Hablamos de newsletter para referirnos a boletines informativos, es decir, publicaciones digitales distribuidas por correo electrónico con una determinada periodicidad (diaria, semanal, mensual…).

El contenido suelen ser artículos sobre la marca de la empresa o que tienen relación con el ámbito profesional.

Siempre van dirigidos a tus suscriptores que han aceptado previamente recibir este tipo de contenidos.

Debes seguir un proceso determinado en el que respetes las medidas requeridas en el RGPD, con el objetivo de poder enviar regularmente tus newsletter.

Crea un formulario de alta en la suscripción de newsletter

En primer lugar, tienes que contar con una plantilla de formulario para enviar a tus destinatarios en un correo de confirmación.

Dentro del formulario limitate a los campos básicos para que les resulte sencillo de completar a tus contactos: nombre completo, correo, móvil…, el único imprescindible y obligatorio es el correo electrónico.

Incorpora casillas de verificación no preseleccionadas indicando que el usuario te autoriza a enviarle tu newsletter.

Otra casilla en la que aceptas o no recibir ofertas comerciales por correo o SMS.

Y puedes incluir otro en el que aceptas tener conocimiento de la política de tratamiento de datos.

La inclusión de estas casillas es obligatoria para validar el formulario.

Una recomendación oportuna en estos casos es configurar el formulario con doble opt-in. Es decir, una doble confirmación: enviar un último correo de confirmación a los usuarios una vez validen el formulario.

Dentro del texto debes dejar claro qué tipo de emails quieres enviar, si aceptan y con qué frecuencia.

Posibilidad de darse de baja en la suscripción de la newsletter mediante un enlace.

Al final del texto, se debe incluir un botón de acción en el que se incluya la posibilidad de darse de baja en cualquier momento.

¿Puedes enviar newsletter sin haber obtenido el consentimiento del interesado?

, pero con matices.

El tratamiento de datos personales para fines publicitarios por medios electrónicos puede realizarse sobre otro fundamento distinto al consentimiento, siempre que exista un interés legítimo por parte de la empresa.

Para justificar ese interés legítimo es necesario que:

  • Exista una relación contractual previa con el interesado
  • Los datos hayan sido lícitamente obtenidos
  • La publicidad verse sobre productos/servicios similares a los contratados.
  • Se Informe al interesado sobre el uso ulterior con fines de venta directa y darle la posibilidad de negarse a dicho uso en el momento de recogida de los datos y cada vez que reciba un mensaje posterior.

No obstante, el art. 23.4 LOPDGDD, impone la obligación de consultar los sistemas de exclusión publicitaria a fin de evitar el tratamiento de datos personales de quienes hubieren manifestado su oposición al mismo, salvo que el interesado hubiese prestado su consentimiento expreso.

¿Se pueden utilizar las fuentes de acceso público?

Para poder utilizar en nuestras newsletters las fuentes de acceso público, tales como

  • el Censo promocional
  • los Repertorios telefónicos
  • las Listas de personas pertenecientes a grupos de profesiones (únicamente con los datos necesarios de contacto y profesionales)
  • los Diarios y boletines oficiales,
  • los Medios de comunicación social

hay que tener en cuenta varias cuestiones:

Antigua LOPD

Las fuentes de acceso público en la LOPD 15/1999 se encontraban claramente definidas y reguladas. No obstante, con la entrada del RGPD únicamente se establece que se debe informar a los interesados, cuando los datos no se hayan obtenido de estos, si los datos provienen de una fuente accesible al público.

Es decir, que el art. 5 de la antigua LOPD regulaba los datos procedentes de fuentes accesibles al público destinados a publicidad, pero el RGPD ya no regula las fuentes de acceso público, por lo que no está permitido recabar y utilizar datos personales obtenidos de webs y RRSS sin cumplir con el RGPD.

Actual LOPDyGDD

La actual LOPDGDD sólo menciona las fuentes de acceso público en su ya inconstitucional DF3ª, que añadía el art. 58.bisEnlace añadido por la extensión vLex LOREGEnlace añadido por la extensión vLex.

La AEPD, teniendo en cuenta la ausencia de esta definición en la LOPD 3/2018, considera que se puede seguir aplicando como criterio interpretativo la derogada LOPD 15/1999 pero, en cualquier caso, debe tratarse de webs y fuentes en las que la consulta la pueda realizar cualquier persona, lo que excluiría aquellas en las que el acceso está restringido a un círculo determinado de usuarios.

