rgpd – 15 ejemplos de buenas prÁcticas para obtener … · y mehdi benallal, director de...
TRANSCRIPT
RGPD – 15 EJEMPLOS DE BUENAS PRÁCTICAS
PARA OBTENER EL CONSENTIMIENTO DE
LOS USUARIOS
Por Frédéric Dechamps, abogado especializado y Mehdi Benallal, Director de Marketing en Qualifio
2www.qualifio.com
El RGPD ya es obligatorio y muchas empresas han implementado medidas para estar adaptadas a la nueva disposición legal. Uno de los fundamentos legales del tratamiento de datos personales es el concepto de “consentimiento”, que se refuerza. Pero, ¿qué significa “consentimiento” de conformidad con el RGPD? En este artículo, les presentamos ejemplos de las mejores prácticas “RGPD-friendly” a la hora de obtener el consentimiento de sus usuarios.
15 EJEMPLOS DE BUENAS PRÁCTICAS PARA OBTENER EL CONSENTIMIENTO DE LOS
USUARIOS
DESCARGO DE RESPONSABILIDAD
El siguiente artículo consiste en un análisis de las diversas prácticas que existen en términos de obtención del consentimiento y en ningún caso constituye un compromiso en firme respecto del cumplimiento de cada una de las empresas que se mencionan. Cada uno de los ejemplos ilustra uno de los aspectos del consentimiento tal y como se definen en el RGPD y tal y como los entendemos, pero son muchas las disposiciones del RGPD que están sujetas a interpretación. En consecuencia, el artículo que figura seguidamente no es sustitutivo de un aviso legal, que tendrá en cuenta las particularidades que se apliquen a la obtención por su parte del consentimiento.
i
3www.qualifio.com
El tratamiento de datos personales exige que el interesado haya otorgado su consentimiento antes de que se haga uso de los mismos. Las características concretas de un consentimiento válido con arreglo al RGPD se especifican en el artículo 4 apartado 11 del texto legal:
“Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” (artículo 4, 11)
Seguidamente veremos cómo en la práctica pueden estar disponibles cada una de dichas condiciones a la hora de obtener el consentimiento a través de ejemplos reales de buenas prácticas.
EL CONSENTIMIENTO DE CONFORMIDAD CON EL RGPD
4www.qualifio.com
Uno de los elementos fundamentales del RGPD consiste en que el consentimiento requiere una clara acción afirmativa por parte del usuario. Considerar que “quien no se pronuncia, consiente” ya no funciona: en caso de que el usuario no haya dicho claramente que sí, la respuesta es no. En la práctica, todo ello supone que no es válida la aprobación pasiva y que la casilla de confirmación opt-in no deberá estar marcada por defecto.
EL CONSENTIMIENTO ES ACTIVO E UNÍVOCO
En el sitio web del Data Protection Network, el consentimiento deberá ser activo: además de que el consentimiento se separa de la newsletter de condiciones generales, el color rojo y el aspa indican explícitamente que el valor por defecto es “no”.
5www.qualifio.com
Un consentimiento informado conlleva en primer lugar el consentimiento fundamentado del interesado, que garantiza que otorga su consentimiento con pleno conocimiento del tratamiento de sus datos personales. Por lo tanto, deberá emplearse un lenguaje claro, de fácil comprensión y sin posibles interpretaciones sesgadas.
El RGPD supone asimismo el punto y final de las condiciones generales farragosas que se redactaban con una jerga excesivamente técnica: la información debe presentarse en un formato conciso y accesible para todo el mundo. El responsable del tratamiento está sujeto a un deber de transparencia, que obliga a proporcionar al usuario respuestas sencillas y claras relativas a la identidad del responsable del tratamiento, el fin de dicho tratamiento, el ejercicio de derechos y toda una serie de elementos que se especifican en el artículo 13.
En el marco del RGPD, se valorarán todos aquellos formatos que tienden a que la información sea más accesible. Este es el caso del formato de “preguntas-respuestas”, que utilizan empresas como Renault y L’Oréal en su política de protección de datos personales. En el lenguaje común, las empresas responden a aquellas preguntas que el interesado puede plantearse en el marco del tratamiento de sus datos: qué datos se recogen (L’Oréal los enumera de forma exhaustiva), con qué fin, donde se almacenan, etc.
