Todas las claves para entender el nuevo RGPD (GDPR) y cómo afecta a los SMS
17 / 09 / 2018
Tiempo de lectura: 21 min
El 25 de mayo de 2018 comenzó a ser aplicable el Reglamento General de Protección de Datos (RGPD), también conocido por sus siglas en inglés GDPR (General Data Protection Regulation).
En este artículo pretendemos dar respuesta a todas las dudas sobre cómo deben actuar las empresas en lo que se refiere al RGPD y al envío de SMS masivos a sus clientes, tanto si son SMS transaccionales como en el caso de envío de publicidad por SMS. Debido a su extensión, incluimos a continuación un índice para hacer más fácil la lectura y navegación a lo largo del mismo.
Tabla de contenidos
- Conceptos clave
- Adaptación al RGPD
- Resuelve todas tus dudas sobre el RGPD y los SMS
- ¿Puedo seguir enviando SMS a mis clientes?
- Tengo una base de datos de teléfonos de clientes potenciales, ¿puedo seguir enviándoles SMS?
- Nuestra fundación utiliza el servicio de SMS solidario para captar donaciones, ¿podemos utilizar el número de teléfono para contactar con los donantes?
- ¿Cómo adapto mi publicidad para para poder enviar SMS a los leads que obtenga?
- Los SMS que envíe, ¿deben tener algún requisito especial para cumplir el RGPD?
- Cuando envío un SMS, ¿cómo doy la opción de que el usuario se dé de baja?
- ¿Cómo recojo el consentimiento expreso del usuario?
- Si envío SMS transaccionales que no son de publicidad, ¿deben tener algún requisito especial para cumplir el RGPD?
- ¿Necesito tener un DPO en mi organización?
- ¿Cómo gestiono el consentimiento de personas que conozco en una feria?
- ¿Puedo seguir enviando SMS a mis clientes?
Advertencia
Los siguientes contenidos se proporcionan con una finalidad meramente informativa o ilustrativa, y no constituyen ni sustituyen un asesoramiento legal, que deberá ser prestado por profesionales en la materia. Altiria no asumirá ninguna responsabilidad por las decisiones que se adopten con arreglo a esta información.
Conceptos clave
¿Qué es el RGPD?
El conocido como Reglamento General de Protección de Datos (RGPD) es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Directiva de protección de datos personales).
Este reglamento europeo entró en vigor el 25 de mayo de 2016, pero no fue de aplicación obligatoria hasta el 25 de mayo de 2018. Las empresas y organizaciones han tenido dos años para adaptarse a su cumplimiento, aunque en la práctica ha sido en este año en el que las empresas se han empezado a preocupar por ella y están adaptando todos sus procesos.
¿Qué pasa con la LOPD y la LSSI?
En España, el RGPD sustituye en la práctica a la Ley 15/1999 Orgánica de Protección de Datos de Carácter Personal (LOPD). No obstante, la LOPD no ha sido derogada y sigue en vigor en todo lo que no contradiga al RGPD hasta que se apruebe una nueva normativa que la sustituya.
En general, la LOPD ya era bastante exigente en cuanto al tratamiento de datos de carácter personal por lo que las empresas que estuvieran haciendo las cosas bien no encontrarán mayores dificultades para adaptarse a la nueva normativa.
La Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI) sigue totalmente en vigor y, al igual que convivía con la LOPD, ahora convive con el RGPD. La LSSI, tal como su nombre indica, regula los servicios de la sociedad de la información, por ejemplo, los servicios que se ofrecen a través de Internet.
A este respecto es muy interesante el informe emitido por el gabinete jurídico de la Agencia Española de Protección de Datos (AEPD) en el que responde a dudas relacionadas con el envío de comunicaciones comerciales con base en el interés legítimo del RGPD. Si se trata de comunicaciones no electrónicas, es aplicable el RGPD, pero si las comunicaciones son electrónicas, entonces el interés legítimo no sería válido ya que la LSSI es una normativa especial para este tipo de comunicaciones.
Por último, en la UE existe una propuesta de reglamento sobre privacidad y comunicaciones electrónicas que pretende armonizar ambas regulaciones.
