Llevo un par de semanas de locos trabajando con mis clientes actuales, y con varios nuevos, a la hora de adaptar sus proyectos digitales al nuevo paradigma de tratamiento de datos del GDPR.
De la misma manera, he estado respondiendo preguntas, tanto vía email como por redes sociales y por el tutorial que publicaba ya hace unos días sobre cómo cumplir el GDPR a nivel de web / email marketing. Un post que como cabría esperar, ha sido de los más visitados de los últimos días. Y la razón es obvia.
Hay mucho, mucho faranduleo, alrededor de lo que hay que hacer y no hay que hacer para cumplir con la nueva normativa.
Cada uno dice una cosa distinta, así que me ha parecido interesante publicar por aquí mis observaciones, y arrojar un poco de luz a dos de las mayores dudas que he visto reflejadas en mis clientes y en las preguntas que me habéis ido trasladando.
Empecemos.
Índice de contenido
¿Tengo que hacer limpieza de la base de datos de usuarios que no hayan respondido explícitamente que aceptan la nueva normativa?
Esta es la más importante, y por resumir, tengo que decirte que no.
Si en su día obtuvimos esa base de datos de forma adecuada (es decir, el usuario se suscribió cumpliendo la LOPD, la SSI o una legislación de restricciones semejantes o superiores), no es estrictamente necesario volver a pedirles el consentimiento explícito.
Esta es la principal razón de por qué hay algunas grandes empresas del sector (es decir, empresas que conocen la situación) que únicamente han enviado un email a todos para avisarles de la situación (no para pedir nuestro consentimiento). Cuentan con un equipo de abogados que, tras estudiar el caso, han dictaminado que la base de datos que manejan cuenta con las garantías adecuadas, y que por tanto no es necesario realizar una limpieza. Tan sencillo como eso.
Ahora bien, y aquí vienen los pero, hay que tener en cuenta:
Que tenemos que tener una manera de demostrarlo
Es decir, si el día de mañana un auditor requiere que demostremos que en efecto esa base de datos se obtuvo gracias a la participación activa y consciente del usuario, tenemos que poder demostrarlo.
Lo cual, y según cómo la hayamos conseguido y la plataforma en la que estemos operando, no va a resultar tarea fácil, a sabiendas que antes no era necesario guardar ningún registro de la confirmación (bastaba con pedir la confirmación al usuario).
En el caso de email marketing, que es donde a la mayoría más os preocupa, algunas plataformas ofrecen lo que en el argot técnico se llama time stamping (ES), que en la práctica nos permitiría demostrar que Pepito ha confirmado su solicitud de suscripción al clickar en X enlace creado de forma única para él en un email enviado. Eso sí, no todas las plataformas lo tienen, y además habría que considerar que en no todos los procesos de suscripción se tenía habilitado el doble opt-in.
Sin ir más lejos, y por ponerme a mi de ejemplo, en su día cuando cree la Comunidad de NT y SecurInfo lo hice partiendo de los suscriptores que ya estabais en feedburner. Un servicio que, según la normativa, ya requería una doble confirmación para la suscripción. Pero al pasaros a Mailchimp he eliminando cualquier registro de que en efecto esos suscriptores se habían obtenido de forma lícita. Si me llegase un auditor y me exigiera responsabilidades, no podría demostrarlo. Por lo tanto, correría el riesgo de que me cayera una futura multa.
Hacer una limpieza es quedarse con los usuarios de verdad interesados
(ergo, ganar más dinero)
Y aquí está el segundo punto. La mayoría de compañías que asesoro estaban preocupadísimas, a sabiendas que si hacían la limpieza, lo mismo se iban a quedar con el 15 o el 20% de usuarios. Y es que hablamos de eliminar tranquilamente al 85% de nuestra base de datos. Pero te voy a contar un secreto… A ese 85% de usuarios tus comunicaciones ¡ya no le interesan!
