¿Tengo que hacer algo en mi página para cumplir con el GDPR?

GDPR informacion

Llevo un par de semanas de locos trabajando con mis clientes actuales, y con varios nuevos, a la hora de adaptar sus proyectos digitales al nuevo paradigma de tratamiento de datos del GDPR.

De la misma manera, he estado respondiendo preguntas, tanto vía email como por redes sociales y por el tutorial que publicaba ya hace unos días sobre cómo cumplir el GDPR a nivel de web / email marketing. Un post que como cabría esperar, ha sido de los más visitados de los últimos días. Y la razón es obvia.

Hay mucho, mucho faranduleo, alrededor de lo que hay que hacer y no hay que hacer para cumplir con la nueva normativa.

Cada uno dice una cosa distinta, así que me ha parecido interesante publicar por aquí mis observaciones, y arrojar un poco de luz a dos de las mayores dudas que he visto reflejadas en mis clientes y en las preguntas que me habéis ido trasladando.

Empecemos.

¿Tengo que hacer limpieza de la base de datos de usuarios que no hayan respondido explícitamente que aceptan la nueva normativa?

Esta es la más importante, y por resumir, tengo que decirte que no.

Si en su día obtuvimos esa base de datos de forma adecuada (es decir, el usuario se suscribió cumpliendo la LOPD, la SSI o una legislación de restricciones semejantes o superiores), no es estrictamente necesario volver a pedirles el consentimiento explícito.

Esta es la principal razón de por qué hay algunas grandes empresas del sector (es decir, empresas que conocen la situación) que únicamente han enviado un email a todos para avisarles de la situación (no para pedir nuestro consentimiento). Cuentan con un equipo de abogados que, tras estudiar el caso, han dictaminado que la base de datos que manejan cuenta con las garantías adecuadas, y que por tanto no es necesario realizar una limpieza. Tan sencillo como eso.

Ahora bien, y aquí vienen los pero, hay que tener en cuenta:

Que tenemos que tener una manera de demostrarlo

Es decir, si el día de mañana un auditor requiere que demostremos que en efecto esa base de datos se obtuvo gracias a la participación activa y consciente del usuario, tenemos que poder demostrarlo.

Lo cual, y según cómo la hayamos conseguido y la plataforma en la que estemos operando, no va a resultar tarea fácil, a sabiendas que antes no era necesario guardar ningún registro de la confirmación (bastaba con pedir la confirmación al usuario).

En el caso de email marketing, que es donde a la mayoría más os preocupa, algunas plataformas ofrecen lo que en el argot técnico se llama time stamping (ES), que en la práctica nos permitiría demostrar que Pepito ha confirmado su solicitud de suscripción al clickar en X enlace creado de forma única para él en un email enviado. Eso sí, no todas las plataformas lo tienen, y además habría que considerar que en no todos los procesos de suscripción se tenía habilitado el doble opt-in.

Sin ir más lejos, y por ponerme a mi de ejemplo, en su día cuando cree la Comunidad de NT y SecurInfo lo hice partiendo de los suscriptores que ya estabais en feedburner. Un servicio que, según la normativa, ya requería una doble confirmación para la suscripción. Pero al pasaros a Mailchimp he eliminando cualquier registro de que en efecto esos suscriptores se habían obtenido de forma lícita. Si me llegase un auditor y me exigiera responsabilidades, no podría demostrarlo. Por lo tanto, correría el riesgo de que me cayera una futura multa.

Hacer una limpieza es quedarse con los usuarios de verdad interesados

(ergo, ganar más dinero)

Y aquí está el segundo punto. La mayoría de compañías que asesoro estaban preocupadísimas, a sabiendas que si hacían la limpieza, lo mismo se iban a quedar con el 15 o el 20% de usuarios. Y es que hablamos de eliminar tranquilamente al 85% de nuestra base de datos. Pero te voy a contar un secreto… A ese 85% de usuarios tus comunicaciones ¡ya no le interesan!

Y lo vamos a ver con un ejemplo para que quede más claro:

Esto que te pongo por aquí son datos reales de un cliente que tiene una tienda online (no diré nombre, por supuesto) en el que hemos hecho esta limpieza.

Teníamos una base de datos de registros de alrededor de 10.000 usuarios, con una tasa de apertura del 30% y una tasa de click del 10%. Son números dentro de la media del sector, como puedes ver:

Envío de la petición de confirmación del GDPR: Solo unos 1.500 la han aceptado. Por tanto, alrededor de un 15% de usuarios.

Re-envio (hasta en dos ocasiones en días posteriores) de la confirmación: Con la idea de recuperar a algún despistado. Por simplificar, cerca del 5% confirman. En total hemos llegado a prácticamente el 20% de usuarios confirmados.

Limpieza del resto: Es decir, algo más de 8.000 suscriptores menos.

