¿Tengo que borrar mi base de Datos con el nuevo RGPD?

El nuevo reglamento sobre protección de datos no obliga a borrar nuestras bases de datos de clientes. Veamos porqué.

Si tienes una pequeña o mediana empresa tendrás bases de datos de clientes, y puede que estos días te estés preguntando lo mismo que muchos y muchas empresari@s como tú: ¿Con la nueva ley europea de protección de datos he de borrar a los clientes de mi base de datos si no me dan su consentimiento de nuevo? Pues quedaros tranquilos porque no es así, y si te han dicho lo contrario, no es cierto (al menos de forma automática).

NO ES OBLIGATORIO borrar nuestra base de Datos

Este miedo a recibir una sanción por parte de las autoridades es la razón detrás del envío masivo de emails de esta última semana. Nuestro buzón está colapsado estos días con docenas de mensajes de diferentes compañías que de forma “desesperada” nos informan que de no hacer click en su mensaje, aceptando así permanecer en su base de datos, se verán obligadas a eliminarnos en las mismas.

Un típico mensaje enviado estos dice así: Decía así: “Rogamos confirmación. El nuevo Reglamento General de Protección de Datos nos obliga a solicitar su consentimiento expreso para mantener sus datos de contacto. En nuestra empresa tratamos los datos que usted nos facilitó para enviarle promociones de nuestros productos y no los cedemos a terceras empresas. Rogamos que nos conteste a este correo autorizando de forma expresa el tratamiento de datos descrito anteriormente. Lamentablemente, de acuerdo con el RGPD de la UE, si no recibimos confirmación, nos veremos obligados a borrar los datos y no nos podremos poner en contacto con usted”.

O sea, que parece que estamos entre la espada y la pared. Si no actualizo mi base de datos y la adapto al reglamento, me multan. Y si la actualizo, pierdo el contacto con docenas o miles de clientes. Pues bien. Calma y tranquilidad, porque eso no tiene porqué ser así. Se trata de una idea errónea, que está circulando como la pólvora entre muchas pequeñas y medianas empresas. Como explica Álvaro Ramos, director de nuevas tecnologías y delegado de protección de datos en Clarke, Modet & Cº, en un reciente artículo en el diario Expansión: “éste es el principal error en el que han incurrido las empresas: solicitar el consentimiento para bases de datos que a primera vista dan la impresión de que no lo necesitan, porque el riesgo es perder la base de datos entera”.

via GIPHY

¿Porque no hay que eliminar a un cliente de nuestra base de datos si no responde a un email así? Como explica el propio experto “Si se ha obtenido el correo electrónico porque lo ha facilitado su titular, la empresa les ha mandado información comercial y nunca se han opuesto, no hay por qué renovar este consentimiento porque sigue siendo válido el otorgado en su día”, explica Ramos.

Es decir, que si en su día un cliente dio su consentimiento para recibir información comercial, o para darse de alta en nuestra Newsletter de ofertas, esa autorización sigue vigente. El propio reglamento admite la existencia de las relaciones contractuales y comerciales entre empresa y cliente. Esto significa que las empresas tienen derecho a seguir tratando los datos de sus clientes y remitirles mandarles información comercial si se considera que hubo un consentimiento en su día, o una relación comercial previa.

Como también afirma Gerardo Raído Chief Digital Officer de DataCentric en este otro artículo de la web MarketingDirecto: “…si ya tenías consentimiento y ahora lo pides de nuevo para mantenerlo en tu fichero, estás suicidando tu principal activo publicitario, tu base de datos. En el mejor de los casos sólo un 2% responderá positivamente y estás dejando por escrito que borrarás los registros si no tienes esa reconfirmación, con lo que te obligas legalmente”.

Por tanto, ese email constituye una obligación contractual para la empresa, lo que significa que si no responde al email, legalmente debemos borrarle de nuestra base de datos. Por eso es un email erróneo, que no deberíamos de mandar.

Entonces ¿Qué hacemos con nuestra base de datos?

Pues aplicar lo que siempre viene mejor en una relación entre empresa y cliente: la lógica y la transparencia. Lo lógico es que informemos a nuestros clientes que nuestra empresa se acoge al nuevo reglamento (por supuesto, pero se lo recordamos). Y lo transparente es informarles de que tienen derecho a darse de baja en nuestra base de datos en cualquier momento que nos lo pidan, como obliga el nuevo RGPD, y la actual  LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico). Es decir, te mando esta comunicación porque ya eres cliente, te informo de tus derechos, entre ellos el de solicitar tu baja inmediata de mi listado. Pero no te amenazo desesperado con borrarte de mí base de datos sino haces click en este correo inmediatamente.

Las bases de datos de Clientes , el corazón de una Empresa
Las bases de datos de Clientes , el corazón de una Empresa

¿Qué dice el nuevo Reglamento sobre Protección de Datos?

El nuevo RGPD se ha creado con dos objetivos: protegernos a los usuarios y ciudadanos, y permitir el uso de datos por las empresas, pero de forma regulada. Se acabó la barra libre en la que las empresas podíamos pedir una vez los datos y entonces usarlos para cualquier fin. Los datos pertenecen a los ciudadanos, y si los quieres usar de forma comercial, te tengo que dar permiso para esa finalidad en concreto. Pero una vez que lo tengas, no me lo tienes que pedir cada semana.