Y lo vamos a ver con un ejemplo para que quede más claro:
Esto que te pongo por aquí son datos reales de un cliente que tiene una tienda online (no diré nombre, por supuesto) en el que hemos hecho esta limpieza.
Teníamos una base de datos de registros de alrededor de 10.000 usuarios, con una tasa de apertura del 30% y una tasa de click del 10%. Son números dentro de la media del sector, como puedes ver:
Envío de la petición de confirmación del GDPR: Solo unos 1.500 la han aceptado. Por tanto, alrededor de un 15% de usuarios.
Re-envio (hasta en dos ocasiones en días posteriores) de la confirmación: Con la idea de recuperar a algún despistado. Por simplificar, cerca del 5% confirman. En total hemos llegado a prácticamente el 20% de usuarios confirmados.
Limpieza del resto: Es decir, algo más de 8.000 suscriptores menos.
Campaña tras el borrado: Del 30% de media hemos pasado al 92% de tasa de apertura (recuerda que no todos lo van a abrir, y que algunos tienen habilitado sistemas anti-tracking en sus dispositivos o se conectan desde redes corporativas que cuentan con estas medidas de protección), y del 10% de tasa de click a prácticamente el 50%.
Lo que significa que antes enviábamos 10.000 correos, y cliclaban unos 1.000. Actualmente enviamos 2.000, pero siguen clicando prácticamente esos 1.000. No hemos perdido visibilidad, y en cambio, sí hemos ganado en optimización de gastos, ya que como cabría esperar, el precio que pagamos a la plataforma de email (en este caso, Mailchimp) por envíos periódicos a una base de datos de 10ks es, sin lugar a duda, muchísimo mayor que el que vamos a pagar a partir del mes que viene por 2ks.
En definitiva, las campañas siguen teniendo una tasa de conversión semejante, y en cambio, salen más económicas, por lo que esta empresa, con la excusa del GDPR, va a ganar más dinero.
Además minimizamos las posibilidades de que los emails lleguen a la bandeja de spam de los suscriptores que sí están interesados en recibirlos, por lo que puede llegar a ocurrir que notemos incluso un aumento de las interacciones que teníamos antes de realizar la limpieza.
Algo que la industria publicitaria debería exigir, en vez de basarse, absurdamente, en los números absolutos.
¿Qué tengo que hacer para cumplir el GDPR en mi web?
Por supuesto, cada caso es un mundo, pero por resumir:
- Política de tratamiento de datos: Tanto a nivel de base de datos, sea interna o externa a la propia página, como por uso de cookies y demás servicios de tracking (de nuevo, internos y/o externos). En ella tiene que aparecer de forma sencilla y entendible para una persona que no sea abogado, quien está detrás de la página, para qué recopila esos datos, cómo los trata y/o almacena y qué opciones tiene el usuario para modificar o pedir la eliminación de dicha información.
- Confirmación en formularios: Todo formulario debe contar con un checkbox obligatorio y por defecto no activo que confirme que hemos leído y aceptado la política de tratamiento de datos. Y esto compete a la página de contacto, al formulario de suscripción, y también al de comentarios. Todo siempre y cuando, y como ya expliqué antes, veamos necesario registrar dicha confirmación. Sobre esto último, y aplicado al caso de WordPress, he empezado a ver plugins de terceros que te permiten incluir dicho checkbox, como ocurre con Akismet. Y lo que no me queda del todo claro es si WP no lo ha habilitado porque están todavía en ello (lo menos probable, habida cuenta de que la semana pasada actualizaron ofreciendo cambios a nivel de GDPR), o porque realmente ya ofrecen las garantías suficientes como para que si, llegado el caso, un usuario quiere que eliminemos X información, ya ofrece las herramientas oportunas.
