La LSSI y su ataque al core de tu estrategia de email marketing

Imagínate que cuando envías un email con un pixel para el seguimiento del correo, previamente tengas que pedir el consentimiento al destinatario.

El email marketing es, para la mayoría de los expertos en marketing on-line, uno de los canales de comercialización de productos y servicios a través de la red más importantes y más efectivos. Personalmente, también lo creo, y por ello lo practico.

La LSSI y Su Ataque Al Core De Tu Estrategia De Email Marketing

© ddsign – Fotolia.com

Ahora bien, todos sabéis igualmente que el email marketing a la lista de suscriptores está muerto sin un correcto TRACKING o seguimiento de las tasas de aperturas, de clicks, entre otras acciones de los prospectos que necesitamos saber. Efectivamente, solo hay un momento tan o más importante que el momento de darle al botón de “enviar ahora”, (o “programar envío”, dependiendo de cómo lo hagamos), que es el de hacer el seguimiento de cómo ha respondido la audiencia a los emails que le hemos enviado. A partir de ahí, sabemos si la información era relevante, si volvemos a incidir sobre el mismo tema, o nos olvidamos para siempre de él, si tenemos que introducir cambios en la descripción…  En definitiva, podemos medir el éxito o fracaso de nuestro trabajo.

Pues bien, para que Mailchimp, AWeber, Getresponse o cualquier otro autoresponder, (o tú mismo, si sabes hacerlo), puedan seguir el rastro al email y saber qué ha ocurrido, tienen que servirse de códigos, que crean “microprogramas”, cookies en sentido general, que recopilen esa información y te la devuelvan y la hagan disponible.

Como ya sabes, la LSSI, en su art. 22.2 permite el uso de cookies, (dispositivos  de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, como lo llama ese precepto), PERO CON LA CONDICIÓN  DE HAYAN DADO SU CONSENTIMIENTO”, teniendo que ser dicho consentimiento POSTERIOR a haberles dado  información clara y completa sobre su utilización y sobre su finalidad.

Imagínate, según eso, cuando envías  un email con la implementación de un pixel para el seguimiento del correo, PREVIAMENTE a que ese píxel o cookie se instale y haga su trabajo de seguimiento, tendrías que pedir el consentimiento al destinatario. Y eso, amigo y amiga, es tanto como decir que no se puede usar, porque, ponte en la situación, recibes un email de alguien que no es familiar, ni jefe, ni compañero de trabajo, ni amigo… y de repente te pregunta que si le autorizas a instalar una cookie para tu controlar que ha abierto el correo, o que ha hecho click en los botones o enlaces que has incluido. Y el prospecto va y te dice que sí, que está deseando instalar el programita… Bueno, ¿para qué hacer más comentarios al respecto?. Parece que la LSSI se haya propuesto “cargarse” el comercio electrónico en una pretendida cruzada contra todo aquello que se mueva dando vueltas alrededor de una dirección de correo, una IP y poco más. Pero es lo que hay, y hay que aceptarlo… o NO, PUEDES ADAPTARTE.

Frente a eso ha habido quien ha pensado, “pues yo lo que hago es que en el mismo correo introduzco un hipervínculo a la política sobre cookies, y si el destinatario no se niega, significa que lo acepta”.

¿Así tan fácil?, no amigos. En materia de LOPD y LSSI nada es tan simple. Por ello, el Gabinete Jurídico de la AEPD ha emitido el Informe 0011/2014, (puedes verlo pulsando aquí), en el que en resumen viene a decir que dicho sistema no es admisible, y ello porque:

  • Tiene que haber consentimiento, y entiende que ello implica una “Manifestación de Voluntad”, entendida como una CONDUCTA ACTIVA, y no meramente pasiva, por lo que no sería suficiente la supuesta obtención del consentimiento implícito o tácito. Así pues, la AEPD ha manifestado que el consentimiento ha de ser EXPRESO.
  • Que como ya puso de manifiesto el Grupo de Trabajo del artículo 29, el consentimiento tiene que ser PREVIO. Es decir, que hay que obtenerlo ANTES del primer envío, para garantizar que el pixel o la cookie no se instale antes de haber obtenido el consentimiento.
  • Que ese consentimiento debe de otorgarse de manera libre, sin sometimiento a ningún tipo de engaño, intimidación o coerción de ningún tipo, y por supuesto, sin represalias por no aceptarlo.
  • Debe de ser específico  para una finalidad concreta y una persona determinada, por lo que si la finalidad cambia o se amplía, o quien envía los correos viene a ser otra persona distinta, habrá de volver a recabarse el consentimiento.
  • Ha de ser revocable en cualquier momento, de manera fácil y gratuita.