Gestión de datos personales
En un mundo globalizado el nuevo reglamento quiere armonizar la gestión de los datos personales y afecta no solo a las empresas que estén dentro de la Unión Europea sino también a aquellas que, sin estarlo, gestionen datos personales de ciudadanos de la UE.
Los datos personales son propiedad del individuo y el nuevo reglamento le dota de una serie de derechos para gestionarlos: derecho a estar informado, derecho de acceso, derecho de rectificación, derecho de supresión u olvido, derecho de limitación al tratamiento, derecho de portabilidad de los datos, derecho de oposición y derecho a efectuar una reclamación ante la autoridad de control (la Agencia Española de Protección de Datos) en caso de que se considere que el tratamiento de los datos no es el adecuado.
DPO: Delegado de protección de datos
El delegado de protección de datos o DPO (Data Protection Officer) es la persona dentro de la organización que supervisa e implementa la estrategia de protección de datos asegurando que se cumple la legislación.
Las funciones del DPO son las siguientes (artículo 39 del RGPD):
- Educar a los empleados de la empresa sobre las obligaciones en cuanto a gestión de protección de datos se refiere.
- Supervisar el cumplimiento del RGPD dentro de la organización.
- Asesorar sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
- Actuar como punto de contacto principal sobre todo lo relacionado con la recogida, el procesamiento y el almacenamiento de los datos.
- Cooperar con las autoridades de control.
El DPO puede ser una persona de la propia empresa o alguien externo que desempeña sus funciones en el marco de un contrato de servicios.
No todas las organizaciones deben tener un DPO, pero es imprescindible si la organización es (artículo 37 del RGPD):
- Una entidad pública que recoge y procesa datos.
- Un negocio cuya actividad principal consiste en procesar datos a gran escala de forma habitual y sistemática.
- Un negocio u organización que trata a gran escala datos personales de alguna categoría especial (artículos 9 y 10): raza, religión, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud o relativos a la vida y/o la orientación sexual, y datos de infracciones penales.
Base legal para el tratamiento
Los datos personales de los que dispongamos podremos utilizarlos sólo si se cumple alguna de las siguientes condiciones (artículo 6 del RGPD):
- El interesado dio su consentimiento para el tratamiento de sus datos.
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es una parte o para la aplicación a petición de éste de medidas precontractuales.
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Consentimiento
En general, la base legal que utilizan las empresas para el tratamiento de datos personales es el consentimiento del interesado. En el momento de recoger los datos se le pide consentimiento al usuario para el tratamiento de los mismos y se le explica para qué se van a utilizar sus datos y cómo se van a tratar.
¿Qué se entiende por consentimiento del interesado? Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Una de las grandes novedades del RGPD es que el consentimiento debe serexpreso, además de libre e informado (debiéndose por tanto determinar claramente los fines a los que se destinarán los datos, los posibles cesionarios…).
Adaptación al RGPD
La AEPD ha publicado bastante información para guiar a empresas e instituciones en la adaptación al nuevo RGPD. Además, dispone de la herramienta Facilita RGPD que ayuda a cumplir el RGPD a las empresas que realicen un tratamiento de datos personales de escaso riesgo. Esta herramienta permite valorar la situación de la empresa en cuanto al tratamiento de datos personales se refiere y genera diversos documentos adaptados a la empresa:
- Cláusulas informativas que se deben incluir en los formularios de recogida de datos.
- Cláusulas contractuales para incorporar a los contratos.
- Registro de actividades de tratamiento.
- Anexo con medidas de seguridad orientativas consideradas mínimas.
Las actuaciones que se deben realizar para adecuarse al nuevo RGPD son las
siguientes:
- Designar un delegado de protección de datos si es obligatorio o se asume voluntariamente.
- Elaborar el registro de actividades de tratamiento.
- Analizar las bases jurídicas de los tratamientos.
- Efectuar un análisis de riesgos.
- Revisar las medidas de seguridad en función del análisis de riesgos realizado.
- Establecer mecanismos y procedimientos de gestión de violaciones de seguridad.
- Realizar, cuando sea necesario, una evaluación de impacto de la protección de datos.
- Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
- Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
- Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
- Modificar los contratos con los encargados de tratamiento adecuándolos al contenido del RGPD.