EL CONSENTIMIENTO ES INFORMADO
¿QUÉ TIPOS DE FORMATOS DEBEN DE UTILIZARSE PREFERENTEMENTE?
6www.qualifio.com
Renault explica su política de tratamiento de datos personales de manera clara a través de un sistema de pregunta-respuesta que resulta comprensible para todos.
L’Oréal, además de adoptar este mismo formato de pregunta-respuesta, especifica la relación de datos que podrían recogerse previo consentimiento del usuario.
7www.qualifio.com
Otro buen ejemplo es Nestlé, que responde a las preguntas a través de vídeos formativos, además de en formato texto.
Fragmento extraído de la política de privacidad de Linkedin donde se visualiza la información explícita y completa, y por otro lado la versión abreviada.
Más allá de la accesibilidad, el texto legal promueve asimismo aquellas iniciativas que tiendan a sintetizar la información para que sea más fácil de leer y permita a los interesados tener una visión de conjunto. Este es por ejemplo el caso de la política de privacidad de LinkedIn: a la derecha de cada párrafo, figura una idea clave que resume la idea principal. Así pues, la información está disponible en dos versiones: una versión detallada y una más breve.
8www.qualifio.com
La presentación de ideas clave puede hacerse asimismo de forma visual. De este modo, el RGPD llega incluso a sugerir el uso de “iconos normalizados” para ilustrar las informaciones proporcionadas sobre el tratamiento:
“La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.“(Artículo 12, apartado 7.)
Se recomienda incluir directamente en el formulario algunas de las mencionadas informaciones. En Francia, la Comisión Nacional de Informática y de Libertades (CNIL) propone un modelo personalizable para el aviso que debe figurar en el formulario de recogida (ver imagen). El organismo recomienda incluir como mínimo la información siguiente: nombre del responsable del tratamiento, finalidades del tratamiento, tiempo durante el que deben conservarse el dato, nombre del destinatario de los datos y datos del servicio con el que debe contactarse para ejercitar los derechos.
¿CÓMO SE DEBEN INCLUIR DICHAS INFORMACIONES EN EL FORMULARIO DE RECOGIDA?
9www.qualifio.com
Podemos ver un ejemplo concreto en France Télévisions, que recoge esta información identificativa en su sitio web:
Podemos ser creativos y optar por el formato que prefiramos. El ejemplo de la agencia británica Cyber-Duck resulta interesante: para cada uno de los campos que debe cumplimentarse, aparece un cuadro de ayuda en el que se explica el uso que va a hacer la empresa del dato:
10www.qualifio.com
Una segunda condición importante para la validez del consentimiento es que deberá ser siempre específico y contar con un fin y tratamiento concretos. El consentimiento “en bloque”, siguiendo una lógica de “todo o nada”, ya no es válido: el data subject proporciona su consentimiento para un fin de tratamiento determinado o para un conjunto de finalidades similares.
Cada solicitud de tratamiento lleva aparejada un único fin y actividades de tratamiento específicas. Dichas actividades de tratamiento están limitadas por naturaleza y deben asimismo ser informadas (ver apartado anterior). Además, el RGPD establece que únicamente se recopilarán los datos necesarios para la consecución de la finalidad del tratamiento con la que se recogen.
En caso de que un tratamiento tenga varios fines, el responsable del tratamiento solicitará al usuario un consentimiento distinto para cada uno de los fines. Además, el responsable del tratamiento deberá asimismo diferenciar aquellas informaciones relativas a la recepción del consentimiento para el tratamiento de aquellas informaciones que versen sobre otras cuestiones.
Por último, en el caso de que el responsable del tratamiento quiera emplear los datos para otro fin con posterioridad en el tiempo, solicitará un nuevo consentimiento específico para dicha nueva finalidad.