Campaña tras el borrado: Del 30% de media hemos pasado al 92% de tasa de apertura (recuerda que no todos lo van a abrir, y que algunos tienen habilitado sistemas anti-tracking en sus dispositivos o se conectan desde redes corporativas que cuentan con estas medidas de protección), y del 10% de tasa de click a prácticamente el 50%.

Lo que significa que antes enviábamos 10.000 correos, y cliclaban unos 1.000. Actualmente enviamos 2.000, pero siguen clicando prácticamente esos 1.000. No hemos perdido visibilidad, y en cambio, sí hemos ganado en optimización de gastos, ya que como cabría esperar, el precio que pagamos a la plataforma de email (en este caso, Mailchimp) por envíos periódicos a una base de datos de 10ks es, sin lugar a dudas, muchísimo mayor que el que vamos a pagar a partir del mes que viene por 2ks.

En definitiva, las campañas siguen teniendo una tasa de conversión semejante, y en cambio, salen más económicas, por lo que esta empresa, con la excusa del GDPR, va a ganar más dinero.

Además minimizamos las posibilidades de que los emails lleguen a la bandeja de spam de los suscriptores que sí están interesados en recibirlos, por lo que puede llegar a ocurrir que notemos incluso un aumento de las interacciones que teníamos antes de realizar la limpieza.

Algo que la industria publicitaria debería exigir, en vez de basarse, absurdamente, en los números absolutos.

¿Qué tengo que hacer para cumplir el GDPR en mi web?

Por supuesto, cada caso es un mundo, pero por resumir:

  • Política de tratamiento de datos: Tanto a nivel de base de datos, sea interna o externa a la propia página, como por uso de cookies y demás servicios de tracking (de nuevo, internos y/o externos). En ella tiene que aparecer de forma sencilla y entendible para una persona que no sea abogado, quien está detrás de la página, para qué recopila esos datos, cómo los trata y/o almacena y qué opciones tiene el usuario para modificar o pedir la eliminación de dicha información.
  • Confirmación en formularios: Todo formulario debe contar con un checkbox obligatorio y por defecto no activo que confirme que hemos leído y aceptado la política de tratamiento de datos. Y esto compete a la página de contacto, al formulario de suscripción, y también al de comentarios. Todo siempre y cuando, y como ya expliqué antes, veamos necesario registrar dicha confirmación. Sobre esto último, y aplicado al caso de WordPress, he empezado a ver plugins de terceros que te permiten incluir dicho checkbox, como ocurre con Akismet. Y lo que no me queda del todo claro es si WP no lo ha habilitado porque están todavía en ello (lo menos probable, habida cuenta de que la semana pasada actualizaron ofreciendo cambios a nivel de GDPR), o porque realmente ya ofrecen las garantías suficientes como para que si, llegado el caso, un usuario quiere que eliminemos X información, ya ofrece las herramientas oportunas.
  • Seguridad en la explotación de los registros: Para aquellas webs que trabajan con registros y/o pagos, se hace obligatorio el que cumplan unos mínimos de seguridad (bases de datos cifradas, sistemas cortafuegos y anti fuerza-bruta habilitados…). Algo que estoy ya negro de implementar con mis clientes. Además, y esto ya compete quizás más para grandes desarrollos, tenemos que ofrecer las herramientas para que el usuario pueda modificar, borrar o incluso trasladar los datos que tenía con nosotros a otra plataforma.
  • Gestión de cookies: Esto para las empresas españolas no debería resultar nuevo. Tenemos que poner ese dichoso popup de confirmación del uso de cookies, y el usuario debería tener la opción de cancelarlo. Esto es un verdadero problema, ya que por cómo están diseñadas la amplia mayoría de webs actuales (desarrollos modulares hechos cada uno a su manera), la mayoría de plugins que nos ofrecen la inclusión de este disclaimer no cumplen con la normativa.
  • Coletilla en cada formulario: para rizar el rizo, se supone que ahí donde tengamos que confirmar la aceptación de la política de tratamiento de datos, éste debería venir acompañado de un breve resumen del mismo, con los puntos anteriormente señalados. Y digo que lo veo inviable porque según cómo haya sido diseñada la página y/o el formulario, y por muy resumido que lo pongamos, hablamos de incluir como mínimo un par de párrafos extra.

En fin, que espero que esta pieza sirva para arrojar un poco más de luz sobre el GDPR, y por no dejarse llevar por las posturas catastrofistas.

La nueva normativa solo busca ofrecer al usuario una gestión más adecuada de sus datos. Algo que llevamos años defendiendo por estos lares. Por lo que es una buena noticia que ya esté con nosotros, y que esté forzando a la industria a cambiar la manera de operar, absurda y descuidada, que tenía hasta ahora.

Y si necesitas un asesoramiento personalizado, o requieres de los servicios de un desarrollador que pueda implementar los cambios, ya sabes por dónde encontrarme.

 

P.D.: La imagen la he sacado de un artículo de RGI (EN).

________

Si el contenido que realizo te sirve en su día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias