Cumplimiento del RGPD en email: guía práctica
Guía práctica de cumplimiento del RGPD en email: base legal, consentimiento y doble opt-in, derechos de los interesados, retención, DPA y alojamiento de datos en la UE.
Si envías email a personas en la Unión Europea, el Reglamento General de Protección de Datos (RGPD) se aplica a ti, esté tu empresa en Europa o no. El email es un dato personal por definición, y una lista de marketing es un registro estructurado de quiénes son esas personas y cómo se comportan. El RGPD regula cómo recopilas, almacenas, usas y, finalmente, eliminas esos datos.
La buena noticia es que el cumplimiento del RGPD y las buenas prácticas de email tiran en la misma dirección. Las listas limpias y con consentimiento entregan mejor, generan más interacción y reciben menos quejas. Esta guía recorre los pasos prácticos que mantienen tu programa de email dentro de la legalidad, desde elegir una base legal hasta firmar un acuerdo de tratamiento de datos.
Esto no es asesoramiento legal
Esta guía es un resumen práctico para ayudarte a entender los conceptos y hacer las preguntas correctas. No es asesoramiento legal y no crea una relación abogado-cliente. Para decisiones que conlleven un riesgo real, consulta a un asesor de protección de datos cualificado que conozca tu situación concreta y tu jurisdicción.
El RGPD y el email: lo básico
El RGPD protege los datos personales de las personas en la UE y en el Espacio Económico Europeo en general. Para quien envía email, casi todo lo que almacenas sobre un suscriptor cuenta como dato personal: su dirección de email, su nombre, su dirección IP, su ubicación e incluso señales de comportamiento como las aperturas y los clics. Aquí importan dos roles.
Tú eres el responsable del tratamiento
Tú decides por qué y cómo se tratan los datos personales. Eso te hace responsable de contar con una base legal, informar a los suscriptores y respetar sus derechos.
Tu plataforma es el encargado del tratamiento
Un servicio de email que envía correo siguiendo tus instrucciones es un encargado del tratamiento. Gestiona los datos, pero solo para los fines que tú defines, por eso es tan importante un acuerdo por escrito entre ambos.
El RGPD se basa en un puñado de principios: tratar los datos de forma lícita y transparente, solo para fines determinados, mantenerlos exactos, no recopilar más de lo necesario, no conservarlos más tiempo del imprescindible y mantenerlos seguros. Cada recomendación de esta guía no es más que uno de esos principios aplicado al email.
Base legal y consentimiento
No puedes tratar datos personales bajo el RGPD sin una base legal. En el email marketing, hay dos bases que aparecen con más frecuencia: el consentimiento y el interés legítimo. Elegir la correcta, y poder explicar por qué, es la base de un programa conforme a la normativa.
Consentimiento (opt-in)
Para el marketing dirigido a consumidores, el consentimiento suele ser la base más limpia, y la Directiva ePrivacy, que convive con el RGPD, lo exige por lo general para el email de marketing no solicitado. El consentimiento válido debe ser libre, específico, informado e inequívoco. Dicho de forma sencilla: el suscriptor tiene que realizar una acción deliberada, como marcar una casilla que estaba vacía o hacer clic en un botón de suscripción, después de que se le haya informado con claridad de quién eres y a qué se está apuntando. Las casillas premarcadas, los términos escondidos y el consentimiento empaquetado ("acepta recibir marketing para acceder a esta descarga") no cuentan.
Interés legítimo y el soft opt-in
El interés legítimo puede respaldar parte de la prospección entre empresas (B2B) y las comunicaciones estrechamente relacionadas, pero requiere una prueba de ponderación documentada que sopese tu interés frente a los derechos y expectativas del destinatario. Muchos países de la UE también permiten un "soft opt-in" limitado para clientes existentes con productos similares, siempre que les hayas dado la opción de darse de baja en el momento de la recogida de datos y en cada mensaje. Estas vías son más estrechas y arriesgadas que el consentimiento, así que utilízalas de forma deliberada y deja constancia de tu razonamiento.