- Seguridad en la explotación de los registros: Para aquellas webs que trabajan con registros y/o pagos, se hace obligatorio el que cumplan unos mínimos de seguridad (bases de datos cifradas, sistemas cortafuegos y anti fuerza-bruta habilitados…). Algo que estoy ya negro de implementar con mis clientes. Además, y esto ya compete quizás más para grandes desarrollos, tenemos que ofrecer las herramientas para que el usuario pueda modificar, borrar o incluso trasladar los datos que tenía con nosotros a otra plataforma.
- Gestión de cookies: Esto para las empresas españolas no debería resultar nuevo. Tenemos que poner ese dichoso popup de confirmación del uso de cookies, y el usuario debería tener la opción de cancelarlo. Esto es un verdadero problema, ya que por cómo están diseñadas la amplia mayoría de webs actuales (desarrollos modulares hechos cada uno a su manera), la mayoría de plugins que nos ofrecen la inclusión de este disclaimer no cumplen con la normativa.
- Coletilla en cada formulario: para rizar el rizo, se supone que ahí donde tengamos que confirmar la aceptación de la política de tratamiento de datos, éste debería venir acompañado de un breve resumen del mismo, con los puntos anteriormente señalados. Y digo que lo veo inviable porque según cómo haya sido diseñada la página y/o el formulario, y por muy resumido que lo pongamos, hablamos de incluir como mínimo un par de párrafos extra.
En fin, que espero que esta pieza sirva para arrojar un poco más de luz sobre el GDPR, y por no dejarse llevar por las posturas catastrofistas.
La nueva normativa solo busca ofrecer al usuario una gestión más adecuada de sus datos. Algo que llevamos años defendiendo por estos lares. Por lo que es una buena noticia que ya esté con nosotros, y que esté forzando a la industria a cambiar la manera de operar, absurda y descuidada, que tenía hasta ahora.
Y si necesitas un asesoramiento personalizado, o requieres de los servicios de un desarrollador que pueda implementar los cambios, ya sabes por dónde encontrarme.
P.D.: La imagen la he sacado de un artículo de RGI (EN).
________
Si el contenido que realizo te sirve en su día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Gracias Maese Pablo por dar unas pinceladas, porque con todo lo que se ha dicho y escrito, muchas veces información que no tiene nada que ver con la realidad hay habido mucho agobio, muchos se han aprovechado también de la situación.
Un saludo.
En efecto Javi. Y es complicado a veces discernir entre lo que es verdad y lo que es una reinterpretación apocalíptica de la realidad, máxime en temas legales, donde no siempre hay una verdad absoluta…
En fin, que si la pieza sirve para arrojar algo de luz sobre el tema, ¡mejor que mejor!
A mí me parece una tontería que tengan que preguntarle a las personas si quieren seguir recibiendo emails de las empresas (o de donde se esté suscrito) como comprendo que tuviste que hacerlo, a regañadientes tú, Pablo que hasta disculpa pediste, pero que inteligentemente, corrígeme si me equivoco, lo usaste como excusa para filtrar los seguidores activos. Digo si siempre tienes la opción de presionar «desuscribirme» en el botón que nunca falta en el email que te envían o, más drásticamente, lo marcas como spam y listo, más nunca recibes esos emails. En todo caso deberían exigirle a las web que ofrecen emails gratis (¿Son sólo tres? ¿gmail, yahoo y hotmail?) tener esa opción de filtrado, que estoy seguro todas lo tienen.
Ahora, yo que estoy del otro lado (en Venezuela) ¿Cómo me afecta a mí esa nueva ley, más allá de tener que reconfirmar que si deseo seguir recibiendo emails? Estoy pronto a poner una nueva página web y, en un principio, no va a pedir datos ¿Tengo que hacer algo diferente ahora con esa ley? ¿Si uso cookies debo avisarlo?
Gracias Pablo por este resumen.
Buenas Fabian.
En efecto, y como bien sabes, en mi caso (y debería ser el de toda la industria) me interesa más tener pocos y que seáis activos que tener muchos suscriptores que realmente no abren los emails. Así que para mi no era un gran problema, y de hecho gracias a ello durante los próximos meses seguramente tenga el servicio gratuito (con el volúmen que teníamos antes tenía que destinar parte de lo que recaudamos mensualmente a pagar el servicio).
