Examinando el impacto de GDPR un año después

El 25 de mayo de 2018 entró en vigor el muy esperado Reglamento General Europeo de Protección de Datos (GDPR). Ahora que los especialistas en marketing digital han tenido suficiente tiempo para adaptarse a esta nueva legislación, analizaremos más de cerca cómo el RGPD está afectando a los consumidores y a las empresas por igual, así como también cómo y por qué implementar varias prácticas recomendadas para el cumplimiento del RGPD.

¿Qué es el RGPD y por qué se creó?

La legislación del Reglamento General Europeo de Protección de Datos se aprobó para crear una protección de privacidad de datos mayor y más uniforme para todos los residentes de la Unión Europea. La ley estipula sanciones severas por incumplimiento de cualquier comercialización comercial y recopilación de datos de comportamiento de personas en la UE. Las multas por incumplimiento pueden llegar al 4 % de los ingresos globales, por lo que las empresas tienen un gran incentivo para seguir las normas del RGPD.

Para resumir, los objetivos de GDPR incluyen:

• Proporcionar a los ciudadanos una mayor comprensión de cómo se recopilan sus datos y un mayor control sobre cómo se utilizan sus datos.
• Aclarar y simplificar las expectativas legales para empresas de todos los tamaños.
• Consolidar regulaciones de privacidad de datos regionales inconexas en un conjunto cohesivo y codificado.
• Mejorar el cumplimiento normativo de todas las transacciones digitales, tanto visibles como ocultas para los consumidores.

Para lograr estos objetivos, GDPR requiere diferentes protocolos para que las empresas obtengan y mantengan el consentimiento a lo largo de sus actividades y canales de marketing.

Obtener el consentimiento del usuario

GDPR ha reducido significativamente el concepto de consentimiento del usuario y ahora requiere que los usuarios tomen una "acción afirmativa clara" antes de que una empresa pueda comenzar a comercializarlos. Este consentimiento debe ser “dado libremente, específico, informado e inequívoco”. Por ejemplo, ya no se permiten las casillas de consentimiento marcadas previamente en los formularios de envío, ya que no requieren ninguna acción real por parte del usuario y no implican necesariamente que haya dado su consentimiento para recibir material de marketing.

Además, GDPR estipula que las empresas deben recibir una "doble suscripción" de sus usuarios antes de poder comercializar con ellos, lo que significa dar su consentimiento en al menos dos instancias separadas. Por ejemplo, debe crear formularios con casillas de consentimiento claras y sin marcar y luego también enviar un correo electrónico de confirmación donde el usuario pueda confirmar su consentimiento haciendo clic en un enlace. El RGPD también requiere que todas las organizaciones proporcionen pruebas de consentimiento para cada uno de sus contactos, y no hacerlo podría dar lugar a sanciones y multas severas.

Por último, los consumidores pueden aprovechar GDPR para enviar una "solicitud de acceso de sujeto" que les permita acceder a los datos personales que cada organización tiene sobre ellos, por qué esa organización tiene la información y cómo la están usando. Casi la mitad de las 18 000 quejas relacionadas con la protección de datos que la Oficina del Comisionado de Información (ICO) recibió en 2016 estaban relacionadas con solicitudes de acceso de sujetos mal manejadas (1). Esta información personal es extremadamente importante para los usuarios, y GDPR está intentando facilitarles la recopilación.

Brindar oportunidades claras y simples para optar por no participar

GDPR también se compromete a facilitar a los usuarios la opción de no recibir comunicaciones de empresas. Al igual que CASL en Canadá y CAN-SPAM en los Estados Unidos, las organizaciones ahora deben facilitar que los usuarios actualicen sus preferencias, retiren su consentimiento o sean eliminados de la base de datos de una empresa.

Por "fácil" queremos decir:

• Los usuarios no deberían tener que visitar más de una página para darse de baja.
• Los usuarios no deberían tener que iniciar sesión para darse de baja
• A los usuarios solo se les debe solicitar que proporcionen su dirección de correo electrónico para darse de baja.
• A los usuarios no se les debe cobrar una tarifa para darse de baja

Una vez más, el incumplimiento de estos estatutos podría dar lugar a un castigo severo.

