Los próximos 23 y 26 de noviembre llegan a España el Black Friday y el Cyber Monday respectivamente.

Esto significa que, si somos un ecommerce, llevaremos a cabo todo tipo de campañas de marketing digital para impactar a targets que puedan estar interesados en nuestros productos.

En este contexto, y tras la reciente aplicación del RGPD, resultará fundamental tener claras una serie de claves legales para poder realizar nuestras campañas de conformidad con la normativa aplicable:

1.- El consentimiento de los usuarios

La piedra angular para poder llevar a cabo todo tipo de campañas pasa por poder demostrar que cuentas con el consentimiento de los usuarios a los que diriges emails comerciales, SMS, llamadas, etc. ¿Puedes hacerlo?

Además, recuerda que tras la aplicación efectiva del RGPD, los consentimientos obtenidos de forma tácita mediante casillas premarcadas u otros procedimientos similares, ya no son válidos: descarta estos destinatarios en tus campañas.

En cualquier caso, si puedes demostrar que el destinatario de las comunicaciones comerciales es cliente de tu e-commerce, no necesitarás este consentimiento.

2.- Cookies: ¿conoces los nuevos requisitos que ha planteado la AEPD para la descarga de cookies?

Tras la aplicación del RGPD a partir del pasado 25 de mayo de 2018, el consentimiento informado para poder descargar tecnología cookie en los dispositivos de los usuarios ha variado.

De hecho, la AEPD ha publicado una serie de pautas después de su 10ª Sesión Anual abierta: ¿tienes tu sitio web adaptado a estos criterios?

3.- Campañas de afiliación: ¿cumplen tus afiliados con la normativa aplicable en materia de privacidad?

Si contratas tus campañas de marketing digital con redes de afiliación, o bien con agencias de marketing digital que cuenten con bases de datos propias o de terceros, asegúrate que cuentas con un contrato que proteja a tu ecommerce: obliga a los titulares de bases de datos al cumplimiento de sus obligaciones de acuerdo con el RGPD,  evita las subcontrataciones de terceros si no las autoriza tu ecommerce directamente, realiza muestreos aleatorios sobre las bases de datos de tus campañas, y obliga a los afiliados a que aporten los formularios de captación de los datos y las políticas de privacidad aceptadas por los destinatarios de la publicidad.

4.- ¿Haces marketing en display a través de herramientas como Facebook Custom Audiences?

Si la respuesta a esta pregunta es sí, cuidado: pese a que la Agencia Española de Protección de Datos no se ha pronunciado aún sobre la licitud de esta herramienta, en Alemania ya ha habido una sentencia del tribunal administrativo de Bayreuth que ha determinado las siguientes conclusiones: (i) el cifrado para subir las listas de anunciantes no sería suficiente para anonimizar los datos; (ii) Facebook no puede ser considerado como un mero encargado del tratamiento y (iii) es necesario solicitar el consentimiento expreso de los usuarios para tratar sus datos en este tipo de herramienta.

Pese a que esta sentencia no tiene efectos en España, deberemos estar atentos en las próximas fechas para saber si la AEPD se pronuncia sobre esta materia.

5.- ¿Los datos de tu e-commerce están alojados en EEUU?

Nuevamente, si la respuesta a esta pregunta es afirmativa, cuidado: pese a que actualmente el acuerdo de Privacy Shield está en vigor y esto implica que las empresas adheridas a este acuerdo cuentan con un nivel adecuado de protección de datos, el Parlamento Europeo aprobó el pasado 5 de julio una resolución (RSP 2018/2645) indicando un plazo hasta el pasado 1 de septiembre de 2018 para que las autoridades estadounidenses realizasen un importante número de modificaciones sobre las medidas aplicables a propósito del acuerdo de Privacy Shield, con el objetivo de que las empresas norteamericanas cumplan con el Reglamento General de Protección de Datos.

Actualmente no ha habido un nuevo pronunciamiento por parte de las autoridades europeas en relación con este asunto, pero deberemos estar atentos en las próximas fechas para conocer si el Privacy Shield sigue adelante, o si por el contrario será necesario solicitar autorizaciones a la AEPD para transferir datos de carácter personal a entidades estadounidenses.

Por último, y después de repasar todos estos tips a nivel legal, recuerda que es mejor prevenir que lamentar.

Por eso nuestro consejo siempre es revisar estos y otros aspectos de la mano de un técnico en derecho digital, para tratar de evitar cualquier denuncia por parte de los usuarios, que pueda derivar en un eventual procedimiento sancionador seguido por la AEPD contra tu ecommerce.

En este sentido, hay que tener en cuenta que el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de Protección de Datos, ya contempla la aplicación en España de sanciones de hasta 20.000.000 de Euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior, por lo que resulta fundamental cumplir con la normativa en materia de protección de datos y privacidad.

Letslaw es un despacho de abogados especializado en privacidad y marketing digital.