Por ello, como decía antes, parece que hubiera de remitirse en el email un hipervínculo con un formulario de aceptación expresa mediante un sistema opt-in. Pero eso, compañeros y compañeras, no es viable desde un punto de vista práctico. De hecho, más de uno me ha dicho que “prefiere ir a la cárcel a borrar la opción de hacer un seguimiento a sus campañas”.

Tranquilos, no será necesario, pues creo que esto tiene solución si lo hacemos bien. A fin de cuenta, ¿qué nos piden?, ¿un consentimiento expreso, PREVIO, e informado?. Pues bien, en tal sentido, basándome en el propio Informe 0011/2014, creo que el problema lo resolvemos si en el momento de realizar la suscripción a la lista de correo, en el formulario, a los datos típico de nombre y email, (hay quien pide más datos. Ok, aunque ya sabéis que cuantos más datos pides, más gente se va del formulario sin suscribirse), solo habría que incluir un campo de comprobación, tipo “option-box” o “check-list”, que estuviera DESACTIVADO POR DEFECTO, y que el usuario tuviera que activar manualmente, con un texto que invitara a marcar, (por ejemplo, he leído la política de privacidad y de cookies, y la acepto), y que si no se marca no haga posible la suscripción, y con ello, no conseguir el “recurso gratuito” que has ofrecido para incentivar la suscripción.  Claro, tendrás que “hilar fino” en tu política de privacidad y de cookies, (en su redacción), porque va a ser tu título legitimador para todo lo que viene detrás, instalar todas las cookies que veas necesario para el Tracking de tus campañas de email marketing.

De esta manera, si haces esto EXACTAMENTE COMO TE DIGO, y la redacción de tu política de privacidad y de uso de cookies está correctamente redactada, tendrás el antídoto contra el art. 22.2 de la LSSI.

¿Cómo lo ves?, ¿qué piensas sobre todo esto?.

 

David Tierno García

David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.

 

  1. Hola David,

    Creo que estás haciendo una interpretación errónea de las “imágenes de seguimiento” de los correos electrónicos.

    En primer lugar, estas funcionan porque la imagen está almacenada en el servidor del emisor o del servicio de envío de correos, no en el equipo del receptor. Nos enteramos que abrió el correo porque, al hacerlo (si tiene activadas las imágenes), se descarga la imagen.

    Sólo se almacenaría en el caché, pero este hay que entenderlo como un “almacenamiento técnico”, ya que, de no ser así, esta ley estaría prohibiendo la web en su totalidad.

    Sin embargo, es cierto que probablemente se podría considerar el enlace a la imagen como un “dato”. Pero también lo es todo el contenido del correo. Si interpretamos que “guardar” un correo en el equipo del usuario es “utilizar dispositivos de almacenamiento y recuperación de datos”, no podríamos enviar correos, ni siquiera, sin seguimiento. Además, en ese caso, habría la discusión de quién está realizando el almacenamiento ¿es el emisor o el receptor del correo? Yo pensaría que es el receptor, ya que es el único que puede decidir borrarlo, cambiarlo de carpeta, etc.

    Finalmente, habría que considerar que la mayoría de los usuarios utilizan servicios de correo en la nube. Por lo tanto, en la mayoría de los casos, el contenido del correo (incluyendo el enlace) no se almacena “en equipos terminales de los destinatarios”, sino en el servicio de correos (gMail, Yahoo, Outlook.com, etc.).

    En conclusión, no creo que la “Ley de Cookies” sea aplicable al correo electrónico.