RGPD y Políticas de Privacidad

Uno de los principales objetivos del RGPD es fomentar la transparencia, lo que significa que ahora se exige a las empresas que divulguen cómo utilizan la información de sus suscriptores y visitantes del sitio web, y deben hacerlo de forma clara y sencilla. Según un estudio infame, se necesitarían aproximadamente 76 días hábiles para leer todas las políticas de privacidad que encontramos en un año (2), por lo que el objetivo es reducir ese número drásticamente.

Según el RGPD, la política de privacidad de cada organización debe ser de fácil acceso, concisa, transparente, inteligible y de acceso gratuito. Debe estar escrito en un lenguaje claro que sea fácil de entender, por lo que también debe definir claramente cualquier terminología ambigua o confusa que usará y evitar la jerga legal siempre que sea posible. Además, cada formulario en línea también debe incluir un enlace claro a la política de privacidad de la empresa.

Por último, si la organización recopilará datos de fuentes de terceros, debe proporcionar información adicional sobre los datos y su fuente.

¿Está funcionando el RGPD?

Inicialmente, los líderes empresariales y los expertos de diferentes campos estaban muy entusiasmados con el RGPD. Hablando con Veredicto sobre el impacto potencial de GDPR, Giles Pratt (socio de propiedad intelectual y tecnología de Freshfields) dijo:

“Los reguladores de la UE han introducido una legislación pionera que parece establecer el estándar para los estándares de privacidad de datos en todo el mundo y ofrece oportunidades para prácticas de trabajo más estrechas entre los profesionales internacionales de la privacidad en los negocios y los reguladores con los que interactúan”.

Sin embargo, aunque el camino hacia el cumplimiento del RGPD se está pavimentando lentamente con buenas intenciones, los primeros resultados sugieren que muchas empresas aún tienen un largo camino por recorrer en su camino hacia el cumplimiento. Desde que la legislación entró en vigencia en mayo de 2018, ha habido más de 200 000 informes de infracciones menores y mayores de GDPR en más de 30 países, según un informe publicado por la Junta Europea de Protección de Datos, que consta de numerosos reguladores de toda la región. En total, varios grupos de vigilancia han repartido aproximadamente $56 millones en multas, pero $50 millones de eso provienen de una sola multa para Google (3).

Según Mathias Moulin, miembro del panel de la CNIL (el grupo de vigilancia francés que impuso la multa a Google), la multa se basó en una violación "masiva y altamente intrusiva" y se basó en varios factores diferentes, incluida la "escala … y el tamaño de la empresa.” Si bien la multa fue simplemente una gota en el océano para una empresa como Google, que tuvo ingresos por $137 mil millones en 2018, Moulin sugiere que el año pasado “debería considerarse un año de transición”.

Esa declaración sugiere que podemos esperar que haya un control y una aplicación más estrictos del RGPD, lo que sirve como advertencia para las organizaciones que aún no han priorizado el cumplimiento del RGPD en sus esfuerzos de marketing. Parece justo dar a las empresas (especialmente a las pequeñas y medianas empresas) más tiempo para implementar mejores procedimientos para cumplir con el RGPD antes de imponer multas importantes, pero ese tiempo podría agotarse rápidamente a medida que el RGPD entra en su segundo año. Por lo tanto, es importante que haga todo lo posible para cumplir con el RGPD lo antes posible, tanto por la salud de su negocio como por la confianza y seguridad de sus clientes.

Mejores prácticas de cumplimiento de GDPR

La percepción pública es que muchas empresas están dificultando deliberadamente que los suscriptores de la web se den de baja de sus suscripciones y, según la cantidad de infracciones informadas anteriormente, es difícil argumentar ese punto. Y es por eso que se creó GDPR en primer lugar: para aumentar la privacidad y la seguridad de los datos y permitir que los consumidores naveguen por Internet con más libertad y confianza.

Hasta ahora, GDPR aún no ha logrado ese objetivo, pero con el llamado "año de transición" detrás de nosotros, el tiempo de las excusas ha llegado a su fin. Ahora es el momento de aprender y seguir las mejores prácticas básicas de GDPR para cumplir, mejorar la confianza del consumidor y aumentar los ingresos de su empresa.