- Confeccionar e implantar políticas de protección de datos.
- Realizar un seguimiento de todo lo anterior.
Resuelve todas tus dudas sobre el RGPD y los SMS
En esta sección vamos a responder algunas de las cuestiones que nos han ido enviando nuestros clientes sobre cómo afecta el nuevo RGPD a la utilización de los SMS.
¿Puedo seguir enviando SMS a mis clientes?
En general, sí. Veamos a continuación las consideraciones a tener en cuenta.
Cuando enviamos un SMS podemos distinguir 4 casos:
- El SMS tiene relación directa con el producto/servicio que adquiere el cliente.
Ejemplo: una óptica le envía un SMS al cliente para avisarle que ya tiene sus gafas preparadas y puede pasar a recogerlas.
El tratamiento de datos en este caso se permite ya que es necesario para la ejecución del contrato.
- El SMS es una comunicación comercial de un producto/servicio similar al adquirido por el cliente.
Ejemplo: una óptica le envía un SMS al cliente con una oferta sobre gafas de sol.
El envío de un SMS es una comunicación comercial electrónica y está regulado por la Ley 34/2002, de servicios de la sociedad de la información (LSSI) (arts. 19 a 22). El envío es perfectamente legal ya que éste se realiza a un cliente y el producto es similar al que adquirió. Ello no excluye, no obstante, la obligación de informar previamente sobre ese tratamiento de datos con fines comerciales el momento en el que el cliente adquiere el producto/servicio, ni tampoco de la posibilidad que debe tener entonces (y posteriormente en cada comunicación) de oponerse a ello.
- El SMS es una comunicación comercial de un producto/servicio distinto al adquirido en su momento.
Ejemplo: una óptica le envía a su cliente una oferta para hacerse una revisión auditiva gratuita.
Sigue siendo de aplicación la LSSI, pero este caso es más ambiguo. En el ejemplo, se podría argumentar que tanto el nuevo servicio como las gafas que adquirió están relacionados con la salud. En cualquier caso, si el producto/servicio es de la misma empresa o se pueden englobar en una categoría superior común, en general, no habría problemas.
- El SMS es una comunicación comercial de un producto/servicio de un tercero.
Ejemplo: una óptica le envía a su cliente una oferta especial de una agencia de viajes con la que ha llegado a un acuerdo.
En este caso se podría defender que el tratamiento es necesario para la satisfacción del interés legítimo perseguido por la empresa para poner a disposición de su cliente las mejores ofertas fruto del acuerdo al que ha llegado con un tercero. Pero el argumento es un tanto endeble.
La evaluación de los riesgos frente al potencial beneficio posiblemente indique que lo más sensato sea no realizar el envío, salvo que en el contrato que se haya firmado con el cliente se incluya específicamente la posibilidad de enviar comunicaciones comerciales de productos/servicios de terceros, señalando las categorías o tipo de productos/servicios. En todo caso, al pedir ese consentimiento se debe exigir el arcado de la correspondiente casilla.
Tengo una base de datos de teléfonos de clientes potenciales, ¿puedo
seguir enviándoles SMS?
Dependerá de cómo se recogieron los datos, para qué se recogieron y qué se vaya a enviar.
En caso de duda, lo más seguro es enviarles un SMS invitándoles a confirmar que quieren seguir recibiendo comunicaciones comerciales y proporcionándoles toda la información sobre cómo se van a tratar sus datos y para qué se van a utilizar.
El envío de este SMS es perfectamente legal basándose en el interés legítimo del responsable de los datos para actualizar los mismos, pero esta base no se puede utilizar de forma ilimitada para enviarles SMS.
La mejor forma de realizar este envío es insertando una URL a una landing en la que se proporcione toda la información y en la que puedan confirmar su aceptación apretando un botón.
Después de hacer este envío la lista de clientes potenciales se va a reducir, ya que no todos confirmarán la recepción de SMS, pero la lista será mucho más cualificada porque será de clientes realmente interesados en nuestros productos y la efectividad de los SMS que le enviemos posteriormente será mucho más alta y el presupuesto invertido en enviarlos mucho menor.
