Todas las claves para entender el nuevo RGPD (GDPR) y cómo afecta a los SMS

17 / 09 / 2018

Tiempo de lectura: 21 min

SMS RGPD GDPR

El pasado 25 de mayo comenzó a ser aplicable el Reglamento General de Protección de Datos (RGPD), también conocido por sus siglas en inglés GDPR (General Data Protection Regulation) y en Altiria seguimos recibiendo consultas de clientes sobre cómo deben actuar en lo que se refiere al RGPD y al envío de SMS masivos a sus clientes.

En este artículo pretendemos dar respuesta a todas las dudas. Debido a su extensión, incluimos a continuación un índice para hacer más fácil la lectura y navegación a lo largo del mismo.

Tabla de contenidos

Aviso

Advertencia

Los siguientes contenidos se proporcionan con una finalidad meramente informativa o ilustrativa, y no constituyen ni sustituyen un asesoramiento legal, que deberá ser prestado por profesionales en la materia. Altiria no asumirá ninguna responsabilidad por las decisiones que se adopten con arreglo a esta información.

SMS y GDPR - RGPD

Conceptos clave

¿Qué es el RGPD?

El conocido como Reglamento General de Protección de Datos (RGPD) es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Directiva de protección de datos personales).

Este reglamento europeo entró en vigor el 25 de mayo de 2016, pero no fue de aplicación obligatoria hasta el 25 de mayo de 2018. Las empresas y organizaciones han tenido dos años para adaptarse a su cumplimiento, aunque en la práctica ha sido en este año en el que las empresas se han empezado a preocupar por ella y están adaptando todos sus procesos.

Volver a Tabla de contenidos

¿Qué pasa con la LOPD y la LSSI?

En España, el RGPD sustituye en la práctica a la Ley 15/1999 Orgánica de Protección de Datos de Carácter Personal (LOPD). No obstante, la LOPD no ha sido derogada y sigue en vigor en todo lo que no contradiga al RGPD hasta que se apruebe una nueva normativa que la sustituya.

En general, la LOPD ya era bastante exigente en cuanto al tratamiento de datos de carácter personal por lo que las empresas que estuvieran haciendo las cosas bien no encontrarán mayores dificultades para adaptarse a la nueva normativa.

La Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI) sigue totalmente en vigor y, al igual que convivía con la LOPD, ahora convive con el RGPD. La LSSI, tal como su nombre indica, regula los servicios de la sociedad de la información, por ejemplo, los servicios que se ofrecen a través de Internet.

A este respecto es muy interesante el informe emitido por el gabinete jurídico de la Agencia Española de Protección de Datos (AEPD) en el que responde a dudas relacionadas con el envío de comunicaciones comerciales con base en el interés legítimo del RGPD. Si se trata de comunicaciones no electrónicas, es aplicable el RGPD, pero si las comunicaciones son electrónicas, entonces el interés legítimo no sería válido ya que la LSSI es una normativa especial para este tipo de comunicaciones.

Por último, en la UE existe una propuesta de reglamento sobre privacidad y comunicaciones electrónicas que pretende armonizar ambas regulaciones.

Volver a Tabla de contenidos

Gestión de datos personales

En un mundo globalizado el nuevo reglamento quiere armonizar la gestión de los datos personales y afecta no solo a las empresas que estén dentro de la Unión Europea sino también a aquellas que, sin estarlo, gestionen datos personales de ciudadanos de la UE.

Los datos personales son propiedad del individuo y el nuevo reglamento le dota de una serie de derechos para gestionarlos: derecho a estar informado, derecho de acceso, derecho de rectificación, derecho de supresión u olvido, derecho de limitación al tratamiento, derecho de portabilidad de los datos, derecho de oposición y derecho a efectuar una reclamación ante la autoridad de control (la Agencia Española de Protección de Datos) en caso de que se considere que el tratamiento de los datos no es el adecuado.

