Marketing directo según el GDPR

Image of Carlo Cilento

Publicado el 18 sept 2023 y editado el 19 dic 2023 por Carlo Cilento

Mucha gente se confunde cuando se trata de marketing y legislación de la UE sobre privacidad. No les culpamos, porque las normas no pueden ser más complicadas.

Esto se debe a que el marketing directo se rige por diferentes leyes: el GDPR y la antigua Directiva sobre privacidad y comunicaciones electrónicas. Examinar cada ley por separado es insuficiente: hay que entender cómo interactúan.

Para complicar aún más las cosas, los Estados miembros de la UE aplicaron la Directiva de diferentes maneras, especialmente en lo que respecta a las comunicaciones entre empresas (B2B). En consecuencia, algunas normas cambian de un país a otro.

Este blog sólo puede arañar la superficie: para asegurarse de que su marketing directo es 100% conforme, debe examinar la legislación de cada Estado miembro. El hecho de que cumpla la legislación holandesa no significa que la cumpla en Italia o Croacia.

Entremos en materia.

  1. ¿Cuáles son las leyes?
  2. ¿Qué legislación se aplica?
  3. ¿Cuáles son las normas?
  4. De empresa a consumidor (B2C)
    1. Opt-in y soft opt-it
    2. El RGPD: consentimiento e interés legítimo
  5. Empresa a empresa (B2B)
  6. ¿Qué más hay que saber?
    1. Cuidado con el análisis de datos
    2. Identifique a su empresa en los correos electrónicos
    3. Exclusiones voluntarias y consentimiento
  7. Conclusiones
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

¿Cuáles son las leyes?

Tanto el GDPR como la Directiva ePrivacy se aplican al marketing directo.

Probablemente haya oído hablar del GDPR: es un Reglamento muy importante y el pilar central del marco de protección de datos de la UE. Al tratarse de un Reglamento, las normas son las mismas para todos los Estados miembros.

La Directiva sobre privacidad electrónica es una ley más antigua de la UE, de 2002. Como Directiva, no se aplica directamente. En su lugar, cada Estado miembro la aplica a través de su propia legislación. Por eso las normas son similares pero no iguales en toda la UE.

¿Qué legislación se aplica?

Las normas de comercialización directa dependen de la legislación aplicable. Aquí es donde la cosa se complica, porque el RGPD y la Directiva utilizan criterios diferentes.

La Directiva distingue entre comunicaciones de empresa a consumidor (B2C) y de empresa a empresa (B2B). La Directiva regula las comunicaciones B2C, pero deja cierto margen a los Estados miembros para regular las comunicaciones B2B. Como resultado, las normas para B2C son (en su mayoría) las mismas en toda Europa, pero los distintos Estados tienen normas diferentes para B2B.

Por otra parte, la aplicabilidad del RGPD depende de la distinción entre datos personales y no personales. El GDPR se aplica a todo el marketing B2C y a algunos casos de marketing B2B.

En resumen, tenemos tres escenarios posibles:

  • Las comunicaciones B2C (como el envío de correos electrónicos a johndoe@emailprovider.com) entran en el ámbito de aplicación tanto del RGPD como de la Directiva.
  • Las comunicaciones B2B (como el envío de correos electrónicos a purchases@business.com) están sujetas a normas específicas adoptadas por los Estados miembros.
  • las comunicaciones B2B entran en el ámbito de aplicación del RGPD y de las normas de los Estados miembros cuando la información de contacto son datos personales (por ejemplo, el envío de un correo electrónico a johndoe@business.com).

¿Cuáles son las normas?

Como ya hemos explicado, las normas dependen del tipo de comunicación. He aquí un resumen:

De empresa a consumidor:

  • es opt-in o soft-opt-in para la mayoría de los Estados miembros (¡más sobre esto más adelante!)

  • Cuando no se recoge el consentimiento, el interés legítimo debe equilibrarse correctamente para cumplir con el GDPR. Si esto no es posible, ¡el consentimiento es necesario de todos modos! Empresa a empresacon datos personales:

  • Losdistintos Estados tienen normas diferentes. El consentimiento puede o no ser necesario para la comercialización, dependiendo del Estado y de la situación.

