reconsent RGPD

¿Reconsent o no reconsent?. ¡Es el timing, idiota!

¿Reconsent o no reconsent?. ¡Es el timing, idiota!

Asistimos a un intenso debate en el tramo final previo a la aplicación del Reglamento General de Protección de Datos sobre si las (abundantes) campañas de reconsent que recibimos son o no necesarias. Si son o no un error.

En realidad, estos fogosos debates suelen partir de la simplificación de realidades que siempre son mucho más complejas.

Claro clarinete

Claro que, si tienes una masa de contactos a los que envías comunicaciones comerciales, y en su día te han otorgado un consentimiento inequívoco, separado, no necesitas hacer nada más.

Esos argumentos los da ni más ni menos que la ICO en esta carta, que no reinventa la rueda precisamente.

Claro que si tienes una masa de contactos de clientes a los que envías correos comerciales, no necesitas hacer nada más, porque el 21.2 LSSI te ampara para seguir enviando comunicaciones comerciales, sobre productos o servicios análogos a los que adquirieron, hasta que pinchen en el fatídico botoncito “baja“.

Claro que si mandabas correos promocionales a cascoporro porque sí, o  porque compraste esos datos, o presumiste el consentimiento de quien no se daba de baja de tus comunicaciones, aunque nunca fuera cliente, o por mil marranadas posibles, estabas ya incumpliendo la norma con cada correo, como explica muy bien  Tim Turner aquí.

Y también claro, con el de reconsent.

Claro.

 

Pero no todo es así de claro.

El problema (común en mi experiencia, que no es pequeña) está cuando:

  • Tienes un magma de contactos de clientes, contactos que te gustaría que lo fueran, empresas a las que visitaste pero que sólo te dieron una tarjeta y los buenos días, otras tarjetas de gente que ni recuerdas.
  • No sabes de dónde vienen, cómo consintieron, de qué les informaste, porque llevas un montón de años cambiando de formatos.
  • Tienes un montón de datos de personas que te dieron un consentimiento para el envío de correos comerciales mezclado con otros tres tratamientos (y eso como sabemos, ya no vale).
  • Presumiste su consentimiento porque no se daba de baja de tus comunicaciones comerciales, aunque nunca fue cliente (ahí ya estabas mal, pero ahora el riesgo es mucho mayor).
  • Has hecho parte de los deberes en los últimos dos años: has pedido consentimientos separados, inequívocos, etc… pero de pronto te das cuenta de que no tienes evidencia, no puedes probar esos consentimientos mejor o peor captados. Porque ahora tienes que cumplir y probar que has cumplido.

En estos casos, (hay más, por supuesto), estás entre la espada y la pared, creo.

  1. Si pides reconsent, estás efectivamente obligado a dejar de utilizar (bloquear) los registros que no te pinchen en el botoncito. Y creo que la gente no está muy por la labor, aunque sólo sea por el auténtico tsunami de correos que todos estamos recibiendo estas semanas.
  2. Pero si no lo pides, estás condenado a depurar igualmente tu base de contactos: cualquiera de ellos, puede ejercer su derecho de acceso y cuestionarte o pedir confirmación de cuándo y cómo te prestó su consentimiento sobre el que dices trabajar.

 

Ya luego está lo que se dice en los correítos de marras

Ese es el motivo por el que en general, los textos de esos correos son tan malos: en realidad las empresas están siendo, creo, deliberadamente ambiguas, para no cerrarse puertas en el futuro.

Lo cierto es que lo hagas como la hagas, quemas naves tras de ti.

Lo cierto es que para cambiar de base legítima: del consentimiento mal cogido a interés legítimo (21.2) los responsables deberían, siendo rigoristas, haberlo informado así a los interesados. Así lo dije hace ya tiempo en este post sobre legalización de consentimientos, que reproduce lo que dicen las guidelines sobre consentimiento del Grupo de Trabajo del 29.

Tiempo al tiempo

Y deberían haber informado con tiempo, dado que el cambio es importante.

Tiempo. Porque aquí lo importante era el tiempo.

Una campaña de reconsent bien diseñada, enfocada sólo a los contactos problemáticos, con correos enviados a intervalos sin urgencias, y haciendo énfasis en que el destinatario será el que pierda si no “reconsiente” es caballo ganador. Y los ha habido, no lo duden.

Pero en general hacer cualquier cosa deprisa y corriendo una semana antes de la entrada en vigor de una de las normas más complejas de los últimos años, no es buena idea. Sea pedir reconsent o no.

Hacer las cosas bien.

Una empresa que de verdad envíe contenido de valor añadido recibirá el reconsent o la nueva solicitud de contenido de sus contactos. En mayo o en septiembre. Porque a la gente le gustan las empresas que hacen las cosas bien.

Pero ¡ay! Las empresas que te han llenado la bandeja de spam semanalmente, no han hecho caso cuando te has querido dar de baja, y vienen ahora con una sonrisa de oreja a oreja con su reconsent… esas se van a encontrar con una multitud de francotiradores con la escopeta cargada. Y la van a disparar ante nuevos correítos no aceptados.

Mar España va a necesitar un barco más grande, si decide afrontar la ola de denuncias que viene.

Animo a todos, el 25 de mayo no termina ningún plazo, empieza.

Ese día empieza el resto de nuestras vidas (bajo el RGPD).

Si todavía te quedan ganas, igual te apetece revisar mi guía resumen del RGPD.

Jorge García Herrero

Abogado y Delegado de Protección de Datos.