Volver a Tabla de contenidos

DPO: Delegado de protección de datos

El delegado de protección de datos o DPO (Data Protection Officer) es la persona dentro de la organización que supervisa e implementa la estrategia de protección de datos asegurando que se cumple la legislación.

Las funciones del DPO son las siguientes (artículo 39 del RGPD):

El DPO puede ser una persona de la propia empresa o alguien externo que desempeña sus funciones en el marco de un contrato de servicios.

No todas las organizaciones deben tener un DPO, pero es imprescindible si la organización es (artículo 37 del RGPD):

Volver a Tabla de contenidos

Los datos personales de los que dispongamos podremos utilizarlos sólo si se cumple alguna de las siguientes condiciones (artículo 6 del RGPD):

Volver a Tabla de contenidos

Consentimiento

En general, la base legal que utilizan las empresas para el tratamiento de datos personales es el consentimiento del interesado. En el momento de recoger los datos se le pide consentimiento al usuario para el tratamiento de los mismos y se le explica para qué se van a utilizar sus datos y cómo se van a tratar.

¿Qué se entiende por consentimiento del interesado? Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Una de las grandes novedades del RGPD es que el consentimiento debe serexpreso, además de libre e informado (debiéndose por tanto determinar claramente los fines a los que se destinarán los datos, los posibles cesionarios…).

Volver a Tabla de contenidos

Adaptación al RGPD

La AEPD ha publicado bastante información para guiar a empresas e instituciones en la adaptación al nuevo RGPD. Además, dispone de la herramienta Facilita RGPD que ayuda a cumplir el RGPD a las empresas que realicen un tratamiento de datos personales de escaso riesgo. Esta herramienta permite valorar la situación de la empresa en cuanto al tratamiento de datos personales se refiere y genera diversos documentos adaptados a la empresa:

Las actuaciones que se deben realizar para adecuarse al nuevo RGPD son las
siguientes:

Volver a Tabla de contenidos

dudas RGPD (GDPR) y SMS

Resuelve todas tus dudas sobre el RGPD y los SMS

En esta sección vamos a responder algunas de las cuestiones que nos han ido enviando nuestros clientes sobre cómo afecta el nuevo RGPD a la utilización de los SMS.

¿Puedo seguir enviando SMS a mis clientes?

En general, sí. Veamos a continuación las consideraciones a tener en cuenta.

Cuando enviamos un SMS podemos distinguir 4 casos:

Ejemplo: una óptica le envía un SMS al cliente para avisarle que ya tiene sus gafas preparadas y puede pasar a recogerlas.

El tratamiento de datos en este caso se permite ya que es necesario para la ejecución del contrato.

Ejemplo: una óptica le envía un SMS al cliente con una oferta sobre gafas de sol.

El envío de un SMS es una comunicación comercial electrónica y está regulado por la Ley 34/2002, de servicios de la sociedad de la información (LSSI) (arts. 19 a 22). El envío es perfectamente legal ya que éste se realiza a un cliente y el producto es similar al que adquirió. Ello no excluye, no obstante, la obligación de informar previamente sobre ese tratamiento de datos con fines comerciales el momento en el que el cliente adquiere el producto/servicio, ni tampoco de la posibilidad que debe tener entonces (y posteriormente en cada comunicación) de oponerse a ello.

Ejemplo: una óptica le envía a su cliente una oferta para hacerse una revisión auditiva gratuita.

Sigue siendo de aplicación la LSSI, pero este caso es más ambiguo. En el ejemplo, se podría argumentar que tanto el nuevo servicio como las gafas que adquirió están relacionados con la salud. En cualquier caso, si el producto/servicio es de la misma empresa o se pueden englobar en una categoría superior común, en general, no habría problemas.

Ejemplo: una óptica le envía a su cliente una oferta especial de una agencia de viajes con la que ha llegado a un acuerdo.