  • Cuando no se recaba el consentimiento, es necesario equilibrar correctamente el interés legítimo para cumplir con el GDPR. Si esto no es posible, ¡el consentimiento es necesario de todos modos!De empresa a empresa sin datos personales:

  • Losdistintos Estados tienen normas diferentes. El consentimiento puede o no ser necesario para la comercialización, dependiendo del Estado y de la situación.

  • No se aplica el GDPR. Por tanto, no se necesita base jurídica para el tratamiento de los datos.

Desglosémoslo todo

De empresa a consumidor (B2C)

Opt-in y soft opt-it

Según la Directiva sobre privacidad y comunicaciones electrónicas, el consentimiento es obligatorio para el marketing B2C. Este sistema suele denominarse opt-in.

Existe una excepción para los clientes existentes: la denominada norma de inclusión voluntaria. Según esta norma, no es necesario el consentimiento si se cumplen cinco condiciones acumulativas:

  • ha recopilado la dirección de correo electrónico del consumidor en el contexto de una venta
  • está promocionando su propio producto o servicio
  • el servicio es similar al que ya le compraron a usted
  • en el momento de recopilar la dirección de correo electrónico, el consumidor tiene la posibilidad de rechazar el marketing.
  • cada correo electrónico que envíe incluya una opción de exclusión.

Por ejemplo, John Doe compra una suscripción a su periódico en línea y le da su dirección de correo electrónico. Durante el proceso de suscripción, puede ofrecerle la opción de excluirse del marketing directo. Si no lo hace, puede ponerse en contacto con él más adelante en johndoe@emailprovider.com para anunciar otra de sus publicaciones, pero debe incluir una opción de exclusión en cada comunicación.

Además, no puede publicitar su línea de champú o un periódico de otra editorial o su publicación a través de llamadas telefónicas o mensajes SMS.

Tenga en cuenta que esta explicación es válida para la mayoría de los países, pero no para todos. La aplicación de la Directiva varía de un Estado miembro a otro: por ejemplo, algunos países exigen pasos adicionales para que una inclusión voluntaria sea válida, y otros no la permiten en absoluto.

Lo que constituye una venta también varía de un país a otro. En algunas jurisdicciones, debe haberse vendido un producto o servicio, mientras que en otras basta con haber entablado una relación comercial en el contexto de una venta, aunque al final no se haya vendido nada.

El RGPD: consentimiento e interés legítimo

La Directiva es sólo la mitad del cuadro: también se necesita una base jurídica en virtud del GDPR. En la práctica, puede ser el consentimiento o el interés legítimo.

Cuando la Directiva exige el consentimiento, las cosas son relativamente sencillas: la Directiva "triunfa" sobre el RGPD, y sólo puede utilizar el consentimiento como base jurídica para la venta directa.

Cuando la Directiva no exige el consentimiento, puede elegir entre el consentimiento y el interés legítimo, y aquí es donde las cosas se complican.

El interés legítimo puede utilizarse para el marketing directo, pero existen algunas limitaciones; el interés legítimo requiere equilibrar intereses y derechos en conflicto; en este caso, el derecho a la privacidad de un consumidor frente al interés de una empresa en promocionar su producto o servicio.

El equilibrio es una evaluación compleja, caso por caso, sin respuestas universales. Puede haber situaciones en las que se pueda utilizar el interés legítimo y otras en las que no. En esos casos, necesitará el consentimiento, tanto si la Directiva lo exige como si no.

En otras palabras, el requisito de consentimiento para el marketing directo es complicado porque depende tanto de la Directiva como del RGPD. Si nos limitamos a la Directiva, nos estamos perdiendo la mitad del cuadro.

Empresa a empresa (B2B)

El marketing de empresa a empresa se dirige directamente a las empresas; por ejemplo, un correo electrónico enviado a purchases@business.com o johndoe@business.com cuenta como marketing B2B.

Como ya hemos explicado, la Directiva no incluye normas para el marketing B2B, sino que deja margen para que los Estados miembros regulen la comunicación como consideren oportuno.

Las normas dependen totalmente de cada Estado miembro. Algunas jurisdicciones exigen el consentimiento para el marketing B2B, otras lo permiten sin consentimiento, y otras exigen el consentimiento pero permiten una inclusión voluntaria en determinados casos. Por último, algunas jurisdicciones diferencian entre marketing de primera y de tercera parte.