Nuestra fundación utiliza el servicio de SMS solidario para captar
donaciones, ¿podemos utilizar el número de teléfono para contactar con
los donantes?
Cuando una persona envía un SMS solidario a una fundación, le está realizando una donación y, por lo tanto, pasa a ser donante de la fundación (el equivalente a «cliente» en una empresa).
En el caso de querer enviarles un SMS no habría ningún problema ya que se trataría de clientes (donantes) de la fundación y, por lo tanto, si se realiza una comunicación comercial referida a servicios similares (donación), la LSSI permite hacerlo.
No obstante, también es importante que al solicitar el envío de SMS solidario se ofrezca toda la información relativa al tratamiento de datos que se va a realizar, el objeto del mismo y los derechos del usuario, así como la posibilidad de oponerse a tratamientos con fines comerciales o promocionales.
Por otro lado, si lo que se pretende hacer es efectuar una llamada para, por ejemplo, ofrecerle la posibilidad de ser socio, ya no se regiría por la LSSI sino por la normativa de protección de datos general, es decir, el RGPD. En este caso tampoco habría problema ni se requiere de consentimiento expreso ya que el tratamiento de datos satisface el interés legítimo de la fundación.
¿Cómo adapto mi publicidad para para poder enviar SMS a los leads que
obtenga?
Es necesario revisar la política de privacidad y los avisos en los formularios en los que recojamos información de los potenciales clientes con el objetivo de obtener su consentimiento para la utilización posterior de los datos.
Esta información se debe redactar en forma concisa, transparente e inteligible utilizando un lenguaje claro y sencillo y debe ser de fácil acceso.
La nueva política de privacidad adaptada al RGPD debe incluir:
- La identidad y datos de contacto del responsable.
- Los datos de contacto del delegado de protección de datos, si existe.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica para su tratamiento.
- Si la base jurídica es el interés legítimo, debe justificarse.
- Si la base jurídica es el consentimiento, la existencia del derecho a retirar el consentimiento en cualquier momento.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
- Los destinatarios de los datos personales, si existen.
- Si ha lugar, la intención del responsable de transferir datos personales a un tercer país u organización internacional (fuera del Espacio Económico Europeo) y referencia a las garantías adecuadas.
- El plazo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese plazo.
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- El derecho a presentar una reclamación ante una autoridad de control.
- Si existen decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Los SMS que envíe, ¿deben tener algún requisito especial para cumplir
el RGPD?
Para poder enviar un SMS hay que cumplir tanto el nuevo RGPD en lo que a protección de datos se refiere, como la LSSI en lo que atañe a comunicaciones comerciales electrónicas. Por lo tanto, además de tener base legal para enviar el SMS al destinatario, el mensaje debe incluir:
- Identificación del remitente: uno de los principios del RGPD es la transparencia y el remitente de la comunicación debe ser fácilmente identificable. El nombre de la empresa puede incluirse en el remitente del mensaje (es lo más recomendable) o dentro del propio cuerpo del mensaje.
- Identificación de información comercial: en el caso de tratarse de una información comercial, también debe indicarse claramente como tal.
- Información de baja: se le debe ofrecer al usuario una forma para darse de baja y no
recibir posteriores comunicaciones. (Más información en el siguiente apartado). - Reseña sobre la política de protección de datos (indicando «RGPD», «GDPR» o similar) y un enlace a la misma donde se proporcione información más completa.
Cuando envío un SMS, ¿cómo doy la opción de que el usuario se dé de
baja?
Siempre que se realiza una comunicación comercial es necesario proporcionarle al usuario un medio para dejar de recibirlas.
En SMS disponemos de 11 caracteres en el remitente y 160 en el texto del mensaje para enviar una comunicación. El mensaje debe ser claro y conciso, pero no debemos olvidarnos en proporcionar una forma para que el usuario se dé de baja. Existen dos opciones:
- SMS de respuesta: el usuario envía un SMS para darse de baja
Ejemplo de SMS: Publi: Rastrillo en Casa y Jardín. Consigue un 20% de descuento presentando este SMS. Hasta el 31 de mayo. Para baja: BAJA al 215800. - Página web de baja con información sobre el uso de los datos: el usuario accede a una web móvil para darse de baja.