En este caso se podría defender que el tratamiento es necesario para la satisfacción del interés legítimo perseguido por la empresa para poner a disposición de su cliente las mejores ofertas fruto del acuerdo al que ha llegado con un tercero. Pero el argumento es un tanto endeble.

La evaluación de los riesgos frente al potencial beneficio posiblemente indique que lo más sensato sea no realizar el envío, salvo que en el contrato que se haya firmado con el cliente se incluya específicamente la posibilidad de enviar comunicaciones comerciales de productos/servicios de terceros, señalando las categorías o tipo de productos/servicios. En todo caso, al pedir ese consentimiento se debe exigir el arcado de la correspondiente casilla.

Volver a Tabla de contenidos


Tengo una base de datos de teléfonos de clientes potenciales, ¿puedo
seguir enviándoles SMS?

Dependerá de cómo se recogieron los datos, para qué se recogieron y qué se vaya a enviar.

En caso de duda, lo más seguro es enviarles un SMS invitándoles a confirmar que quieren seguir recibiendo comunicaciones comerciales y proporcionándoles toda la información sobre cómo se van a tratar sus datos y para qué se van a utilizar.

El envío de este SMS es perfectamente legal basándose en el interés legítimo del responsable de los datos para actualizar los mismos, pero esta base no se puede utilizar de forma ilimitada para enviarles SMS.

La mejor forma de realizar este envío es insertando una URL a una landing en la que se proporcione toda la información y en la que puedan confirmar su aceptación apretando un botón.

Después de hacer este envío la lista de clientes potenciales se va a reducir, ya que no todos confirmarán la recepción de SMS, pero la lista será mucho más cualificada porque será de clientes realmente interesados en nuestros productos y la efectividad de los SMS que le enviemos posteriormente será mucho más alta y el presupuesto invertido en enviarlos mucho menor.

Volver a Tabla de contenidos


Nuestra fundación utiliza el servicio de SMS solidario para captar
donaciones, ¿podemos utilizar el número de teléfono para contactar con
los donantes?

Cuando una persona envía un SMS solidario a una fundación, le está realizando una donación y, por lo tanto, pasa a ser donante de la fundación (el equivalente a «cliente» en una empresa).

En el caso de querer enviarles un SMS no habría ningún problema ya que se trataría de clientes (donantes) de la fundación y, por lo tanto, si se realiza una comunicación comercial referida a servicios similares (donación), la LSSI permite hacerlo.

No obstante, también es importante que al solicitar el envío de SMS solidario se ofrezca toda la información relativa al tratamiento de datos que se va a realizar, el objeto del mismo y los derechos del usuario, así como la posibilidad de oponerse a tratamientos con fines comerciales o promocionales.

Por otro lado, si lo que se pretende hacer es efectuar una llamada para, por ejemplo, ofrecerle la posibilidad de ser socio, ya no se regiría por la LSSI sino por la normativa de protección de datos general, es decir, el RGPD. En este caso tampoco habría problema ni se requiere de consentimiento expreso ya que el tratamiento de datos satisface el interés legítimo de la fundación.

Volver a Tabla de contenidos


¿Cómo adapto mi publicidad para para poder enviar SMS a los leads que
obtenga?

Es necesario revisar la política de privacidad y los avisos en los formularios en los que recojamos información de los potenciales clientes con el objetivo de obtener su consentimiento para la utilización posterior de los datos.

Esta información se debe redactar en forma concisa, transparente e inteligible utilizando un lenguaje claro y sencillo y debe ser de fácil acceso.

La nueva política de privacidad adaptada al RGPD debe incluir:

Volver a Tabla de contenidos


Los SMS que envíe, ¿deben tener algún requisito especial para cumplir
el RGPD?

Para poder enviar un SMS hay que cumplir tanto el nuevo RGPD en lo que a protección de datos se refiere, como la LSSI en lo que atañe a comunicaciones comerciales electrónicas. Por lo tanto, además de tener base legal para enviar el SMS al destinatario, el mensaje debe incluir:

Volver a Tabla de contenidos


Cuando envío un SMS, ¿cómo doy la opción de que el usuario se dé de
baja?