Conserva la prueba del consentimiento
Sea cual sea la base en la que te apoyes, registra la evidencia: cuándo y cómo se suscribió alguien, el texto exacto que vio y la fuente. Si algún día un regulador o un suscriptor te lo pregunta, deberías poder mostrar exactamente cómo obtuviste el permiso para enviarle email.
Doble opt-in: cómo demostrar el consentimiento
El RGPD no exige literalmente el doble opt-in, pero es la forma más fiable de demostrar que el consentimiento fue genuino. Con el doble opt-in, un nuevo suscriptor envía primero su dirección, después recibe un email de confirmación y solo se une a tu lista tras hacer clic en el enlace que contiene. Ese clic te proporciona un registro verificable y con marca de tiempo de que la persona controla ese buzón y eligió activamente recibir tus mensajes.
El beneficio de cumplimiento viene acompañado de un extra de entregabilidad. La confirmación filtra errores tipográficos, direcciones falsas y registros maliciosos antes de que lleguen a tu lista activa, de modo que tus tasas de interacción se mantienen altas y tu reputación de remitente permanece limpia. Para una configuración paso a paso, consulta nuestra guía dedicada de doble opt-in.
Derechos de los interesados
El RGPD otorga a las personas una serie de derechos sobre sus datos personales, y debes poder atenderlos sin dilación indebida, por lo general en el plazo de un mes. En un programa de email, hay dos derechos que aparecen con más frecuencia.
Derecho de acceso
Un suscriptor puede preguntar qué datos personales tienes sobre él y cómo los usas. Deberías poder exportar su perfil, su historial de suscripción y sus datos de interacción en un formato legible. Mantener tus datos en un solo sistema, en lugar de repartidos en hojas de cálculo, hace que esto sea sencillo.
Derecho de supresión
También llamado derecho al olvido, permite a una persona pedirte que elimines sus datos. Cuando elimines, hazlo en todas partes: tu lista activa, tu plataforma y cualquier exportación o copia de seguridad que esté bajo tu control. Un matiz para el email: puedes conservar un registro mínimo de supresión de una dirección para no volver a importarla y enviarle correo por error a alguien que pidió ser eliminado, lo cual es en sí mismo una finalidad legítima.
Los derechos también alcanzan a tu encargado del tratamiento
Cuando un suscriptor ejerce un derecho, tu plataforma de email (como encargada del tratamiento) debe poder ayudarte, por ejemplo eliminando los datos de esa persona cuando se solicite. Este es exactamente el tipo de obligación que un acuerdo de tratamiento de datos deja fijado por escrito.
Haz que darse de baja sea sencillo
Todo email de marketing debe ofrecer a los destinatarios una forma sencilla y gratuita de darse de baja, y debes atender esas solicitudes con prontitud. En la práctica, esto significa un enlace de baja visible en el pie de cada campaña, más una cabecera list-unsubscribe para que los proveedores de correo puedan ofrecer una baja de un solo toque directamente desde la bandeja de entrada. Desde 2024, proveedores importantes como Gmail y Yahoo exigen la baja de un clic para los remitentes masivos, así que esto es tanto una exigencia legal como de entregabilidad.
No obligues a la gente a iniciar sesión, responder o navegar por una encuesta de varios pasos para darse de baja. Una baja lenta u oculta empuja a los destinatarios a pulsar "marcar como spam" en su lugar, lo que perjudica tu reputación mucho más que perder un suscriptor. Si quieres reducir la pérdida de suscriptores, ofrece un centro de preferencias donde la gente pueda reducir la frecuencia en lugar de elegir solo entre todo o nada, pero mantén siempre disponible una baja completa y real.
