Qué debes hacer para cumplir con la LOPDGDD en tus correos de empresa

• Descubre cuándo es necesario el consentimiento del destinatario en comunicaciones comerciales por vía electrónica y la manera más segura de gestionar la información personal.
• Los envíos masivos de emails, cuando sean necesarios, deben hacerse de forma segura y usando la copia oculta para evitar difundir las direcciones de los receptores.
• La Lista Robinson, que ya cuenta con más de 850.000 personas registradas, debe ser consultada por quienes pretendan hacer una campaña publicitaria, cuando sus destinatarios no hayan dado su consentimiento inequívoco a tal fin, de forma que se pueda excluir de la misma a los inscritos en esta Lista, siendo gratuita para pymes y autónomos hasta las 30.000 primeras consultas al año.

El tratamiento de los datos personales es inherente al desarrollo de casi cualquier actividad empresarial. Además, cómo se traten finalmente los datos, marca la diferencia, en términos de competitividad, entre las propias empresas. Es decir, la privacidad, además de entrañar importantes y nuevas obligaciones legales, también es un elemento competitivo de primer orden.

Al objeto de proteger al ciudadano, tanto en términos de seguridad como de privacidad, el Gobierno aprobó a finales del pasado año la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que adapta la normativa europea al ordenamiento jurídico español.

La LOPDGDD en las empresas

Uno de los ámbitos que registra mayor incidencia desde la entrada en vigor de esta Ley es el de las empresas, que han tenido que modificar, entre otros aspectos, la forma en que estas se comunican e informan a sus potenciales usuarios y clientes, debiendo garantizar de forma proactiva que la gestión y la protección de estos datos se realiza adecuadamente. Esto se traduce, incluso, en nuevas obligaciones legales como la necesaria notificación de las brechas de seguridad de la información o la de contar, en ciertos casos, con un Delegado de Protección de Datos.

Cómo cumplir con la Ley de Protección de Datos en tus correos de empresa

En este escenario, el correo electrónico -que es una herramienta fundamental para la inmensa mayoría de los negocios- es una de las vías de comunicación más sensibles. Aunque siempre tienes la posibilidad de acudir a profesionales para que te resuelvan las dudas legales que puedan surgirte sobre este tema, a continuación vamos darte varias claves para que tus emails corporativos cumplan con la Ley de Protección de Datos Personales según el despacho de abogados de Ceca Magán.

Correos electrónicos a clientes que ya lo son

Si tu empresa mantiene una relación previa con un cliente, proveedor o similar, el envío de emails puede enmarcarse en el necesario y normal desarrollo de una relación comercial, contractual o de colaboración en vigor, lo que es perfectamente legal.

Sin embargo, esto no implica que tus clientes, proveedores o colaboradores tengan la obligación por ello de recibir publicidad corporativa y, mucho menos, sin su consentimiento o, en su defecto, sin ninguna otra base legal aplicable.

Sin embargo, aún sin contar con su consentimiento, en los casos en que se trate de publicidad sobre servicios o productos iguales o similares de la propia empresa que hubieran sido contratados previamente por un cliente activo y éste no se hubiera opuesto a tales comunicaciones comerciales, y mientras no lo haga, podrán remitirse tales comunicaciones comerciales.

Como consecuencia de ello y, a pesar de que cuentes con su permiso, o concurra cualquier otra base legal aplicable, por ejemplo, el interés legítimo de tu empresa, lo aconsejable es que en cada correo electrónico promocional o publicitario que dirijas incluyas la posibilidad de que el destinatario se de baja marcando la casilla correspondiente. Según la ley, debes hacer igual de sencillo el dar el consentimiento como el poder revocarlo en cualquier momento.

La Lista Robinson, un arma para el usuario

Asimismo, según consta en el artículo 23 de la LOPDGDD, las empresas que pretenden realizar comunicaciones de marketing directo deben consultar este sistema de exclusión publicitaria previamente, excluyendo así de sus envíos los datos de aquellos que hubieran manifestado su oposición o negativa a las mismas. Eso sí, no será necesario realizar la consulta cuando el afectado haya prestado su consentimiento inequívoco a la empresa en cuestión para recibir correos.

"La Lista Robinson permite no tener que oponerse a la recepción de publicidad no deseada caso por caso, sino inscribirse en un sistema y seleccionar, con un solo acto, todos los canales por los que no desea recibir publicidad", explica la directora de la Agencia de Protección de Datos (AEPD), Mar España.

La buena noticia para las empresas es que, a través de Adigital, pueden acceder a un servicio que indica fácil y rápidamente a quién puede y a quién no puede enviar su publicidad por formar parte de la Lista Robinson cuyo coste es cero para pymes y autónomos hasta llegar a las 30.000 consultas al año.

La copia oculta, imprescindible en los envíos masivos

Finalmente, si te dispones a mandar un correo electrónico con dos o más destinatarios (resulta indiferente que la cifra de partida sea ésta, que alcance los 50 o varios cientos), debes respetar la privacidad de cada uno de ellos. Es decir, no debes incluir la lista de direcciones tal cual, sino utilizando el método de copia oculta (CCO). 

El aviso de confidencialidad

Por último, si entre las partes existe cualquier acuerdo de confidencialidad, media un deber legal de secreto en base a la información, personal o no, contenida en un correo electrónico e, incluso, por el hecho de que en los mismos suelen contenerse o adjuntarse ciertos elementos o activos protegibles (obras, secretos comerciales, etc.), conviene incluir un aviso en el correo electrónico que recuerde tal compromiso sobre el uso o destino de la información que pueda llegar a un receptor.

De hecho, resulta recomendable también prever un medio de contacto válido en caso de ser recibido o accedido su contenido por una persona distinta a la que iba realmente destinado, con independencia del motivo o causa de ello. Esto es importante cuando, como consecuencia de ello, pueden verse comprometidos datos personales y se produzca un riesgo probable para los derechos de los interesados afectados, dada las nuevas obligaciones de las empresas de notificar ese tipo de brechas o violaciones de la seguridad de los datos en tiempo y forma.