Para complicar aún más las cosas, algunas comunicaciones B2B entran en el ámbito del GDPR, y otras no.

En nuestro ejemplo, las comunicaciones a purchases@business.com no entran en el ámbito del GDPR porque la oficina de compras de Business no es una persona. Por otro lado, las comunicaciones a johndoe@business.com entran en el ámbito del GDPR porque la dirección de correo electrónico de la empresa se refiere a John Doe, miembro del personal de Business. Este también podría ser el caso si utiliza la dirección de correo electrónico de una empresa unipersonal.

Si se aplica el GDPR, necesitará una base jurídica para el tratamiento de datos. Y si desea utilizar el interés legítimo, debe evaluar el equilibrio, como se ha explicado anteriormente. Si no se puede equilibrar el interés legítimo, necesitará el consentimiento si la Directiva lo exige.

¿Qué más hay que saber?

Cuidado con el análisis de datos

Las empresas dedicadas al marketing directo suelen analizar datos personales como la edad, la dirección, los intereses y el historial de compras para determinar quién puede estar interesado en una oferta.

Todos estos datos entran en el ámbito de aplicación del RGPD y requieren una base jurídica para su tratamiento. El hecho de que el sistema soft opt-in de la Directiva le permita procesar información de contacto sin consentimiento no significa que también pueda procesar otros datos sin consentimiento.

En la práctica, es útil pensar en dos operaciones distintas de tratamiento de datos:

  • en un primer paso, usted analiza determinados datos personales sobre su público para orientar mejor sus esfuerzos de marketing. Este paso debe cumplir con el GDPR.
  • Como segundo paso, envía las comunicaciones de marketing utilizando la información de contacto. Este paso debe cumplir tanto el GDPR como la Directiva sobre privacidad y comunicaciones electrónicas.

Identifique a su empresa en los correos electrónicos

Tanto si su marketing se basa en el consentimiento como si no, la Directiva exige que sus correos electrónicos identifiquen a su empresa como remitente.

Además, el GDPR le exige que proporcione información con fines de transparencia. Supongamos que quiere mantener ordenados sus correos electrónicos. En ese caso, puede enlazar a un aviso de privacidad (siempre que incluya información específica sobre marketing directo, no dirija a los usuarios al aviso de privacidad del sitio web de su empresa ni nada parecido).

En este caso, le sugerimos que identifique claramente a su empresa como remitente dentro del correo electrónico para asegurarse de no infringir la Directiva.

Exclusiones voluntarias y consentimiento

Tenga en cuenta que el consentimiento puede revocarse y que, según el GDPR, revocarlo debe ser tan fácil como darlo.

Para cumplir con el GDPR, proporcionar un enlace para revocar el consentimiento en sus correos electrónicos es probablemente una buena idea.

En la práctica, esto significa que todas las comunicaciones dirigidas a particulares deben incluir una opción para poner fin a las comunicaciones de forma definitiva, ya sea la opción de exclusión voluntaria exigida por la Directiva o una opción para revocar el consentimiento en virtud del GDPR.

Conclusiones

Lasnormas sobre marketing directo son confusas y fragmentarias. El RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas pueden ser un punto de partida para comprender las normas, pero al final, en la mayoría de los casos no existe una respuesta universal para todas las jurisdicciones de la UE.

Este pdf del sitio web de la Asociación Internacional de Profesionales de la Privacidad ofrece una descripción práctica y de alto nivel de las normas aplicables. A veces se puede encontrar información más detallada sobre legislación específica en el sitio web de las autoridades nacionales de protección de datos.

Incluso con estos recursos, puede resultar complicado entender todas las normas. Es posible que desee consultar a un profesional del Derecho con conocimientos específicos de las jurisdicciones en las que desarrolla su actividad, más aún si realiza actividades de marketing sin consentimiento, lo que complica el cumplimiento del GDPR.

¿Por qué nos importa?

Creemos en la ética a la hora de hacer negocios. Por eso hemos creado Simple Analytics, una alternativa a Google Analytics respetuosa con la privacidad. Simple Analytics le ofrece toda la información que necesita sin utilizar cookies, rastreadores ni huellas dactilares de los usuarios. No rastreamos a sus visitantes y no recopilamos ni un solo dato personal.

Si esto le parece bien, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días