Minimización de datos y retención
El RGPD te pide que recopiles solo los datos que realmente necesitas y que los conserves solo el tiempo que los necesites. Ambos principios son fáciles de aplicar al email.
Recopila menos
Mantén los formularios de registro cortos. Si solo necesitas una dirección de email para enviar una newsletter, no exijas un número de teléfono, una fecha de nacimiento o un cargo. Cada campo adicional es más datos que asegurar y justificar.
Consérvalos menos tiempo
Define una política de retención para los contactos inactivos. Si alguien no ha interactuado en, por ejemplo, 12 a 24 meses, plantéate una campaña de re-permiso y después elimínalo. Los datos obsoletos añaden riesgo sin añadir valor.
La disciplina de retención también mejora el rendimiento. Depurar los contactos que no interactúan eleva tus tasas de apertura y de clic, y protege tu reputación de remitente, uno de los muchos puntos en los que la privacidad y la entregabilidad de email se refuerzan mutuamente.
Encargados del tratamiento y acuerdos de tratamiento de datos
En el momento en que usas una plataforma de email para enviar correo en tu nombre, esa plataforma se convierte en encargada del tratamiento según el RGPD. El artículo 28 exige un contrato por escrito, un acuerdo de tratamiento de datos (DPA), entre tú como responsable y el encargado. Un DPA sólido establece:
- •La naturaleza y la finalidad del tratamiento, y las categorías de datos e interesados implicados.
- •Las medidas de seguridad que mantiene el encargado para proteger los datos.
- •Las normas para contratar subencargados y para cualquier transferencia internacional de datos.
- •Cómo ayuda el encargado a atender las solicitudes de los interesados y las notificaciones de brechas de seguridad.
Antes de enviar tu primera campaña, revisa y acepta el DPA de tu proveedor y comprueba quiénes son sus subencargados. Bitelio publica sus condiciones para que puedas revisarlas de antemano; consulta nuestro Acuerdo de Tratamiento de Datos.
Dónde viven tus datos: el enfoque del alojamiento en la UE
El RGPD restringe el envío de datos personales fuera de la UE y del EEE, salvo que el destino ofrezca una protección adecuada o que pongas en marcha un mecanismo de transferencia, como las cláusulas contractuales tipo. Las transferencias a países sin una decisión de adecuación han sido una fuente persistente de incertidumbre legal para las empresas europeas.
Mantener tus datos de email en infraestructura alojada y tratada dentro de la UE evita buena parte de esa complejidad. No hay ninguna transferencia transfronteriza que justificar, no dependes de mecanismos legales cuestionados, y tienes una historia clara y sencilla que contar a los clientes y reguladores europeos sobre dónde reside su información. Para una empresa que atiende a audiencias de la UE, tener los datos dentro de la UE es una de las formas más prácticas de reducir el riesgo de cumplimiento.
Diseñado para remitentes de la UE
Bitelio está pensado para equipos europeos, con un tratamiento de datos ubicado en la UE y un DPA publicado, así que mantener tu programa de email dentro de la UE no exige ninguna configuración extra por tu parte.
Una checklist práctica de RGPD para email
Para resumirlo todo, aquí tienes una checklist breve que puedes contrastar con tu programa actual:
Confirma una base legal (normalmente el consentimiento) para cada contacto de tu lista.
Usa formularios de opt-in claros y no empaquetados, y conserva la prueba de cuándo y cómo se suscribió cada persona.
Adopta el doble opt-in para verificar el consentimiento y proteger la entregabilidad.
Incluye una baja de un clic que funcione en cada email y atiende las bajas con prontitud.
Prepárate para responder a las solicitudes de acceso y supresión en el plazo de un mes.
Recopila solo los campos necesarios y define una política de retención para los contactos inactivos.
Firma un DPA con tu proveedor de email y revisa quiénes son sus subencargados.
Prioriza el alojamiento y el tratamiento de datos en la UE para minimizar el riesgo de las transferencias internacionales.