Es decir, que debe entenderse incluida en dicha categoría (fuentes accesibles al público) cualquier información que sea accesible legítimamente por cualquier persona, sin restricciones, ya que la normativa en vigor no contiene una enumeración normativa de fuentes tasadas. 

En todo caso, la AEPD señala que el uso de este tipo de datos debe combinarse con una base de legitimación del RGPD, en especial con los intereses legítimos del responsable, aunque ello no implica que el tratamiento será lícito de per se. 

Reglamento EPrivacy

Junto con el RGPD, estaba previsto que entrara en vigor otro reglamento complementario a éste, aún más restrictivo en sus medidas, especialmente donde la protección de los datos personales se vuelve más vulnerable: el sector de las comunicaciones electrónicas.

Este reglamento (conocido como EPrivacy) ha visto retrasada su publicación y entrada en vigor, sin embargo, cuando se produzca y según se deduce del texto de la propuesta, no parece que vaya a dejar indiferente a nadie.

Este Reglamento previsiblemente derogaría la actual  Directiva 2002/58/CEVista previa del enlace añadida por la extensión vLex sobre la privacidad y las comunicaciones electrónicas al entenderse que no está adecuada a la evolución tecnológica, fundamentalmente en lo relativo a los servicios de transmisión libre (“OTT”).

El Reglamento ePrivacy, que en su art. 16 sobre “comunicaciones no solicitadas” del texto propuesto establece unos requisitos similares a los de la LSSIEnlace añadido por la extensión vLex y, en el considerando 33 dice que

“(…) es razonable autorizar el uso de los datos de contacto de correo electrónico en el contexto de una relación preexistente con el cliente para ofrecerle productos o servicios similares”

pero añade que

“esta posibilidad solo debería aplicarse a la misma empresa que haya obtenido los datos de contacto electrónicos, de conformidad con el RGPD”. 

Ello es debido a que el contenido de estas comunicaciones puede revelar gran cantidad de información delicada y personal de los usuarios (incluyendo ámbitos tan privados como problemas de salud o preferencias sexuales) que la UE entiende desprovista de protección.

A través de esta nueva regulación, se espera obligar a las entidades sujetas a la misma a ofrecer los servicios (como dar acceso a una web, por ejemplo) aunque los usuarios no presten el consentimiento para tratar sus datos, ni si quiera los necesarios por motivos técnicos y de desarrollo. 

Pero ¿Qué podría implicar esto?

Por ejemplo, si queremos abrirnos una cuenta de correo electrónico de Gmail, simplemente tenemos que registrarnos, aceptar los términos y condiciones y, de forma “GRATUITA” ya podríamos disfrutar del servicio.

Cabe entender que estas empresas no nos van a ofrecer un servicio de forma gratuita; tal vez no paguemos el servicio con dinero como tal, pero sí que lo pagamos con nuestros datos al permitirles, a través de esa aceptación, el tratamiento de los mismos (de tremendo valor para estas empresas).

¿Qué pasará entonces cuando estén obligados a ofrecernos el servicio pese a que no prestemos esa aceptación?

Las empresas tendrán que generar beneficios, luego si no pueden obtenerlo a través de la monetización de nuestros datos… las preguntas que tenemos que hacernos con esta regulación son:

¿Tendremos entonces que pagar por leer una noticia en un periódico digital o por tener una cuenta de correo personal?

¿Acaso las empresas “desconectarán” sus servicios de los que no reciban contraprestación económica?

Para contestarlas tendremos que esperar a la efectiva publicación del Reglamento y a la respuesta que genere el mundo digital, ya que de momento sólo son especulaciones.

Conclusiones

Recomendamos emplear sentido común en el caso de emplear datos procedentes de fuentes públicas en nuestras newsletter.

En concreto, recomendamos no tratar datos provenientes de internet u otras fuentes de acceso público sin contar con una base de legitimación prevista en la normativa vigente (consentimiento, intereses legítimos).

En todo caso, se debe tener en cuenta que no todo aquello publicado en internet se trata de fuentes de acceso público, ya que puede estar restringido a un circulo concreto de usuarios. 

Se pueden tratar datos personales de «fuentes accesibles al público», siempre cumpliendo los principios del RGPD:

  • licitud, lealtad y transparencia
  • limitación de la finalidad
  • minimización de datos
  • exactitud
  • limitación del plazo de conservación
  • integridad y confidencialidad