EL CONSENTIMIENTO ES ESPECÍFICO
UN ACUERDO GENERAL NO ES UN CONSENTIMIENTO VÁLIDO
11www.qualifio.com
“Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento” (Artículo 7, 2)
EL CONSENTIMIENTO PARA UN TRATAMIENTO ESPECÍFICO DEBERÁ DIFERENCIARSE DEL TRATAMIENTO QUE SE APLICA A LAS CONDICIONES GENERALES.
12www.qualifio.com
El RGPD prohíbe una práctica frecuente, que consiste en recoger el consentimiento previo (opt-in) en su nombre y en nombre de sus colaboradores. Por una parte, la petición de consentimiento vinculada a las comunicaciones de su marca deberá separarse de aquella vinculada a las comunicaciones de sus colaboradores. Por otra parte, se recomienda nombrar al colaborador, o colaboradores, cuyas ofertas quiere enviar.
LA SOLICITUD DE CONSENTIMIENTO DE SU EMPRESA DEBE QUEDAR CLARAMENTE DIFERENCIADA DE AQUELLA QUE PIDAN SUS COLABORADORES
El ejemplo de la agencia francesa DigitaWeb: el usuario puede elegir entre varias opciones en términos de tipo de contenido y el consentimiento para las comunicaciones de DigitaWeb aparece diferenciado de aquel que se requiere para las comunicaciones de su socio, HAAS Avocats, al que se nombra.
13www.qualifio.com
La idea clave que podemos extraer de los ejemplos que anteceden es la siguiente: el responsable del tratamiento de datos debe proporcionar al asunto del dato niveles de granularidad en su solicitud de consentimiento. No dude en ofrecer dicha granularidad a diversos niveles: sobre el tipo de contenidos que desea enviar, la frecuencia o incluso sobre la elección del canal de comunicación. Cuantos más niveles de granularidad presente su solicitud de consentimiento, más se reforzará el carácter específico del consentimiento que se recoge.
OFREZCA NIVELES DE GRANULARIDAD EN SU SOLICITUD DE CONSENTIMIENTO
Le Figaro propone al usuario un consentimiento con niveles de granularidad, que permite seleccionar el tipo de email y la frecuencia deseados.
Dior ofrece al usuario la posibilidad de elegir entre dos tipos de contenidos: Perfumes y Belleza o Moda y Accesorios, y asimismo plantea diversas opciones de contacto.
14www.qualifio.com
El consentimiento del usuario no será en ningún caso forzado: deberá recogerse de manera totalmente libre. En la práctica, todo ello supone que debe ser voluntario. El acceso a los servicios no podrá estar sujeto al consentimiento por parte del usuario a que se realice un tratamiento de los datos que no se requiera para la prestación del servicio. Siguiendo la misma lógica, un consentimiento que se otorga por miedo a que se aplique un tratamiento diferente no puede considerarse un consentimiento libre. Por lo tanto, no dude en mencionar de forma clara y transparente que el consentimiento es voluntario, tal y como se muestra en el siguiente ejemplo.
EL CONSENTIMIENTO ES LIBRE
LIBRE, Y POR LO TANTO, VOLUNTARIO
Walmart Canada específica, en el opt-in de su newsletter, que se trata de un opt-in voluntario. Además, el grupo explica de manera sencilla el tipo de información que la newsletter puede contener.
15www.qualifio.com
Otra consecuencia del carácter libre del consentimiento: el sujeto tiene que poder retirarlo en todo momento. Tiene que resultar igual de sencillo darlo que retirarlo. A modo de ejemplo, puede ofrecer a sus suscriptores un botón para darse de baja que derive en un email de confirmación en el que se informe al sujeto de las consecuencias de darse de baja, tal y como es el caso, a modo de ejemplo, del diario “The Guardian”.
Del mismo modo que se pueden ofrecer niveles de granularidad al solicitar el consentimiento, cabe también la posibilidad de plantearlos para retirar el consentimiento. Además de una opción para cursar la baja por completo, pueden proponerse varios niveles de comunicación intermedios. Puede proponerse la posibilidad de mantener la suscripción solo para la parte de los contenidos que se seleccione o puede pedirse que se reduzca la frecuencia de los envíos. De esta manera, no se pierde a aquellos suscriptores que quieran mantener un contacto moderado y se garantiza que las comunicaciones están en línea con las preferencias de los usuarios. Se refuerza la vinculación entre los destinatarios y las comunicaciones.