Aplicado de forma práctica: Si un usuario se dio de alta en una Newsletter comercial para recibir ofertas sobre productos, eso es un consentimiento explícito de que quiere recibir esa información, y no es necesario renovarlo. Lo que es recomendable, y ahí sí puedo mandar un correo electrónico, es informarle de sus derechos: “estás en mi base de datos porque en su día tuviste una relación comercial con mi empresa y por eso te remito información comercial. Pero cuando quieras darte de baja, solo tienes que pedírmelo, lo haré al instante”.

Fijaos en el siguiente email:

” Algunas de las políticas de protección de datos que habíais aceptado han cambiado con la entrada en vigor este viernes 25 de mayo del nuevo Reglamento General de Protección de Datos (RGPD). ¿Qué significa esto? Muy sencillo, que he adaptado, entre otras cosas, la Política de Cookies y la Política de Privacidad a la nueva normativa de Protección de Datos.

Podéis daros de baja a esta newsletter en el enlace de abajo, y si no lo hacéis entiendo que dais vuestro consentimiento para que me siga comunicando con vosotros.

Tambien podéis modificar vuestros datos para tener un mayor control sobre ellos, solicitando la actualización, el alta o la eliminación total de los mismos contactando con el equipo al correo …………………………”

¿Qué no podemos hacer como empresa?

Lo que no está permitido es utilizar cualquier dato de un nuevo cliente para mandar información comercial. Por ejemplo, usuarios que solo contactaron con nuestra empresa para pedir información o interesarse por algún producto. Incluso clientes que nos han hecho una compra. A partir de ahora deben autorizarnos para mandarles información comercial. Si la autorización es online, la famosa casilla de suscribirse a una lista de correo para recibir nuevas ofertas tiene que estar desactivada por defecto, de forma que la solicitud sea un acto voluntario. Ya no vale el “si me haces una compra entiendo que quieres recibir emails sobre nuevas promociones”. No. Me compras, y te pido tu permiso para mandarte a partir de ahora comunicaciones con ese fin, un fin comercial.

Álvaro Ramos: “Y cuando hay finalidades distintas dentro de una misma empresa, se necesita una base legitimadora para cada tratamiento”.

Es decir, no vale utilizar un email o un número de teléfono que pedimos a  un cliente para notificar la llegada de un pedido o avisar de posibles retrasos en un servicio para aprovechar y enviarles información comercial. Tampoco se puede aprovechar la autorización para enviar información comercial sobre productos que no tienen nada que ver.

Es decir: “Si quieres enviarme información comercial, perfecto. Pero solo si te he dado mis datos para eso, o tenemos una relación comercial previa”. Si no, te tengo que dar permiso, una autorización.

No necesitaba mandar el ‘e-mail’, ya tenía el consentimiento legal de los usuarios, pero perdí el 80% de la base de datos

Propietaria de tienda Online

Consentimiento o Autorización Libre y Explícito: ¿Qué es?

El consentimiento de un cliente para enviar información comercial no puede estar condicionado, debe ser explícito y libre. No podemos amenazar a un cliente con dejar de darle servicio si no accede a recibir información comercial. Consentimiento y autorización, es decir, lógica y transparencia siempre.

Antes de esta nueva ley RGPD, el consentimiento era tácito. Se sobreentendía que si el cliente compraba, aceptaba recibir más información comercial. Ahora ya no, el consentimiento tiene que ser explícito, voluntario y claro.

En los formularios online ya no valen las casillas premarcadas. Cuando alguien facilita su correo electrónico para una compra online, la casilla de suscribirse a una lista de correo para recibir nuevas ofertas tiene que estar desactivada por defecto, de forma que la solicitud sea un acto voluntario. El cliente tiene que activarla, eso demuestra autorización, que acepta voluntariamente. Sólo podemos enviar correos electrónicos a la gente de la que tenemos consentimiento expreso, o bien un interés legítimo (Por ejemplo, un contrato o relación comercial). Y esa autorización hay que recogerla y guardarla. (en papel u online).

Por esa razón vemos que en los nuevos formularios online, tienen que aparecer diferentes casillas para diferentes autorizaciones, para todo tipo de finalidades (comercial, de envío de emails, etc).

En algunos formularios veréis que para ahorrar tiempo al cliente, se incluye una casilla que selecciona todas de forma automática. Eso es legal, no hay problema. Siempre que esa casilla también esté desactivada por defecto.

Conclusión: Derechos de los Clientes y Sentido Común

Queremos concluir con la idea principal que daba pie a este artículo: no es necesario borrar nuestra base de datos de clientes, si esos clientes han tenido una relación comercial previa con nuestra empresa. Lo que hemos de hacer es informarles de sus derechos en su relación con nuestra empresa. Recordarles que si lo solicitan podemos darles de baja inmediata en nuestra base de datos, facilitando una forma rápida, sencilla y gratuita de darse de baja en estas bases de datos, así como para rectificar los datos almacenados.

Gerardo Raído: “La posesión de información personal nos obliga frente a las administraciones, pero sobre todo frente los titulares de dichos datos, que suelen ser nuestros clientes -los que nos dan de comer, vamos. (…) Ello para mi significa ser honesto y no cometer prácticas que como consumidor no te parecen razonables.

En caso de alguna duda, no dudeis en consultar con un experto en protección de datos.


Fuentes de Artículos

¿Cómo puedo seguir utilizando la base de datos de mis clientes? por Pablo Cerezal
Diario Expansión, 27/05/2018

El efecto GDPR sobre nuestras Bases de Datos por Gerardo Raído
MarketingDirecto, 23/05/2018

Deja un comentario