    • Hola David, estoy de acuerdo contigo en que la ley puede ser muy restrictiva, y de hecho, por eso hablo de un “ataque”, así como también de que hay cosas que pueden ser interpretables, y por éso toda sanción puede ser recurrida, y en último término, será un juez quien decida cuál es la interpretación más acertada. NO OBSTANTE, ten en cuenta que el tema de los “pixeles de seguimiento” como “cookie”, entendida en un sentido muy amplio, NO SOY YO QUIEN LO DICE, SINO LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Por ese motivo incluí en el cuerpo del post el enlace al informe 0011/2014 del Gabinete Jurídico de la AEPD, para que pudiérais comprobar por vosotros mismos lo que os estoy indicando en este post de carácter divulgativo y como advertencia(https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdf_destacados/2014-0011_El-consentimiento-para-el-uso-de-cookies.-No-cabe-un-sistema-de-opt-out..pdf).Creo que estarás de acuerdo conmigo en que lo importante no es lo que yo o cualquier otra persona pueda pensar, sino lo que piensa “la policía”, aunque siempre queda la posibilidad de “jugársela” y acudir en los tribunales si la partida sale mal.De cualquier manera, MUCHAS GRACIAS por tu aportación. Un saludo. David Tierno.- A B O G A D O.

      • mmm… Tienes razón, al leer tu artículo, debo haberme saltado el párrafo con la referencia.

        Sin embargo, es interesante que el informe del Gabinete Jurídico de la AEPD dice “Y es que el consultante no cuestiona que en el presente caso nos encontremos ante un dispositivo de almacenamiento y recuperación de datos…”

        Ellos no están analizando si el uso de esa imagen es un “dispositivo de almacenamiento y recuperación de datos” (eso ya lo afirma el consultante), sino sobre la forma como esto debe advertirse.

        Responden a lo que le preguntan, sugieren que las bases de la pregunta no están claras, pero no aclaran las bases. 🙁

        Ahora me surge una duda, suponiendo que si se les considere “cookies”, el hecho de que permanezcan en forma indefinida ¿sería una violación de la ley?

        • Hola David, no pasa nada, los posts de un blog no se leen como un libro, vamos haciendo “lectura selectiva”. Por otra parte, en relación al matiz que introduces respecto de que el consultante no cuestione que “nos encontremos ante un dispositivo de almacenamiento o recuperación de datos”, ello no es argumento para afirmar que la AEPD lo deja en el aire, sino que es una forma, muy propia en los informes jurídicos y resoluciones jurídicas, de decir, “no hace falta que lo discutamos, porque tú ya lo asumes”. De hecho, el informe citado acepta esa premisa, e incluso da sugerencias en cuanto a cómo cumplir con ella, decantándose por la fórmula del “opt-in”. Si no entrar en si estamos ante el supuesto de hecho del art. 22 de la LSSI o no, diría que el supuesto planteado no se ajusta el supuesto legal, y que empezaría a teorizar, para terminar diciendo que nada de éso aplica a este caso. En cuanto a la pregunta que formulas sobre el almacenamiento indefinido sería una violación de la ley, he de decir que la LSSI no dice nada al respecto, sino que se centra en que hayas obtenido el consentimiento del afectado. Si lo has recabado, ya has cumplido, y fin de la historia. PERO, Sí que hay que mirar al art. 4.5 de la LOPD, que establece que “los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados”. Así pues, la mera idea de almacenar datos personales indefinidamente, en sentido amplio, choca con este principio de la LOPD. No obstante, te agradezco mucho tu pregunta, que puede estar en la mente, o peor aún, en la práctica de muchos, porque el posts de la semana que viene, lo voy a dedicar a hablar de este asunto, que además es muy práctico porque es muy normal recabar datos, y luego olvidarse de que los tenemos, y como ves, puede tener serias consecuencias. Finalmente, solo animarte a que cuando pienses en LOPD o en LSSI, lo hagas pensando en el binomio LOPD/LSSI, pues son hermanas y van cogidas de la mano. Un abrazo.- (David Tierno.- Abogado.- dtiernog).

  2. […] La LSSI y su ataque al core de tu estrategia de email marketing […]

Comments are closed.

Shares
Share This

Share This

Share this post with your friends!