Ejemplo de SMS: Publi: Rastrillo en Casa y Jardín. Consigue un 20% de descuento presentando este SMS. Hasta el 31 de mayo. BAJA y RGPD: http://go2.re/_zbYXO5.
La segunda opción, la opción de la landing web para baja, es la más recomendable ya a día de hoy la penetración de los smartphones es muy grande en España y las tarifas planas para acceso a Internet son una realidad. Además, la landing permite proporcionar mayor información al usuario.
¿Cómo recojo el consentimiento expreso del usuario?
El RGPD recoge las siguientes condiciones para el consentimiento (artículo 7):
- El responsable debe poder demostrar que el interesado consintió el
tratamiento de sus datos personales para los fines expresamente informados. - Si el consentimiento se proporciona en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
- El interesado tiene derecho a retirar su consentimiento en cualquier momento y debe ser informado de ello antes de darlo.
- El consentimiento se debe dar libremente. No se podrá, por ejemplo, supeditar la ejecución de un contrato al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
Teniendo esto en cuenta, en todos los formularios de recogida de datos hay que incluir una casilla de verificación para obtener el permiso expreso del usuario. No puede estar marcada por defecto y debe informarse al usuario para qué se van a utilizar sus datos y cómo se van a tratar.
Junto con los datos proporcionados por el usuario también es importante recoger otra información relevante como, por ejemplo, la fecha en la que se da el consentimiento o la dirección IP desde la que accede el usuario.
Si envío SMS transaccionales que no son de publicidad, ¿deben tener
algún requisito especial para cumplir el RGPD?
Cuando una empresa envía un SMS a sus clientes no siempre es publicitario. También existen los llamados SMS transaccionales. A continuación se reproducen algunos ejemplos:
- Tu código de confirmación es 654389.
- Tu apuesta en tuapuestafavorita.com ha sido premiada. Ya dispones del importe en tu Lotobolsa.
- Confirmamos tu reserva para dos personas. Te esperamos en el restaurante Casa Tomás el 19 de septiembre a las 14.00.
En este caso, los SMS se utilizan como un medio de comunicación a efectos del servicio prestado. En estos mensajes no hay que añadir nada a efectos de protección de datos.
El contrato que se establezca con el cliente o en las condiciones del servicio sí que se tiene que estipular que se van a utilizar los SMS como medio para remitir comunicaciones relativas a los servicios prestados/contratados y que el cliente autoriza el uso de su número de teléfono para esos fines. Por supuesto, también debe incluir el resto de menciones sobre protección de datos.
¿Necesito tener un DPO en mi organización?
No, siempre que tu organización sea una empresa u organización privada que no procesa datos a gran escala ni recoge datos especiales como, por ejemplo, raza, religión, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud o relativos a la vida y/o la orientación sexual.
En otro caso, sí es obligatorio.
No obstante, aunque no sea obligatorio sí que es recomendable, al menos, disponer dentro de la organización de una persona que supervise e implemente la estrategia de protección de datos asegurando que se cumple la legislación.
De cualquier modo, debe hacerse un análisis previo que determine si es obligatorio o no tener un DPO.
¿Cómo gestiono el consentimiento de personas que conozco en una feria?
Si se sigue el reglamento al pie de la letra, habría que preguntar a cada persona si quiere recibir nuestras comunicaciones y asegurarse que firme en nuestro stand un formulario con un consentimiento.
En la práctica, este procedimiento es poco ágil en una feria en la que las prisas suelen ser lo habitual. Cada organización debe estudiar su caso particular y el riesgo que supone. Por ejemplo, no es lo mismo que
recojamos los datos de contacto de una persona o que, además, recojamos datos financieros o de salud. En éste último caso sí que sería imprescindible tener un formulario firmado.
En general, cuando en una feria recogemos los datos de contacto de una persona es para enviarle información sobre algún producto o servicio nuestro. En este caso lo más práctico es, si no hemos dispuesto de formularios específicos, al terminar la feria enviar un correo a la persona interesada solicitando confirmación de sus datos y de su consentimiento para tratarlos con el fin de enviarle la información que solicitó en la feria.