LIBRE Y, POR LO TANTO, FÁCIL DE RETIRAR
LA RETIRADA DEL CONSENTIMIENTO TAMBIÉN PUEDE SER GRANULAR
El proceso para dar de baja la cuenta con The Guardian es sencillo e informado. Tras introducir la contraseña como forma de confirmación, la totalidad de los datos de la cuenta se suprimen y el sujeto recibe un email de confirmación.
16www.qualifio.com
The daily sip, sitio web para los amantes de los vinos y bebidas espirituosas, propone a sus suscriptores la posibilidad de darse de baja por completo de la newsletter, bloquear todas las comunicaciones aunque sean puntuales o, de sencillamente, recibir una newsletter semanal y no diaria.
Spotify ofrece a sus suscriptores un control total sobre el tipo de notificaciones que reciben gracias a las opciones avanzadas, y granulares, de configuración.
17www.qualifio.com
Si sus formularios son acordes a los principios que figuran en este ebook, puede considerarse que el consentimiento de los datos es válido de conformidad con el RGPD. En todas las acciones de comunicación que lleve a cabo, procure actuar siempre con transparencia, de tal manera que sus usuarios cuenten con todos los elementos que les permitan otorgar su consentimiento de forma real, empezando por una información completa relativa a aquello sobre lo que prestan su consentimiento.
Aunque el RGPD pueda a veces parecer técnico, muchos de los principios que defiende derivan en realidad del sentido común si nos ponemos en el lugar del usuario que deja sus datos: ¿en cuántas ocasiones hemos recibido comunicaciones para las que no habíamos dado realmente nuestro consentimiento? ¿Y qué grado de veracidad damos en la práctica a estas comunicaciones? Más allá de las obligaciones necesarias que el RGPD impone, estamos principalmente ante una gran oportunidad para recuperar la confianza de nuestro público, un mayor nivel de compromiso y para retomar el auténtico sentido del marketing relacional.
Frédéric es abogado, estando registrado en el Colegio de Abogados de Bruselas desde 1997, donde también es miembro de la Comisión de Nuevas Tecnologías. Es el fundador de la firma de abogados Lex4u, donde trabaja en los siguientes áreas: derecho comercial, propiedad intelectual,
nuevas tecnologías y RGPD.
Mehdi es director de marketing de Qualifio, la plataforma líder en Europa para marketing interactivo y recopilación de datos. Con frecuencia participa en conferencias sobre el impacto del RGPD en las actividades de
marketing de las empresas.
CONCLUSIÓN
FRÉDÉRIC DECHAMPS MEHDI BENALLAL
18www.qualifio.com
Qualifio es la plataforma online líder en Europa para la captación de audiencias digitales y recopilación de datos a través de la creación y publicación de contenidos interactivos en los diferentes canales digitales.
Elige tu campaña interactiva entre más de 40 formatos, totalmente
personalizables y sin desarrollo extra.
Fácil de publicar en tu página web,
aplicaciones móviles y redes sociales.
Puedes integrar la plataforma a tus herramientas de
marketing y datos (CRM, DMP, SSO, Analytics, etc.)
Se pueden visualizar y extraer los datos
y resultados de campañas a tiempo
real.
¿QUÉ ES QUALIFIO?
¿CÓMO FUNCIONA?
CREAR PUBLICAR OBTENER RESULTADOS
SEGMENTAR Y MONETIZAR
Habla con un abogado de GDPR que pueda responder todas tus preguntas específicas
¿Más información sobre Qualifio?
¿NECESITAS MÁS ASISTENCIA PERSONALIZADA?
RESERVA TU SESIÓN CON EXPERTOS
CONTÁCTANOS
¿Quieres obtener más contenidos como este? Visita nuestro sitio web dedicado al RGPD. Publicamos regularmente ebooks, vídeos con expertos, webinars y muchos otros contenidos premium.