A finales de esta semana, o principios de la siguiente, daré datos de tasa de apertura y clicks de estos días, pero ya te adelanto que en números brutos estamos exactamente igual que antes, incluso un poco por encima (minimizamos la posibilidad de que a alguno de vosotros os llegue el correo a SPAM), lo que quiere decir que somos más óptimos (menos correos enviados, mismo impacto).
Y tienes razón a medias. Es cierto que cualquiera puede utilizar el botón de desuscribirse, o directamente, como mencionas, marcarlo como spam o incluso crear un filtro para enviar a spam todos los envíos futuros de ese correo. El problema es que eso lo hacemos tú, yo, y cuatro más. La mayoría de usuarios pasan del tema o ni siquiera son conscientes de esta posibilidad. Ahí es donde entra la GDPR, forzando a que sean los administradores quienes tomen acción, con la excusa de multas multimillonarias en caso de no hacerlo.
Y respondiendo a tu última pregunta. Al estar en Venezuela el GDPR te afecta en tanto en cuanto gestiones datos de usuarios europeos. Solamente eso. Por poder, podrías tener dos bases de datos, una haciendo lo que quieras dentro de la legislación venezolana para el resto del mundo, y otra aplicando estas necesidades para usuarios europeos.
Si tu audiencia, o tu negocio, es nacional, no veo sentido meterte en estos berenjenales. En caso de que apuntes a un mercado global, como es mi caso, sí te va a tocar mover ficha. Al menos para los europeos, pero en la práctica, y por comodidad, muchos están adaptándose a la normativa europea con sus bases de datos, sea el usuario de esta zona o de cualquier otra (mejor aplicar la restricción mayor y cumplir así con el resto de normativas que no cumplir con la de mayor restricción).
Gracias Pablo por tu clara (y extensa) respuesta.
Un abrazo
Para eso estamos Fabián. Saludos!
Hola Pablo, lei con detenimiento tu pagina y despues de tres dias de leer encontre mas respuestas o claridades en la tuya que en la propia normativa.
mi duda es la siguiente: yo tengo un software propio (e interno -no es publico-), de backend y mi clientes suben archivos con sus transacciones de ventas diarias, recibo nombre y apellido y datos de su negocio, «cliente xxx consumio tal producto» y la tarjeta de credito del pago a la que debemos conciliar con el pago del banco finalmente.
nosotros para pci borramos los digitos que no necesitamos de la tarjeta, y no guardamos otros datos, tenemos nombres y apellidos encriptados. Nuestro soft es realmemente muy sencillo en este tema, todo lo demas que procesamos son datos relativos al negocio y no a las personas.
Todo detras de firewall de soft y hard, solo 2 personas acceden a los servidores, todo mediante VPN.
Nuestros clientes son las empresas y no los usuarios finales (los que consumieron), no tenemos como llegar a ellos, ni informarles que estamos tratando sus datos.
Como muchos, queremos cumplir, pero realmente no veo muchas explicaciones que cuadren con mi negocio. Se te ocurren algunas ideas para demostrar que estoy bien o mal?
Muchas gracias!
Ale
Buenas Ale. En casos como el tuyo, en el que hay desarrollo a medida de por medio, creo que lo más fiable es directamente contratar a abogado para que haga una auditoría y nos diga exactamente qué hay que hacer. A lo mejor por 300 euros ya te da todas las recomendaciones, y oye, las implementas y te olvidas del tema.
No me atrevo a decirte nada en particular ya que realmente yo no soy abogado. Sé lo que hay que hacer (todo lo que se puede saber, que la ley no es una ciencia exacta) para casos muy específicos como son las webs utilizando CMS y plataformas de envío de correos como MailChimp. Y aun así suelo para mis clientes recomendar contratar a alguien experto en legislación para que prepare todos los documentos.