Actualizar contactos heredados

GDPR permite que las organizaciones se comuniquen con los usuarios existentes, pero solo si ha recibido previamente el consentimiento activo. Sin embargo, si sus listas de envío incluyen usuarios en los que optamos automáticamente, debe comunicarse para solicitar su consentimiento explícito para continuar comercializándolos.

Revise sus listas para determinar qué contactos se han suscrito activamente y cuáles no. Luego, envíe un correo electrónico a su lista de contactos que aún necesitan optar activamente para solicitar su permiso para continuar enviándoles mensajes. Asegúrese de que el lenguaje de su correo electrónico sea honesto, amigable y directo con un botón CTA prominente que los invite a participar. Si un suscriptor no responde dentro de los 10 días posteriores a su correo electrónico, envíe un correo electrónico de seguimiento final para informarle que será eliminado de su lista si no se suscribe. Si aún no han tomado medidas después de cinco días, debe eliminarlos de su lista por completo.

Requerir casillas de consentimiento adicionales

Anteriormente, cuando un usuario se registraba para una prueba, descargaba un libro electrónico o completaba cualquier acción que le diera a las empresas su información de contacto, esas empresas podían continuar el seguimiento con campañas de correo electrónico, boletines, blogs, etc. posteriores sin recibir un consentimiento adicional. Hoy, GDPR no permite que las empresas hagan esto sin agregar una casilla de verificación adicional debajo del formulario digital.

Por ejemplo, si un usuario en su sitio completa un formulario para ver un seminario web a pedido pero no completa la casilla de verificación en el formulario que le otorga su consentimiento explícito para comercializarlo de otras maneras, tiene prohibido hacerlo. Asegúrese de que todos sus formularios tengan un lenguaje claro que solicite el consentimiento explícito para proporcionar materiales de marketing adicionales, y asegúrese de enviar solo a los usuarios que hayan marcado esa casilla.

Haga que sea fácil para los usuarios darse de baja

No proporcionar opciones de exclusión claras y simples es una de las prohibiciones más comunes del RGPD. También puede llevar a usuarios frustrados, lo que a menudo resulta en que esas personas presenten quejas de GDPR.

Tus suscriptores no te deben su lealtad y deben reservarse “el derecho al olvido” cuando lo deseen. Si ya no quieren saber de usted (tal vez se fueron con otro proveedor de seguros o decidieron comprar boletos para conciertos a través de otro proveedor), entonces deberían poder darse de baja de su lista fácilmente.

Por lo tanto, debe asegurarse de que todas sus comunicaciones tengan un enlace destacado de "cancelar suscripción" en el pie de página en el que los destinatarios puedan hacer clic para eliminarlos de su lista de forma permanente o hasta que decidan volver a registrarse.

Además, debe ofrecer a sus usuarios la opción de administrar su suscripción. Cree un enlace "Gestionar sus suscripciones" en su pie de página u ofrezca la opción como un enlace dentro de la copia de sus correos electrónicos, páginas de confirmación y otras comunicaciones de marketing digital. Este enlace debe conducir a una página separada que le brinde al usuario múltiples opciones sobre los tipos de comunicaciones que desea recibir, como boletines, blogs, ofertas especiales o invitaciones a eventos.

El software Act-On ayuda a las empresas a cumplir con el RGPD

En Act-On, nuestro software de automatización de marketing está diseñado para ayudar a los especialistas en marketing de empresas de todas las formas y tamaños a mejorar la capacidad de entrega de sus correos electrónicos, proteger los datos de sus clientes y generar más ingresos a través de una plataforma omnicanal todo en uno. Nuestro equipo de servicios profesionales de clase mundial está aquí para ayudar a nuestros clientes a tomar medidas de cumplimiento adicionales y alinear su estrategia con nuestro software.

Si está interesado en obtener más información sobre cómo puede resolver sus inquietudes sobre el RGPD con la poderosa plataforma de automatización de marketing de Act-On, descargue nuestro libro electrónico gratuito a continuación o contáctenos directamente para hablar con un profesional de ventas experimentado.