personales que considere que no se están tratando adecuadamente por parte del gestor. Tanto en los casos de borrado como de transferencia, no se puede penalizar al usuario que realice esta solicitud, y se debe responder rápidamente, haciendo los trámites oportunos.
También es importante dejar que los usuarios accedan a sus datos en un formato legible. Y que puedan descargar su información en cualquier momento mediante archivos protegidos con contraseña.
Nota: Estas recomendaciones no suponen en ningún caso asesoramiento legal. La aplicación de lo explicado en el texto presupone que la empresa está debidamente adecuada al Reglamento y a la vigente Ley Orgánica de Protección de Datos. En todo caso, se recomienda ponerse en manos de un profesional.