Siempre que se realiza una comunicación comercial es necesario proporcionarle al usuario un medio para dejar de recibirlas.

En SMS disponemos de 11 caracteres en el remitente y 160 en el texto del mensaje para enviar una comunicación. El mensaje debe ser claro y conciso, pero no debemos olvidarnos en proporcionar una forma para que el usuario se dé de baja. Existen dos opciones:

La segunda opción, la opción de la landing web para baja, es la más recomendable ya a día de hoy la penetración de los smartphones es muy grande en España y las tarifas planas para acceso a Internet son una realidad. Además, la landing permite proporcionar mayor información al usuario.

Volver a Tabla de contenidos


¿Cómo recojo el consentimiento expreso del usuario?

El RGPD recoge las siguientes condiciones para el consentimiento (artículo 7):

Teniendo esto en cuenta, en todos los formularios de recogida de datos hay que incluir una casilla de verificación para obtener el permiso expreso del usuario. No puede estar marcada por defecto y debe informarse al usuario para qué se van a utilizar sus datos y cómo se van a tratar.

Junto con los datos proporcionados por el usuario también es importante recoger otra información relevante como, por ejemplo, la fecha en la que se da el consentimiento o la dirección IP desde la que accede el usuario.

Volver a Tabla de contenidos


Si envío SMS transaccionales que no son de publicidad, ¿deben tener
algún requisito especial para cumplir el RGPD?

Cuando una empresa envía un SMS a sus clientes no siempre es publicitario. También existen los llamados SMS transaccionales. A continuación se reproducen algunos ejemplos:

En este caso, los SMS se utilizan como un medio de comunicación a efectos del servicio prestado. En estos mensajes no hay que añadir nada a efectos de protección de datos.

El contrato que se establezca con el cliente o en las condiciones del servicio sí que se tiene que estipular que se van a utilizar los SMS como medio para remitir comunicaciones relativas a los servicios prestados/contratados y que el cliente autoriza el uso de su número de teléfono para esos fines. Por supuesto, también debe incluir el resto de menciones sobre protección de datos.

Volver a Tabla de contenidos

¿Necesito tener un DPO en mi organización?

No, siempre que tu organización sea una empresa u organización privada que no procesa datos a gran escala ni recoge datos especiales como, por ejemplo, raza, religión, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud o relativos a la vida y/o la orientación sexual.

En otro caso, sí es obligatorio.

No obstante, aunque no sea obligatorio sí que es recomendable, al menos, disponer dentro de la organización de una persona que supervise e implemente la estrategia de protección de datos asegurando que se cumple la legislación.

De cualquier modo, debe hacerse un análisis previo que determine si es obligatorio o no tener un DPO.

Volver a Tabla de contenidos


¿Cómo gestiono el consentimiento de personas que conozco en una feria?

Si se sigue el reglamento al pie de la letra, habría que preguntar a cada persona si quiere recibir nuestras comunicaciones y asegurarse que firme en nuestro stand un formulario con un consentimiento.

En la práctica, este procedimiento es poco ágil en una feria en la que las prisas suelen ser lo habitual. Cada organización debe estudiar su caso particular y el riesgo que supone. Por ejemplo, no es lo mismo que
recojamos los datos de contacto de una persona o que, además, recojamos datos financieros o de salud. En éste último caso sí que sería imprescindible tener un formulario firmado.

En general, cuando en una feria recogemos los datos de contacto de una persona es para enviarle información sobre algún producto o servicio nuestro. En este caso lo más práctico es, si no hemos dispuesto de formularios específicos, al terminar la feria enviar un correo a la persona interesada solicitando confirmación de sus datos y de su consentimiento para tratarlos con el fin de enviarle la información que solicitó en la feria.

SMS masivos y gdpr (rgpd)
Pruébalo gratis