Conformidad RGPD para SMS de Marketing

gdpr sms marketing

Ya has pasado por todo el proceso de identificar tu público objetivo, recoger sus números de teléfono, elaborar la copia para tus campañas y establecer todas tus preferencias.

Pero antes de enviar su SMS, tómese un momento para revisar su campaña y responda una pregunta muy importante: ¿está usted 100% conforme con el RGPD?

Nos hemos reunido con nuestros abogados, Sophie Soubelet-Caroit y Perrine Salagnac de SSC Avocats para comprender las implicaciones de la RGPD y la protección de datos.

Para ser concisos, en esta sección únicamente nos centraremos en los fundamentos de la RGPD, la recopilación de datos y el consentimiento para las campañas de marketing por SMS. Sin embargo, le animamos a que también lea nuestra guía sobre Ciberseguridad y Marketing por SMS: mantenga sus datos seguros en la que exploramos en profundidad cómo mantener nuestros datos seguros, evitar ataques y transgresiones, y qué hacer en caso de que experimentemos alguno.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una «ley de privacidad y seguridad que impone obligaciones a cualquier tipo de institución que recopile datos de usuarios que pertenezcan a la Unión Europea», incluso cuando la propia institución no pertenezca a la UE. Por ejemplo, si está ubicada en Brasil pero está procesando datos de clientes o visitantes europeos, entonces tiene que cumplir con la RGPD.

Este reglamento se instituyó en 2016 y entró en vigor en 2018 para poner fin a los pésimos Términos y Condiciones que ni los usuarios podían entender, ni las empresas querían explicar.

“El objetivo aquí es hacer que las empresas informen adecuadamente y de manera que las personas puedan comprender para decidir libremente si quieren participar, o no, en ellas. También implica considerar la protección de datos como un elemento fundamental de todos los procesos de la empresa.”

  • ¿Cuál es el objetivo de la RGPD? Que los usuarios puedan entender lo que se les ofrece, que puedan elegir libremente cuándo participar o no a discreción, teniendo plena autoridad sobre sus datos y su uso por parte de terceros.
  • ¿Quién debe obedecer a la RGPD? Todas las instituciones que procesan datos de ciudadanos de la UE, incluso si la propia institución no pertenece a la UE.
  • ¿Puede ser multado por violar la RGPD? Sí, puede ser multado y las multas son muy altas. Llegan hasta 20 millones de euros o el 4% de los ingresos globales (lo que sea más alto), además de la compensación por daños a los sujetos implicados.

¿És todo acerca del »consentimiento’?

«Cuando lees en Internet en los sitios de marketing solo se centran en el consentimiento. ¿Es todo sobre el consentimiento? La respuesta es NO», explica Perrine.

«El consentimiento no siempre es necesario cuando se trata de RGPD. Es un error común. De hecho, en el artículo 6 de la RGPD verás que hay otras bases legales. El consentimiento es solo uno de ellos», dice. Cada controlador de datos tiene que elegir las bases correctas y factibles para él.

«Pero si se tienen en cuenta las demás reglamentaciones, por ejemplo, el «Code des postes et des communications électroniques» (Código de Correos y Comunicaciones Electrónicas de Francia) y su aplicación regulada por la entidad denominada ARCEP, se verá que en algunos casos, pero no en todos, hay que solicitar el consentimiento. Pero no es el mismo consentimiento: uno es para la recogida de datos, el otro es para el envío de SMS. Son dos cosas diferentes», indica Sophie.

Entonces, ¿qué podemos hacer para estar 100% seguros si cumplimos con las regulaciones? «Es peligroso tener un enfoque unilateral, ya que se necesita un análisis caso por caso de los requisitos legales», dice Sophie. Cada caso es diferente y la respuesta a esta pregunta dependerá de las leyes locales que se aplican para sus clientes y para su negocio.

¿Cómo pedir el consentimiento?

El GDPR establece que el consentimiento debe ser:

  • Dado libremente: debe ser voluntario
  • Informado: dígale al individuo qué información guardará y cómo piensa utilizarla
  • Sin ambigüedades: expresado en un lenguaje claro y sencillo
  • Específico: claramente distinguible de otros asuntos
  • Expresado: no puedes insinuarlo, los individuos deben dar un consentimiento expresado claramente, como «entiendo y acepto…»

Ejemplo de formularios conformes al RGPD

Regulaciones en Francia

Octopush es una empresa radicada en Francia, así que tenía sentido incluir un análisis dedicado sobre los diferentes tipos de consentimiento aquí. Aquí hay un rápido resumen de lo que discutimos con Sophie y Perrine que puede servir como guía.

Requisitos para el envío de SMS comerciales

Según la CNIL, cada mensaje de texto debe incluir:

  • La identidad del remitente: dejar claro a los destinatarios quién está enviando el SMS
  • Ofrecer una opción de exclusión fácil y clara: como STOP au XXXX, o noPUB=STOP

Tiempos de expedición

La mayoría de los proveedores de SMS y MMS citan la misma información procedente del ARCEP:

“Para evitar cualquier abuso y molestia, los tiempos de envío son limitados. Para la mayoría de los operadores, los SMS móviles están prohibidos entre las 8 pm y las 8 am durante la semana. También se prohíben los envíos los domingos y los días festivos durante todo el día. Cualquier infracción de la norma se castiga con una multa de 1.000 euros, sin incluir impuestos, por cada infracción.”

Sin embargo, y después de consultar con nuestros abogados, esta información debe ser atenuada. No hay ninguna ley en Francia que establezca las horas y días en los que se puede o no se puede enviar un SMS. Por lo tanto, no puede ser multado sobre esta base.

No obstante, la prohibición de enviar un SMS/MMS entre las 20h00 y las 8h00 o los domingos y días festivos es una buena práctica que observan las empresas interesadas en Francia. Por lo tanto, estas normas se estipulan a menudo en los términos y condiciones de los proveedores de SMS y MMS y deben ser respetadas por Octopush y, por lo tanto, por sus clientes.

Enlaces útiles:

Commercial prospecting for SMS-MMS. (CNIL)

Advertising messages by SMS or MMS: is it legal? (CNIL)

Art. 8 (GDPR)